# Self-hosting som professionell praxis

> Cuadernos Lacre
> https://solo2.net/sv/anteckningsboecker/articulos/fraagan-mellan-molnet-och-kaellaren-self-hosting.html

Det är bra att börja med att avmystifiera ett ord som skrämmer utan anledning: server. En server är inte en mystisk maskin i ett kylt rum. Det är helt enkelt någon annans dator —eller din egen— som lagrar information och levererar den till den som ber om det. I decennier förvarade vi våra kunders information i en mapp, i ett arkivskåp, på skrivbordet, och ingen låg sömnlös över det. Information var inte skrämmande för att den var på papper; den behöver inte vara det bara för att den är på en disk heller.

«Molnet» är inte heller eteriskt. Det är ett företags dator, nästan alltid långt borta och nästan alltid någon annans. Jag lärde mig det oavsiktligt den dagen då jag, i förlitan på att mina filer var i säkert förvar i Google Drive, upptäckte att mappen på min dator inte innehöll mina dokument, utan genvägar till dokument som bodde någon annanstans. Om det andra stället bestämde sig för att stänga, ändra priset eller säga upp tjänsten, skulle mitt lugn ha försvunnit med det. Jag ägde inte mina saker; jag hade tillstånd att få åtkomst till dem.

Därifrån föds frågan i detta Häfte, enklare att formulera än att besvara: var bör dina klienters data bo? Och dina egna? Den offentliga samtalet framställer den som om det bara fanns två motstridiga svar — de stora plattformarnas moln eller att sätta upp det själv —, nästan en fråga om vilket läger man tillhör. Men det är inte två vägar: det är tre, och ingen av dem är en trosakt. Lästa i lugn och ro har de fler nyanser och kräver mer än det verkar.

Det är lätt att tro att konfidentialitet är en sak för advokater, läkare eller journalister, och att resten inte har något att dölja. Det är ett fel, och ett dyrt sådant. Nästan varje verksamhet lagrar data om sina kunder som lyder under lagen, och många lagrar, utan att veta om det, information som är långt mer känslig än den verkar.

En soffaffär antecknar namnet, adressen och telefonnumret på den som köper; finns det finansiering, även dennes ekonomiska uppgifter. Ett renoverings- eller inredningsföretag bevarar foton av insidan av sina klienters hem och de fullständiga ritningarna över deras bostäder. Ett städföretag hanterar ritningarna över de kontor det städar, ofta markerade med färger och siffror som anger vilken anställd som går in var, vid vilken tid och med vilken nyckel. Inget av detta verkar vara mycket förrän man frågar sig för vem annars det skulle ha värde: dessa städritningar är, sedda med andra ögon, den perfekta kartan för den som vill ta sig in för att stjäla.

Att en verksamhet är liten, eller att den säljer soffor istället för att föra rättsprocesser, gör inte dess data värdelösa eller att lagen slutar gälla för den. Det gör bara att ägaren tenderar att tänka mindre på det. Och att tänka lite på något som är ditt ansvar är precis där problemen börjar.

Här uppstår den omedelbara invändningen, och den är rimlig: om jag har allt på kontorsdatoren, vad händer om den går sönder? Frågan är god. Svaret är att det säkerhetsnät vi föreställer oss hos de stora leverantörerna är mer blygsamt —och lättare att efterlikna— än det verkar.

När jag lämnar mina data i datacentret hos ett multinationellt företag litar jag på att de har kopior på flera ställen. Och troligtvis har de det: på en andra plats, kanske på en tredje. Men den redundansen är inte oändlig och framför allt är den inte min: det förblir en hårddisk som jag inte äger, hanterad av någon som jag visar ett förtroende jag nästan aldrig verifierar.

Samma nät kan jag väva själv, och med en avgörande fördel. Min dagliga tjänst bor på kontorsdatoren. Därifrån lagrar jag en krypterad kopia på ett vänligt företags dator —en kollega i yrket, ett annat betrott kontor— och en annan krypterad kopia, om jag vill, hos samma europeiska leverantör som vi pratade om. Skillnaden är allt: det jag lämnar ute är inte min tjänst eller mina data i klartext, utan en krypterad kopia som bara jag kan öppna. Den externa leverantören förvarar en låst kista som vederbörande inte har nyckeln till. Jag anförtror honom inte min information: jag anförtror honom några bytes som utan mig inte betyder någonting.

Låt mig berätta en personlig historia, för den illustrerar detta bättre än något argument. I mer än tio år var jag en trogen kund hos CrashPlan, en tekniskt sett extraordinär säkerhetskopieringstjänst. Jag säkerhetskopierade alla mina datorer och min familjs datorer —företagets och hemmets, allt— i deras moln, med versioner som jag kunde återställa med den frekvens jag önskade, och resa tillbaka i tiden till en specifik fil från månader tidigare. Efter den första kopian överförde den bara skillnaderna, krypterat och komprimerat, så att jag höll en enorm säkerhetskopia uppdaterad med nästan ingen ansträngning. Det räddade mig många gånger, från ett obetydligt dokument till en hel disk. Priset steg under åren och jag brydde mig inte: jag betalade med glädje.

Vad jag inte visste var att CrashPlan hade gjort ett räknefel: de hade lovat obegränsat lagringsutrymme genom kontrakt, både i utrymme och tid. Och utrymme multiplicerat med tid —år av historik, versioner var femte minut— växer tills det blir ohållbart. En dag meddelade de oss alla att tjänsten upphörde. De gjorde det med elegans och med en generös tidsfrist, nästan ett år, och gav oss medel att ladda ner vårt eget. Men vart går man med mer än tio år av versionerade kopior av alla sina diskar? Där upptäcker man att man varken har ett sätt att ladda ner allt eller någonstans att göra av det, och att även om man kunde, skulle det nya lagret kosta en förmögenhet.

Jag räddade fyra oumbärliga saker. Resten försvann när de slog av strömbrytaren. Jag var lugn, min information var i säkerhet... tills den slutade vara det. Och inte på grund av ett svek: CrashPlan uppförde sig oklanderligt — till skillnad från Evernote, som år senare uppförde sig skamligt —; helt enkelt beslutade min skyddsängel i molnet, med all rätt, att sluta vara det. Resultatet var för mig identiskt: det jag trodde var säkert försvann.

Det denna historia verkligen lär oss har mer med mänsklig natur att göra än med teknik. När man känner att något är ens eget ansvar agerar man förebyggande: man tar kopior, säkrar ryggen, är misstänksam med gott omdöme. När man —felaktigt— tror att ansvaret bärs av en stor och solid tredje part, slappnar man av och låter det bero. Det delegerade lugnet är inte försiktighet: det är, utan smink, en form av oansvarighet.

Den tysta oansvarigheten liknar mycket den hos föräldrar som skriver in sin son på den dyraste skolan, betalar för en masterutbildning efteråt, och med det tror att de har uppfyllt sin plikt. De har inte uppfyllt sin plikt. Att vara förälder är att oroa sig för vad han lärt sig idag, om det han inte förstår, om hans värderingar, om hans självförtroende. Om den sonen vid tjugofem års ålder inte vet hur man arbetar eller beter sig, är felet inte skolans som tog emot pengarna: det ligger hos den som delegerade och betalade i tron att det räckte. Att betala en tredje part befriar inte från ansvar. Det har det aldrig gjort.

Med data är det likadant, och den nutida historien bekräftar det. För femtio eller hundra år sedan förvarade en yrkesperson sina klienters saker i mappar, på sitt kontor eller hemma, och kände sig ansvarig för dem. Sällan gick något förlorat. Vi har gått över till den digitala världen och laddar, med häpnadsväckande lätthet, upp allt till »molnet« — som inte är något annat än ett multinationellt företags dator — och slutar bekymra oss. Och ofta inträffar olyckor, och det finns företag som förlorar allt, och då säger man: det var Googles fel, det var Microsofts fel. Nej. Informationen är din, eller dina klienters, men den ansvarige är du.

Att hosta sina egna saker är inget tekniskt infall: det är att återfå det lugn som fanns för decennier sedan, det att veta var varje sak är och varför. Dataskydd har under tiden upplevt en tvär pendelrörelse —från frånvaron av alla regler, när vem som helst utan eftertanke visade upp en kunds data, till ett krav som faller med oproportionerlig hårdhet på den minsta, frilansaren som ger en kunds telefonnummer till budet. Jag diskuterar inte målet; jag observerar missförhållandet. Men missförhållandet fritar oss inte: den dag myndigheterna har medel att spåra och sanktionera i stor skala, kommer storlek att sluta skydda någon, och det är klokt att inte vänta på den dagen med ett oorganiserat hus. Att ha data under egen kontroll hjälper till att följa regler och hjälper till att bevisa det. Och framför allt sätter det tillbaka saker på sin plats: när informationen är din, är ansvaret helt och hållet ditt —det finns ingen tredje part att skylla på, inte heller en tredje part vars misslyckande exponerar dig—.

Det vore ohederligt att måla detta utan skuggor. Att inta mellanhandens plats innebär att bära dess börda: att hålla säkerhetskopior uppdaterade, att tillämpa uppdateringar och ett juridiskt ansvar — RGPD:s — som i själva verket aldrig helt upphörde att vara ditt (fotnotsreferenserna anger artiklarna i detalj). Det finns arbete, och det finns en dag då något brister vid en olämplig tidpunkt. Vi döljer det inte.

Men rädslan som omger det ordet, ansvar, är felkalibrerad. Det är mycket lättare att förlora dina filer i en molntjänst som stänger, eller dina foton i Google Foto, än att förlora den mapp med viktiga dokument du har på din egen dator: den du vet var den finns och vars frånvaro du skulle märka så snart den försvann. Det du känner som ditt vårdar du; det du tror är i säkerhet i någon annans händer försummar du.

Tänk på forna tiders fotoalbum, de av framkallat papper förvarade i en låda. Har du någonsin hört någon säga att de »förlorade« sitt familjealbum? Man hör talas om huset som brann med albumet inuti; att bara förlora det, nej. Och däremot, folk som hade alla sina foton i Google Foto eller i Apple Foton och blev kvar med ingenting: den historien återkommer med några månaders mellanrum, eftersom de trodde att det var i säkerhet. Google Foto vårdar dina foton, javisst; men det vårdar dem inte som föräldrar vårdar albumet där deras barn och barnbarn finns. Den skillnaden åtgärdas inte av något datacenter: ansvar, när det är ditt, är inte bara en börda; det är också den bästa garantin.

## Källor och vidare läsning

- Förordning (EU) 2016/679 — artikel 28 (personuppgiftsbiträde), artikel 32 (säkerhet vid behandling), artikel 33 (anmälan om personuppgiftsincident), artikel 37 (utnämning av dataskyddsombud).
- Den spanska datainspektionen (AEPD) — *Praktisk guide för riskanalys vid behandling av personuppgifter* (nuvarande version). Ramverk för personuppgiftsansvariga som åtar sig egna tekniska funktioner.
- Europeiska dataskyddsstyrelsen — *Guidelines 1/2024 on processing of personal data based on legitimate interests*. Tillämplig även för proportionalitetsbedömning vid beslut om egen infrastruktur.
- Europeiska kommissionen — offentlig förteckning över leverantörer av informationstjänster etablerade inom europeisk jurisdiktion. Administrativ utgångspunkt för att identifiera europeiska hanterade hosting-möjligheter.
- Nextcloud GmbH (Tyskland) — *Nextcloud Enterprise architecture and compliance documentation*. Dokumenterat fall av fri programvara med självhostade och hanterade lösningar via europeisk leverantör; användbart som teknisk referens för ett projekt som stöttats inom europeisk jurisdiktion sedan 2016.

---

*Cuadernos Lacre · En utgåva från Menzuri Gestión S.L. · skriven av R.Eugenio · redigerad av teamet bakom Solo2.*
*https://solo2.net/sv/anteckningsboecker/*
