Tillbaka till resurser
Success Stories

Så säkrar kommuner data i Azure – med full kontroll över krypteringsnycklar

Mar 17, 2026

5 min

Illustration av en svensk kommun som lagrar data i Microsoft Azure med extern nyckelhantering och full kontroll över krypteringsnycklar

En oväntad situation tvingar fram ett välgrundat beslut

”Data måste krypteras, och krypteringsnycklarna måste kontrolleras av kommunen själv”

När en av Sveriges kommuner stod inför en omfattande ombyggnation av sina lokaler uppstod en ovanlig utmaning: hela datacentret behövde utrymmas under en längre period. Det handlade inte om en planerad migrering, utan om att under tidspress hitta en lösning som var tekniskt stabil, juridiskt hållbar och säkerhetsmässigt försvarbar.

Efter att ha utvärderat olika alternativ fattades beslutet att tillfälligt flytta servrar och data till Microsoft Azure. Molnet erbjöd den skalbarhet och tillgänglighet som situationen krävde, men en tidig risk- och konsekvensanalys satte en tydlig gräns.

En förutsättning var inte förhandlingsbar: data måste krypteras – och krypteringsnycklarna måste kontrolleras av kommunen själv, på svensk mark och utanför Microsofts infrastruktur.

Detta beslut kan verka tekniskt komplext, men i praktiken handlar det om något grundläggande: vem som faktiskt har kontroll över kommunens mest känsliga information.

Varför räcker det inte att lita på molnleverantörens kryptering?

Det är en vanlig missuppfattning att data i publika moln automatiskt är säker bara för att den är krypterad. Kryptering i sig är en teknisk funktion – men säkerheten avgörs av vem som kontrollerar nycklarna.

Om nycklarna hanteras av molnleverantören innebär det att leverantören, under vissa omständigheter, kan få åtkomst till datan. Det kan handla om juridiska krav, säkerhetsintrång eller avtalsmässiga situationer.

För en kommunal verksamhet, som hanterar känsliga personuppgifter, socialtjänstärenden och hälsodata, är detta inte en acceptabel risk.

Kontroll över nycklarna är kontroll över datan – inte bara i teorin, utan i praktiken.

Kommunens analys landade därför i tre tydliga krav:

  • Nycklarna måste hanteras under svensk lagstiftning
  • Infrastruktur måste finnas i Sverige
  • Kommunen ska ha full kontroll över nycklarnas livscykel

Compliors lösning: KMS med hårdvarubaserat skydd

Complior levererade en KMS-tjänst (Key Management System) som drivs från svenska datacenter, under svensk lagstiftning, med lokal drift och tillgänglighet.

Lösningen är inte en standardprodukt, utan en anpassad plattform där kommunen får en tjänst som är utformad efter deras specifika krav, policyer och säkerhetsbehov.

Hårdvaruskydd med HSM

För att säkerställa maximal säkerhet skyddas plattformen av hårdvarusäkerhetsmoduler (HSM). En HSM är en fysisk enhet som är särskilt framtagen för att lagra och hantera kryptografiska nycklar.

Nycklarna kan inte exporteras eller komprometteras – inte ens av administratörer med hög behörighet. Detta är samma säkerhetsnivå som används inom bank- och betalningssektorn och betraktas som industristandard.

Full kontroll över nycklarnas livscykel

Kommunen administrerar själv hela livscykeln för sina krypteringsnycklar:

  • Skapande
  • Rotation
  • Låsning
  • Borttagning

Dessutom definierar kommunen egna policyer för:

  • Vilka system som får använda vilka nycklar
  • Under vilka förutsättningar
  • Med vilken autentisering

Hur fungerar det i Azure-miljön?

I Azure installeras en klient på kommunens servrar och databaser. Denna klient kommunicerar kontinuerligt med Compliors nyckelplattform i Sverige.

När data ska krypteras eller dekrypteras sker det via klienten, som hämtar rätt nyckel och utför operationen enligt de policyer kommunen har definierat.

Nycklarna lämnar aldrig svensk infrastruktur.

Det innebär att även om någon skulle få tillgång till datan i Azure – oavsett om det är Microsoft eller en angripare – är informationen värdelös utan nycklarna.

Lösningen är helt transparent för användarna. Medarbetarna arbetar som vanligt, medan säkerhetsnivån i bakgrunden är avsevärt högre.

Vad ger en central nyckelhanteringsplattform utöver säkerhet?

En ofta underskattad fördel med en central KMS är den operativa överblicken.

Kommunens IT-organisation kan i realtid se:

  • Vilken data som är krypterad
  • Vilken metod som används
  • Vilka nycklar som skyddar vilken data
  • Vilka system och användare som har åtkomst

Detta är information som annars är svår att sammanställa när kryptering är utspridd över flera system.

Förenklad revision och efterlevnad

En central plattform förenklar även revision och efterlevnad av regelverk som GDPR.

Vid tillsyn eller granskning finns all relevant information samlad, spårbar och lätt att presentera – vilket minskar både risk och administration.

Complior levererar säkerhetstjänster för organisationer med höga krav på dataskydd, compliance och kryptografisk kontroll – från HSM-tjänster och nyckelhantering till tokenisering och PCI DSS-certifierad infrastruktur. Allt från svensk mark med lokalt team.