När Skatteverket och Försäkringskassan inte är överens – vad betyder det för din organisation?

Sverige har länge setts som ett föregångsland när det gäller digitalisering, säkerhet och regelefterlevnad. Men den senaste tidens utveckling har väckt frågor: två av våra mest fundamentala myndigheter – Försäkringskassan och Skatteverket – har dragit olika slutsatser i frågan om svenska myndigheter fortsatt kan använda amerikanska molntjänster som Microsoft 365 och Teams.

Det handlar inte om någon teoretisk oenighet. Frågan går rakt in i kärnan av hur vi skyddar personuppgifter, företagsinformation och sekretessbelagda handlingar, i en tid där EU-lagstiftning och amerikanska övervakningslagar ofta drar åt olika håll.

För oss som under många år arbetat med att utveckla tjänster och lösningar där regelefterlevnad och skyddet av EU-medborgares data står i centrum, är det oroande att se hur den här typen av oenighet riskerar att bromsa den digitala utvecklingen, inte bara i Sverige, utan i hela Europa.

Försäkringskassans linje: digital suveränitet först

Försäkringskassan har valt en försiktig och konsekvent hållning. Deras slutsats:
Utländska molntjänster är inte lämpliga för hantering av sekretesskyddade eller känsliga uppgifter.

Resonemanget är tydligt, svenska myndigheter måste behålla kontrollen över data, lagring och åtkomst. Med andra ord: verka för digital suveränitet. Amerikanska övervakningslagar innebär enligt Försäkringskassan för stora juridiska risker, och den säkraste vägen är därför att helt undvika att lagra känslig information i utlandsägda moln.

Skatteverkets linje: försiktig användning med rätt säkerhet

Skatteverket däremot har börjat öppna upp för en mer tillåtande modell. Efter flera år av samsyn med Försäkringskassan prövar man nu begränsad användning av Microsoft 365 och Teams, under strikt kontrollerade former.
Enligt myndighetens arbetsgrupper finns det “inga juridiska, säkerhetsmässiga eller funktionella hinder” – så länge användningen sker inom ett tydligt definierat ramverk, till exempel genom:

• Att dokument i Microsofts moln betraktas som säkra tills motsatsen bevisas
• Att Teams-chattar raderas automatiskt efter 24 timmar
• Att funktioner som live-transkribering och undertexter inte används
• Att interna möten har end-to-end-kryptering

Resultatet blir en slags kompromiss, ett delvis godkännande, men med kraftigt begränsad funktionalitet jämfört med de verktyg många redan vant sig vid.

Vad oenigheten säger oss

• När två av Sveriges mest inflytelserika myndigheter tolkar samma lagstiftning på helt olika sätt, visar det tre saker:
• Regelefterlevnad är fortfarande komplext. Det finns vägledningar och domstolsbeslut, men praktisk tillämpning är långt ifrån enkel.
• Myndigheterna tvingas improvisera. I brist på ett tydligt regelverk utvecklar varje organisation sin egen tolkning.
• Organisationer som väntar riskerar att halka efter. Den som hoppas på enhetlig vägledning kan få vänta länge.

När Försäkringskassan säger “för riskabelt” och Skatteverket säger “möjligt, inom gränser”, blottas en obekväm sanning: om till och med stora, reglerade myndigheter kämpar med att hitta rätt väg, hur ska då mindre organisationer kunna känna sig trygga?

Föränderliga tolkningar och oenighet riskerar dessutom att skapa onödiga friktionsmoment, som i sin tur kan bromsa utvecklingen. Samtidigt har många europeiska SaaS-bolag investerat både tid och resurser i att bygga just det den offentliga sektorn efterfrågar – trygga, europeiska molnlösningar.

När våra mest centrala myndigheter inte kan enas i en så grundläggande diskussion, måste vi ställa oss frågan: är det så här vi skapar rätt förutsättningar för europeisk digital innovation?

Vi behöver en gemensam linje

För att bygga ett starkt europeiskt ekosystem av teknik, innovation och tillit krävs en gemensam syn på hur vi hanterar data. Det är så vi minskar beroendet av lösningar som lämnar vår information utsatt för utländsk jurisdiktion.

Riskerna med att stå still

Att inte agera är också ett beslut – ett riskfyllt sådant:

• Juridiskt ansvar: felsteg kan leda till överträdelser av GDPR eller sekretesslagstiftning
• Förtroendeförlust: medborgare och kunder förväntar sig att data hanteras säkert och transparent
• Operationell sårbarhet: system byggda på osäker grund idag kan behöva byggas om imorgon

Neutralitet är inte längre en säker position. Att vänta på perfekt tydlighet kan visa sig bli den dyraste strategin av alla.

Vänta inte på att regleringen ska hinna ikapp

Sverige har länge varit en förebild inom digitalisering. Men skillnaderna mellan Försäkringskassans och Skatteverkets tolkningar visar hur bristen på enhetlighet kan lämna organisationer fast mellan ambition och risk.
Det är lätt att skylla på långsamma lagstiftningsprocesser, men sanningen är att principen om att EU-medborgares data ska skyddas inom EU har funnits i snart 30 år. Frågan blev bara mer synlig när GDPR infördes och då fokuserade många mer på böter än på verklig efterlevnad.
Oavsett om problemet ligger i marknadens tröghet eller splittrade tolkningar är slutsatsen tydlig: Organisationer har inte råd att vänta.
De måste ta ansvar redan nu och bygga sina digitaliseringsstrategier på säkerhet, suveränitet och långsiktig regelefterlevnad.

Vägen framåt

Oenigheten mellan Försäkringskassan och Skatteverket påminner oss om att Europas digitala framtid måste vila på förtroende, inte i utländsk infrastruktur, utan i vår egen förmåga att bygga säkra, regelefterlevande system.
Digital suveränitet behöver inte vara en avlägsen vision. Med rätt ramverk kan den bli verklighet redan idag. Men för att nå dit krävs samarbete – mellan offentlig och privat sektor, och med en gemensam strävan efter att bygga ett europeiskt ekosystem av tillit, tydliga regler och praktisk efterlevnad, utan överberoende av amerikanska leverantörer.