Hvad sker der med dine backups, hvis en amerikansk præsident beslutter, at din organisation eller dit land er uønsket?
Ja. Det lyder dramatisk. Men det skete i virkeligheden.
I maj 2025 mistede Den Internationale Straffedomstols (ICC) chefanklager Karim Khan adgang til sin Microsoft-konto. Årsagen var sanktioner fra Trump-administrationen. Khan blev tvunget til at skifte til Proton Mail, en schweizisk e-mailtjeneste, mens hans britiske bankkonti blev frosset. I oktober 2025 bekræftede ICC, at de skifter hele organisationens digitale arbejdsmiljø væk fra Microsoft 365 til openDesk, en europæisk open source-løsning udviklet af det tyske Center for Digital Suverænitet (ZenDiS).
ICC’s beslutning var ikke symbolsk. Den var strategisk. Med cirka 1.800 arbejdsstationer sender domstolen et klart signal om, at afhængighed af amerikansk teknologi udgør en operationel risiko for internationale institutioner.
Det handler ikke om politik. Det handler om infrastruktur.
Bruger din virksomhed Veeam, Carbonite eller Azure Backup? Så ligger dine backups hos amerikanske selskaber, underlagt Cloud Act og præsidentielle dekreter.
Cloud Act (Clarifying Lawful Overseas Use of Data Act) blev vedtaget af den amerikanske kongres i marts 2018. Loven kræver, at amerikanske teknologivirksomheder udleverer data på forespørgsel fra amerikanske myndigheder, uanset hvor i verden dataen fysisk er lagret. Det betyder, at selv om din backup ligger i et datacenter i Frankfurt eller Stockholm, kan den amerikanske regering kræve adgang, hvis udbyderen er et amerikansk selskab.
For danske virksomheder skaber dette en grundlæggende konflikt med GDPR og den kommende NIS2-lovgivning, der begge stiller krav om databeskyttelse og kontrol over, hvor og hvordan data behandles.
Amerikanske backup-løsninger under Cloud Act
Følgende backup-løsninger er underlagt amerikansk jurisdiktion:
Veeam blev i 2020 opkøbt af det amerikanske investeringsselskab Insight Partners for 5 milliarder dollars. Virksomheden flyttede samtidig sit hovedkvarter fra Schweiz til USA og er nu baseret i Kirkland, Washington. Veeam er i dag en amerikansk virksomhed med amerikansk ledelse.
Azure Backup er Microsofts cloud backup-løsning. ICC-sagen demonstrerer, hvordan Microsoft kan afbryde adgang til tjenester på ordre fra den amerikanske regering.
AWS Backup er Amazons backup-tjeneste, underlagt samme Cloud Act-bestemmelser som alle andre amerikanske cloud-udbydere.
Google Cloud Backup leveres af Alphabet og er ligeledes underlagt amerikansk lovgivning.
Commvault er en enterprise backup-løsning med hovedkvarter i New Jersey.
Rubrik er baseret i Palo Alto og børsnoteret på New York Stock Exchange.
Cohesity/Veritas fusionerede i december 2024 og er nu verdens største databeskyttelsesleverandør målt på omsætning. Den kombinerede virksomhed er amerikansk med hovedkvarter i San Jose.
Backblaze har EU-datacentre, men virksomheden er amerikansk og dermed underlagt Cloud Act uanset dataens fysiske placering.
Druva leverer sin backup-løsning 100% hostet på AWS-infrastruktur og er dermed dobbelt eksponeret over for amerikansk jurisdiktion.
Europæiske alternativer med egen infrastruktur
Der findes europæiske alternativer, hvor data forbliver under EU-lovgivning:
Keepit er en dansk virksomhed grundlagt i 2007 med hovedkontor i København. Keepit driver egne datacentre i Danmark, Tyskland og Storbritannien uden brug af sub-processors. Løsningen understøtter backup af Microsoft 365, Google Workspace og Salesforce. Backups er immutable by design, hvilket betyder, at de ikke kan ændres eller slettes af ransomware. Keepit er certificeret efter ISO 27001 og ISAE 3402 og understøtter compliance med NIS2, GDPR og DORA.
Hetzner er en tysk familievirksomhed, der har eksisteret siden 1997. De tilbyder Storage Box fra 3,20 euro om måneden og S3-kompatibel Object Storage fra 5,99 euro om måneden. Al infrastruktur ligger i Tyskland og Finland.
Impossible Cloud er en nyere tysk spiller fra Hamburg. De tilbyder S3-kompatibel storage uden egress-gebyrer og driver udelukkende EU-datacentre. Løsningen virker med eksisterende backup-software som Veeam, Acronis og Nakivo, så du kan skifte storage-backend uden at ændre hele din backup-strategi.
Acronis har hovedkvarter i Schaffhausen, Schweiz, og driver egne datacentre. Deres Cyber Protect Cloud kombinerer backup og sikkerhed i én platform. I 2025 blev Acronis majoritetsejeret af det svenske private equity-selskab EQT, hvilket holder virksomheden inden for europæisk kontrol.
Jottacloud er norsk og driver 100% egen infrastruktur i Norge. De tilbyder ubegrænset backup og opererer under streng skandinavisk privatlivslovgivning. Deres datacentre kører på grøn strøm.
Hvorfor overveje et skift?
Et skift til europæiske backup-løsninger giver flere konkrete fordele:
For det første eliminerer du Cloud Act-eksponering. Dine data kan ikke udleveres til amerikanske myndigheder uden om europæisk lovgivning.
For det andet forbliver dine data under EU-lovgivning med de beskyttelser, som GDPR og kommende EU Data Act giver.
For det tredje bliver NIS2-compliance enklere. Artikel 21 i NIS2-direktivet stiller specifikke krav til backup management og disaster recovery. En europæisk løsning med dokumenteret uafhængighed af tredjelandsjurisdiktioner forenkler compliance-arbejdet.
For det fjerde kan det ofte være billigere. Mange amerikanske cloud-udbydere opkræver betydelige egress-gebyrer, når du skal hente dine data ud. Europæiske alternativer som Impossible Cloud har ingen skjulte gebyrer.
For det femte får du med Keepit dansk support og en dansk virksomhed, der forstår danske compliance-krav.
Hvad bør du gøre nu?
Start med at kortlægge, hvilke backup-løsninger din virksomhed bruger i dag. Identificér, hvilke af dem der er underlagt amerikansk jurisdiktion. Vurder derefter, om din virksomhed kan acceptere den risiko, som Cloud Act udgør.
Hvis du er usikker på, hvor din virksomhed står i forhold til backup-sikkerhed og compliance, kan en uvildig cybersikkerhedsaudit give dig overblik over din nuværende situation og konkrete anbefalinger til forbedringer. For virksomheder, der er omfattet af NIS2-direktivet, tilbyder vi specifik NIS2-audit, der inkluderer vurdering af backup og disaster recovery.
Det handler ikke om paranoia. Det handler om rettidig omhu.
Har din virksomhed en plan B for backup?
Har du brug for hjælp til at vurdere din backup-strategi?
Hos Nielco IT tilbyder vi uvildig rådgivning om IT-sikkerhed uden leverandørpartnerskaber. Vi kan hjælpe dig med at kortlægge din nuværende backup-situation og identificere, om du har Cloud Act-eksponering.
Kontakt os for en uforpligtende snak om din virksomheds backup-sikkerhed.
