Bedriftsverktøy

Proton for norske bedrifter - ta kontroll over data i EU

De fleste norske bedrifter tror dataavtalen med Google eller Microsoft er nok for GDPR. Den er ikke det.
Bernt Roalkvam
Daglig leder

En lov fra 2018 kalt CLOUD Act gir amerikanske myndigheter rett til å kreve utlevering av data fra amerikanske teknologiselskaper, uansett hvor i verden dataene er lagret. Selv om Google sier serverne dine er i Dublin, er Google et amerikansk selskap underlagt amerikansk lov.

Hvem eier egentlig bedriftsdataene dine?

Du signerte en databehandleravtale. Du haker av på "Vi er GDPR-compliant" i årsrapporten. Du har til og med valgt en EU-basert serverplassering i Google-innstillingene.

Men det er én ting som ikke står i den avtalen: den amerikanske Cloud Act av 2018.

Den loven gir amerikanske myndigheter rett til å kreve utlevering av bedriftsdata direkte fra Google og Microsoft, uten å informere selskapet det gjelder, og uavhengig av om dataene er lagret på servere i Irland, Amsterdam eller Frankfurt.

Google og Microsoft er amerikanske selskaper. Det spiller liten rolle at serverne er i Europa.

Hva er CLOUD Act, og hva innebærer det i praksis?

Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ble vedtatt i USA i 2018. Loven gir amerikanske myndigheter myndighet til å pålegge amerikanske teknologiselskaper å overlevere data fra sine tjenester, uansett i hvilket land dataene er lagret. (https://www.justice.gov/criminal/cloud-act-resources)

Konkret betyr det at:

  • Bedriftsepost, filer og kalendere på Google Workspace eller Microsoft 365 er tilgjengelig for amerikanske myndigheter dersom de ber om det
  • Europeisk serverplassering løser ikke dette, fordi selskapene selv er underlagt amerikansk lov
  • Du vil ikke nødvendigvis bli varslet om en slik forespørsel finner sted

Dette er ikke en teoretisk risiko reservert for store multinasjonaler. Det gjelder alle norske bedrifter som bruker disse plattformene.

Hva som faktisk utgjør et problem for din bedrift avhenger av type data du håndterer. For advokatfirmaer, helseforetak, bedrifter med offentlige kontrakter, eller selskaper med sensitiv kildekode og salgsstrategier er dette en vesentlig eksponering.

Hvorfor er Sveits et unntak fra dette?

Proton er registrert i Genève, Sveits. Det er ikke tilfeldig.

Sveits er ikke et EU-land, men EU-kommisjonen har anerkjent Sveits som et land med tilstrekkelig databeskyttelse, tilsvarende GDPR. Sveitsisk personvernrett (nFADP, revidert 2023) er blant de strengeste i verden. EU-kommisjonens anerkjennelse av Sveits

Viktigere: Sveits er ikke underlagt CLOUD Act. Et sveitsisk selskap er ikke forpliktet til å utlevere data til amerikanske myndigheter etter intern sveitsisk lov.

I tillegg bruker Proton ende-til-ende-kryptering på alt. Det betyr at selv om noen skulle kreve tilgang, finnes det ingenting lesbart å gi ut. Proton har ikke nøklene til dine data. Du har dem.

Proton beskriver dette selv som "zero-access encryption": ikke engang Proton kan lese hva du lagrer.

Hva betyr ende-til-ende-kryptering i en bedriftskontekst?

Hos Google krypteres data i overføring og på disk. Men Google har likevel tilgang til å lese innholdet for å levere tjenestene sine, inkludert søk i e-post, annonsetilpasning og AI-funksjoner.

Hos Proton krypteres e-post, filer og kalendere på enheten din, før de forlater den. Kun den tiltenkte mottakeren kan dekryptere innholdet. Proton selv sitter ikke med nøkkelen.

For bedrifter betyr dette:

  • E-postutveksling mellom ledelse og styre forblir konfidensiell
  • Kontrakter og tilbud lagret i Proton Drive er utilgjengelig for tredjeparter
  • Interne passord i Proton Pass kan ikke leses av Proton
  • Videomøter i Proton Meet er ikke tilgjengelig for avlytting

Protons krypteringsarkitektur er åpen kildekode og har blitt uavhengig revidert av eksterne sikkerhetseksperter.

Hvilke norske bedrifter bør ta dette på alvor?

Svaret er: alle som håndterer data de faktisk ikke ønsker at andre skal lese.

Men det er spesifikke sektorer der dette er særlig relevant:

Jus og regnskap: Advokatfirmaer og revisorer har taushetsplikt. Sensitiv klientinformasjon lagret på Google-plattformer er eksponert for CLOUD Act.

Helse: Norske helseforetak er underlagt strenge krav til pasientdatavern. Sky-plattformer underlagt amerikansk lov skaper et komplianseproblem.

Offentlige kontrakter: Bedrifter som leverer til norsk offentlig sektor kan ha kontraktkrav om datasuverenitet.

Teknologi og IP: Selskaper med verdifull kildekode, produktutviklingsdata eller patentsøknader har åpenbar interesse i å holde dette utilgjengelig for aktører de ikke kjenner.

Alle andre: E-post og filer mellom en daglig leder og styret er bedriftshemmelig. Salgstall er strategisk informasjon. Det er ikke paranoia å ønske kontroll over dem.

Hva koster det å ta tilbake kontrollen?

Proton for Business har tre prisnivåer. Essentials-planen starter på rundt 6,99 euro per bruker per måned og inkluderer Proton Mail, Calendar og Drive med utvidet lagring.

Til sammenligning koster Google Workspace Starter rundt 7 dollar per bruker per måned.

Prismessig er det marginalt. Forskjellen er hva du faktisk kjøper:

  • Google: tjenester fra et selskap underlagt CLOUD Act, som leser innholdet ditt for å levere tjenestene
  • Proton: tjenester fra et sveitsisk selskap der primæreier er Proton Foundation (ideell stiftelse), med null tilgang til innholdet ditt

Proton har ingen annonser. De selger ikke data til tredjeparter. Forretningsmodellen er abonnement fra brukere, ikke kommersialisering av innhold.

Hva er ulempene med Proton?

Det er reelle avveininger å vite om.

Proton er ikke like godt integrert med tredjepartsapper som Google. Noen automatiseringsverktøy du er vant til (Zapier-integrasjoner, CRM-kobinger) er mer begrenset enn med Google Workspace.

Proton Docs og Sheets er fremdeles under utvikling og er ikke på nivå med Google Docs eller Microsoft Office i funksjonsrikdom. For bedrifter som er avhengige av avansert regnearkfunksjonalitet, er dette noe å vurdere.

Kryptert e-post gjelder fullt ut bare mellom Proton-brukere. Sender du en e-post til noen med Gmail, er kun din side kryptert. Proton tilbyr riktignok kryptert e-post til ikke-Proton-brukere via passordbeskytte meldinger, men det er et ekstra steg i hverdagen.

Det betyr at Proton passer best for bedrifter der datasikkerhet er en prioritet, og der man er villig til å akseptere litt mindre funksjonell fleksibilitet mot det.

Takk for at du leste! Håper du fant innholdet informativt. Hvis du vil diskutere eller lære mer er det bare å sende meg en

direkte melding på LinkedIn.

-

Bernt Roalkvam

Dennen artikkelen ble sist oppdatert:
11.03.2026

Ta tilbake kontrollen over bedriftsdataene dine

Norske bedrifter overfører daglig sensitiv forretningsinformasjon til plattformer underlagt amerikanske lov, uten å vite om det.

Som norges første Proton partner hjelper vi bedriften din med å vurdere om Proton passer, og kan bistå med å sette opp sikker, kryptert e-post, fillagring og passordbehandling.

Kontakt oss om datasikkerhetKontakt oss om datasikkerhet

Her har vi samlet de vanligste spørsmålene vi mottar

Hva er CLOUD Act og gjelder det norske bedrifter?

CLOUD Act er en amerikansk lov fra 2018 som gir amerikanske myndigheter rett til å kreve bedriftsdata fra selskaper som Google og Microsoft, uansett hvor dataene er lagret. Norske bedrifter som bruker disse plattformene er dermed eksponert for dette, uavhengig av at serverne er i Europa.

Er Proton GDPR-kompatibelt?

Ja. EU-kommisjonen anerkjenner Sveits som et land med tilstrekkelig databeskyttelse tilsvarende GDPR. Proton er fullt ut GDPR-kompatibelt og behandler data etter sveitsisk personvernlovgivning (nFADP).

Hva betyr ende-til-ende-kryptering i praksis?

Det betyr at data krypteres på din enhet, og at ingen andre enn deg og mottakeren kan lese innholdet. Ikke engang Proton har tilgang. Dette skiller seg fra Google, der tjenestene har tilgang til innholdet for å levere funksjonalitet.

Kan vi bruke eget bedriftsdomene med Proton Mail?

Ja. Du kan koble ditt eget domene (f.eks. kontakt@dinbedrift.no) til Proton Mail, akkurat som med Google Workspace eller Microsoft 365. Overgangen er transparent for kunder og partnere.

Mister vi viktig funksjonalitet ved å bytte til Proton?

Kjernefunksjonene e-post, kalender, fillagring, passordbehandling og dokumentredigering er alle tilgjengelig. Noen tredjepartsintegrasjoner og avanserte funksjonaliteter er mer begrenset enn hos Google. Det viktigste er å kartlegge hvilke spesifikke verktøy bedriften er avhengig av, og sjekke Proton-kompatibilitet.

Hvem bruker Proton?

Over 100 millioner brukere og organisasjoner bruker Proton globalt, inkludert over 100 000 bedrifter. Proton er anbefalt av FN og er kåret til ett av de ledende personvernalternativene av CNET, PCMag og Independent IndyBest.

Kontinuerlig forbedring er eneste veien videre! Hva syntes du om dette innlegget?

Takk for tilbakemeldingen! Dette vil bidra til at vi kan justere og prioritere innholdet på nettsiden.

Lær mer om

Bedriftsverktøy

Som et av norges mest erfarende nettsidebyrå er vi avhengig av å alltid være oppdatert på nye trender og tenkikker, disse deler vi selvfølgelig med kundene våre.

Bernt Roalkvam
Proton Pass - passordbehandler for norske bedrifter
Bedriftsverktøy
Bernt Roalkvam
Slik fungerer Proton for norske bedrifter
Bedriftsverktøy
Bernt Roalkvam
Slik bytter du til Proton for bedriften
Bedriftsverktøy