KOMMENTAR | Arild Haraldsen

NYE TRUSLER: Debatt på Personverndagen 2026.. Deltakerne fra venstre: Tore Tennøe, administrerende direktør i Teknologirådet, digitaliseringsminister Karianne Tung, direktør i Datatilsynet Line Coll, stortingsrepresentant fra MDG, Marius Dalin, og professor Olav Lysne, Simula.

Digital suverenitet: Regjeringen har ingen plan

EU reduserer nå sin avhengighet av USA på handelsområdet. På samme måte må EU og Norge lage en strategi for uavhengighet av amerikanske teknologileverandører.

Arild Haraldsen Arild Haraldsen Arild Haraldsen KommEntator i Computerworld
Publisert Sist oppdatert

Nupis årlige utenrikspolitiske konferanse ble teknologiavhengighet sidestilt med geopolitiske og sikkerhetsmessige utfordringer på linje med Ukraina-krigen, den transatlantiske tillitskrisen, spenningen i Arktis og maktpolitikkens comeback. Teknologi er ikke lenger bare snakk om markeder, men om makt.

På konferansen pekte forsker Niels Nagelhus Schia, på at teknologisk avhengighet begrenser nasjoners og bedrifters handlingsrom, bestemmer farten og utviklingen på digitaliseringen og bidrar til å forme vår virkelighet.

Behovet for en diversifiseringstrategi

Dagen etter markerte Datatilsynet og Teknologirådet den internasjonale personverndagen 2026.

Temaet var hvordan personvern og tilgang til data nå er blitt et sikkerhetspolitisk tema. Bakgrunnen er offentlig sektors store avhengighet av de amerikanske tek-selskapene, samt usikkerheten i den politikk Trump-administrasjonen nå fører.

Arild Haraldsen

Cand. polit. (statsvitenskap). Mangeårig konsulent innen strategi, digitalisering og organisasjonsutvikling. Tidligere administrerende direktør Norstella, nå selvstendig næringsdrivende (Stratit). 

LES OGSÅ:

97% av statlige etater bruker i dag skytjenester fra amerikanske selskaper, hvorav Microsoft er den klart største. Landets 10 største kommuner bruker skytjenester fra Microsoft. I tillegg har prisene på disse tjenestene økt kraftig, samtidig som Microsoft har kuttet kvantumsrabatten.

Utfordringen er derfor nå ikke bare en juridisk vurdering om etterlevelsesrisiko (bøter), men om hvilken operasjonell risiko bedriftene/etatene kan ta. Det er heller ikke bare personvernreglene som utfordres, men også Grunnloven (nasjonal suverenitet), Sikkerhetsloven (sikkerhetstruende virksomhet) og Aksjeloven (regulering av økonomisk virksomhet). Bekymringen er ikke lenger bare at en 3.part skal få tak i sensitive data, men at de som leverer digitale tjenester til oss, ikke er til å stole på.

Verdimessig realisme vs digital suverenitet

Datatilsynets direktør Line Coll sa under åpningen av Personverndagen at personvern ikke bare dreier seg om enkeltindividets autonomi og ytringsfrihet, men om selve grunnstenen i demokratiet.

Det fikk meg til å tenke på sammenhengen mellom verdimessig realisme og digital suverenitet.

Canadas statsminister Mark Carney holdt i Davos en mye referert tale der han lånte et begrep fra den finske president Alex Stubb: Verdimessig pragmatisme. Begrepet må forstås som å holde fast ved grunnleggende verdier (demokrati, rettstat, personvern og tillit), samtidig som en gjør praktiske, fleksible valg i møte med komplekse realiteter.

Digital suverenitet, på sin side, er å bevare kontroll over kritiske digitale funksjoner for å sikre etatenes/bedriftenes handlingsrom uten uønsket påvirkning utenfra.

Til sammen betyr at vi skal velge digitale løsninger som fungerer innenfor de verdimessige rammer vi setter.

I den sammenheng er en styrket personvernpolitikk en forutsetning for digital suverenitet.

Hva er situasjonen nå?

Datatilsynet har fått medhold i at Grindr – en dating-app for skeive – skal ilegges en bot på 65 millioner kroner for å ha levert persondata til annonsører. Saken slår fast at persondata ikke er en handelsvare. Det er en viktig prinsipiell avklaring. Men utviklingen ellers er urovekkende:

  • De som drar til USA for å se VM-kamper, må oppgi hvilke sosiale medier de har brukt de siste 5 – eller 10 – årene.
  • For ett år siden truet USA Ukraina med å stenge tilgangen til Starlink-satellittene hvis de ikke inngikk en avtale med USA om tilgang til mineraler
  • Avtalen mellom EU og USA om Data Privacy Framework som sikrer at persondata blir like sikkert lagret i USA som i Europa, henger nå i en tynn tråd. En konsekvens er at det blir vanskeligere for amerikanske skytjenester å operere i Europa.

Samtidig har flere bedrifter og offentlige etater på eget initiativ forsøkt å redusere den digitale avhengigheten:

  • Larvik kommune gjør seg uavhengig av Microsoft og Google i sine fagsystemer
  • I Danmark har hver tredje kommune gått sammen for å lage nye fellesløsninger basert på open source
  • I Nederland har myndighetene pålagt offentlig sektor å øke bruken av nasjonale og europeiske skytjenester; andelen skal utgjøre 30% innen 2029

Hvilken rolle vil Datatilsynet spille i en diversifiseringsstrategi?

Når geopolitikken utfordrer norsk sikkerhet og personvernet, bør vi åpenbart ha en ny strategi som sprer risiko og reduserer avhengigheten til amerikanske tek-selskaper.

Personvernregler betraktes som hinder og heft i bruk av data, særlig når det gjelder datautveksling. Datatilsynet og GDPR-forordningen ses av mange som det største hinderet for digitaliseringen i Norge.

Men uten et sterkt personvern mister diversifiseringen mye av sin verdi, fordi suverenitet i praksis handler om kontroll over data. Personvern handler derfor ikke bare om å følge lover og regler. Det har også side-effekter:

  • Ved å sette krav til hvilke data som skal lagres hvor, hvem som har tilgang og hvilke rettsregler som gjelder, bidrar Datatilsynet til den markedsmessige konkurranse ved skape mangfold og fleksibilitet. Det kan sammenlignes med den rollen Post- og teletilsynets hadde når en de-regulerte telemarkedet i 90-årene. Det var også en diversifiseringsstrategi fra statens side
  • Datatilsynets forvaltning av personvernet er derfor verktøy for hvordan fellesskapets verdier skal ivaretas
  • Dette bidrar til å skape tillit til de digitale tjenestene - noe som er helt avgjørende i den fortsatte digitalisering av samfunnet

Personvern er dermed en juridisk mekanisme som fremmer teknologisk fleksibilitet, markedskonkurranse og tillit til digitale tjenester.

Dette innebærer ikke nødvendigvis at Datatilsynet får en ny rolle, men at synet på og verdien av Datatilsynets arbeid og personvernreglenes totale betydning, øker.

Dette innebærer ikke nødvendigvis at Datatilsynet får en ny rolle, men at synet på og verdien av Datatilsynets arbeid og personvernreglenes totale betydning, øker.

Samtidig får Datatilsynet en ny utfordring: Deling av data er viktig for innovasjon og verdiskapning i samfunnet. Draghi-rapporten peker på en må lempe noe på reguleringene for at en skal kunne oppnå det. Hvordan Datatilsynet balanserer dette i forhold til regelverket, blir deres store utfordring fremover.

Hva er problemet?

For å lage en strategi for uavhengighet, må vi forstå hva problemet er. Jonas Engestøl Wettre, prosjektleder i Teknologirådet, mente en må være bevisst hvilke problemer en mener det er viktigst å løse:

  • At digitale tjenester stenges, og at driften av Norge AS stopper opp?
  • At noen får urettmessig tilgang data, altså brudd på personvernet?
  • At det blir uetisk, utrygg og uregulert bruk av KI i offentlig sektor?
  • At overføring av persondata til USA blir forbudt?
  • At norske skattepenger unødvendig ender opp i USA?
  • At offentlig sektor bidrar til å konsentrere makt hos teknologiselskapene?
  • At vi styrker Trump-regimet ved å bruke amerikanske tjenester?
  • At vi ikke har konkurrenter til amerikanske selskaper?

Dette er viktige innspill til en strategi.

Så hva gjør regjeringen?

Karianne Tung sa på seminaret at Norge ville få suverenitet over de store tek-gigantene hvis de velger å «etablere» seg i Norge. I en epost til meg presiserer Karianne at hun mente: Når de velger å bruke norske datasentre. «Datasentrene vil være underlagt norsk lovgivning og norsk tilsyn. Det øker mulighetene for nasjonal kontroll, samtidig som avhengigheten til tredjeland reduseres».

Det er riktig at datasentra på norsk jord er underlagt norsk lov, noe som sikrer bedre regulering og kontroll. Men det innebærer ikke at en kan kontrollere hvor dataene lagres, brukes og sendes.

Det er riktig at datasentra på norsk jord er underlagt norsk lov, noe som sikrer bedre regulering og kontroll. Men det innebærer ikke at en kan kontrollere hvor dataene lagres, brukes og sendes. De amerikanske tjenesteleverandørene vil fremdeles være underlagt amerikansk lovgivning. Cloud Act, kan pålegge amerikanske selskaper å utlevere data – også når dataene fysisk ligger i Norge.

Det er nettopp det som er kjernen i debatten om digital suverenitet.

Justiskomiteen på Stortinget ba i mai i fjor regjeringen om å utarbeide en strategi for gradvis løsrivelse fra digitale løsninger som overfører norske persondata til USA innen 1. januar 2026, med mindre USA kan garantere rettssikker personvernbehandling.

Det har ikke skjedd.

Regjeringen har med andre ord ingen plan.

digital suverenitet kommentar debatt datasenter computerworld arild haraldsen eu