Morten Lyhne Petersen
En ny EU-förordning ger polis i ett medlemsland tio dagar – eller åtta timmar vid akut fara – att få ut digital data från tech-företag i ett annat.
Den 18 augusti 2026 börjar EU:s e-Evidence-förordning att tillämpas, och den ändrar i grunden hur brottsbekämpande myndigheter över gränserna kan komma åt elektroniska bevis. I stället för långsamma rättshjälpsförfaranden mellan stater kan en åklagare i exempelvis Spanien, Rumänien eller Tyskland vända sig direkt till en svensk tjänsteleverantör och kräva ut uppgifter om en användare.
Reglerna gäller alla tjänster som riktar sig till EU-marknaden. Det innefattar e-postleverantörer, sociala medier, meddelandetjänster, molnlagring och teleoperatörer. Förordningen omfattar fyra kategorier av data: abonnentuppgifter, IP-adresser för identifiering, trafikdata och innehållsdata.
Tio dagar i standardfall, åtta timmar vid akut fara
Tidsfristerna är snäva. En tjänsteleverantör som tar emot en europeisk utlämningsorder ska enligt Post- och telestyrelsen lämna ut uppgifterna inom 10 dagar, eller inom åtta timmar i nödsituationer. Bevarandeordrar kan utfärdas på 60 dagar, med möjlighet till förlängning.
Företag som inte följer reglerna riskerar sanktioner. Större leverantörer kan få böter på upp till två procent av den globala årsomsättningen. Anmälningsplikten för svenska utlämningsställen startar redan 1 juli 2026, och själva utlämningsskyldigheten träder in 18 augusti.
För de tyngsta kategorierna av data, trafikuppgifter och innehåll, krävs att brottet kan ge minst tre års fängelse, eller att det rör sig om listade typer som terrorism, it-brott, bedrägeri eller övergrepp mot barn. För enklare abonnentuppgifter räcker vilket brott som helst.
Regeringen: ska få farliga människor inlåsta
Den svenska följdlagstiftningen klubbades i riksdagen i våras. Justitieminister Gunnar Strömmer beskrev syftet som att korta ledtiderna i utredningar med digital data utomlands.
”I stället för att gå via utländska myndigheter och behöva vänta i flera månader för att få tag på kritisk information ska polis och åklagare kunna vända sig direkt till berörda techföretag”, sade Strömmer i regeringens pressmeddelande den 9 mars 2026.
Han argumenterade att reformen i förlängningen handlar om att ”se till att farliga människor sitter inne, så att skötsamma människor kan vara trygga”.
Civilsamhället varnar för missbruk
Förordningen har mötts av hård kritik från digitala rättighetsorganisationer. European Digital Rights, EDRi, har återkommande pekat på att den korta tidsfristen och den begränsade rollen för den stat där data finns lagrad innebär att utländska ordrar i praktiken inte hinner granskas av svenska myndigheter innan de verkställs.
EDRi har varnat för att förordningen riskerar att hota rättigheterna för journalister, advokater, läkare och socialarbetare som hanterar känslig information om tredje part. Tjänsteleverantörer kan visserligen invända mot en order, men endast på snäva grunder, som immunitet, pressfrihet eller en uppenbar kränkning av EU-stadgan om grundläggande rättigheter.
De flesta EU-länder är inte klara
Drygt två månader före tillämpningsdatum är beredskapen ojämn. En analys i februari 2026 visade att bara fyra medlemsstater hade antagit nationell genomförandelagstiftning för det medföljande direktivet: Kroatien, Italien, Litauen och Slovakien.
Den 27 mars 2026 skickade EU-kommissionen formella underrättelser till 22 medlemsstater för bristande genomförande. Det decentraliserade it-system som ska transportera ordrarna mellan myndigheter och företag, byggt på plattformen e-CODEX, är fortfarande under utveckling.
Frågan är om svenska leverantörer hinner sätta rutiner på plats. Och hur Integritetsskyddsmyndigheten ska följa upp att utländska myndigheters förfrågningar om svenska användares data behandlas rättssäkert när de kommer in i tusental.
