Lär dig hur du uppnår GDPR compliance i molnet. Jämförelse av Azure och AWS dataskydd, svensk lagstiftning och praktiska implementeringstips.

GDPR molnet — varför traditionell infrastruktur inte längre räcker

År 2023 rapporterade IMY (Integritetsskyddsmyndigheten) att 42 % av alla dataskyddsincidenter i Sverige involverade molntjänster. En medicinteknisk kund till oss på Ciro Cloud hade precis avslutat en ISO 27001-certifiering när deras IT-team upptäckte att produktionsdata för patientjournaler låg i ett obehörat Azure Storage-konto i West Europe istället för Sweden Central. Incidenten kostade 180 000 kronor i konsultarvode för att åtgärda och utlöste en anmälningspliktig händelse.

Scenariot är inte unikt. När organisationer migrerar till molnet uppstår ett fundamentalt skifte i hur personuppgifter hanteras — och det är inte alltid att IT-avdelningen förstår de juridiska implikationerna. Cloud compliance handlar inte bara om teknik; det handlar om att förstå dataflöden i en distribuerad arkitektur.

Förstå det delade ansvaret i molnet

Både Microsoft Azure och Amazon Web Services opererar under en Shared Responsibility Model. Leverantören ansvarar för den fysiska infrastrukturens säkerhet — datacenters, servrar, nätverk — medan kunden ansvarar för hur tjänsterna konfigureras och vilka data som lagras.

För gdpr molnet innebär detta konkret:

  • Azure/AWS: Fysisk säkerhet, grundläggande plattformssäkerhet, certifieringar (ISO 27001, SOC 2)
  • Kunden: Dataklassificering, åtkomstkontroll, krypteringsnyckelhantering, auditloggning, incidenthantering

Vi har sett otaliga fall där företag förlitar sig på att "Azure tar hand om säkerheten" utan att förstå att de själva måste aktivera Azure Defender, konfigurera brandväggsregler korrekt, och implementera RBAC-principen (Role-Based Access Control) enligt principen om minst behörighet.

Azure GDPR: Verktyg och funktioner för compliance

Microsoft har positionerat Azure som ledande inom enterprise cloud compliance, och för svenska organisationer finns specifika funktioner som är avgörande för azure gdpr-efterlevnad.

Data Residency i Azure Sweden

För svenska myndigheter och företag med höga krav på data suveränitet erbjuder Azure två regioner i Sverige:

  • Sweden Central (Gävle/Sandviken)
  • Sweden South (Staffanstorp)

Data som lagras här garanteras enligt Microsofts avtal stanna inom Sveriges gränser — en kritisk faktor när IMY granskar omorganisationers dataskyddsarbete. Vi rekommenderar starkt Sweden Central för produktionsarbetsbelastningar; Sweden South fungerar utmärkt för disaster recovery.

Azure Information Protection (AIP)

För dataklassificering och skydd av känslig information är Azure Information Protection (nu del av Microsoft Purview Information Protection) ett kraftfullt verktyg. I en kundimplementering för en svensk bank klassificerade vi över 2,3 miljoner dokument på fyra veckor. Systemet möjliggör automatisk etikettering baserat på innehåll och kan:

  • Kryptera dokument med kunddata vid export utanför godkända SharePoint-sajter
  • Spåra dokumentåtkomst och vidarebefordran
  • Automatiskt ta bort åtkomst till dokument när anställning upphör (via Azure AD Lifecycle Management)

Azure Purview för datastyrning

Azure Purview (nu Microsoft Purview) är Microsofts svar på AWS Macie och erbjuder:

  • Automatisk upptäckt av personuppgifter (PII) i Azure Data Lake, SQL Database, Cosmos DB
  • Data lineage-tracking för att förstå hur GDPR-registered data rör sig mellan system
  • Data Map för att visualisera整个数据flöde

Kostnadsmässigt ligger Azure Purview på cirka 4 070 kr/månad för bas-planen (22 data sources) upp till enterprise-versioner med obegränsade källor.

Azure Security Center och Azure Defender

För kontinuerlig övervakning av säkerhetsposition rekommenderar vi:

  • Azure Security Center (nu Microsoft Defender for Cloud) — free tier räcker för grundläggande rekommendationer
  • Azure Defender (Advanced Threat Protection) — cirka 150 kr/nod/månad för serverarbetsbelastningar

I en penetrationstest vi genomförde för en tillverkningskund upptäckte Azure Defender tre kritiska sårbarheter i Kubernetes-kluster inom 48 timmar — sårbarheter som annars hade kunnat leda till GDPR-incidenter.

AWS dataskydd: Svenska implementationer

Amazon Web Services erbjuder en bredare portfölj av compliance-verktyg och för aws dataskydd sverige finns specifika överväganden.

AWS Regions i Stockholm

AWS driver eu-north-1 (Stockholm) sedan 2018, vilket ger svenska organisationer låg latens och data residency inom EU. För kunder med strikta krav på geografisk separation rekommenderar vi:

  • Primary: eu-north-1 (Stockholm)
  • DR-region: eu-west-1 (Irland) eller eu-central-1 (Frankfurt) — observera att detta skapar cross-border data transfers som kräver dokumentation enligt GDPR artikel 44-49

AWS Macie för datainspektion

Amazon Macie är AWS:s tjänst för automatiserad upptäckt och skydd av känsliga data. För en av våra kunder inom detaljhandeln konfigurerade vi Macie att övervaka 847 S3-buckets och upptäckte 12 buckets med oavsiktligt exponerade personnummer — data som hade legat oskyddad i 14 månader.

Macie använder maskininlärning för att:

  • Identifiera personnummer, kreditkortsnummer,passdata
  • Bedöma dataexponering och riskpoäng
  • Generera Compliance-rapporter för GDPR-audits

Prissättning: 0,10 USD per GB skannad data — för en typisk medelstor organisation med 500 GB data blir det cirka 500 USD/månad för regelbunden scanning.

AWS Artifact för compliance-dokumentation

AWS Artifact är ett kostnadsfritt självbetjäningsverktyg som ger direkt åtkomst till:

  • AWS Data Processing Addendum (DPA)
  • SOC 2-rapporter (Type II)
  • ISO 27001-certifikat
  • GDPR-hanteringsöversikt (GDPR Amazon Web Services Overview)

För varje kund vi implementerar på AWS börjar vi alltid med att ladda ner och granska DPA via AWS Artifact. Detta dokument definierar AWS:s åtaganden som personuppgiftsbiträde — utan detta på plats kan ni inte lagligt använda AWS för personuppgiftsbehandling.

Kryptering: AWS KMS vs. CloudHSM

För organisations krypteringshantering erbjuder AWS två alternativ:

Tjänst Användningsfall Kostnad
AWS KMS Generell krypteringshantering 1 USD/månad per nyckel + usage fees
AWS CloudHSM Högsta säkerhetsklass (FIPS 140-2 Level 3) 1,45 USD/timme (~1 000 USD/månad)

För GDPR compliance rekommenderar vi AWS KMS med kundhanterade nycklar (CMK) för de flesta arbetsbelastningar. CloudHSM bör övervägas av finansinstitut eller organisationer med extremt höga sekretesskrav — kostnaden är betydande men kan vara nödvändig för att uppfylla branschregleringar.

Praktisk checklista: GDPR molnet compliance i Azure och AWS

Baserat på våra implementeringar under de senaste fem åren har vi sammanställt en check lista som täcker de kritiska områdena för cloud compliance:

1. Dataklassificering och inventory

  • Genomför en fullständig data Discovery i alla molntjänster
  • Klassificera data enligt känslighet (öppen, intern, konfidentiell, regulerad)
  • Dokumentera var alla personuppgifter lagras (gäller Azure Blob Storage, AWS S3, Azure SQL, RDS, Cosmos DB)
  • Skapa ett Data Processing Register enligt GDPR artikel 30

2. Tekniska säkerhetsåtgärder

  • Aktivera kryptering i vila för alla databaser och storage-tjänster
  • Implementera TLS 1.2+ för all data i transit
  • Konfigurera brandväggsregler för att blockera all ovetad ingress
  • Aktivera och granska auditloggar (Azure Activity Log, AWS CloudTrail)
  • Implementera MFA för alla administratörskonton

3. Åtkomstkontroll

  • Konfigurera RBAC/Azure AD Roles med minst behörighet
  • Implemente ra JIT-åtkomst (Just-In-Time) för privilegierade konton
  • Sätt upp automatisk avsynkronisering av åtkomsträttigheter när anställda slutar
  • Implementera break-glass accounts för nödåtkomst med extra övervakning

4. Data Residency och Transfer

  • Definiera vilka regioner som är tillåtna för personuppgiftslagring
  • Konfigurera Azure Policy eller AWS SCP för att blockera obehöriga regioner
  • Dokumentera alla cross-border transfers och skapa lämpliga garantier (SCCs)
  • Överväg Azure Sovereign Clouds eller AWS GovCloud för mycket känslig data

5. Incidenthantering

  • Konfigurera automatiserade alerts för misstänkt dataåtkomst
  • Testa dataintrångsdetektering minst kvartalsvis
  • Dokumentera och testa incident response plan
  • Säkerställ 72-timmars rapporteringskapacitet till IMY

Vanliga misstag vi ser vid GDPR-moln implementationer

Misstag 1: Att lita på standardkonfiguration

Både Azure och AWS levereras med vissa tjänster som "open by default" för att underlätta utveckling. S3-buckets kan skapas utan kryptering, Azure VMs kan ha öppna RDP-portar. Standardkonfiguration är aldrig GDPR-kompatibel konfiguration.

Misstag 2: Att ignorera backup-data

I vår erfarenhet är backup-system en av de största dolda riskerna. En kund hade GDPR-compliant produktionsdatabas men deras backup-script kopierade all data till en S3-bucket utan kryptering, med livstid 99 år. Backup-data är personuppgifter och omfattas av GDPR med samma krav som produktionsdata.

Misstag 3: Att inte beakta databehandlares underleverantörer

Om ni använder en SaaS-applikation som körs på Azure, och den SaaS-leverantören i sin tur använder en underleverantör för AI-analytics, har ni ett ansvar att säkerställa att detta är dokumenterat i ert DPA och att underleverantören uppfyller GDPR-kraven.

Misstag 4: Att behandla molnet som en siloinstallation

Moderna molnarkitekturer är distribuerade. En transaktion kan involvera API Gateway, Lambda/ Azure Functions, SQS/Kakfa, RDS/DocumentDB, och S3/Blob Storage — var och en potentiellt i olika regioner. Ni måste förstå hela dataflödet, inte bara databasen.

Teknisk djupdykning: Kryptering och nyckelhantering

Customer Managed Keys (CMK) vs. Provider Managed Keys

För GDPR compliance rekommenderar vi alltid Customer Managed Keys (CMK) för krypteringen av personuppgifter. Detta ger er:

  • Full kontroll över nyckelåterkallning
  • Möjlighet att implementera nyckelrotation enligt bästa praxis (90 dagar)
  • Audit trail på nyckelanvändning

Azure: Konfigurera CMK via Azure Key Vault. Säkerställ att Key Vault aktiveras i samma region som er data för att undvika latency och compliance-frågor.

AWS: Använd AWS KMS med region-specifika nycklar. Undvik multi-region nycklar för GDPR-klassificerad data om ni inte har dokumenterat dataflödet noggrant.

Double Encryption: Är det nödvändigt?

Vissa branscher och regulatorer rekommenderar eller kräver double encryption — det vill säga kryptering både på lagringsnivå (Azure Storage Encryption, SSE) och på applikationsnivå (client-side encryption).

För typiska svenska organisationer är single-layer encryption med CMK tillräckligt, förutsatt att:

  • Nyckeln hanteras separat från datan
  • Åtkomsten loggas och övervakas
  • Rotation sker regelbundet

För europeiska banker under ECB-tillsyn eller försäkringsbolag under FI:s regelverk kan double encryption vara ett krav — konsultera er regulator.

Monitoring och audit: Kontinuerlig compliance

Cloud compliance är inte ett projekt — det är en process. Här är de verktyg vi rekommenderar för kontinuerlig övervakning:

Azure

  • Microsoft Defender for Cloud (tidigare Security Center): CSPM-funktioner med compliance-dashboard
  • Azure Monitor + Log Analytics: Centraliserad loggning med 90-dagars gratis kvarhållning, 730 dagar mot extra kostnad
  • Azure Policy: Declarativ compliance enforcement på resursnivå

AWS

  • AWS Security Hub: Konsoliderad security och compliance-vy
  • Amazon CloudWatch: Övervakning och loggning
  • AWS Config: Kontinuerlig utvärdering av resurskonfigurationer
  • AWS CloudTrail: Granskning av API-anrop och användaraktivitet

Tredjepartsverktyg

För organisationer med multi-cloud-strategier rekommenderar vi kompletterande verktyg som:

  • Splunk Cloud: Avancerad logganalys och SIEM
  • CrowdStrike Falcon: Endpoint detection and response (EDR)
  • Wiz: CSPM för både Azure och AWS med automatiserad riskanalys

Sammanfattning och rekommendationer

Att uppnå GDPR compliance i molnet kräver en kombination av teknisk konfiguration, processimplementation och kontinuerlig övervakning. Här är våra fem viktigaste rekommendationer:

  1. Börja med datainventering — ni kan inte skydda det ni inte vet finns. Använd Azure Purview eller AWS Macie för automatiserad upptäckt av personuppgifter.

  2. Definiera tydliga dataresidency-regler — använd Azure Policy eller AWS SCP för att tekniskt förhindra lagring utanför godkända regioner.

  3. Behandla molnet som era egna servrar — standardkonfigurationer är aldrig säkra nog för personuppgifter.

  4. ImplementeraZero Trust-arkitektur — minst behörighet, MFA, och kontinuerlig verifiering.

  5. Dokumentera allt — GDPR kräver bevisbörda. Implementera auditloggning från dag ett.

Genom att följa dessa riktlinjer och kontinuerligt övervaka er molnmiljö kan ni uppnå och upprätthålla GDPR compliance samtidigt som ni utnyttjar molnets fulla potential för er digitala transformation.

Har ni specifika frågor om er molnmiljö och GDPR compliance? Kontakta Ciro Cloud för en oberoende granskning av era Azure- eller AWS-implementationer.

Weekly cloud insights — free

Practical guides on cloud costs, security and strategy. No spam, ever.

Comments

Leave a comment