Ditt TMS har två hål du aldrig fick veta om.
De flesta TMS-lösningar använder amerikanska molntjänster, vilket gör din data sårbar för US CLOUD Act och FISA 702. Dessa lagar tillåter USA att begära ut din affärskritiska information, ofta utan din kännedom. Navichain erbjuder ett svenskt, oberoende TMS med egna servrar och AI, säkrar din data f
Ditt TMS har två hål
du aldrig fick veta om.
Nästan varje modern logistikplattform vilar på amerikanskägd molninfrastruktur. Det innebär att dina kundflöden, ruttdata och affärshemligheter kan nås av en utländsk makt — helt lagligt, utan att du märker något, och utan att du någonsin underrättas. Det är inte en konspirationsteori. Det heter US CLOUD Act och FISA 702.
De flesta TMS-lösningar driftas på Azure, AWS eller Google Cloud — plattformar som lyder under US CLOUD Act och FISA 702, två amerikanska lagar som ger myndigheter rätt att komma åt din data, oavsett var i världen servern står — och utan att du någonsin informeras.
Navichain är det enda svenska TMS:et som bryter den kedjan: egna servrar i Sverige, egna AI-modeller, noll beroende av amerikansk infrastruktur. Resultatet är full datasuveränitet — utan att offra ett uns av funktionalitet.
Dataparadoxen som ingen berättar om
Tänk dig att du just vunnit ett nytt avtal med en stor livsmedelskedja. De vill ha kundspecifika ruttdata, realtidsrapporter och integrationer mot deras WMS. Du levererar. Allting fungerar. Men någonstans i datacenterdjungeln — i Virginia, i Dublin, i Frankfurt — lagras varje tur, varje lastbilsrörelse och varje kundrelation på en server som ett amerikanskt bolag äger och ansvarar för.
Det är inte ett hypotetiskt scenario. Det är hur de allra flesta SaaS-plattformar för logistik fungerar idag — inklusive de du förmodligen utvärderar just nu. AWS, Azure och Google Cloud dominerar den globala molnmarknaden med sammanlagt mer än 65 procent. Och de är alla amerikanska bolag, med allt det innebär juridiskt.
Paradoxen är denna: du gör allt rätt. Du skriver GDPR-konforma databehandlingsavtal. Du väljer leverantörer med ISO 27001-certifiering. Du bockar av alla boxar i er informationssäkerhetspolicy. Och ändå — i kraft av två specifika amerikanska lagar — kan dina operativa data, era kunders godsflöden och era affärskritiska relationer vara tillgängliga för en utländsk myndighet. Utan din vetskap. Utan att leverantören ens får berätta om det.
US CLOUD Act – vad lagen faktiskt säger
Clarifying Lawful Overseas Use of Data Act antogs 2018 och ger amerikanska myndigheter rätt att begära ut data från amerikanska teknikbolag, oavsett var i världen datan faktiskt lagras. Det räcker att moderbolaget är amerikanskt — din AWS-server i Frankfurt, ditt Azure-datacenter i Amsterdam och Googles datacenter i Stockholm omfattas samtliga.
Den europeiska flaggan på hemsidan ändrar ingenting. GDPR-avtalen ändrar ingenting. Schrems-certifieringarna ändrar ingenting. Den amerikanska lagen trumfar — och det är inte en tolkningsmöjlighet, det är det explicita syftet med lagen.
Processen kräver att en amerikansk åklagare utfärdar ett s.k. warrant eller en court order. Det är en rättslig process med domstolsbeslut. Leverantören är skyldig att lämna ut data och du som kund informeras inte nödvändigtvis på förhand — och i många fall inte alls.
Om du använder ett TMS som bygger på AWS, Azure eller Google Cloud kan en amerikansk åklagare med ett domstolsbeslut begära ut din data — inklusive kundkontrakt, ruttdata, prislistor, fordonspositioner och föraruppgifter. Leverantören kan inte neka. Du kan inte blockera. Och du kanske inte ens informeras.
FISA 702 – lagens mörkare källarvåning
Om CLOUD Act är grunden, är Section 702 i Foreign Intelligence Surveillance Act källarvåningen. Och den är mörkare.
FISA 702 ger amerikanska underrättelsetjänster — NSA, FBI, CIA — rätt att rikta övervakningsinsatser mot icke-amerikanska medborgare och organisationer utomlands via amerikanska elektroniska kommunikationstjänster. Det kräver inte ett domstolsbeslut i vanlig mening. Det kräver inte att du är misstänkt för något brott. Det kräver inte att du ens underrättas — det finns en inbyggd tystnadsplikt som förhindrar leverantören från att berätta att de lämnat ut information.
Det är viktigt att förstå skillnaden mot CLOUD Act i praktiken. CLOUD Act är ett brottsbekämpningsverktyg med ett rättsligt förfarande. FISA 702 är ett underrättelseverktyg som opererar vid sidan av det ordinarie rättssystemet — och som specifikt är konstruerat för att rikta sig mot icke-amerikaner.
Amerikanska underrättelsetjänster kan i realtid begära åtkomst till all kommunikation och all data som hanteras av amerikanska molntjänster — utan domstolsbeslut, utan förvarning, utan att du eller din leverantör får berätta om det efteråt. Din data om kundflöden, fordon, förare och affärsavtal kan samlas in, analyseras och lagras av en utländsk underrättelsetjänst. Du får aldrig veta. Din leverantör får inte berätta.
CLOUD Act vs. FISA 702 – en direkt jämförelse
Kombinationen av de två lagarna skapar ett fullständigt rättsligt vakuum för europeiska företag som använder amerikanska molntjänster. Det är viktigt att förstå hur de skiljer sig åt — och varför båda är problematiska, fast på olika sätt.
| Aspekt | US CLOUD Act | FISA 702 |
|---|---|---|
| Syfte | Brottsbekämpning | Underrättelseinhämtning |
| Domstolsbeslut krävs? | Ja — warrant eller court order | Nej — FISC-godkännande, inte vanlig domstol |
| Riktar sig mot | Alla — amerikaner och utlänningar | Icke-amerikaner utomlands (specifikt) |
| Måste du informeras? | Sällan — kan hemlighållas | Aldrig — tystnadsplikt för leverantören |
| Leverantören kan neka? | Nej — juridisk skyldighet | Nej — nationell säkerhetsskyldighet |
| GDPR-skydd hjälper? | Nej — lagen tillämpas ändå | Nej — oförenlig med EU-rätten |
| Navichain berörs? | Nej — ej amerikanskt bolag/infrastruktur | Nej — ej amerikanska tjänster |
Varför GDPR inte skyddar dig
Det vanligaste missförståndet i branschen är att GDPR och databehandlingsavtal utgör ett effektivt skydd mot CLOUD Act och FISA 702. Det gör de inte — och det är inte en tolkningsfråga, det är ett faktum som bekräftats upprepade gånger av de högsta europeiska rättsinstanserna.
Europeiska Datatillsynsmannen (EDPS) och Europeiska Dataskyddsstyrelsen (EDPB) har upprepade gånger slagit fast att FISA 702 är oförenlig med EU:s grundläggande rättigheter. Schrems II-domen 2020 ogiltigförklarade Privacy Shield just på grund av FISA 702. EU-domstolen bedömde att övervakningsbefogenheterna under FISA 702 inte begränsas till vad som är strikt nödvändigt, och att de som drabbas inte har tillgång till effektiva rättsmedel — två krav som är oundgängliga för att dataöverföringar ska vara lagliga enligt EU-rätten.
Det nuvarande ramverket, EU-U.S. Data Privacy Framework som sjösattes 2023, befinner sig redan under juridisk attack i EU-domstolen. Ingen seriös dataskyddsjurist förväntar sig att det överlever en ny Schrems-prövning oförändrat.
Det innebär att varje databehandlingsavtal du skriver med en AWS, Azure eller Google Cloud-baserad TMS-leverantör innehåller en inbyggd juridisk spricka — en som ingen mängd tillägg, bilagor eller certifieringar kan täta.
Den juridiska tidens gång – vad vi vet händer
-
Snowden-avslöjandena
Edward Snowden avslöjar NSA:s massövervakningsprogram, inklusive PRISM — som möjliggörs av FISA 702. Första gången europeisk allmänhet och lagstiftare förstår verkliga konsekvenser.
-
Schrems I — Safe Harbor ogiltigförklaras
EU-domstolen underkänner Safe Harbor-ramverket i Schrems I-domen. Max Schrems drar till domstol mot Facebook, vars data lagrades i USA under NSA-tillsyn.
-
US CLOUD Act antas
Lagen ger amerikanska myndigheter explicit rätt att begära ut data från US-baserade molntjänster globalt. Kritiseras omedelbart av europeiska dataskyddsorgan.
-
Schrems II — Privacy Shield ogiltigförklaras
EU-domstolen underkänner Privacy Shield specifikt på grund av FISA 702. Standardavtalsklausuler (SCC) kvarstår men kräver individuella konsekvensbedömningar som i praktiken är svåra att uppfylla för molntjänster.
-
EU-U.S. Data Privacy Framework sjösätts
Nytt ramverk antas för att möjliggöra transatlantiska dataflöden. Kritiseras av integritetsskyddsorganisationer och datasuveränitetsexperter som otillräckligt givet att FISA 702 förblir oförändrad.
-
Ny juridisk prövning pågår
Schrems III är redan på gång. Dataskyddsmyndigheter i Sverige, Tyskland och Frankrike har börjat granska och bötfälla europeiska bolag för USA-dataöverföringar. Branschens juridiska konsensus: det nuvarande ramverket lever på lånad tid.
En ny Schrems-dom kan över en natt göra din nuvarande TMS-lösning icke-kompatibel med GDPR — och tvinga dig till en stressad, kostsam migrering av år av operativ data under pågående drift. Utan garanti för att historiken följer med. Det är inte ett scenario att planera för. Det är ett scenario att undvika.
Navichain: Arkitektur byggd för suveränitet
Navichain är inte ett system som i efterhand klistrat på ett "säkerhetslager". Suveräniteten sitter i arkitekturen från dag ett — ett resultat av ett medvetet val som gjordes när plattformen designades, och som nu utgör ett strukturellt konkurrensförsprång som är omöjligt att kopiera utan att bygga om från grunden.
Det handlar om tre kompromisslösa val som skijer Navichain från varenda konkurrent på den skandinaviska marknaden:
- Total datasuveränitet — fysisk och juridisk All applikationslogik och all kunddata driftas på Navichains egna servrar, exklusivt placerade i Sverige. Inget beroende av AWS, Azure eller Google Cloud. Inget moderbolag i Delaware. Det innebär att varken US CLOUD Act eller FISA 702 är tillämpliga — inte som en tolkning, utan som ett juridiskt faktum grundat i moderbolagets jurisdiktion och den fysiska infrastrukturens lokalisering.
- Proprietär AI utan läckage Många system skickar din operativa data till externa AI-API:er för analys — OpenAI, Cohere, eller liknande. Navichain kör egna AI-modeller för ruttplanering och beslutsstöd lokalt på sina egna servrar. Din data lämnar aldrig den säkra, svenska miljön. Inte ens för att bli bättre rutt. Drop & Go, vår AI-drivna tolkning av inkommande fraktorder direkt från e-post och PDF, körs inhouse.
- Kontroll i hela kedjan Från serverhårdvara till optimeringsmotor äger och kontrollerar Navichain varje länk. Det ger ett oberoende som ingen molntjänst kan matcha — och innebär att en politisk kris i Washington, ett geopolitiskt spänningsläge eller ett domstolsbeslut i USA aldrig kan påverka tillgängligheten till eller säkerheten för ditt eget system.
- Telematikhårdvara med europeisk grund Navichain samarbetar med Teltonika — ett europeiskt företag med produktion i Litauen — för fordonshårdvara. Via HaaS-modellen (Hardware as a Service) till 199 SEK/fordon/månad erbjuds FMC650-enheter med 4G/GNSS/Bluetooth utan hög kapitalkostnad. Det innebär att hela stacken, från GPS-signal till beslutsmotor, förblir inom europeisk jurisdiktion.
Suveränitet utan att offra funktionalitet
Det vanligaste motargumentet är att säkerhet och datastyrning kostar funktionalitet. Att man måste välja. Det är ett missförstånd som förmodligen spridits av leverantörer vars affärsmodell kräver att du integrerar med deras ekosystem — och deras moln.
Verkligheten är att Navichain under decennier betjänat åkerier längs hela spektrumet — från enfamiljeföretag med ett par lastbilar till operatörer med hundratals fordon och komplexa flöden. Det är inte ett kompromissystem för dem som nöjer sig med lite. Det är en fullskalig plattform med de kapabiliteter som krävs för att vinna och behålla stora kundkontrakt i en konkurrensutsatt marknad.
Specifikt innebär det: AI-driven ruttplanering med hänsyn till körtidsregler, vägrestriktioner och realtidstrafik. Automatisk färdskrivartömning. Drop & Go — automatisk tolkning av inkommande fraktorder från e-post och PDF utan manuell inmatning. E-CMR-stöd för digital fraktsedel som uppfyller kraven i eCMR-konventionen. ADR-hantering med farliggodsklassificering och dokumentgenerering. IOM-modul för inventarie- och lagerhantering. Sömlösa integrationer mot Fortnox, Visma och Hogia. 3PL- och WMS-flöden för operatörer med tredjepartslogistik.
Allt detta. Utan att din data rör sig en millimeter utanför landets gränser.
Och nej, du behöver inte kompromissa med priset heller
Navichain erbjuder en kostnadsfri plan för upp till 2 användare och cirka 50 bokningar per månad — tillräckligt för ett litet åkeri att utvärdera systemet på riktigt, med verklig data. Den betalda planen börjar på 199 SEK per användare och månad. Inga dolda startkostnader, inga dyrbara implementationsprojekt, ingen lång bindningstid.
HaaS-modellen med Teltonika FMC650-enheter gör att du inte ens behöver investera i hårdvara — du abonnerar på fordonshårdvara för 199 SEK per fordon och månad. Det är enterprise-arkitektur till SME-pris. Med den juridiska säkerhet som bara en genuint svensk plattform kan erbjuda.
Frågor om CLOUD Act, FISA 702 och TMS-säkerhet
US CLOUD Act (2018) ger amerikanska myndigheter rätt att begära ut data från amerikanska teknikbolag oavsett var datan fysiskt lagras. Det innebär att AWS, Azure och Google Cloud — även om deras servrar finns i Frankfurt eller Amsterdam — måste lämna ut din data på begäran från en amerikansk åklagare. Du som kund informeras inte nödvändigtvis. För svenska åkerier som använder molnbaserade TMS-lösningar på dessa plattformar innebär detta att operativ data, kundflöden och affärshemligheter potentiellt kan nås av en utländsk myndighet.
CLOUD Act kräver att en amerikansk åklagare utfärdar ett domstolsbeslut (warrant eller court order) för att begära ut data. FISA 702 är mer ingripande: den ger amerikanska underrättelsetjänster (NSA, FBI, CIA) rätt att övervaka icke-amerikanska medborgare och organisationer via amerikanska elektroniska tjänster, utan krav på vanligt domstolsbeslut och utan att vare sig du eller din leverantör tillåts berätta om det i efterhand. Som icke-amerikan är du ett specifikt mål för FISA 702 — lagen konstruerades just för att riktas mot utländska medborgare.
Nej. Schrems II-domen 2020 ogiltigförklarade Privacy Shield specifikt på grund av FISA 702, vars befogenheter EU-domstolen bedömde vara oförenliga med EU:s grundläggande rättigheter. Det nuvarande ramverket EU-U.S. Data Privacy Framework är redan under juridisk prövning. GDPR-klausuler och databehandlingsavtal med amerikanska molnleverantörer skyddar dig inte mot dessa lagar — de gäller parallellt och kan inte avtalas bort med ett GDPR-tillägg.
Nej — om leverantören är ett amerikanskt bolag eller ägs av ett amerikanskt bolag. Under US CLOUD Act är de juridiskt skyldiga att efterleva en order. Vägrande kan leda till att bolaget hålls i förakt inför domstol. Det finns möjligheter att bestrida ordern, men leverantören kan aldrig helt neka att samarbeta med processen. Under FISA 702 finns dessutom en aktiv tystnadsplikt — de kan inte ens berätta för dig att det hänt.
Navichain driftas uteslutande på egna servrar i Sverige, utan beroende av AWS, Azure eller Google Cloud. Eftersom Navichain inte är ett amerikanskt bolag och inte använder amerikansk infrastruktur är CLOUD Act och FISA 702 helt enkelt inte tillämpliga. Dessutom kör Navichain egna AI-modeller lokalt — din operativa data skickas aldrig till externa AI-API:er baserade i USA.
Navichain erbjuder en kostnadsfri plan för upp till 2 användare och cirka 50 bokningar per månad. Betald plan från 199 SEK per användare och månad, utan dolda startkostnader. HaaS-modellen med Teltonika FMC650-enheter finns tillgänglig för 199 SEK per fordon och månad med 24 månaders bindningstid per enhet.
Din data. Ditt land. Ditt system.
Se hur Navichain kan automatisera din logistik — utan att kompromissa med säkerheten, suveräniteten eller din verksamhets oberoende. Gratis att komma igång, inga bindningstider.
Prova Navichain gratisGratis upp till 2 användare · Inga bindningstider · Svenska servrar
