Hoppa till innehåll

PUB-avtal med AWS — Amazon Web Services och GDPR

AWS är världens ledande molnplattform och ett centralt personuppgiftsbiträde för svenska teknikföretag och SaaS-leverantörer. Förstå AWS DPA-struktur, EU-datalagring och ansvarsgränserna i Shared Responsibility Model.

Amazon Web Services (AWS) är världens dominerande molninfrastrukturleverantör och används av ett stort antal svenska teknikbolag, SaaS-leverantörer och digitala tjänsteföretag som underliggande infrastruktur. Till skillnad från Microsoft och Google — vars produkter används direkt av slutanvändare — är AWS primärt en infrastrukturplattform för att bygga och köra applikationer.

Det skapar en specifik GDPR-komplexitet: om du driver din SaaS-applikation på AWS och din kund är en annan organisation, är du personuppgiftsbiträde gentemot din kund och AWS är ditt underbiträde. Om du driver en applikation direkt mot konsumenter är du personuppgiftsansvarig och AWS är ditt biträde. I båda fallen behöver du ett AWS DPA — men ansvarsgränserna och vad du kommunicerar till dina egna kunder ser väldigt olika ut.

AWS hanterar GDPR via ett Data Processing Addendum (DPA) som automatiskt inkorporeras i AWS Customer Agreement för EU/EEA-kunder. AWS EMEA SARL i Luxemburg är den juridiska entiteten för europeiska kunder — ett viktigt detalj för tredjelandsöverföringsfrågor.

AWS Shared Responsibility Model är central för GDPR-ansvarsfördelningen: AWS ansvarar för säkerheten hos den underliggande infrastrukturen (datacenter, nätverk, fysisk säkerhet), medan kunden ansvarar för säkerheten i molnet (konfiguration, kryptering, åtkomstkontroll, nätverkssegmentering). Ur GDPR-perspektiv innebär det att AWS:s DPA täcker infrastrukturansvaret, men att kunden är fullt ansvarig för att konfigurera tjänsterna på ett GDPR-compliant sätt.

Vanliga misstag hos svenska AWS-kunder: S3-buckets öppna för offentlig åtkomst, CloudWatch-loggar som innehåller personuppgifter utan kryptering, IAM-roller utan principen om minsta privilegium, och ingen konfiguration av AWS Config eller GuardDuty för att spåra avvikande beteenden. Alla dessa är GDPR-brister trots att AWS DPA är korrekt.

→ Officiellt DPA-avtal från leverantören ↗

Kontrollera er compliance på några minuter

Generera ditt PUB-avtal med AWS gratis — GDPR Art. 28-korrekt

Kör gratis skanning

AWS DPA och hur det aktiveras

AWS Data Processing Addendum (DPA) aktiveras automatiskt för EU/EEA-kunder som del av AWS Customer Agreement. Du hittar den aktuella versionen på aws.amazon.com/agreement. Det finns inget behov av separat signering — men du bör:

  1. Ladda ner och arkivera den aktuella versionen av AWS DPA
  2. Notera versionsnummer och datum i din compliance-mapp
  3. Inkludera AWS EMEA SARL (Luxemburg) som personuppgiftsbiträde i din Art. 30-registerförteckning

AWS-regioner och datalagring inom EU

AWS har sex regioner inom EU/EEA: Frankfurt (eu-central-1), Dublin (eu-west-1), Paris (eu-west-3), Stockholm (eu-north-1), Milano (eu-south-1) och Spanien (eu-south-2). Stockholm-regionen är det självklara valet för svenska företag som vill minimera latens och hålla data inom Sverige geografiskt.

Kritiskt: valet av region görs vid konfiguration av varje enskild AWS-tjänst. Det är lätt att råka deployta en ny S3-bucket i us-east-1 av misstag. Implementera AWS Organizations med Service Control Policies (SCPs) för att förhindra att resurser skapas i icke-EU-regioner:

  • Skapa en SCP som nekar alla åtgärder utanför eu-north-1 (Stockholm) eller andra tillåtna EU-regioner
  • Tillämpa SCP:n på hela organisationen eller specifika OU:er (Organizational Units)
  • Verifiera med AWS Config-regel aws:region-based restrictions

Shared Responsibility Model och GDPR

AWS Shared Responsibility Model definierar ansvaret exakt:

AWS ansvarar för: Fysisk säkerhet i datacenter, hårdvara, nätverksnivå, hypervisor, kryptering av underliggande infrastruktur, SOC 2 Type II-certifiering.

Kunden ansvarar för: Operativsystem och applikationskonfiguration, IAM-konfiguration och åtkomstkontroll, kryptering av data i vila och transit, nätverkskonfiguration (VPC, säkerhetsgrupper), backup och katastrofåterställning, loggning och övervakning.

GDPR Art. 32 kräver att du vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder. AWS:s infrastruktur ger dig verktyg — men du måste använda dem rätt.

AWS-tjänster med GDPR-relevans

Amazon S3: Aktivera Server-Side Encryption (SSE-S3 eller SSE-KMS), blockera offentlig åtkomst (Bucket Public Access Block), aktivera S3 Access Logging, och konfigurera Lifecycle Rules för automatisk radering enligt din lagringsminimeringspolicy.

Amazon RDS / Aurora: Aktivera encryption-at-rest vid databaskapacitetsskapande (kan inte aktiveras i efterhand utan att migrera), aktivera automatiska backuper med krypterade snapshots, och konfigurera VPC-peering för att hålla databaserna i privata subnät.

AWS Lambda och ECS: Undvik att logga personuppgifter i CloudWatch-loggar — detta är ett vanligt misstag där request-headers, request bodies och felmeddelanden innehåller personuppgifter och hamnar i okrypterade loggar utan automatisk radering.

Amazon Cognito: Används för användarhantering och autentisering. Cognito-data (e-post, telefon, custom attributes) lagras i din valda region. Aktivera MFA, konfigurera lösenordspolicyer, och sätt en explicit lagringstid för inaktiva användarkonton.

DPIA och AWS

Om din applikation på AWS behandlar känsliga personuppgifter, genomför profilering i stor skala, eller systematisk övervakning, krävs en DPIA. AWS erbjuder en DPIA-mall specifik för AWS-miljöer via AWS Compliance-portalen. Inkludera:

  • Vilka AWS-tjänster som används och i vilken region
  • Hur data flödar mellan AWS-tjänster
  • Vilka åtkomstkontroller som finns
  • Backup- och raderingsrutiner
  • AWS Config-regler som monitorerar compliance-avvikelser

Amazon Web Services erbjuder GDPR-compliant databehandling i EU-regioner (eu-west-1 Ireland, eu-central-1 Frankfurt, eu-north-1 Stockholm). AWS Data Processing Addendum (AWSDPA) är automatiskt inkluderat i AWS Customer Agreement och uppfyller GDPR artikel 28-krav utan separat förhandling.

Kontrollera att S3-buckets, RDS-databaser och Lambda-funktioner är deployade i eu-north-1 (Stockholm) eller eu-central-1 (Frankfurt) för Schrems II-säker behandling. AWS CloudTrail loggar all API-aktivitet och ger fullständigt revisionsspår för IMY-granskning.

AWS har certifieringar för ISO 27001, SOC 1/2/3 och BSI C5, vilket stärker GDPR artikel 32-uppfyllnad om tekniska och organisatoriska säkerhetsåtgärder. Vid personuppgiftsincident i AWS-miljö är ni som personuppgiftsansvariga ansvariga för IMY-anmälan inom 72 timmar – AWS rapporterar infrastrukturincidenter till er, men ni ansvarar för bedömningen av GDPR-påverkan. AWS Config och AWS Security Hub tillhandahåller kontinuerlig kontroll av säkerhetskonfigurationer i er AWS-miljö. Aktivera dessa tjänster för att automatiskt detektera GDPR-relevanta avvikelser, t.ex. S3-buckets med publik åtkomst eller krypterings-gaps i RDS-instanser som innehåller personuppgifter.

IMY-precedent

AWS-infrastruktur och databiträdeskeden — IMY:s vägledning om underbiträden

IMY har i vägledningar 2024 betonat att organisationer som använder molninfrastruktur (AWS, Azure, GCP) som underbiträden måste dokumentera hela biträdeskeden i sin registerförteckning och säkerställa att deras egna klienter (om de är biträden) har informerats om och godkänt underbiträdeskedjan. AWS:s standardavtal inkluderar godkännade av AWS:s underbiträden — men din organisation behöver fortfarande kommunicera denna kedja till dina kunder.

Alla IMY-beslut

NIS2-guide för Sverige — Cybersäkerhetslagen 2026

AWS-baserade tjänster kan falla under NIS2 om de är kritiska för din verksamhet. Vår NIS2-guide förklarar vem som omfattas och vad som krävs.

Läs NIS2-guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →