Schrems II och dataöverföring till USA 2026: Status och alternativ

Få frågor inom dataskydd har varit lika rörliga som överföring av personuppgifter till USA. Schrems II-domen 2020 ogiltigförklarade Privacy Shield och skapade flera år av osäkerhet. Sedan 2023 finns EU-US Data Privacy Framework, som ger ett rättsligt fundament igen, men erfarenheten av två tidigare underkända ramverk gör att många svenska bolag med rätta frågar sig hur stabilt det är. Den här analysen ger en lägesbild för 2026 och, viktigare, hur ni bygger så att ni inte står handfallna om förutsättningarna ändras igen.

Jag rådgör kring dataöverföring och leverantörsval inom cybersäkerhet och compliance. Jag är inte jurist, och det här är en teknisk och praktisk lägesbild snarare än juridisk rådgivning, för bindande bedömningar bör ni alltid involvera dataskyddsjuridisk kompetens. Min poäng med den här texten är inte att avgöra rättsläget, utan att hjälpa er fatta arkitektur- och leverantörsbeslut som står sig oavsett hur rättsläget utvecklas. Det är trots allt CTO:n och utvecklingsteamet, inte juristen, som bestämmer var data faktiskt hamnar.

Varför frågan är så seg: en kort bakgrund

Kärnan i Schrems II-domen handlade inte om amerikanska företag i sig, utan om amerikansk övervakningslagstiftning och bristen på effektiva rättsmedel för EU-medborgare. Det är en strukturell fråga som ett nytt ramverk inte enkelt trollar bort, vilket är varför både Safe Harbor och Privacy Shield föll. Data Privacy Framework infördes med åtgärder som ska adressera just den kritiken, bland annat en ny prövningsmekanism. Men samma jurist som drev de tidigare fallen har signalerat fortsatta prövningar, och det är därför kloka bolag planerar för att rättsläget kan ändras igen. Att förstå att problemet är strukturellt, inte administrativt, är nyckeln till att bygga robust.

Var vi står 2026: Data Privacy Framework

Data Privacy Framework (DPF) är den mekanism som idag gör det möjligt att överföra personuppgifter till certifierade amerikanska mottagare med stöd av ett adekvansbeslut. För bolag innebär det att en överföring till en DPF-certifierad leverantör vilar på en rättslig grund. Samtidigt pågår rättsliga prövningar och politisk debatt, och historiken med Privacy Shield gör att klok riskhantering inte antar att DPF är permanent.

Varför många bygger med inbyggda alternativ ändå

Det pragmatiska svaret på osäkerheten är att inte göra sig beroende av ett enda regelverk. Bolag som påverkades hårt av Schrems II var de som hade byggt in transatlantiska överföringar djupt i sin arkitektur utan reträttväg. De som klarade sig bäst hade tänkt på datasuveränitet redan i designen. Det är samma resonemang som ligger bakom att exponera tjänster säkert utan onödig dataöverföring, vilket jag berör i Cloudflare Zero Trust för SMB.

Det handlar inte om att undvika amerikanska leverantörer av princip, många av dem är utmärkta och svåra att ersätta, utan om att inte måla in sig i ett hörn. Ett bolag som vet exakt vilka data som ligger var, som krypterar det känsliga med nycklar de själva kontrollerar, och som har valt leverantörer med EU-regioner, står starkt oavsett hur rättsläget svänger. Ett bolag som har spridit personuppgifter över ett dussin amerikanska tjänster utan överblick står svagt även om ramverket för tillfället håller. Robustheten ligger i överblicken och valfriheten, inte i en viss jurisdiktion.

Praktiska alternativ och åtgärder

• Standardavtalsklausuler (SCC) med kompletterande åtgärder. Även med DPF använder många SCC som grund, kombinerat med tekniska skydd som kryptering där nycklarna stannar i EU.
• EU-baserad infrastruktur. Flera molnleverantörer erbjuder regioner och ibland särskilda EU-suveränitetslösningar där data och drift hålls inom EU.
• Datakartläggning. Vet exakt vilka personuppgifter som lämnar EU, till vem och varför, utan den kan ni varken bedöma risk eller agera vid en förändring.
• Dataminimering. Den data som aldrig överförs behöver ingen överföringsmekanism.

Här gör jag mid-vägs alltid en kartläggning av era faktiska dataflöden ut ur EU. Det är förvånansvärt ofta första gången ett bolag ser hela bilden av vilka leverantörer som tar emot vad. Vill ni ha den gjord ingår det i cybersäkerhetsuppdraget.

Hur jag tänker kring robusthet

Min utgångspunkt är att designa för förändring. Bygg så att en eventuell framtida förändring av DPF blir ett hanterbart byte snarare än en kris: håll dataflödena kartlagda, föredra arkitekturer där känslig data kan hållas inom EU, och undvik att låsa hela verksamheten till en leverantör eller jurisdiktion. Det är samma robusthetsprincip som DORA driver för finanssektorn, fast tillämpad på datasuveränitet.

En praktisk konsekvens av det tänket är att skilja på olika typer av data. All data är inte lika känslig, och det vore slöseri att behandla anonym statistik med samma försiktighet som hälsouppgifter eller kunders personuppgifter. Genom att klassificera datan kan ni fokusera de tunga åtgärderna, EU-baserad infrastruktur, kryptering med EU-kontrollerade nycklar, där de verkligen behövs, och vara mer avslappnade där risken är låg. Den nyanseringen gör robusthet både billigare och mer realistisk att faktiskt genomföra, jämfört med en svartvit hållning där antingen allt eller inget får lämna EU.

Var jag brukar börja

Börja med datakartan, inte med juridiken. Tills ni vet vilka personuppgifter som faktiskt lämnar EU och till vem, går det varken att bedöma er exponering eller att fatta beslut om alternativ. När kartan finns blir frågan konkret och hanterbar, och ofta mindre dramatisk än befarat. Se hur jag lägger upp liknande genomlysningar i kundcase.

Relaterat

• Zero Trust-arkitektur för SMB: Praktisk implementation på 30 dagar
• Cloudflare Zero Trust för SMB: Ersätt VPN på en eftermiddag
• NIS2 artikel 21 i praktiken: Checklista för svenska bolag

Vill du ta det vidare?

Jag hjälper svenska bolag att kartlägga sina dataflöden och bygga robust mot framtida förändringar i överföringsreglerna. Boka ett samtal så går vi igenom var era data tar vägen.