Vad är datasuveränitet och varför är det viktigt för svenska myndigheter?

Datasuveränitet är kontrollen över vem som rättsligt kan komma åt era data, inte var de lagras, utan vilken stat och vilken lag som ytterst styr åtkomsten. För svenska myndigheter är det skillnaden mellan att äga sin information och att låna den.

Den distinktionen har gått från princip till krav under 2026. Tidigare var datasuveränitet ett juridiskt resonemang för specialintresserade. I dag är det ett upphandlingsbart, mätbart villkor. Frågan för er som styr it i offentlig sektor är inte längre om suveränitet spelar roll, utan på vilken nivå ni behöver den. Och hur ni kravställer den så att den går att granska i efterhand.

Varför det spelar roll

Den 28 maj 2026 beslutade regeringen Sveriges första molnpolicy för offentlig förvaltning. Den slår fast principer för digital suveränitet, riskbedömning och, centralt, förmågan att byta leverantör och undvika inlåsning. Civilminister Erik Slottner beskrev målet som att “stärka vårt digitala självbestämmande och minska risken för att bli beroende av enskilda leverantörer”. Det är ingen totalförbudslinje mot amerikanska tjänster. Det är en signal om att era val nu måste kunna motiveras.

Bakgrunden är en marknad som lutar kraftigt åt ett håll. Amerikanska hyperscalers kontrollerar omkring 70 procent av den europeiska molnmarknaden, europeiska leverantörer omkring 15 procent. När en kommun eller myndighet lägger sina verksamhetssystem hos en hyperscaler hamnar besluten om åtkomst, drift och fortlevnad ytterst hos ett bolag under utländsk lag.

Det här är inte teoretiskt. Försäkringskassan, länge en av de hårdaste motståndarna mot amerikanska moln, öppnar nu för dem i en hybridlösning, Microsoft Teams utan känsliga uppgifter parallellt med ett eget system. Enligt Ekots granskning varnade interna experter under processen för att lösningen kan bryta mot lag. Det visar hur svårt avvägningen är även för en myndighet med stora resurser.

För er som är CISO eller it-chef betyder det att suveränitet blivit en del av efterlevnaden, inte en sidofråga. Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft 15 januari 2026 och knyter ihop suveränitet med konkreta säkerhetskrav. Ni behöver kunna svara på vem som kan komma åt er data, under vilken lag, och hur ni byter leverantör om förutsättningarna ändras.

Riktningen är dessutom tydlig på EU-nivå. EU:s föreslagna Cloud and AI Development Act (CADA), väntad i kraft fjärde kvartalet 2027, vill kategorisera molnleverantörer i fyra suveränitetsnivåer. Den vill också begränsa amerikanska hyperscalers i vissa känsliga offentliga upphandlingar inom bank, energi och vård, utan totalförbud. Den som kravställer suveränitet redan i dag bygger alltså mot en regulatorisk färdriktning, inte mot ett trendord.

Hur det fungerar

Datasuveränitet vilar på tre frågor, och de besvaras var för sig.

Jurisdiktion, vilken lag styr. US CLOUD Act från 2018 ger amerikanska myndigheter rätt att begära ut data från amerikanska bolag oavsett var datan ligger. Lagras er data i ett svenskt datacenter som drivs av ett amerikanskt moderbolag, lyder den ändå under amerikansk lag. Jurisdiktionen följer ägandet, inte servern. Samma logik gäller FISA 702 och kinesisk cybersäkerhetslagstiftning.

Drift och leverantörskedja, vem håller i nycklarna. Suveränitet kräver att de som driftar systemet, hanterar krypteringsnycklar och godkänner fjärråtkomst lyder under europeisk rätt. Microsoft har som svar lanserat Sovereign Cloud och Data Guardian, där endast EU-anställda godkänner fjärråtkomst och all åtkomst loggas. Det är leverantörens åtagande, inte en oberoende garanti, men det visar vart marknaden rör sig.

Mätbarhet, hur ni bevisar nivån. Det här är 2026 års stora förändring. EU:s Cloud Sovereignty Framework (SEAL) togs i skarp användning 17 april 2026, när kommissionen för första gången tilldelade molnkontrakt enligt en mätbar suveränitetsskala från SEAL-0 till SEAL-4. Fyra europeiska konsortier delade på upp till 180 miljoner euro över sex år, och SEAL-2 var lägsta godkända nivå. Datasuveränitet blev därmed en auditerbar kategori i stället för ett marknadsföringsord.

Till det kommer EU:s Data Act, som började tillämpas 12 september 2025. Den ger kunder rätt att byta mellan dataleverantörer, tar bort bytesavgifter och tvingar PaaS- och SaaS-leverantörer att öppna gränssnitt utan kostnad. Sveriges kompletterande bestämmelser utreds i SOU 2025:118 (“Ökad och rättvis tillgång till data”, publicerad december 2025), som föreslår att en ny svensk lag träder i kraft 1 juli 2026 med PTS som behörig myndighet. Notera att 1 juli 2026 är utredningens förslag, betänkandet var ute på remiss våren 2026 och var ännu inte beslutad SFS när den här texten skrevs (källa: regeringen.se, SOU 2025:118, hämtad 2026-06).

Tillsammans ger de er ett konkret verktyg. I stället för att fråga “är det här molnet suveränt?” kan ni kravställa en SEAL-nivå och en utträdesplan, och kräva bevis.

Bron mellan principen och instrumenten går rakt genom Schrems-historien. När Max Schrems drev sina mål till EU-domstolen var teserna två. Er data ska vara orörbar utanför landets gränser. Och amerikansk underrättelselag gör europeisk data sårbar så länge en amerikansk leverantör håller i den. Schrems 1 fällde Safe Harbor, Schrems 2 fällde Privacy Shield. Det som då var en juridisk strid om dataöverföring mellan EU och USA är precis det molnpolicyn och SEAL-ramverket nu försöker reglera i förväg. Skillnaden 2026 är att ni inte längre behöver vänta på nästa dom för att agera, ni kan kravställa suveräniteten direkt.

När det passar

Ett tydligt suveränitetskrav passar när konsekvensen av utländsk åtkomst är allvarlig. Det gäller känsliga personuppgifter i vård, socialtjänst och rättsväsende. Det gäller samhällsviktig verksamhet som omfattas av NIS2 och cybersäkerhetslagen. Och det gäller system där en geopolitisk händelse eller en avtalsuppsägning inte får stänga av verksamheten, där exit-förmågan i sig är ett krav.

Det passar också tidigt i en upphandling. Att skriva in en SEAL-nivå och en dokumenterad utträdesplan i kravspecifikationen kostar lite. Att flytta ett verksamhetssystem i efterhand kostar mycket.

När det inte passar

Maximal suveränitet är inte rätt för allt, och det är viktigt att säga rakt ut. Ett kommunalt boknings­system för fotbollsplaner, en publik webbplats utan personuppgifter eller intern projektsamverkan utan känslig information behöver sällan SEAL-4. Att kräva högsta nivå överallt höjer kostnaden och stänger ute leverantörer i onödan.

Suveränitet är en avvägning mot funktion, kostnad och tid. En myndighet som inför ett totalt hyperscaler-förbud utan att ha europeiska alternativ på plats riskerar att fastna, det blir suveränitet på pappret och stillestånd i praktiken. Den rätta frågan är inte “hur suveräna kan vi bli?” utan “hur mycket suveränitet kräver just den här informationsmängden?”. Det är därför molnpolicyn bygger på riskbedömning, inte förbud.

Konkret exempel

Tänk er en svensk myndighet som ska upphandla ett nytt ärendehanteringssystem med personuppgifter om medborgare. Den gamla reflexen var att fråga leverantören: “lagrar ni data i Sverige?” och nöja sig med ett ja.

Med 2026 års instrument ser kravställningen annorlunda ut. Myndigheten klassar informationen och landar på att den kräver hög suveränitet. Sedan skriver den in tre saker i upphandlingen: en lägsta SEAL-nivå, ett krav på att drift och nyckelhantering sker under EU-rätt, och en dokumenterad utträdesplan med öppna standarder enligt Data Act. Leverantören får inte säga att tjänsten är “säker och europeisk”, den får visa det, mätbart.

Vi på Digitalist gör den här analysen tillsammans med offentliga kunder genom vårt dotterbolag Digitalist Open Cloud, som driftar verksamhetskritiska system på ett Kubernetes-baserat fundament med inbyggd efterlevnad. Vår erfarenhet är att den vanligaste upptäckten i en första suveränitets- och exitanalys är en kritisk inlåsning som ingen kände till. Det kan vara en identitetstjänst, en integration eller ett dataformat som binder myndigheten till en enda leverantör.

Att Digitalist är certifierat enligt ISO/IEC 27001 och ISO/IEC 42001 av DNV, den senare sedan 7 oktober 2025, ger ramverket vi använder en granskad grund snarare än en påstådd.

Vanliga missförstånd

“Lagras data i Sverige är den suverän.” Det är det vanligaste felet, och det är fel. Datalokalisering handlar om geografi; datasuveränitet handlar om jurisdiktion. En server i Stockholm som drivs av ett amerikanskt moderbolag lyder fortfarande under CLOUD Act. Var data ligger och vem som kan tvingas lämna ut den är två olika frågor.

“Data Privacy Framework löser tredjelandsöverföringen.” DPF gör överföringar lagliga just nu, men ramverket är överklagat. EU:s tribunal avvisade Latombe-utmaningen 3 september 2025, beslutet är överklagat till EU-domstolen, och en bredare “Schrems 3”-utmaning är signalerad. Den som bygger en långsiktig arkitektur enbart på DPF bygger på en grund som kan rämna. Det här är samma jurisdiktionsfråga som Max Schrems drev till domstol i Schrems 1 och Schrems 2, den är inte avgjord, bara framflyttad.

“Suveränitet betyder att vi bygger allt själva.” Suveränitet kräver inte egen serverhall. Den kräver kontroll över jurisdiktion, drift och utträde. Öppna standarder, europeisk drift och en fungerande exit-plan ger suveränitet utan att ni behöver återuppfinna infrastrukturen. Målet är kontroll, inte isolering.

Datasuveränitet handlar om en enda förmåga: att kunna svara, med bevis, på frågan om vem som kan komma åt era data och under vilken lag. Den myndighet som kan svara på den frågan i dag slipper svara på den under en kris.