Cloud Act, GDPR og norske bedrifter: hvorfor skyvalg betyr noe

Skyvalg handler ikke bare om funksjoner og pris. For norske bedrifter kan Cloud Act, GDPR, datalagring, supporttilgang og kontraktskrav avgjøre om Microsoft 365, Nextcloud eller en lokal løsning passer best.

16/06/2026 | Svein tore | IT-sikkerhet | Ingen kommentarer

Skyvalg virker ofte enkelt: velg det folk kjenner, betal lisensen og kom i gang.

For mange bedrifter fungerer det. Men for virksomheter med sensitive data, kontraktskrav eller høyere krav til kontroll, er ikke skyvalg bare et IT-spørsmål. Det er et risikospørsmål.

Hva er problemet?

Når en bedrift bruker en skyplattform, må den vite mer enn hvor filene ligger på et kart.

Den må også forstå:

hvem leverandøren er underlagt juridisk
hvem som kan ha supporttilgang
hvilke underleverandører som brukes
om data kan overføres ut av EU/EØS
hvilke kontrakter kunden selv er bundet av
hvilken dokumentasjon som finnes

Cloud Act kort forklart

Cloud Act er amerikansk lovgivning som blant annet handler om tilgang til elektronisk informasjon hos USA-baserte tjenesteleverandører.

For norske kunder betyr dette ikke at "alt er ulovlig". Men det betyr at en amerikansk skyleverandør må vurderes nøye når virksomheten har sensitive data eller krav til datasuverenitet.

GDPR og overføring ut av EØS

GDPR stiller krav til behandling av personopplysninger. Datatilsynet peker på at overføring av personopplysninger ut av EØS kommer i tillegg til de andre forpliktelsene etter regelverket.

Det betyr at kunden må vite om en overføring skjer, hvem som mottar data, hvilket grunnlag som brukes og hvilke tiltak som er på plass.

Microsoft 365 kan være riktig, men ikke alltid

Microsoft 365 er en sterk løsning. Den er praktisk, kjent og effektiv.

Men for noen kunder blir vurderingen mer komplisert. Microsofts EU Data Boundary reduserer mange dataflyter, men Microsoft beskriver også scenarioer der data fortsatt kan overføres ut av EU Data Boundary for å levere tjenesten.

Da må kunden vurdere om dette er greit for deres type data og avtaler.

Når vi anbefaler norskdriftet sky

Trønder Data anbefaler norskdriftet Nextcloud eller lokal løsning på det sterkeste når kunden:

behandler sensitive personopplysninger
jobber med helseopplysninger
har kontrakter mot norsk eller europeisk forsvar/militær sektor
har kunder eller leverandører som krever kontrollert datalagring
ønsker minst mulig avhengighet til USA-baserte skytjenester

Vår tommelfingerregel

Vi bruker norsk der det er mulig, EU/EØS der vi må, og USA-baserte tjenester der det er nødvendig eller kunden aktivt velger det.

Det viktigste er at kunden velger bevisst, ikke bare fordi en løsning er mest kjent.

Referanser

Datatilsynet om overføring av personopplysninger ut av EØS: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/
U.S. Department of Justice om CLOUD Act: https://www.justice.gov/criminal/cloud-act-resources
Microsoft EU Data Boundary: https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn
Microsoft om videre dataflyter: https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfers-for-all-services

Cloud Act, GDPR og norske bedrifter: hvorfor skyvalg betyr noe

Hva er problemet?

Cloud Act kort forklart

GDPR og overføring ut av EØS

Microsoft 365 kan være riktig, men ikke alltid

Når vi anbefaler norskdriftet sky

Vår tommelfingerregel

Referanser

Fortsett å lese våre artikkler

Slik fungerer sikkerhetsopplæring uten å overvåke ansatte

Hvorfor adminbrukere krever strengere kontroll

Derfor bør SMB ta compliance på alvor, selv uten NIS2-krav

Hvilke underleverandører bruker Trønder Data?