Sveriges företag och EU-data, 2026.

Varför detta är aktuellt nu

US Cloud Act gör att data lagrad hos amerikanska leverantörer kan begäras ut av amerikanska myndigheter, oavsett var i världen den fysiskt ligger. För svenska företag som omfattas av GDPR, NIS2 och Cybersäkerhetslagen 2025 är det en konflikt som inte längre kan ignoreras.

Vad det praktiskt betyder

Det räcker inte längre att säga "vi är GDPR-kompatibla". Verkliga frågor som CTO:er och CISO:er får från upphandlare 2026:

• Vilken jurisdiktion lyder leverantören under?
• Var ligger backup och replicas?
• Vilka subprocessors har tillgång till data?

Vår hållning

Vinqel bygger på en stack där svaret på dessa frågor är: Europa. Supabase i Stockholm (eu-north-1). Vercel edge i Stockholm. Mistral som AI-leverantör, baserad i Frankrike. Det är inte en marknadsföringspoäng, det är en teknisk arkitektur som gör efterlevnaden enkel att verifiera.

Vad ni kan göra idag

1. Kartlägg er nuvarande stack och dess jurisdiktioner.
2. Be om Data Processing Agreements från varje leverantör.
3. Identifiera vilken data som faktiskt måste vara känslig och vilken som kan vara mindre känslig.

Det är ett pragmatiskt arbete, inte en revolution. Men det behöver göras.