Kunskap
GDPR och CMS — vad du behöver veta när du väljer plattform
Var din data lagras är inte en teknisk detalj. Det är en affärsrisk. Vi reder ut vad GDPR innebär för ditt CMS-val, varför CLOUD Act spelar roll, och hur du fattar ett tryggt beslut.
GDPR, eller dataskyddsförordningen (General Data Protection Regulation), är EU:s regelverk för hur personuppgifter samlas in, lagras och behandlas. Förordningen gäller alla organisationer som hanterar data om EU-medborgare, oavsett var i världen organisationen befinner sig. För dig som väljer CMS innebär det att plattformsvalet direkt påverkar din förmåga att följa lagen.
Begreppet datasuveränitet dyker upp allt oftare i de här samtalen. Det handlar om att din data lagras och hanteras inom den jurisdiktion där din organisation verkar, utan att utländska myndigheter kan kräva tillgång. Länge betraktades det som en teknisk fråga. I dag är det en affärskritisk sådan.
Ditt CMS hanterar mer persondata än du tror
Varje gång en besökare fyller i ett kontaktformulär, loggar in på ett kundkonto eller interagerar med din sajt samlar ditt CMS in personuppgifter. Namn, e-postadresser, IP-adresser, beteendedata. Allt regleras av GDPR.
Ditt val av CMS-system påverkar därmed din organisations förmåga att leva upp till kraven. Inte bara på papperet, utan i vardagen: var lagras datan, vem kan komma åt den, och vad händer om något går fel?
De flesta organisationer ställer de här frågorna för sent. Ofta först när en upphandling kräver det, eller efter en incident.
Varför amerikanska molnleverantörer är en juridisk risk
CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ger amerikanska myndigheter rätt att begära ut data från amerikanska molnleverantörer. Lagen gäller oavsett var i världen datan fysiskt lagras.
I praktiken innebär det att om ditt CMS körs på infrastruktur från en amerikansk leverantör, till exempel AWS, Azure eller Google Cloud, kan din data begäras ut av amerikanska myndigheter. Det spelar ingen roll om servrarna står i Frankfurt eller Stockholm. Det avgörande är vem som äger infrastrukturen. Det gäller oavsett om du använder ett [headless CMS](/sv/kunskap/headless-cms) eller en traditionell plattform.
Schrems II-domen (C-311/18) från EU-domstolen i juli 2020 bekräftade att det här är ett reellt problem. Europeiska organisationer har ett ansvar att säkerställa att personuppgifter inte hamnar under jurisdiktioner med lägre skyddsnivå.
2023 antog EU och USA ett nytt ramverk för datatransfer, Data Privacy Framework (DPF). Ramverket underlättar för amerikanska företag som självcertifierar sig, men det förändrar inte CLOUD Act. De två lagarna är separata. DPF kan dessutom ogiltigförklaras av EU-domstolen, precis som dess föregångare Privacy Shield och Safe Harbor.
Juridisk risk
Vad CLOUD Act innebär i praktiken
Oavsett var dina servrar står geografiskt avgör leverantörens juridiska hemvist om datan kan begäras ut av amerikanska myndigheter.
CMS-plattformar med huvudkontor i USA lyder under CLOUD Act.
Att datan lagras "i EU" räcker inte om leverantören är amerikansk.
Data Privacy Framework eliminerar inte risken.
Europeiska leverantörer med europeisk infrastruktur ger det starkaste skyddet.
Juridisk risk
Tre frågor till din CMS-leverantör
De här frågorna avslöjar snabbt om en plattform tar dataskydd på allvar.
Var lagras vår data, och under vilken jurisdiktion? Nöj dig inte med "i EU". Fråga vilken juridisk entitet som äger infrastrukturen. Om svaret är ett amerikanskt bolag gäller CLOUD Act, oavsett serverns fysiska placering.
Vem har teknisk tillgång till vår data? Vilka personer och system kan komma åt personuppgifter? Finns åtkomstkontroller, loggning och möjlighet till revision? Kan leverantören visa dokumentation?
Vad händer vid en säkerhetsincident? Finns en dokumenterad incidenthanteringsprocess? Hur snabbt meddelas du? Vilka åtgärder vidtas? GDPR kräver notifiering inom 72 timmar.
Frågor och svar
Vanliga frågor om GDPR och CMS
Vi får ofta frågor om vad GDPR innebär i praktiken när man väljer, byter eller utvärderar CMS. Här har vi samlat de vanligaste, med raka svar.
Räcker det att datan lagras i EU?
Nej. Om CMS-leverantören är ett amerikanskt bolag, eller använder infrastruktur från ett amerikanskt bolag, gäller CLOUD Act oavsett var datan lagras fysiskt. Det avgörande är jurisdiktionen, inte geografin.
Vi använder WordPress — är det GDPR-kompatibelt?
WordPress som open source-programvara kan hostas var som helst. WordPress.com, alltså Automattics molntjänst, är däremot amerikanskt. Self-hosted WordPress kan vara GDPR-kompatibelt, men du ansvarar själv för plugins, hosting och säkerhet.
Vilka branscher bör vara extra försiktiga?
Offentlig sektor, hälso- och sjukvård, finanssektorn och alla organisationer som hanterar känsliga personuppgifter har skärpta krav. Men i grunden gäller GDPR alla som hanterar persondata om EU-medborgare.
Vad händer om vi bryter mot GDPR?
Böter upp till 20 miljoner euro eller 4 procent av global årsomsättning, beroende på överträdelsens art. Den verkliga kostnaden är dock ofta förlorat förtroende hos kunder, partners och allmänheten.
Kan vi använda amerikanska molntjänster alls?
Ja, men med extra skyddsåtgärder som standardavtalsklausuler (SCC) och konsekvensbedömningar (TIA). Skyddet är inte lika starkt som med en heleuropeisk lösning. Allt fler organisationer väljer att flytta till europeisk infrastruktur för att slippa den juridiska osäkerheten.
Löser Data Privacy Framework problemet?
Delvis. DPF, som antogs i juli 2023, ger ett juridiskt underlag för datatransfer till amerikanska företag som självcertifierar sig. Men det eliminerar inte CLOUD Act. En CMS-leverantör som är DPF-certifierad kan fortfarande tvingas lämna ut data. DPF:s föregångare, Privacy Shield och Safe Harbor, har båda ogiltigförklarats av EU-domstolen. Liknande utmaningar pågår mot DPF.
Vad skiljer Sitevision och Strife åt ur GDPR-perspektiv?
Båda är svenska bolag. Sitevision driftar på egna svenska datacenter och uppger att all data hanteras lokalt. De erbjuder AI-funktioner och integrationer med europeiska partners (Rek.ai, Ebbot, DeepL), men specificerar inte vilka AI-modeller som driver de inbyggda funktionerna. Strife driftas på europeisk infrastruktur (Hetzner, tyskt) med möjlighet till egen databasdrift för full suveränitet. AI-funktionerna i Strife är opt-in och använder amerikanska språkmodeller. Teknikmässigt skiljer de sig åt: Sitevision är en traditionell Java-plattform, Strife ett headless CMS med API-first-arkitektur.
Skickas mitt innehåll till AI-tjänster som ChatGPT eller Claude?
Bara om du väljer att aktivera AI-funktionerna. I Strife är alla AI-funktioner opt-in. Ingen data skickas till externa tjänster utan att organisationen aktivt slår på dem. Du kan använda hela plattformen utan AI och behålla full kontroll över var ditt innehåll bearbetas.
AI-funktioner och GDPR - en ny dimension
De flesta moderna CMS-plattformar erbjuder i dag AI-drivna funktioner för textgenerering, översättning, SEO-optimering och bildhantering. Det som sällan diskuteras är vart ditt innehåll skickas när du använder dem.
De flesta AI-funktioner i CMS bygger på amerikanska språkmodeller som OpenAI, Anthropic (Claude) och Google (Gemini). När du ber ditt CMS sammanfatta en text eller föreslå en rubrik kan ditt innehåll skickas till dessa tjänster för bearbetning. Det skapar en separat dataöverföring som faller utanför den vanliga infrastrukturfrågan.
Hur hanterar CMS-plattformarna AI och dataskydd?
Branschens tillvägagångssätt varierar.
Contentful kräver att AI-funktioner aktiveras separat och att organisationen godkänner kompletterande villkor. Deras AI-funktioner drivs av Amazon Bedrock (USA/Irland), OpenAI (USA) och Google Vertex AI (EU). Contentful är en av få leverantörer som publicerar en transparent sub-processor-lista med specifika AI-leverantörer.
Sanity erbjuder AI Assist och Content Agent. Funktionerna kräver separat aktivering. Vilka AI-leverantörer som driver funktionerna specificeras inte på deras publika sidor, men kunddata lagras på Google Cloud med EU-region tillgänglig.
Optimizely har AI-funktioner under varumärket Opal. De uppger att data bearbetas i minnet och inte lagras persistent, och att kunddata inte används för att träna modeller. Vilka specifika AI-leverantörer som används namnges inte, och det framgår inte tydligt från deras publika dokumentation om funktionerna är opt-in eller aktiverade som standard.
Sitevision erbjuder AI-funktioner för textgenerering, SEO-optimering, automatisk kategorisering och översättning, samt AI-assistenter som kan tränas på organisationens eget innehåll. De uppger att all data hanteras inom svenska datacenter. Sitevision har även integrationer med europeiska partners som Rek.ai, Ebbot och DeepL. Vilka AI-modeller som driver de inbyggda funktionerna specificeras inte offentligt.
Hur hanterar Strife AI och dataskydd?
Strife erbjuder AI-funktioner som t ex textgenerering, SEO-optimering, översättning och komponentbyggare. Dessa funktioner använder amerikanska språkmodeller.
Alla AI-funktioner i Strife är opt-in. Ingen data skickas till externa AI-tjänster om inte organisationen aktivt väljer att aktivera dem. Det innebär att en organisation som behöver strikt datasuveränitet kan använda Strife utan AI-funktionerna och fortfarande ha en fullt fungerande plattform.
Det är en medveten avvägning. Vi hade kunnat begränsa oss till enbart europeiska AI-modeller, men det hade inneburit sämre funktionalitet för de kunder som vill använda marknadens bästa språkmodeller. Istället ger vi varje organisation möjligheten att göra det valet själv.
Informationen på denna sida är allmänt informativ och utgör inte juridisk rådgivning. GDPR-efterlevnad beror på din organisations specifika förutsättningar. Konsultera er dataskyddsansvarig eller en kvalificerad jurist för rådgivning anpassad till er situation. Lagstiftning och rättstillämpning förändras, och uppgifterna på denna sida gäller per april 2026.