Det finnes en motsetning IT-systemforvalteren lever med hver dag, men sjelden snakker høyt om. På den ene siden signerer hun databehandleravtale etter databehandleravtale, hvert dokument grundig juridisk gjennomarbeidet, hver underskrift et lite ritual av kontroll. På den andre siden vet hun, hvis hun er ærlig, at det er noe asymmetrisk ved hele øvelsen. Avtalen ligger i mappen. Telemetrien går likevel.
Det er ikke fordi avtalen er dårlig skrevet. Det er fordi avtalen ikke handler om det som faktisk skjer. Den juridiske formelen forutsetter at samtykke er en hendelse — et tidspunkt, et klikk, en signatur. Den faktiske teknologien forutsetter at samtykke er infrastruktur — bakgrunnsstøy, en uavbrutt strøm av små valg som ingen leser, og som ingen egentlig kan navigere seg ut av.
Mellom disse to forutsetningene ligger det vi her vil kalle samtykkeøkonomien.
En tese fra sol-meridian, oversatt til en norsk forvaltersituasjon
I desember 2025 publiserte sol-meridian den lange engelskspråklige essayet The Consent Economy: Big Tech vs the People. Tesen er enkel å gjengi, men ubehagelig å sitte med: maskineriet for samtykke er privatisert. Når et samfunn først har gjort overtalelse til en kommersiell tjeneste, er det bare et tidsspørsmål før overtalelse blir en inntektsstrøm.
I praksis betyr det at to former for makt — gammel og ny — har begynt å ligne på hverandre. I den gamle kjøper penger tilgang til lovgivere og regulatorer. I den nye kjøper penger tilgang til oppmerksomhet og atferd. Det er to bind i samme bok, som sol-meridian skriver. Den ene siden flyter gjennom lobbyledgers og bidragsregistre. Den andre siden flyter gjennom data-sjikt — søk, lokasjon, sensorer, vaner — og blir til prediksjonsmodeller som handler om deg, men sjelden med deg.
For en norsk leser er det fristende å tenke at dette først og fremst er en amerikansk historie. Den amerikanske kongressmaskinen, det amerikanske annonsøkosystemet, de amerikanske data-meglerne. Men leverandørene er allerede her. De er installert i rådhus, i sykehus, i skoler, i medlemsorganisasjoner og i private virksomheter. Avtalene er signert. Telemetrien går. Diskusjonen er først og fremst hvilket språk vi skal bruke for å snakke om det.
Avtalen ligger i mappen. Telemetrien går likevel. Mellom disse to forutsetningene ligger samtykkeøkonomien.
Fem dimensjoner, én indeks
Sol-meridians artikkel inneholder noe man sjelden ser i denne typen tekst: en eksplisitt indeks. Consent Deficit Index, eller på norsk: et samtykkeunderskudd-indeks. Den måler hvor stor avstand det er mellom det en virksomhet sier den gjør, og det den faktisk gjør, langs fem dimensjoner. Hver dimensjon scores 0–10, og det totale samtykkeunderskuddet er summen av de fem — maksimalt 50.
De fem dimensjonene, oversatt og forkortet, er:
- Samtykke-opasitet (CO — Consent Opacity). Hvor avhengig er forretningsmodellen av profilering, sporing, biometri eller bakgrunnsdata-innsamling som brukeren ikke kan velge bort på en meningsfull måte?
- Demokratisk friksjon (DF — Democratic Friction). Hvor mye kapasitet har leverandøren til lobbyvirksomhet, politisk annonsemaskineri, diskursforsterkning og mørke-penger-kanaler?
- Borgerretts-eksponering (CL — Civil Liberties Exposure). Hvor involvert er leverandøren i politiarbeid, grenseinfrastruktur, etterretning eller annen tvangs-orientert teknologi?
- Ansvarsgap (AG — Accountability Gap). Hvordan ser håndhevingshistorikken ut? Hvor ofte skjer det brudd? Hvor strukturelt umulig er det å reservere seg?
- Markedskonsentrasjon (MC — Market Concentration). Hvor stor evne har leverandøren til ensidig å fastsette vilkår for plattformer, infrastruktur, beregningskraft eller distribusjonsknutepunkter?
Vektingen er bevisst lik mellom de fem. Sol-meridian skriver at det er en valgt forenkling. Borgerretts-eksponering (ofte ulovlig) og markedskonsentrasjon (ofte lovlig, men korroderende) er kvalitativt ulike former for underskudd, og en indeks som forsøker å vekte dem mot hverandre, vil ofte bare flytte vurderingsproblemet til vektingsformelen. Lik vekting prioriterer derfor bredde — at strukturell bekymring blir synlig på tvers av domener — fremfor alvorlighetsgrad innenfor ett enkelt domene.
Det er en metodevalg man kan være uenig i. Det er ikke et metodevalg som er gjemt.
De 25 — listet, ikke skjult
Indeksen rangerer 25 selskaper. Cambridge Analytica er tatt med som historisk referanse: selskapet kollapset i 2018, men den psykografiske mål-mekanismen det demonstrerte, lever videre som mal for moderne politisk mikromålretting.
Tabellen som følger er en direkte oversettelse av sol-meridians tabell. Skårene er beholdt. Bare overskriftene og nivå-merkelappene er på norsk.
| # | Selskap | Skår | CO | DF | CL | AG | MC | Nivå |
|---|---|---|---|---|---|---|---|---|
| 1 | Palantir | 41/50 | 8 | 7 | 10 | 8 | 8 | Kritisk |
| 2 | Clearview AI | 40/50 | 10 | 5 | 10 | 9 | 6 | Kritisk |
| 3 | Meta | 38/50 | 9 | 8 | 8 | 7 | 6 | Alvorlig |
| 3 | Alphabet (Google) | 38/50 | 9 | 8 | 7 | 8 | 6 | Alvorlig |
| 3 | ByteDance (TikTok) | 38/50 | 8 | 9 | 8 | 7 | 6 | Alvorlig |
| 3 | Equifax | 38/50 | 9 | 5 | 8 | 9 | 7 | Alvorlig |
| 7 | Cambridge Analytica | 37/50 | 9 | 10 | 6 | 10 | 2 | Alvorlig |
| 7 | Experian | 37/50 | 9 | 5 | 8 | 8 | 7 | Alvorlig |
| 7 | Amazon | 37/50 | 8 | 6 | 9 | 7 | 7 | Alvorlig |
| 10 | TransUnion | 36/50 | 9 | 5 | 8 | 7 | 7 | Høy |
| 11 | X Corp (Twitter) | 35/50 | 7 | 9 | 6 | 8 | 5 | Høy |
| 12 | Acxiom / LiveRamp | 34/50 | 9 | 6 | 6 | 8 | 5 | Høy |
| 12 | Koch Industries | 34/50 | 3 | 10 | 7 | 8 | 6 | Høy |
| 14 | Blackstone | 33/50 | 4 | 7 | 7 | 7 | 8 | Forhøyet |
| 15 | Oracle | 32/50 | 7 | 5 | 6 | 7 | 7 | Forhøyet |
| 15 | Lockheed Martin | 32/50 | 4 | 5 | 9 | 8 | 6 | Forhøyet |
| 15 | Northrop Grumman | 32/50 | 4 | 5 | 9 | 8 | 6 | Forhøyet |
| 18 | BlackRock | 30/50 | 3 | 6 | 6 | 6 | 9 | Forhøyet |
| 19 | Microsoft | 28/50 | 6 | 4 | 4 | 6 | 8 | Moderat |
| 19 | OpenAI | 28/50 | 6 | 4 | 5 | 6 | 7 | Moderat |
| 19 | Apple | 28/50 | 4 | 5 | 6 | 6 | 7 | Moderat |
| 22 | Coinbase | 27/50 | 6 | 5 | 6 | 6 | 4 | Moderat |
| 23 | Anthropic | 26/50 | 5 | 4 | 5 | 6 | 6 | Moderat |
| 24 | Salesforce | 24/50 | 6 | 3 | 4 | 5 | 6 | Moderat |
| 25 | Nvidia | 20/50 | 2 | 2 | 4 | 4 | 8 | Moderat |
Et par observasjoner er verdt å trekke frem før vi går videre til norsk kontekst.
Den øverste delen av tabellen er tung av selskaper som en norsk virksomhet sjelden står og kjøper på direkten. Palantir er ikke et standard SaaS-abonnement man bestiller fra Digdir-katalogen. Clearview AI er ikke noe en kommune kjøper for kantineløsningen sin. Equifax, Experian og TransUnion er kreditt-infrastruktur som de fleste norske organisasjoner møter indirekte gjennom finansielle motparter, ikke som en faktura man selv signerer. Lockheed Martin og Northrop Grumman er forsvarsleverandører. Koch, Blackstone og BlackRock er kapitalstrukturer mer enn programvareleverandører.
Det betyr ikke at de er irrelevante for norsk diskusjon. De er relevante som bilde av hva økosystemet det norske bestiller-leddet faktisk eksisterer i. Men de er ikke utgangspunktet for en kjøper-veileder.
Den delen av tabellen som er utgangspunktet, ligger lengre ned. Microsoft (28), OpenAI (28), Apple (28), Salesforce (24) — sammen med de mer høyere-skårende, men fortsatt kjøpbare Alphabet (38), ByteDance (38), Amazon (37), X Corp (35), Oracle (32) og Meta (38). Disse ti er den norske forvalterens hverdagsleverandører. Det er dem kronikk-delen av denne todelte serien handler om.
Den øverste delen av tabellen er tung av selskaper en norsk virksomhet sjelden står og kjøper på direkten. Den delen som er kjøpbar, ligger lengre ned — og er fortsatt overraskende mørk.
Det norske avtrykket
Indeksen er internasjonal. Norsk kontekst gjør den ikke mindre relevant — bare mer konkret.
Den første brikken er konsentrasjon. I norsk offentlig sektor anslås Microsofts andel av sky-stack til 40–60 prosent, Amazon til 20–30 prosent, og Google til 10–15 prosent (anslag fra strategi-arbeidet i presentation-builder/eu-saas-strategy.md, som igjen henviser til offentlige innkjøpsanalyser). Det betyr at om vi snakker om norsk samtykkeøkonomi, snakker vi i praksis om tre amerikanske leverandører som tilsammen står for 70–95 prosent av sky-laget i offentlig sektor. Konsentrasjonen er ikke abstrakt. Den er operasjonell virkelighet.
Den andre brikken er jurisdiksjon. Schrems II-dommen fra 2020 fjernet Privacy Shield som rettslig grunnlag for personopplysninger ut av EU/EØS, og Datatilsynet har siden gjentatte ganger minnet om at standardkontrakts-bestemmelser (SCC) ikke i seg selv løser problemet hvis tredjeland-overvåkingsregimet er strengere enn EU-rettens proporsjonalitetstest tillater. Den nye Trans-Atlantic Data Privacy Framework har gitt en operasjonell pause, men ikke en epistemisk: en norsk forvalter som signerer en standard SCC i 2026, gjør det fortsatt med en viss usikkerhet om hvor lenge rammen står.
Den tredje brikken er håndhevingshistorikk. Datatilsynet har de siste årene gitt overtredelsesgebyr og pålegg som peker direkte mot leverandører høyt i indeksen — særlig knyttet til atferdsbasert markedsføring, biometri og mangelfulle databehandleravtaler. Internasjonalt har Meta i 2025 passert 1,8 milliarder euro i samlede GDPR-bøter. Clearview AI er pålagt over 20 millioner euro i bøter fra italienske, franske og greske datatilsyn. Equifax-bruddet i 2017 — 147 millioner amerikanere eksponert — har ikke direkte parallell i Norge, men illustrerer hvor liten reservasjonsmuligheten er når kreditt-infrastrukturen først har deg.
Den fjerde brikken er det europeiske alternativ-laget. Mens denne diskusjonen pågår, har Tyskland — særlig forbundsstats-program ZenDiS og delstaten Schleswig-Holstein — bygget openDesk, en åpen-kilde-kontorpakke basert på Nextcloud + Collabora, som rapporteres å gi om lag 60 prosent kostnadsreduksjon mot Microsoft 365 ved innføring i offentlig sektor. EU-skyleverandører som OVHcloud (FR), Scaleway (FR), Hetzner (DE), IONOS (DE), UpCloud (FI) og Elastx (SE) tilbyr et stigende, men fortsatt mindre, alternativ til hyperskalere. EU-kommisjonen anslår at omkring 70 milliarder euro årlig flyter fra europeiske organisasjoner til amerikanske skyleverandører — den potensielle re-investeringen i lokal infrastruktur er tilsvarende stor.
Hva betyr dette tilsammen? Det betyr at en norsk forvalter som leser sol-meridians indeks i 2026, leser den ikke som distansert amerikansk kritikk. Hun leser den som et kart over det stort sett amerikanske leverandør-laget hun selv har stående i en serverhylle, et abonnement, eller en GPO-policy.
Hva indeksen ikke gjør
Det er like viktig å være klar på hva denne typen indeks ikke kan løse, som hva den synliggjør.
For det første: lik vekting handler om bredde, ikke alvor. En leverandør med høy CL-skår (borgerrettseksponering) som er involvert i ICE-kontrakter, er kvalitativt mer alvorlig enn en leverandør med høy MC-skår (markedskonsentrasjon) som bare er stor. Indeksen forteller deg ikke hvilke former for skade du selv prioriterer. Den rangerer bare strukturell distanse, og forutsetter at leseren har sin egen verdimaler.
For det andre: skårene er ekspertvurdert, ikke uavhengig revidert. Sol-meridian har gjennomgått offentlige kilder — bøter, lobbyutgifter, kontraktspublisering, brudd-historikk, regulatoriske avgjørelser — og satt et tall. Det er en plausibel tolkning av hver dimensjon, ikke et auditert måltall. Hvis du ønsker harde tall, bør du gå til kildene som indeksen er bygget på, ikke til det aggregerte tallet.
For det tredje: indeksen sier ingenting om substituerbarhet. En leverandør med skår 38 som er enkel å bytte ut, er et helt annet operasjonelt problem enn en leverandør med skår 28 som er låst inn i organisasjonens identitets-graf gjennom femten år med Active Directory og Entra. Substituerbarhet er forvalterens reelle handlingsrom — og det er den dimensjonen kronikk-delen av denne serien forsøker å gi språk til.
For det fjerde: indeksen er datert. Cambridge Analytica er et historisk anker. Men leverandørene rundt den lever, kjøper opp hverandre, fusjonerer, splittes opp og endrer eierskap. En revurdering om to år vil mest sannsynlig gi nye tall. Det betyr ikke at metodikken er svak. Det betyr at en kjøper-beslutning aldri kan «outsources til indeksen». Den må tas med indeksen som ett kart blant flere.
En kjøper-beslutning kan aldri outsources til indeksen. Den må tas med indeksen som ett kart blant flere — sammen med substituerbarhet, kontraktshistorikk og det forvalteren faktisk vet om sitt eget hus.
Hvorfor dette er et forvalter-spørsmål, ikke et juridisk
Det er en fristelse å lese sol-meridians artikkel som en juridisk eller en politisk tekst. Det er den til en viss grad. Men den fristelsen kan også være en flukt.
Juristen kan lese databehandleravtaler hele uken. Politikeren kan vedta en ny lov hvert femte år. Men det er IT-systemforvalteren — den som faktisk bestemmer hva som blir installert, hvilken tenant som blir provisjonert, hvilken lisensavtale som blir fornyet, hvilket alternativ som blir vurdert ved neste avtaleperiode — som har det daglige handlingsrommet som matcher samtykkeøkonomiens daglige takt.
Det er ikke et romantisk poeng. Det er en pragmatisk observasjon. Hvis konsentrasjonen i norsk offentlig sektor er 40–60 prosent på én leverandør, er den konsentrasjonen ikke laget av jurister. Den er laget av tusener av små anskaffelses- og fornyelsesbeslutninger over tjue år. Den vil måtte de-konsentreres på samme måte: ikke i én lov, men i mange små vurderinger.
Det betyr at den som forvalter en norsk organisasjons systemer i 2026, har et ansvar som er litt større enn det stillingsbeskrivelsen kanskje sier. Forvalteren er ikke bare en operativ leverandør-styrer. Hun er, i en svært bokstavelig forstand, et politisk infrastruktur-organ.
Det er denne erkjennelsen den andre artikkelen i denne serien — Det forvalteren faktisk kan gjøre — bygger videre på. Der går vi konkret gjennom de ti mest kjøpbare leverandørene fra indeksen, hva som faktisk skjer i en norsk organisasjon når disse er standard, og hvilke alternativer som finnes når man begynner å lete.
Kilder
- sol-meridian (13.12.2025): «The Consent Economy: Big Tech vs the People» — kildeartikkelen og indeksen, hentet fra
sol-meridian/content/governance/consent-economy-big-tech-people-democracy.md. - sol-meridian (30.04.2026): redaksjonell revisjonsnotat, Consent Economy — revision: align Bottom Ten to article's actor set. Bekrefter at samtykke-maskineriets aktørsett (Meta, Alphabet, ByteDance, X Corp, Amazon, Palantir, Oracle, datameglere, kredittbyråer, Clearview AI) er det riktige utgangspunktet for forbruker- og forvalter-veiledning.
- presentation-builder (2026): European Digital Autonomy Playbook: Norway + EU — anslag for norsk offentlig sektor-andeler (Microsoft 40–60 %, Amazon 20–30 %, Google 10–15 %).
- presentation-builder (2026): EU Cloud Exit: The EUR 19B Sovereignty Opportunity — Schleswig-Holstein/openDesk-referanse, EU-leverandørstack (Nextcloud, Collabora, Proxmox, Keycloak, OVHcloud, Scaleway, Hetzner, IONOS).
- C-311/18 (Schrems II), Den europeiske unions domstol (16.07.2020): rettslig ramme for personopplysninger til tredjeland.
- Datatilsynet: oversikt over overtredelsesgebyr og pålegg knyttet til atferdsbasert markedsføring, biometri og databehandleravtaler 2022–2026.
- EDPB (European Data Protection Board): retningslinjer for SCC etter Schrems II.
Metode: Tabellen i kapittel 4 er en direkte gjengivelse av sol-meridians indeks, oversatt til norsk. Skårene er ikke endret. Norsk kontekst i kapittel 5 er hentet fra åpne kilder og fra strategi-dokumentasjonen i presentation-builder/. Vurderingene i kapittel 6 om hva indeksen ikke gjør, er Terrengs egne, og uttrykker en redaksjonell lesning av en metode forfatteren av indeksen selv beskriver som «en valgt forenkling».
