Fra å sette bort IT til å miste kontroll

Mange virksomheter setter ut (outsourcer), eller kjøper IT-tjenester med gode intensjoner: Lavere kostnader, tilgang på kompetanse, bedre kvalitet. Resultatet viser ofte det motsatte. Kompetansen internt forsvinner, kontrollen går gradvis over til leverandøren, og når man ønsker å ta grep er man allerede låst fast. Outsourcing uten plan er ikke en løsning – det er starten på et nytt problem.

Nasjonal sikkerhetsmyndighet (NSM) peker i Risiko 2026 på at norske virksomheter bygger store deler av sin drift på noen få, ofte utenlandske, teknologileverandører – og at dette er en sårbarhet som går igjen på tvers av sektorer. IT-innkjøp er ikke lenger bare et spørsmål om pris og funksjonalitet. Det har blitt sikkerhetspolitikk.

Fra valg til avhengighet

LES OGSÅ:

• 

  Det er bare å innse: Kidsa vil ikke kode

• 

  Cisco med ny prototype for kvantenettverk

• 

  Samordnet opptak: Ingen bedring for IKT-studiene

• 

  Sterk vekst i omsetningen for Advania

• 

  KI-startup fikk proffstøtte – jakter kapital

Outsourcing og kjøp av store IT-løsninger gjøres sjelden med en plan om å gi fra seg kontrollen. Det skjer gradvis. En virksomhet kjøper et skybasert system her, en SaaS-løsning der, inngår en driftsavtale på kritisk infrastruktur – og etter noen år er man i en situasjon der leverandøren sitter med kompetansen, systemene og dataene, mens virksomheten sitter igjen med regningene og lite annet.

Arild Haraldsen (Computerworld, desember 2025) beskrev dette mønsteret i kommunesektoren: Kommunene inngår lange kontrakter med IT-leverandører, bidrar med sin fagkompetanse i utviklingen av løsningene – og ender opp med systemer de ikke eier og ikke kan ta med seg. Gevinsten tilfaller leverandøren. Den interne kompetansen kommunene selv hadde, er borte. Det er leverandørene som nå setter premissene. Resultatet er at offentlig innovasjon kortslutter, og at monopollignende tilstander vokser frem i markeder som burde vært preget av konkurranse.

Dette er ikke et kommunalt særfenomen. Det samme skjer både i privat sektor og i statlig forvaltning. 97 prosent av statlige etater bruker skytjenester fra amerikanske selskaper, med Microsoft som den klart dominerende aktøren. Prisene på disse tjenestene har økt kraftig de siste årene, og mange virksomheter opplever at kvantumsrabatten de ble lovet ved kontraktinngåelse enten er redusert eller fjernet helt. Leverandøravhengigheten er ikke bare strategisk – den er også kostbar.

Et nytt lag av risiko: jurisdiksjon og geopolitikk

Det som er nytt i 2026, er at leverandøravhengigheten ikke lenger bare handler om pris og byttebarrierer. Den har fått en sikkerhetspolitisk dimensjon. Selskaper underlagt amerikansk jurisdiksjon kan ikke fullt ut beskytte sine kunders data mot myndighetskrav – uavhengig av egne vilkår eller kommersielle garantier. FISA[1] og CLOUD Act[2] kan pålegge utlevering av data uavhengig av hvor de fysisk lagres. OpenAI inngikk nylig en avtale med det Amerikanske Forsvarsdepartementet, som illustrerer at dette potensialet kan bli en praksis under politisk press.

Geir Arne Olsen i Netcompany formulerte det slik i Alltinget i februar 2026: «Stormaktsrivalisering, krig i Europa og et globalt teknologikappløp, gjør digitale avhengigheter om til strategiske sårbarheter». Når vi digitaliserer stadig mer av velferd, infrastruktur og forvaltning, holder det ikke lenger med gårsdagens krav til anskaffelser. Vi må stille spørsmålet om hvem vi gjør oss avhengige av – og om de er styrt av de samme lover og verdier.

Haraldsen påpekte i Computerworld i februar 2026 at Norge fortsatt mangler en samlet strategi for å redusere teknologiavhengigheten på nasjonalt kritiske områder. I Nederland har myndighetene pålagt offentlig sektor å øke bruken av nasjonale og europeiske skytjenester til 30 prosent innen 2029. Larvik kommune har aktivt gjort seg uavhengig av Microsoft og Google i sine fagsystemer. I Danmark har hver tredje kommune gått sammen om nye fellesløsninger basert på åpen kildekode. Norge har ikke en tilsvarende plan.

Det gamle problemet er ikke løst

Midt i alt dette lever det opprinnelige outsourcing-problemet videre. Solli-Sæther og Gottschalk (se kilder under, red, anm.) har fulgt norske virksomheter i dette landskapet i over to tiår, og funnene er entydige: Bedrifter som ikke håndterer kompetanseoverføringen bevisst – både ut og hjem igjen – betaler en høy pris. Innsourcing er ikke enklere enn outsourcing. Kompetansen sitter gjerne igjen hos leverandøren og må bygges opp internt fra bunnen. Det tar tid og koster penger.

Vår erfaring tilsier at flere virksomheter fortsatt setter ut IT på et for svakt grunnlag, samt at man undervurderer hvilken intern kompetanse som må bevares for å beholde styring og kontroll. Uten denne kompetansen mister virksomheten gradvis evnen til å vurdere om leverandøren faktisk leverer det som er avtalt.

Selektivitet og bevisst kontroll – ikke panikk

Svaret er ikke å avvise outsourcing eller skybaserte løsninger. Globale leverandører leverer skalerbarhet, sikkerhet og funksjonalitet til en kostnad ingen nasjonal aktør realistisk kan matche på alle områder. Som en debattant formulerte det i Digi.no nylig: «Digital suverenitet er viktig – men digital selvskading er ikke en strategi».

Det som trengs, er selektivitet og bevisst kontroll. Det innebærer å skille mellom det som er samfunnskritisk og skjermingsverdig, det som er viktig men utskiftbart, og det som trygt kan driftes på globale plattformer. Det betyr å stille krav om åpne standarder og reell interoperabilitet i alle kontrakter – slik at data og tjenester faktisk kan flyttes dersom behovene endrer seg. Og sist, men ikke minst, at virksomheten alltid beholder nok intern kompetanse til å forstå, styre og kvalitetssikre det som er satt ut.

Suverenitet må inn i anskaffelser, kontrakter og leverandøroppfølging fra dag én. Det er ikke IT-avdelingens ansvar, det er ledelsens[3].

Ta styringen – mens det fortsatt er mulig

Outsourcing som strategi forutsetter at man vet hva man setter ut, at man beholder nok kompetanse til å styre det, og at man ikke mister muligheten til å ta tilbake kontrollen dersom forutsetningene endrer seg. Det er ikke nok å skrive gode kravspesifikasjoner. Man må stille spørsmålene som er ubehagelige: Hva skjer om leverandøren hever prisene? Hva skjer om et politisk skifte i Washington D.C. endrer betingelsene? Hva skjer om leverandøren ikke lenger er interessert i vår kontrakt?

Det er ikke outsourcing som er problemet. Det er den manglende grundigheten i beslutningen – og den ofte litt naive troen på at andre kan løse noe man ikke selv forstår fullt ut. I dag er det et spørsmål både om penger og kompetanse, og om nasjonal handlefrihet.

Kilder:

Nasjonal sikkerhetsmyndighet (NSM). Risiko 2026. Oslo: NSM, februar 2026. https://nsm.no/regelverk-og-hjelp/rapporter/risiko-2026

Haraldsen, A. (2025). KS Digital er et uklart prosjekt og trenger ny strategi. Computerworld, 4. desember 2025.

Haraldsen, A. (2026). Digital suverenitet: Regjeringen har ingen plan. Computerworld, 2. februar 2026.

Olsen, G. A. (2026). IT-innkjøp er sikkerhetspolitikk. Alltinget, 13. februar 2026.

Digi.no (2026). Digital selvskading er ikke en strategi. 24. februar 2026.

PwC (2026). Skysuverenitet i praksis. https://www.pwc.no/no/innsikt/skysuverenitet.html

Solli-Sæther, H. & Gottschalk, P. (2008). Modenhet i IT-outsourcingforhold. Industrial Management & Data Systems, 108(5), 635–649.

Solli-Sæther, H. & Gottschalk, P. (2015). Modenhet i outsourcing, offshoring og backsourcing. Journal of Computer Information Systems, 55(2), 88–94.

[1]FISA – Foreign Intelligence Surveillance Act: Gir amerikanske myndigheter hjemmel til å kreve innsyn i kommunikasjon og data fra selskaper under amerikansk jurisdiksjon – også data som gjelder utenlandske borgere og virksomheter.

[2]CLOUD Act – Clarifying Lawful Overseas Use of Data Act: Pålegger amerikanske tjenesteleverandører å utlevere data til amerikanske myndigheter på forespørsel, uavhengig av hvor dataene fysisk lagres i verden.

[3] PWC (2026). Skysuverenitet i praksis