PUB-avtal med Microsoft — 365, Azure och Teams
Microsoft är en av de dominerande personuppgiftsbiträdena för svenska organisationer. Förstå Microsofts DPA-struktur, EU Data Boundary och de specifika GDPR-inställningarna för Microsoft 365 och Azure.
Microsoft är för de flesta svenska organisationer — myndigheter, kommuner, företag och ideella organisationer — den enskilt viktigaste IT-infrastrukturleverantören. Microsoft 365 (Outlook, Teams, SharePoint, OneDrive) driver daglig kommunikation och dokumenthantering. Azure är plattformen för molninfrastruktur. Power Platform (Power BI, Power Apps) används för dataanalys och processtöd.
Det gör Microsoft till en personuppgiftsbiträde av central betydelse, och DPA-hanteringen måste spegla den bredden. Till skillnad från Google — som erbjuder produkt-specifika DPA-aktiveringar — tillhandahåller Microsoft ett enhetligt Product Terms-dokument och ett Microsoft Products and Services Data Protection Addendum (DPA) som täcker samtliga Microsofts produkter och tjänster. Det är mer strukturerat men kräver fortfarande aktiv hantering.
En utmaning specifik för Microsoft är att organisationer sällan köper Microsoft-licenser direkt — de köper via återförsäljare (CSP-partners, EA-kunder, MPSA) som Microsoft-distributörer. I en sådan kedja är det viktigt att tydliggöra vem som är personuppgiftsansvarig, vem som är biträde, och hur DPA-flödet ser ut: kunden har DPA med Microsoft, men återförsäljaren kan ha separata avtal som påverkar dataflödet.
Microsofts EU Data Boundary-initiativ, som lanserades i faser under 2023–2025, är det mest ambitiösa försöket av en hyperscaler att möta Europeiska tillsynsmyndigheters krav: en löfte om att all EU-kunddata för kommersiella produkter ska lagras och processas inom EU:s gränser. Men EU Data Boundary är inte komplett — det finns undantag för säkerhet, support och diagnostiska tjänster — och det kräver teknisk konfiguration av organisationen.
För svenska offentliga organisationer tillkommer specifika krav: Offentlighets- och sekretesslagen (OSL) och kommunallagen ställer begränsningar på vad som kan läggas i molntjänster utanför Sverige. SKR (Sveriges Kommuner och Regioner) och DIGG har publicerat vägledningar om molntjänster i offentlig sektor — dessa ska beaktas parallellt med GDPR-kraven.
Kontrollera er compliance på några minuter
Generera ditt PUB-avtal med Microsoft gratis på 10 minuter
Kör gratis skanningMicrosofts DPA-struktur
Microsofts dataskyddsavtal är samlat i ett dokument: Microsoft Products and Services Data Protection Addendum (DPA). Det täcker alla kommersiella Microsoft-tjänster inklusive Microsoft 365, Azure, Dynamics 365 och Power Platform. Dokumentet uppdateras kontinuerligt och finns tillgängligt på aka.ms/DPA.
Microsofts DPA aktiveras automatiskt när du godtar Microsofts Product Terms. Du behöver inte manuellt signera ett separat avtal — men du måste:
- Ha giltiga Microsoft-licenser med godtagna Product Terms
- Konfigurera datalagring och behandlingsinställningar via Microsoft 365 Admin Center och Azure Portal
- Dokumentera att ni godtagit DPA:n och på vilket datum
EU Data Boundary
Microsofts EU Data Boundary är ett åtagande om att lagra och processa EU/EEA-kunders molndata inom EU:s gränser. Per 2026 täcker EU Data Boundary:
Täckt av EU Data Boundary: Microsoft 365 (Exchange Online, SharePoint Online, OneDrive, Teams), Azure kommersiella tjänster, Dynamics 365, Power Platform.
Undantag (data kan processas utanför EU): Microsofts supporterbjudanden, säkerhetstjänster (Defender), diagnostisk telemetri och professionella tjänster. Microsoft publicerar en transparent förteckning över dessa undantag på Microsoft's Trust Center.
För att aktivera EU Data Boundary: gå till Microsoft 365 Admin Center > Inställningar > Org Settings > Data Location och välj EU-region.
Microsoft Teams och personuppgifter
Teams är den produkten där personuppgiftsbehandlingen är mest komplex:
Mötesregistreringar: Mötesregistreringar i Teams lagras i OneDrive (enskilt) eller SharePoint (kanalregistreringar). Dessa registreringar innehåller bilder, röster och ibland känslig affärsinformation. Lagringstiden bör specificeras i er dataskyddspolicy — standard är ingen automatisk radering.
Transkriptioner: Teams AI-transkriptioner skapar textdokument av mötesinspelningar. Dessa är personuppgifter om alla deltagare och kräver rättslig grund. I de flesta organisationer är rättslig grund berättigat intresse (intern kommunikation, dokumentation) — men deltagare ska informeras om att transkription sker.
Teams-analys: Microsoft Viva Insights samlar in beteendedata om Teams-användning på individnivå. Aktivering av individnivåanalys kräver separat bedömning ur ett arbetsrätts- och integritetsperspektiv.
Azure och molninfrastruktur
När din organisation använder Azure för att köra applikationer som behandlar personuppgifter är Azure ett personuppgiftsbiträde — oavsett om applikationen är ett HR-system, ett CRM eller en e-handel.
Azures DPA täcker infrastrukturen men din organisation är ansvarig för: - Konfiguration av datalagring inom rätt region (välj West Europe eller North Europe) - Krypteringsinställningar (Azure Disk Encryption, Azure Key Vault) - Åtkomstkontroll (Azure Active Directory, RBAC) - Backup- och katastrofåterställningsplan
Microsoft och offentlig sektor
För svenska myndigheter, kommuner och regioner tillkommer krav utöver GDPR. SKR och DIGG rekommenderar att offentliga organisationer gör en riskbedömning innan känslig information läggs i Microsofts molntjänster, med hänsyn till:
- OSL:s sekretessklassificering av information
- FISA Section 702 — risken att US-underrättelsetjänster kan begära åtkomst till data lagrat av amerikanska företag (inklusive Microsoft) oavsett var data lagras
- Microsofts Data Transfer Impact Assessment (DTIA) som Microsoft tillhandahåller för att dokumentera riskerna med tredjelandsöverföring
SKR:s rekommendation (uppdaterad 2025) är att ordinär kommunal verksamhetsdata kan hanteras i Microsoft 365 med EU Data Boundary aktiverat, men att data klassad som sekretess enligt OSL ska utvärderas separat.
Microsoft har lanserat EU Data Boundary-programmet som innebär att kunddata för Microsoft 365 och Azure behandlas och lagras uteslutande inom EU och EES. Detta täcker Exchange Online, SharePoint, Teams och Azure-tjänster om kunden väljer rätt datacenter-region. Kontrollera att er Azure-tenant är konfigurerad till Sweden Central eller West Europe för att säkerställa EU-lagring.
Microsoft Purview Compliance Manager ger löpande compliance-poäng och spårar hur väl er M365-miljö uppfyller GDPR-krav. Aktivera Microsoft Defender for Cloud Apps för att få synlighet i dataflöden och identifiera oväntat datadelning.
DPA-avtalet med Microsoft uppdateras automatiskt vid ny tjänsteversion. Prenumerera på Microsoft Trust Center-notifikationer för att få meddelande om ändringar i sub-processor-listan eller DPA-villkoren. Microsoft Purview Information Protection klassificerar och skyddar dokument med personuppgifter automatiskt och underlättar GDPR-compliance för e-postarkiv och SharePoint-bibliotek. Aktivera sensitivity labels för konfidentiell persondata för att minska risken för oavsiktlig spridning.
IMY-precedent
Datatilsynet och Microsoft — danska beslut med relevans för Sverige
Datatilsynet (Danmarks dataskyddsmyndighet) utfärdade 2022 ett beslut mot Helsingörs kommun om användning av Google Chromebooks — men beslutet fick bred relevans för alla Microsoft 365 och Google Workspace-implementationer i offentlig sektor. Beslutet krävde att kommunen stoppar överföring av elevdata till USA utan adekvata skyddsåtgärder. IMY har hänvisat till liknande hänsyn vid frågor om Microsoft 365 i svenska kommuner.
Alla IMY-beslutGDPR-guide för svenska företag
Komplett guide till GDPR inklusive PUB-avtal med molntjänstleverantörer, registerförteckning och tredjelandsöverföring.
Läs guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →