satori.
    Tillbaka till blog

    AI och GDPR: får svenska företag använda amerikansk AI?

    |8 minuters läsning
    Joachim Sahlin, CEO & AI-rådgivare

    Joachim Sahlin

    CEO & AI-rådgivare

    Boka möte
    Atmosfärisk skandinavisk illustration av AI, GDPR och dataöverföring mellan EU och USA för svenska företag

    Det här är frågan vi får varje vecka från svenska IT- och dataskyddsansvariga: får vi egentligen använda amerikansk AI? Claude är amerikanskt. ChatGPT är amerikanskt. Och någon på bolaget har bromsat AI-projektet med hänvisning till GDPR.

    Kort svar: ja. Och det intressanta är att ni förmodligen redan svarat ja på exakt den frågan, den dagen ni rullade ut Microsoft 365.

    Den här guiden reder ut vad som faktiskt gäller. Var den verkliga skillnaden sitter, för den finns, men inte där de flesta tror. Och vilka dokument ni behöver för att göra det rätt.

    Får svenska företag använda amerikansk AI under GDPR?

    Ja. Det finns inget förbud mot amerikanska leverantörer i GDPR. Microsoft är amerikanskt. Google är amerikanskt. Amazon är amerikanskt. Svenska företag har kört deras moln i åratal, med personuppgifter i, utan att det varit olagligt.

    Poängen är att "amerikanskt" inte är ett beslutskriterium i sig. Om det vore det skulle ni behöva slänga ut Microsoft 365, Azure, Google Workspace och i praktiken halva er IT-stack. Den som accepterat Microsoft som dataleverantör har redan svalt det amerikanska. Att då säga nej till Anthropic enbart på grunden "men det är amerikanskt" är inte konsekvent.

    Rätt fråga är inte "amerikanskt eller inte". Rätt fråga är: hanteras överföringen av personuppgifter korrekt? Det är där vi ska gräva.

    Tre saker alla oroar sig för (och varför två är fel fråga)

    Tre saker dominerar oron. Två av dem leder fel.

    Certifieringar. Anthropic och Microsoft har samma bas: SOC 2 Type II, ISO 27001:2022 och ISO/IEC 42001:2023 (den nya standarden för AI-ledningssystem).12 Cert-listan skiljer dem inte. Att en CISO frågar "har de SOC 2?" och stannar där är att mäta fel sak. Alla seriösa leverantörer klarar den ribban 2026.

    Att det är amerikanskt. Både Microsoft och Anthropic lyder under amerikansk lagstiftning som FISA 702 och CLOUD Act.3 Det gäller likadant för båda. GDPR artikel 48 skapar dessutom samma omöjliga sits för varenda amerikansk leverantör: lyder de en CLOUD Act-order bryter de potentiellt GDPR, vägrar de bryter de amerikansk lag.3 Paritet, inte diskvalificering.

    Var datan ligger. Det här är myten som sitter hårdast, och den förtjänar ett eget avsnitt.

    Varför hjälper inte data residency?

    "Kör Claude via Frankfurt eller Stockholm så är GDPR löst." Det håller inte juridiskt.

    CLOUD Act träffar det amerikanska moderbolaget oavsett var servern står. Ett dotterbolags eller en EU-regions operativa självständighet bryter inte moderbolagets lagstadgade skyldighet att lyda en amerikansk domstolsorder.3 En EU-flagga på servern ändrar inte vem som äger nyckeln. Och Data Privacy Framework löser inte heller den biten, ramverket reglerar den lagliga grunden för själva överföringen, inte huruvida amerikanska myndigheter kan begära ut datan.

    Det som faktiskt ändrar riskbilden är inte var datan ligger, utan vad ni stoppar in i prompten. Och här finns en sak många missar: eftersom Claude måste läsa prompten i klartext för att kunna svara går det inte att kryptera bort innehållet från leverantören, så som man kan med ren lagring. Den verksamma åtgärden är i stället att hålla identifierbara personuppgifter utanför prompten från början, alltså dataminimering och pseudonymisering, det EDPB pekar ut som en effektiv skyddsåtgärd vid behandling.4 Serverplacering är det inte.

    Data residency är alltså inte värdelöst, det ger lägre latens och håller datan inom EU rent fysiskt. Men det är inte det som gör överföringen laglig.

    Det enda som faktiskt skiljer: personuppgiftsöverföring

    Här kommer kärnan. Personuppgiftsöverföring till tredjeland styrs av GDPR kapitel V, och det är på den här enda axeln Microsoft och Anthropic faktiskt skiljer sig. Men inte på det sätt folk tror.

    Det finns två lagliga vägar att överföra personuppgifter till USA:

    • Microsoft är certifierat under EU-US Data Privacy Framework och kan luta sig på EU-kommissionens adekvansbeslut (GDPR artikel 45).15
    • Anthropic är inte DPF-certifierat. De lutar sig i stället på Standard Contractual Clauses (artikel 46(2)(c), Module Two) plus en transfer impact assessment.67

    Båda vägarna är fullt lagliga. Skillnaden är pappersarbetet: SCC-vägen kräver en dokumenterad bedömning som DPF-vägen formellt kan hoppa över. Det är hela skillnaden. Inte säkerhet, inte certifieringar, inte var datan bor. Bara vilken överföringsgrund leverantören vilar på.

    Är Claude annorlunda än Microsoft Copilot rent juridiskt?

    På allt utom överföringsgrunden: nej. Samma certifieringar, samma exponering mot amerikansk lag, samma krav på er som personuppgiftsansvarig.

    Och här finns en poäng värd att stanna vid. Microsoft litar redan på Anthropic. Anthropic är en godkänd subprocessor i Microsoft 365 Copilot, alltså har Microsoft själva redan granskat och accepterat Anthropics överföringsskydd.8 Att då hävda att Claude inte duger när Microsoft självt använder det är svårt att få ihop.

    Det finns till och med en ironi i SCC-vägen. EU-tribunalen avvisade visserligen utmaningen mot DPF i september 2025, men en överklagan ligger fortfarande hos EU-domstolen.9 Skulle DPF falla en dag (en "Schrems III") är en Anthropic-kund redan immun, eftersom de aldrig lutade sig på DPF utan redan kör på SCC. En Microsoft-kund som bara litat på adekvansbeslutet är mer exponerad den dagen, om de inte också dokumenterat SCC som fallback.

    Vilka dokument behöver ni? Fyra steg

    Det här är svaret på "vad gäller när vi ska implementera det". Fyra dokument, samma lista oavsett om det är Copilot eller Claude. Bara tyngdpunkten skiljer.

    1. DPA med SCC. Anthropics Data Processing Addendum ingår automatiskt i Commercial Terms (Team, Enterprise, API), med SCC inbyggt.7 Microsofts motsvarighet ligger i deras kommersiella villkor.
    2. Fastställd överföringsgrund. Microsoft: verifiera att DPF-certifieringen är aktiv. Anthropic och OpenAI: grunden är SCC, och då blir steg 3 obligatoriskt.
    3. Transfer impact assessment. En dokumenterad bedömning enligt CNIL:s mall.10 Obligatorisk för SCC-leverantörer, starkt rekommenderad även för DPF-leverantörer eftersom DPF kan falla.
    4. Kompletterande skyddsåtgärder. För en språkmodell går det inte att kryptera bort innehållet från leverantören, Claude måste läsa prompten för att kunna svara. Den verksamma åtgärden är därför dataminimering och pseudonymisering innan prompten skickas (prompt-hygien), gärna med Zero Data Retention, åtkomstkontroll och scope-begränsning.4

    Det här är transfer-lagret. Grunden under det (intresseavvägning, registerförteckning, riskbedömning och en AI-policy) går vi igenom steg för steg i vår GDPR-guide för Claude. Och för hur Claude står sig mot Microsoft på certifieringsnivå, se Claude enterprise-säkerhet.

    Vad händer om Data Privacy Framework faller?

    Inget dramatiskt, om ni gjort hemläxan. Faller DPF aktiveras SCC-fallbacken (om den finns i avtalet), och er dokumenterade TIA plus kompletterande åtgärder bär överföringen vidare. Det är just därför "DPF räcker"-hållningen är skör och "DPF plus SCC plus TIA"-hållningen är robust.

    Den som redan kör på SCC, som Anthropic-kunder gör, har redan den robustheten inbyggd. Det är en ovanlig vinkel: det som först ser ut som en nackdel (Claude saknar DPF) blir i själva verket en styrka den dag ramverket vacklar.

    Så tänker vi på Satori

    Vi får den här frågan i nästan varje första samtal, och nästan varje gång bottnar oron i en känsla snarare än i juridiken. "Amerikanskt känns osäkert." Men när man bryter ner det landar allt i en enda konkret fråga: har ni rätt överföringsgrund och de tekniska åtgärderna på plats? Det är ett par dokument, inte en blockerare.

    Vill ni ha hjälp att få det rätt från start, DPA, överföringsgrund, transfer impact assessment och en AI-policy som håller, så är det precis det vår Satori Uppstart gör. Maila gärna connect@satoriml.se så tar vi ett förutsättningslöst samtal.

    Vanliga frågor

    Vad är personuppgiftsöverföring till tredjeland?

    Det är när personuppgifter lämnar EU/EES till ett land utanför unionen, som USA. GDPR kapitel V styr det och kräver en laglig grund: ett adekvansbeslut (som DPF) eller SCC plus en bedömning. När ni använder amerikansk AI är det den här överföringen, inte var servern står, som är den juridiska frågan.

    Är det lagligt för svenska företag att använda amerikansk AI?

    Ja. Det finns inget förbud mot amerikanska leverantörer. Det som krävs är att överföringen vilar på rätt grund: DPF-adekvans (Microsoft) eller SCC plus en transfer impact assessment (Anthropic, OpenAI). Har ni redan accepterat Microsoft 365 har ni redan accepterat samma konstruktion.

    Är Claude DPF-certifierat som Microsoft Copilot?

    Nej. Microsoft är DPF-certifierat, Anthropic är det inte utan lutar sig på SCC. Det gör inte Claude olagligt, SCC är en giltig mekanism enligt artikel 46. Det betyder bara att Claude-kunder behöver ha en transfer impact assessment dokumenterad.

    Källor

    Läs mer

    Relaterade artiklar:

    Satori-tjänster:

    • Satori Uppstart - komplett AI-implementation med GDPR-spåret på plats från start
    • Satori Claude - managed Claude for Work för svenska företag

    Footnotes

    1. Microsoft (2026). Microsoft U.S. entities covered by Data Privacy Framework certification. https://www.microsoft.com/en-us/privacy/microsoft-data-privacy-framework-covered-entities 2

    2. Anthropic (2026). What Certifications has Anthropic obtained? https://privacy.claude.com/en/articles/10015870-what-certifications-has-anthropic-obtained

    3. Kiteworks (2025). Prevent CLOUD Act risks: secure European data architecturally (CLOUD Act, FISA 702 och GDPR artikel 48). https://www.kiteworks.com/gdpr-compliance/cloud-act-european-data-protection/ 2 3

    4. EDPB (2021). Recommendations 01/2020 on measures that supplement transfer tools. https://www.edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf 2

    5. EU-US Data Privacy Framework (2026). Program Overview. https://www.dataprivacyframework.gov/Program-Overview

    6. Anthropic (2026). How does Anthropic protect the personal data of Claude users? https://privacy.claude.com/en/articles/10458704-how-does-anthropic-protect-the-personal-data-of-claude-users

    7. Anthropic (2025). How do I view and sign your Data Processing Addendum (DPA)? https://privacy.claude.com/en/articles/7996862-how-do-i-view-and-sign-your-data-processing-addendum-dpa 2

    8. Microsoft Learn (2026). Anthropic as a subprocessor for Microsoft Online Services. https://learn.microsoft.com/en-us/copilot/microsoft-365/connect-to-ai-subprocessor

    9. IAPP (2025). European General Court dismisses Latombe challenge, upholds EU-US Data Privacy Framework. https://iapp.org/news/a/european-general-court-dismisses-latombe-challenge-upholds-eu-us-data-privacy-framework

    10. CNIL (2025). Practical guide: Transfer Impact Assessment (TIA), januari 2025. https://www.cnil.fr/sites/default/files/2025-07/guide_tia.pdf

    Tillbaka till alla artiklar
    Cookies

    Vi använder kakor för att förbättra din upplevelse.

    Policy