Blogg | 03 desember 2025
Max Schrems: Hvorfor amerikanske skyer fortsatt er en risiko for offentlig sektor
Da Max Schrems inntok scenen på eGovernment Days, ble det raskt klart hvorfor han fortsatt er en av Europas mest innflytelsesrike stemmer når det gjelder personvern. Som advokaten bak Schrems I og II, sakene som felte Safe Harbour og Privacy Shield, har han endret hele spillereglene for hvordan EU ser på internasjonal dataflyt og skyløsningene som vi bygger vår digitale hverdag på.
Hans hovedinnlegg "Schrems III eller Trump I? Hva blir det neste?" satte ord på noe mange i offentlig sektor allerede ante: Regulering, geopolitikk og nettskyen har blitt sammenvevde størrelser. Og denne virkeligheten påvirker alle organisasjoner som håndterer sensitive data.
Serveren betyr mindre enn mange tror
Et av Schrems' klareste poenger var forskjellen mellom lokasjon og jurisdiksjon. GDPR beskytter enkeltpersoner i EU, men amerikanske lover, som FISA 702, kan fortsatt gi amerikanske myndigheter tilgang til data som oppbevares av selskaper med tilknytning til USA. Dette gjelder uavhengig av hvor serverne befinner seg.
Det betyr at lagring "i EU" ikke er en garanti i seg selv, hvis leverandøren også er underlagt amerikansk lov.
Max Schrems kaller det suverenitetsvask
Schrems var spesielt kritisk til måten enkelte globale skyleverandører markedsfører "suverene" eller "EU-regionale" løsninger på. Slike tilbud kan skape en følelse av sikkerhet, men hvis selskapet er amerikansk, gjenstår den samme juridiske risikoen. Han kaller fenomenet "sovereignty washing". Det er litt som grønnvasking eller rosavasking, når løfter om suverenitet høres bra ut i markedsføringen, men ikke holder juridisk.
Dette understreker noe avgjørende: Beslutninger som tas i Washington, kan i praksis påvirke tjenester som brukes av offentlig sektor her hjemme, uten at verken Sverige eller EU har vært en del av prosessen. Når en global leverandør er underlagt amerikansk lov, kan både nasjonale data og kritisk funksjonalitet bli påvirket, helt utenfor vårt eget regelverk.
Fortsatt risiko i tredjeland
En annen viktig del av foredraget handlet om GDPR og de mekanismene som ofte nevnes som løsningen på tredjelandsoverføringer, for eksempel SCC og BCR. Schrems var tydelig her. Så lenge leverandøren er amerikansk, har FISA 702 forrang, uavhengig av kontrakter, kryptering eller europeiske grenseløsninger.
Det betyr at selv de nye rammeverkene ikke endrer den grunnleggende risikoen.
Samtidig arbeider hans organisasjon allerede med grunnlaget for en eventuell Schrems III. Tidsplanen påvirkes av andre rettssaker, men Schrems tror at store deler av dagens overføringer mellom EU og USA kan komme til å bli revurdert.
Usikkerheten vil med andre ord vedvare i lang tid fremover.
Schrems minner oss om at digital suverenitet handler om mer enn teknologi. Det handler om å kunne garantere stabilitet, tillit og forutsigbarhet i hverdagen. Det er her valget av en svensk skytjeneste blir en viktig del av helheten.