Krönika

Därför kan ditt “GDPR-säkra” HR-system ändå innebära en compliance-risk

– SPONSRAD ARTIKEL

Visste du att vissa systemleverantörer enligt lag kan tvingas lämna ut din data? I artikeln förklarar jag riskerna med amerikanska molntjänster – även när de uppges följa GDPR.

Skriven av
Mitra Pashang
20/5/2026
Kategori
HR

Att välja HR-system handlar om betydligt mer än funktioner, användarvänlighet och pris. För HR-chefer, CFO:er och ledningsgrupper har compliance och regelefterlevnad blivit en strategisk fråga som påverkar både riskhantering, dataskydd och företagets förtroende. Speciellt i dessa tider när det råder en geo-politisk oro.

Många HR-plattformar marknadsför sig idag som “GDPR-compliant”. I praktiken är det dock inte alltid hela sanningen, särskilt när personuppgifter lagras eller hanteras av amerikanska molntjänster. 

För att förstå helheten behöver vi först bena ut vad som omfattas av GDPR och vad GDPR är. 

GDPR (General Data Protection Regulation)

GDPR är EU:s dataskyddsförordning och kallas på svenska för dataskyddsförordningen.

Regelverket började gälla den 25 maj 2018 och syftet var att stärka skyddet för individers personuppgifter samt ge människor större kontroll över hur deras data samlas in, används och lagras. GDPR gäller för alla organisationer som hanterar personuppgifter om personer inom EU, oavsett var företaget är baserat

För företag är alltså allt som rör HR ex medarbetarinfo, sjukfrånvaro, kontraktsinformation osv personuppgifter och omfattas av GDPR. Det innebär att enligt GDPR ställs det höga krav på hur datan lagras, behandlas och skyddas. 

Hur kan det då uppstå problem ändå? Jo, det handlar om vem/vilka som har rätt att få tillgång till den

Vad är CLOUD Act och varför skapades lagen?

För att förstå problematiken behöver man förstå den amerikanska lagen CLOUD Act (Clarifying Lawful Overseas Use of Data Act), som infördes i USA år 2018.

Lagen tillkom efter flera rättsprocesser där amerikanska myndigheter ville få tillgång till data som lagrades utanför USA av amerikanska teknikföretag. När amerikanska myndigheter nekades tillgång i europeiska rättsprocesser och EU-domstolen motsatte sig delar av den amerikanska tillgången till data, skapades CLOUD Act för att tydliggöra amerikanska myndigheters rättigheter gentemot amerikanska bolag.

Syftet med CLOUD Act är att ge amerikanska myndigheter möjlighet att kräva ut data från amerikanska företag, även om datan lagras på servrar i andra länder. 

Det innebär bland annat att:

  • Amerikanska företag kan bli skyldiga att lämna ut data, exempelvis personuppgifter 
  • Detta gäller även om datan lagras inom EU, vilket kan innebära att europeiska företag förlorar kontroll över sin data 
  • Företaget kan dessutom förbjudas att informera kunden om att data har lämnats ut genom en sk “gag order”
  • Därmed riskerar GDPR:s skyddsmekanismer att undermineras.

Det här är kärnan i konflikten mellan GDPR och amerikansk lagstiftning. 

Konflikten mellan GDPR och CLOUD Act – vilken jurisdiktion gäller?

GDPR bygger på principen att europeiska personuppgifter ska skyddas enligt EU:s dataskyddslagstiftning. Problemet uppstår när ett europeiskt företag använder en amerikansk molntjänst för att hantera HR-data, ex AWS eller Azure (båda är vanligt förekommande för vanliga system och plattformar)

Även om leverantören säger sig vara GDPR-compliant kan företaget fortfarande omfattas av CLOUD Act om leverantören är amerikansk eller ägs av ett amerikanskt bolag.

Detta har varit en central fråga efter EU-domstolens Schrems II-dom, där Privacy Shield-avtalet mellan EU och USA ogiltigförklarades på grund av otillräckligt skydd mot amerikansk övervakningslagstiftning.

Eftersom många internationella HR-system använder amerikanska infrastrukturtjänster eller har amerikanska moderbolag, samtidigt som de marknadsför sig som fullt GDPR-anpassade, är det viktigt att förstå att dessa företag i vissa situationer kan tvingas lämna ut kunders data – helt lagligt enligt amerikansk lagstiftning. 

Om leverantören omfattas av amerikansk jurisdiktion kan det därför fortfarande finnas en risk kopplad till datatillgång, tredjelandsöverföring och bristande kontroll över känsliga personuppgifter.

Slutsats och råd

Eftersom data som lagras hos exempelvis AWS eller Azure, två av världens största molntjänstleverantörer, kan omfattas av CLOUD Act, bör företag som arbetar med HR-data, och annan känslig information, noggrant analysera vilka system och plattformar de använder samt vilka underliggande infrastrukturtjänster dessa bygger på.

Att endast fråga om en leverantör följer GDPR är inte längre tillräckligt.

För att minimera riskerna bör företag även undersöka:

  • Var datan faktiskt lagras.
  • Vilken jurisdiktion leverantören omfattas av.
  • Om underleverantörer eller molninfrastruktur ägs av amerikanska bolag.
  • Vilka juridiska möjligheter som finns för tredje part att få tillgång till datan.

För verksamheter med höga krav på dataskydd och compliance kan det därför vara relevant att överväga plattformar som inte använder amerikanska tjänster alls.

Det handlar inte längre enbart om IT-säkerhet, utan även om affärsrisk, juridisk kontroll och långsiktig compliance. 

I denna text uttrycker skribenten sina åsikter och tankar, och artikeln klassificeras som en krönika med opinionsinnehåll. Om du har några synpunkter eller vill föreslå en ny artikel, ber vi dig att kontakta vår redaktion.
Taggar:
Mitra Pashang

Mitra är grundare och VD för Headcount HR och har över tio års erfarenhet från olika tech- och scaleup-bolag. Under sin karriär har hon haft ledande roller med ansvar för bland annat finansiell strategi, riskhantering, compliance och HR, samt arbetat i styrelser för snabbväxande bolag i olika utvecklingsfaser.