Under lång tid har vi blivit groomade av mjukvaru- och tjänsteleverantörer att vår data i större och större utsträckning bäst säkras och hanteras av dem. Affärsmodellen bygger på prenumerationstjänster eller fasta löpande kostnader. Inom vissa områden kan det vara näst intill omöjligt att hitta ett digitalt stöd som tillhandahålls på annat sätt än såsom en molntjänst där leverantören förutom att tillhandahålla funktionen även vill ta ansvar (och betalt) för att lagra och hantera kundens data. Något som också uppmärksammats av Försäkringskassans generaldirektör i ett debattinlägg på Dagens industri.
Frågan om digital suveränitet i Sverige lyftes för första gången av Försäkringskassan i deras vitbok som publicerades 2019, Vitbok – Molntjänster i samhällsbärande verksamhet. I vitboken efterlyste Försäkringskassan aktiva beslut om hur Sveriges digitala suveränitet ska definieras och säkras. Försäkringskassan framhöll behovet av tydlig statlig styrning och en långsiktigt hållbar handlingsplan för skyddet för de it-system som är en del av våra samhällsbärande funktioner. Därför önskade Försäkringskassan att Sveriges digitala strategi skulle kompletteras med ett tydligare ställningstagande vad gäller den digitala suveräniteten. Först när sådan styrning finns på plats kan svenska myndigheter fullt ut ta det ansvar som krävs för att i praktiken säkra dessa verksamheter. Försäkringskassan framhöll bland annat att digitala verksamhetskritiska system i Försäkringskassans samhällsbärande verksamhet bör vara under den svenska statsförvaltningens kontroll och i den mån publika molntjänster med privat drift används av svenska myndigheter ska myndigheterna bestämma villkoren för tjänsten.
Detta ledde tillatt Försäkringskassan, Lantmäteriet, Skatteverket och Trafikverket fick i uppdrag att samordna ett statligt tjänsteutbud för it-drift. Enligt förordning (2024:1005) om samordnad och säker statlig it-drift ska totalförsvarets behov beaktas vid utformningen av de it-driftstjänster som erbjuds.
Skatteverket beskriver sitt arbete med molntjänster så här: Skatteverket använder molntjänster både av enklare karaktär och mer omfattande lösningar, i syfte att tillvarata digitaliseringens möjligheter, för att kunna leverera så kostnadseffektiva och värdeskapande lösningar som möjligt till verksamheten. För att kunna använda en molntjänst krävs dock att samtliga juridiska, tekniska och säkerhetsmässiga förutsättningar för användandet är uppfyllda. Skatteverket anser att användandet av en molntjänst ska föregås av noggranna och omsorgsfulla förberedelser, där varje användande ska bedömas individuellt. Det är särskilt viktigt att den information som förekommer i en molntjänst hanteras på ett ändamålsenligt sätt.
Berlindeklarationen för Europeisk Digital Suveränitet undertecknades av Sverige den 18 november 2025. Berlindeklarationen definierar Europeisk Digital Suveränitet som förmågan för medlemsstater att kunna reglera deras digitala infrastruktur, data och teknologier. Det inkluderar förmågan att för enskilda, företag och institutioner i Europa att agera oberoende i den digitala världen och formulerar 14 principer för den gemensamma riktningen och prioriteringar.
Försvarsmakten beslutade sin hybrida multimolnstrategi i december 2025. I strategin delar försvarsmakten in digital suveränitet i tre dimensioner;
- Datasuveränitet – att information omfattas av det regelverk som gäller i den region där den genereras och används.
- Operativ suveränitet – kontroll över drift, personal, åtkomst och support.
- Teknologisk suveränitet – oberoende från utländska teknologier och leverantörskedjor.
Försvarsmakten är – i likhet med Skatteverket – enligt sin strategi inte främmande för att kombinera olika typer av moln och olika leverantörer beroende på önskad operativ effekt och säkerhetsnivå. Notera också att Försvarsmakten har etablerat 15 principer som ska stötta medarbetarna vid överväganden rörande molntjänster.
Försäkringskassan öppnar för att använda amerikanska molntjänster kunde vi läsa den 27 maj 2026. Skälet är att myndighetens tidigare lösning kommer att sluta fungera på grund av ålder. Den nya lösningen beskrivs som en hybrid där man behåller ett eget system parallellt med Microsoft Teams. Försäkringskassans generaldirektör framhåller i sitt debattinlägg i Dagens industri att huvudproblemet idag är att det inte går att sprida risker och att målet måste vara handlingsfrihet och att sträva efter ökad digital portabilitet och interoperabilitet – det vill säga att kunna flytta data eller byta ut tjänster när behov uppstår.
Så kom regeringens molnpolicy som lyfter sex principer till stöd vid övervägningar av molntjänster i den offentliga förvaltningen:
- Arbeta riskbaserat inför molnanvändning.
- Välj effektiva molnlösningar.
- Öka verksamhetsnyttan.
- Främja portabilitet och en väl fungerade marknad.
- Upprätthåll relevant kontroll över data, drift och teknik. (jfr Försvarsmaktens tre dimensioner av digital suveränitet)
- säkerställ god kravställning på leverantörerna.
Samtidigt kommer signaler från t.ex. den finska Skyddspolisen att övergången till molntjänster försvagar staternas digitala suveränitet. ”När det gäller tillgången till data är molntjänsterna beroende av tjänsteleverantören, vilket minskar möjligheterna att garantera informationssäker databehandling.” och från Frankrike nås vi av information om att Frankrikes inrikes underrättelsetjänst Direction générale de la Sécurité intérieure (DGSI) ska ersätta den amerikanska data- och AI-leverantören Palantir med franska ChapsVision. Skälet är att de vill minska sitt beroende av utländska teknikleverantörer i känsliga statliga system. Även Tyskarna överger amerikanska Palantir. Detta ska ses i ljuset av det Fransk-Tyska gemensamma promemorian om digital suveränitet.
Så här står vi nu. När det gäller molntjänster kanske det kan sammanfattas med att allt är möjligt och ingenting är uteslutet, men tänk några extra varv hur du ska göra för att upprätthålla kontroll över data, drift och teknik. Så kallade exitstrategier är nödvändiga. Det finns en önskan om att vara självförsörjande i Europa beträffande molntjänster och kanske håller det amerikanska greppet på att lossa lite nu. Genom ökad flexibilitet kan vi kanske slingra oss ur våra beroenden och bygga egna lösningar. Men samtidigt är kanske inte statliga projekt alltid de vassaste – knappt någon pratar idag t.ex. om Gaia-X. Men det är kanske den minskade tilliten som kan få våra Europeiska projekt att blomstra på bekostnad av den globala konkurrensen. Vi får nog räkna med att digitaliseringen kommer att bli kostsammare framöver.
Sammanfattningsvis blir det upp till varje enskild verksamhetsutövare att ta ställning till sina behov, men vad tjänar kontroller över data, drift, teknik och en solid exitstrategi när det inte finns några reella alternativ? Uppenbarligen har marknaden misslyckats och konkurrensen fungerar inte. När de stora hyperskalarna dessutom har muskler att utan närmare risktagande köpa upp, inkorporera eller lägga ner de aktörer som uppfattas som ett hot mot deras monopolställning kommer vi alltid att bli pucktvåa.
Säkerhetsskyddsregelverket kanske har lösningen. Verksamhetsutövare som överväger att överlåta säkerhetskänslig verksamhet till en annan aktör måste samråda med tillsynsmyndigheten innan överlåtelsen och myndigheter kan förbjuda överlåtelser av säkerhetskänsliga verksamheter. Tyvärr finns det flera enkla sätt att kringgå den lagstiftningen och den kan inte heller tillämpas på EU-nivå dessutom förutsätter det att leverantören själv bedömer att verksamheten är av betydelse för Sveriges säkerhet. Sannolikheten att en molntjänstleverantör självständigt skulle komma fram till att dennes verksamhet är av betydelse för Sveriges säkerhet får nog anses vara låg. Dels på grund av att dessa leverantörer normalt inte har tillgång till kompetens att göra sådana bedömningar dels på grund av de kostnader och inskränkningar i äganderätten som det innebär att bedriva säkerhetskänslig verksamhet.
Författare: Andreas Dahlqvist, Chefsjurist och Säkerhetsskyddschef