Sveriges första molnpolicy

Den 29 maj beslutade den svenska regeringen om landets första nationella molnpolicy. Det är ett historiskt steg och ett tydligt tecken på att frågan om digital suveränitet inte längre är en abstrakt diskussion. Den är här, och den berör alla organisationer som i dag använder molntjänster från Microsoft, Google eller Amazon.

Men vad innebär policyn i praktiken? Och vad bör du som IT-ansvarig, juridisk rådgivare eller beslutsfattare göra nu?

Det policyn faktiskt säger

Policyn gäller statliga myndigheter, kommuner, regioner och privata aktörer som arbetar åt offentlig sektor. Den är inte bindande och inför inget förbud men den sänder en tydlig signal.

Tre saker sticker ut:

Köp mer svenskt och europeiskt. Policyn slår fast att fler tjänster bör köpas från svenska och europeiska leverantörer, för att stärka Sveriges digitala suveränitet.

Känslig data ska skyddas. Regeringen varnar för att företag i "vissa länder" kan tvingas lämna ut data till sina myndigheter, även om den lagras utanför landets gränser. Det är en direkt hänvisning till lagstiftning som USA:s CLOUD Act.

Ha en exitplan. Kanske det viktigaste kravet: myndigheter måste kunna flytta sin data snabbt om läget förändras. Avtal med molnleverantörer måste tekniskt och juridiskt tillåta det.

Geopolitiken är drivkraften

Civilminister Erik Slottner är tydlig med vad som skyndat på beslutet: det förändrade politiska klimatet i USA. Det handlar inte om att måla upp ett katastrofscenario utan om att organisationer behöver ställa sig frågan om de är tillräckligt förberedda om förutsättningarna ändras.

De stora techbolagen har svarat på debatten med så kallade "suveräna moln" – lokala datacenter med löften om att data stannar i regionen. Det är ett välkommet initiativ, men frågan kvarstår: räcker det i ett skarpt läge?

Men räcker det?

Policyn har redan mött kritik, och det är en berättigad invändning värd att ta på allvar: genomgående används ordet "bör" inte "ska". Det finns inga krav, inga sanktioner och ingen oberoende granskning. Post- och telestyrelsen får i uppdrag att vägleda, inte att granska.

Samma vecka som policyn publicerades avslöjades att Försäkringskassan öppnar för Microsoft Teams, trots myndighetens egna experters varningar om att amerikansk lagstiftning kan ge amerikanska myndigheter tillgång till data. Två besked, samma vecka, som pekar i var sin riktning.

Det visar på en central spänning: en policy som inte är bindande överlåter ansvaret till varje enskild organisation. Det är å ena sidan rimligt, verksamheter ser olika ut och behoven varierar. Å andra sidan innebär det att de organisationer som behöver tydligast vägledning lämnas med störst handlingsutrymme att göra ingenting.

En exitplan som aldrig testats är svår att lita på den dag den faktiskt behövs.

Men det finns en ännu mer grundläggande fråga som sällan ställs: hur flyttar man egentligen?

Svaret beror helt på vad man menar med "molntjänster" och här är det viktigt att göra en distinktion som policyn inte riktigt gör.

Det finns tre väldigt olika situationer. Egenutvecklade system som körs i molnet, virtuella servrar, databaser och egna applikationer är i princip möjliga att flytta om man planerat för det. Kontorsverktyg som Microsoft 365, Teams och SharePoint är en annan sak: här är inlåsningen djup, med år av dokument, e-posthistorik och arbetsflöden som inte enkelt går att exportera till ett konkurrerande system. Och inköpta affärssystem byggda på en specifik molnplattform, ett HR- eller ekonomisystem skräddarsytt för Azure är i praktiken omöjliga att flytta utan att byta system helt.

Den inlåsningen är inte ett misstag, den är en affärsmodell. Och det är den verkligheten policyn ännu inte riktigt adresserar.

Policyn pratar om "hög rådighet" som ett mål för känslig verksamhet, men undviker att ta i den obekväma konsekvensen: för många myndigheter som redan är djupt integrerade i amerikanska ekosystem är ett snabbt utträde i praktiken inte möjligt oavsett vad avtalet säger.

Sverige är inte ensamt - EU följer efter

Det svenska beslutet kommer inte i ett vacuum. Redan nästa vecka väntas EU-kommissionen lägga fram ett nytt paket för digital suveränitet där molntjänster tar en central plats. Enligt förhandsuppgifter pekar även EU:s förslag mot att amerikanska molntjänster bör undvikas för känslig offentlig användning, utan att det blir ett generellt förbud.

Nederländerna har redan agerat, landets regering blockerade nyligen ett amerikanskt bolags förvärv av infrastrukturen bakom landets motsvarighet till BankID. Det är ett beslut som knappast hade fattats för bara några år sedan.

Riktningen är tydlig. Frågan är inte längre om organisationer behöver förhålla sig till detta utan när och hur.

Tre frågor din organisation bör ställa sig nu

Oavsett om du arbetar i offentlig eller privat sektor finns det några grundläggande frågor värda att gå igenom:

1. Vilken data lagrar vi hos utländska leverantörer och under vilken jurisdiktion faller den?
2. Vad säger våra avtal om möjligheten att flytta data snabbt?
3. Har vi en plan för vad vi gör om vi behöver byta leverantör för kort varsel och skiljer den planen på kontorsverktyg, egna system och inköpta affärssystem?

Ställ tydliga krav i upphandlingen. Policyn uppmanar offentliga aktörer att kommunicera sina behov till marknaden och ställa krav på hur data hanteras, lagras och skyddas i hela leverantörskedjan. Det är något som kan göras redan nu och som på sikt driver marknaden i rätt riktning. FRA väntas ta fram tydligare stöd för detta i december 2026.

Det finns inga enkla svar. Svaren beror på verksamhetens art, vilken typ av data det handlar om och vilka regulatoriska krav som gäller. Det är just därför det krävs kompetens från flera håll: juridik, informationssäkerhet och molnarkitektur för att navigera rätt.