Nervesystemet vi leier

Jurisdiksjonens geografi

Digital suverenitet høres ofte ut som et litt pompøst uttrykk. Men i praksis er det ganske jordnært. Det handler om hvem som bestemmer når reglene kolliderer.

Europa har, i hvert fall i sitt eget selvbilde, forsøkt å bygge et digitalt rom der personvern er en rettighet og ikke bare en innstilling. EU-kommisjonen beskriver databeskyttelse som en grunnleggende rettighet i unionsretten. GDPR er derfor mer enn et sett med formaliteter for jurister; den er et forsøk på å si at mennesket ikke skal reduseres til råstoff for annonsemarkeder, at informasjon om livene våre ikke uten videre skal flyte dit markedet er størst eller staten sterkest.

Det amerikanske teknologiregimet har lenge hatt en annen tyngdeakse. Ikke fordi alt amerikansk er ondt, og ikke fordi Europa er uskyldig, men fordi de største amerikanske plattformene er bygget på en modell der data, profilering, annonsemåling og skala henger tett sammen. Det er dette som gjør dem så effektive, og så vanskelige å erstatte. De selger ikke bare programvare. De selger økosystemer som gjør det dyrt å forlate dem.

Kina representerer en annen type uro. Her er ikke hovedspørsmålet først og fremst annonseøkonomien, men forholdet mellom selskap og stat, mellom kommersiell teknologi og strategiske interesser. I begge tilfeller står Europa i samme situasjon: som bruker, ikke premissleverandør.

Det avgjørende spørsmålet er ikke bare hvor dataene ligger, men hvilken lov som kan nå dem.

Det er derfor denne samtalen ikke kan reduseres til serverplassering alene. «Data i Europa» kan være nyttig, men er ikke alltid nok. Dersom leverandøren er underlagt lovgivning utenfor EØS, kan makten fortsatt ligge et annet sted. Datatilsynet skrev dette uvanlig klart i sin oppdaterte veiledning 29. januar 2026: personopplysninger kan ende opp i ikke-adekvate tredjeland selv når de behandles i EØS, dersom skyleverandøren er underlagt tredjelands lovgivning. Det er en liten setning med stor sprengkraft. Den betyr i praksis at geografien ikke lenger er tilstrekkelig. Man må også lese lovboken bak datasenteret.

Den skjøre lovligheten

Schrems II-dommen fra 16. juli 2020 er et av de øyeblikkene der jussen plutselig avslører infrastrukturen. EU-domstolen sa i klartekst at Privacy Shield ikke holdt, fordi beskyttelsen mot amerikanske myndigheters tilgang ikke var tilstrekkelig. Samtidig lot domstolen standard personvernbestemmelser bestå, men bare på vilkår: virksomheter måtte faktisk undersøke om beskyttelsesnivået i praksis var «vesentlig tilsvarende» det europeiske.

Det var et juridisk jordskjelv, men også en politisk leksjon. Europa hadde i årevis forsøkt å bygge broer over Atlanteren for å få dataflyten til å fortsette. Domstolen sa ikke at slik flyt var umulig. Den sa noe mer ubehagelig: at den ikke kunne tas for gitt.

Så kom neste bro. EU-kommisjonen vedtok 10. juli 2023 EU-US Data Privacy Framework. Juridisk betyr det at personopplysninger igjen kan flyte fritt til amerikanske selskaper som deltar i ordningen. Kommisjonen publiserte sin første periodiske gjennomgang 9. oktober 2024. Det er viktig å si dette høyt, fordi den juridiske situasjonen i 2026 ikke er identisk med den i 2020.

Men den politiske slutningen er at stabiliteten fortsatt er skjør. Når Europa må bygge sin digitale hverdag på gjentatte transatlantiske kompromisser som må tåle nye domstolsprøver, er ikke problemet endelig løst. Det er midlertidig administrert. Lovligheten finnes, men den hviler på en stadig forhandling mellom rettigheter, handel og geopolitikk.

Det er nettopp derfor digital suverenitet ikke er et slagord for romantikere. Det er et forsøk på å redusere hvor mye av samfunnets grunnfunksjoner som er avhengig av at en fremtidig dom, et presidentdekret eller en sikkerhetskrise et annet sted i verden ikke endrer spillereglene over natten.

Norge, det høydigitaliserte randlandet

Norge har et særlig skarpt forhold til dette spørsmålet, fordi vi både er små og svært digitaliserte. OECD skrev i 2024 at Norge rangerte som nummer fire totalt i OECD Digital Government Index 2023. Det er et kompliment, men også en advarsel. Jo mer av staten som faktisk er digital, desto mer alvorlig blir det hvem som eier og drifter de digitale lagene.

Vi er dessuten et randland i flere betydninger samtidig. Et lite språkfellesskap. En åpen økonomi. Et NATO-medlem med tett sikkerhetspolitisk kobling til USA. Et land der offentlig sektor digitaliseres raskt, ofte med god grunn, men der innkjøpsmakten fortsatt er for liten til å sette globale standarder alene.

Digdirs omtale av Skates arbeid i 2025 er nesten nøktern i sin formulering, og nettopp derfor talende: et gjennomgående tema har vært virksomhetenes avhengighet av enkeltleverandører og utfordringer knyttet til flytting av data, applikasjoner og tjenester mellom ulike skyløsninger. Her ligger et stille norsk nøkkelord: portabilitet. Evnen til å flytte seg. Evnen til å forlate.

Det mest interessante ved avhengighet er nemlig ikke at den finnes. Alle moderne stater er avhengige av noe. Det interessante er om den er reversibel. Om man kan bytte leverandør uten å skrive om halve organisasjonen. Om kontrakten inneholder en faktisk utgang, ikke bare en teoretisk.

DFØs markedsplass for skytjenester viser hvor strukturell denne avhengigheten allerede er. Fra 2025 er det inngått fire store rammeavtaler for offentlig skyinfrastruktur og plattformtjenester med IBM, AWS, Oracle og Google Cloud, med en økonomisk ramme på 10 milliarder kroner og 318 tilsluttede virksomheter. Dette er ikke en detalj i et anbudsdokument. Det er et kart over hvor staten forventer å bo digitalt.

At Microsoft ikke står på akkurat denne listen, betyr ikke at Microsoft er fraværende i norsk forvaltning. Tvert imot er mye av den daglige arbeidsflaten i offentlig og privat sektor allerede formet av Microsoft 365, Teams, Office-formatene og det som følger med dem. Poenget er større enn ett selskap: Norge er i ferd med å bli et høydigitalisert samfunn som leier store deler av sitt eget nervesystem.

Suverenitet begynner ofte som et kjedelig innkjøpsspørsmål og ender som et politisk spørsmål om hvem som kan lese, stanse eller prise hverdagen.

Kina og den andre avhengigheten

Om USA er problemet vi har normalisert, er Kina problemet vi oftere snakker om som sikkerhet. Det finnes gode grunner til det. I mars 2023 sa NSM at TikTok og Telegram på tjenesteenheter med tilgang til intern digital infrastruktur medfører høy risiko. EU-kommisjonen gikk samme år langt i sin vurdering av 5G: Huawei og ZTE ble omtalt som materielt høyere risiko enn andre leverandører, og medlemsstatenes restriksjoner ble vurdert som berettigede. I 2026 anbefalte EUs nye verktøykasse for IKT-forsyningskjeder uttrykkelig tiltak for å redusere avhengighet av høyrisikoleverandører.

Dette betyr ikke at all kinesisk teknologi må forstås gjennom paranoia. Det betyr at statlig innflytelse, selskapsstyring, lovgivning og geostrategi ikke kan skilles fra hverandre som om vi fortsatt levde i en verden der teknologi var bare teknologi. TikTok er ikke bare en app. Huawei er ikke bare utstyr. De inngår i maktforhold.

Det er likevel viktig å holde hodet kaldt her. Det norske og europeiske problemet er ikke at alt kinesisk er farlig og alt amerikansk er normalt. Problemet er at vi lenge har manglet et eget nok teknologisk mellomnivå. Dermed blir valget ofte formulert som et binært valg mellom to former for avhengighet: den bekvemme amerikanske og den sikkerhetspolitisk urolige kinesiske.

Det er et dårlig valg. Og det er nettopp derfor Europa må bli mer enn en regulatør. Europa må også bli en tilbyder.

Et europeisk økosystem som kan bære mer enn vi tror

Det finnes allerede europeiske alternativer som fungerer. Ikke som en fullstendig, friksjonsfri kopi av Silicon Valley, og ikke som én enkelt erstatning for hele den amerikanske stakken, men som et økosystem man faktisk kan bygge noe på.

For lagring, samarbeid og dokumentflyt er Nextcloud det mest interessante eksemplet. Selskapet sier selv at oppdraget er å gi organisasjoner kontroll over egne data og egen infrastruktur. Styrken er åpenbar: løsningen kan kjøres i eget miljø eller hos en europeisk driftsleverandør, og bygger på åpne standarder fremfor å låse brukeren inne. Kombinert med dokumentverktøy som Collabora eller LibreOffice er dette mer enn godt nok for mange kommuner, redaksjoner, skoler og mindre virksomheter. Svakheten er også tydelig: det krever mer bevisst drift, mer kompetanse og mindre blind komfort enn Microsoft 365.

For e-post, kalender og fillagring med sterk kryptering er Proton blitt en moden europeisk aktør, riktignok sveitsisk og ikke EU-basert. Proton Drive beskriver alle lagrede filer som ende-til-ende-krypterte. Dette er ikke nødvendigvis løsningen for hele statsforvaltningens kontorhverdag, men det er et reelt alternativ for sensitiv kommunikasjon, redaksjonelt kildevern, profesjonelle miljøer og privatpersoner som ønsker mindre dataeksponering.

For nettverk og personvern finnes Mullvad, eid og drevet fra Sverige, og for nettleseren finnes Vivaldi, som selv beskriver seg som et uavhengig nettleserselskap basert i Norge og på Island. Vivaldi sier rett ut at de ikke sporer brukerne sine. Dette løser ikke skyinfrastrukturen, men det reduserer den daglige og nesten usynlige sporingen som gjør store plattformer så sterke.

På infrastruktursiden finnes det også mer enn mange later til å tro. Hetzner driver egne datasentre i Tyskland og Finland. OVHcloud beskriver seg som Europas ledende skyleverandør. Scaleway markedsfører seg eksplisitt som et europeisk alternativ til hyperskalerne. Ingen av disse tilbyr hele den amerikanske totalpakken i samme omfang som AWS, Azure eller Google Cloud. Men det er heller ikke sikkert at offentlig sektor trenger hele den pakken i alle tilfeller. Mange arbeidslaster er ganske prosaiske: lagring, virtuelle maskiner, databaser, sikkerhetskopier, dokumentflyt, identitetsstyring, interne tjenester.

Det er her den europeiske diskusjonen ofte blir unødig defaitistisk. Man sammenligner det europeiske alternativet med hele summen av alt de amerikanske gigantene kan tilby, og konkluderer så med at Europa ikke duger. Det er som å avvise sykkelen fordi den ikke er et godstog. Spørsmålet er ikke om hver europeisk aktør alene kan erstatte hele Big Tech. Spørsmålet er om Europa kan sette sammen en robust og interoperabel arkitektur for de funksjonene samfunnet faktisk trenger mest kontroll over. Svaret er oftere ja enn debatten later som.

Det betyr også å være ærlig om begrensningene. Europeiske søkemotorer er fortsatt ofte delvis avhengige av andre indekser. Europeiske kontorpakker kan være mindre elegante. Europeisk sky kan være smalere, dyrere eller mindre utviklervennlig på noen områder. Men et voksent samfunn velger ikke alltid det mest friksjonsfrie. Det velger noen ganger det som gir størst handlingsrom når været skifter.

Å bygge et handlingsrom

Norsk og europeisk digital suverenitet kommer ikke til å se ut som en total løsrivelse. Det er verken realistisk eller nødvendigvis ønskelig. Poenget er ikke autarki. Poenget er å slutte å bygge alt viktig på irreversible avhengigheter.

Det burde få noen ganske konkrete følger.

For det første må staten skille hardere mellom bekvemmelighetsverktøy og samfunnskritisk infrastruktur. Det er én ting å bruke en utenlandsk tjeneste til et avgrenset formål der dataene er lite sensitive og utgangskostnaden lav. Det er noe annet å legge saksbehandling, dokumentforvaltning, skolehverdag, helseopplysninger eller identitetsnære tjenester inn i økosystemer der både jussen og forhandlingsmakten ligger utenfor Europa.

For det andre må offentlige anskaffelser belønne portabilitet, åpne standarder og reelle exit-planer. Ikke i festtaler, men i kontrakt. Hvis en leverandør gjør det dyrt å forlate plattformen, er det ikke bare et teknisk irritasjonsmoment. Det er et demokratisk problem.

For det tredje må Norge tenke mer europeisk enn nasjonalt. Vi er for små til å bygge alt selv, men store nok til å være med på å bygge noe sammen. En nordisk og europeisk strategi for offentlige skyer, åpen kildekode, identitetsforvaltning, dokumentstandarder og sikker samhandling ville gitt langt mer mening enn den vanlige norske refleksen: å kjøpe det verden allerede bruker og håpe at jussen ordner resten.

Til slutt må vi slutte å snakke som om dette bare handler om teknologi. Det handler om politisk stil. Om et samfunn som enten vil være bruker av andres systemer, eller medeier i sine egne.

For et lite land som Norge er suverenitet sjelden et spørsmål om stormakt. Den er oftere et spørsmål om å ha nok rom til å trekke seg unna når avhengigheten blir for dyr. I den analoge verdenen forsto vi det intuitivt. Vi visste at strømnett, havner, vannforsyning og telelinjer ikke bare var service, men samfunnsgrunnlag. I den digitale verdenen oppfører vi oss fortsatt ofte som om infrastrukturen er en appbutikk.

Det er den ikke. Den er et nervesystem. Og vi leier det.

Og kanskje er det dette Europa først nå begynner å forstå: at frihet i den digitale tidsalderen ikke bare handler om hva vi har lov til å si, men om hvilke systemer vi er tvunget til å si det gjennom.