Det finnes en motsetning IT-systemforvalteren lever med hver dag, men sjelden snakker høyt om. På den ene siden signerer hun databehandleravtale etter databehandleravtale, hvert dokument grundig juridisk gjennomarbeidet, hver underskrift et lite ritual av kontroll. På den andre siden vet hun, hvis hun er ærlig, at det er noe asymmetrisk ved hele øvelsen. Avtalen ligger i mappen. Telemetrien går likevel.
Det er ikke fordi avtalen er dårlig skrevet. Det er fordi avtalen ikke handler om det som faktisk skjer. Den juridiske formelen forutsetter at samtykke er en hendelse — et tidspunkt, et klikk, en signatur. Den faktiske teknologien forutsetter at samtykke er infrastruktur — bakgrunnsstøy, en uavbrutt strøm av små valg som ingen leser, og som ingen egentlig kan navigere seg ut av.
Mellom disse to forutsetningene ligger det vi her vil kalle samtykkeøkonomien.
Samtykke som infrastruktur, ikke hendelse
To former for makt opererer parallelt rundt en moderne norsk virksomhet. Den ene er gammel og synlig: kapital kjøper tilgang til lovgivere, regulatorer, høringsinstanser og media. Den andre er ny og mer ydmyk i form: kapital kjøper tilgang til oppmerksomhet og atferd. Den første flyter gjennom donasjonsregistre, lobbyforvaltning og styre-overlapp. Den andre flyter gjennom data — søk, lokasjon, sensorer, vaner — og kommer ut igjen som prediksjonsmodeller som handler om deg uten egentlig å forhandle med deg.
Det er bare hvis man insisterer på at de to fenomenene er separate, at de kan se ut som adskilte historier. I 2026 oppfører de seg som to bind av samme bok. Sol-meridian formulerte den observasjonen tydelig i The Consent Economy: Big Tech vs the People (desember 2025), og det er en av flere kilder vi har lent oss på her. Forskningen til Berzins, Bøhren og Stacescu på finansielle likviditetssjokk; Schrems II-rammen rundt jurisdiksjon; Datatilsynets håndhevingspraksis; EDPBs retningslinjer; presentation-builders kartlegging av norsk offentlig sky-andel — det utgjør et felles bilde, ikke ett enkelt argument.
For en norsk leser kan det være fristende å lese hele denne diskusjonen som en amerikansk historie. Den amerikanske kongressmaskinen, det amerikanske annonsøkosystemet, de amerikanske datameglerne. Men leverandørene er allerede her. De er installert i rådhus, i sykehus, i skoler, i medlemsorganisasjoner og i private virksomheter. Avtalene er signert. Telemetrien går. Diskusjonen er først og fremst hvilket språk vi skal bruke for å snakke om det vi allerede har sagt ja til.
Avtalen ligger i mappen. Telemetrien går likevel. Mellom disse to forutsetningene ligger samtykkeøkonomien.
Fem dimensjoner, én indeks
For å kunne snakke konkret om dette har vi lent oss på en ekspert-vurdert indeks som måler hvor stor avstand det er mellom det en virksomhet sier den gjør, og det den faktisk gjør, langs fem dimensjoner. Det er en ramme — ikke et regneark som leverer en fasit. Den hjelper oss å komme oss forbi det generelle ordet «big tech» og frem til hvordan ulike leverandører faktisk feiler ulike steder.
De fem dimensjonene, slik vi bruker dem, er:
- Samtykke-opasitet (CO — Consent Opacity). Hvor avhengig er forretningsmodellen av profilering, sporing, biometri eller bakgrunnsdata-innsamling som brukeren ikke kan velge bort på en meningsfull måte?
- Demokratisk friksjon (DF — Democratic Friction). Hvor mye kapasitet har leverandøren til lobbyvirksomhet, politisk annonsemaskineri, diskursforsterkning og mørke-penger-kanaler?
- Borgerretts-eksponering (CL — Civil Liberties Exposure). Hvor involvert er leverandøren i politiarbeid, grenseinfrastruktur, etterretning eller annen tvangs-orientert teknologi?
- Ansvarsgap (AG — Accountability Gap). Hvordan ser håndhevingshistorikken ut? Hvor ofte skjer det brudd? Hvor strukturelt umulig er det å reservere seg?
- Markedskonsentrasjon (MC — Market Concentration). Hvor stor evne har leverandøren til ensidig å fastsette vilkår for plattformer, infrastruktur, beregningskraft eller distribusjonsknutepunkter?
Hver dimensjon skåres 0–10. Det samlede samtykkeunderskuddet er summen — maksimalt 50.
Vektingen er bevisst lik mellom de fem dimensjonene. Det er en redaksjonell beslutning, ikke en teknisk nødvendighet. En leverandør med høy CL-skår (involvert i tvangsorientert teknologi, ofte ulovlig) er kvalitativt forskjellig fra en leverandør med høy MC-skår (markedskonsentrasjon, ofte lovlig men korroderende). Hvis vi skulle vekte dem mot hverandre, ville vi bare flyttet vurderingsproblemet inn i en formel. Lik vekting prioriterer derfor bredde — at strukturell bekymring blir synlig på tvers av domener — fremfor alvorlighetsgrad innenfor ett enkelt domene. Leseren beholder ansvaret for sin egen rangering.
Det er et metodevalg man kan være uenig i. Det er ikke et metodevalg som er gjemt.
De 25 — listet, ikke skjult
Indeksen sorterer 25 selskaper på en samlet skala fra 0 til 50. Tallene er ekspert-vurderte, ikke uavhengig auditerte — vi peker leseren mot kildene før vi peker mot det aggregerte tallet. Cambridge Analytica er tatt med som historisk referanse: selskapet kollapset i 2018, men den psykografiske mål-mekanismen det demonstrerte lever videre som mal for moderne politisk mikromålretting.
Slik leses tabellen: sortert etter samlet skår; fargen i hver dimensjons-celle indikerer relativ vekt på den dimensjonen (0 = nær bakgrunn, 10 = mettet terrakotta); nivå-merkelappen til venstre i hver rad — fra Kritisk til Moderat — er en kvalitativ samling av tier-grenser. Hold spesielt øye med rader hvor én dimensjon er svært høy mens andre er lave: det er der profilen forteller deg noe om hvilken type virksomhet leverandøren er.
Et par observasjoner er verdt å trekke frem før vi går videre til norsk kontekst.
Den øverste delen av tabellen er tung av selskaper som en norsk virksomhet sjelden står og kjøper på direkten. Palantir er ikke et standard SaaS-abonnement man bestiller fra Digdir-katalogen. Clearview AI er ikke noe en kommune kjøper for kantineløsningen sin. Equifax, Experian og TransUnion er kreditt-infrastruktur som de fleste norske organisasjoner møter indirekte gjennom finansielle motparter, ikke som en faktura man selv signerer. Lockheed Martin og Northrop Grumman er forsvarsleverandører. Koch, Blackstone og BlackRock er kapitalstrukturer mer enn programvareleverandører.
Det betyr ikke at de er irrelevante for norsk diskusjon. De er relevante som bilde av hva økosystemet det norske bestiller-leddet faktisk eksisterer i. Men de er ikke utgangspunktet for en kjøper-veileder.
Den delen av tabellen som er utgangspunktet, ligger lengre ned. Microsoft (28), OpenAI (28), Apple (28), Salesforce (24) — sammen med de høyere-skårende, men fortsatt kjøpbare Alphabet (38), ByteDance (38), Amazon (37), X Corp (35), Oracle (32) og Meta (38). Disse ti er den norske forvalterens hverdagsleverandører. Det er dem del 3 av denne serien — Det forvalteren faktisk kan gjøre — tar for seg en og en. Del 2 — Det stille jaet — møter de samme leverandørene fra et helt annet sted: en husholdning som vil ut, men ikke offline.
Den øverste delen av tabellen er tung av selskaper en norsk virksomhet sjelden står og kjøper på direkten. Den delen som er kjøpbar, ligger lengre ned — og er fortsatt overraskende mørk.
Det norske avtrykket
Indeksen er internasjonal. Norsk kontekst gjør den ikke mindre relevant — bare mer konkret.
Den første brikken er konsentrasjon. I norsk offentlig sektor anslås Microsofts andel av sky-stack til 40–60 prosent, Amazon til 20–30 prosent, og Google til 10–15 prosent (anslag fra strategi-arbeidet i presentation-builder/eu-saas-strategy.md, som igjen henviser til offentlige innkjøpsanalyser). Det betyr at om vi snakker om norsk samtykkeøkonomi, snakker vi i praksis om tre amerikanske leverandører som tilsammen står for 70–95 prosent av sky-laget i offentlig sektor. Konsentrasjonen er ikke abstrakt. Den er operasjonell virkelighet.
Den andre brikken er jurisdiksjon. Schrems II-dommen fra 2020 fjernet Privacy Shield som rettslig grunnlag for personopplysninger ut av EU/EØS, og Datatilsynet har siden gjentatte ganger minnet om at standardkontrakts-bestemmelser (SCC) ikke i seg selv løser problemet hvis tredjeland-overvåkingsregimet er strengere enn EU-rettens proporsjonalitetstest tillater. Den nye Trans-Atlantic Data Privacy Framework har gitt en operasjonell pause, men ikke en epistemisk: en norsk forvalter som signerer en standard SCC i 2026, gjør det fortsatt med en viss usikkerhet om hvor lenge rammen står.
Den tredje brikken er håndhevingshistorikk. Datatilsynet har de siste årene gitt overtredelsesgebyr og pålegg som peker direkte mot leverandører høyt i indeksen — særlig knyttet til atferdsbasert markedsføring, biometri og mangelfulle databehandleravtaler. Internasjonalt har Meta i 2025 passert 1,8 milliarder euro i samlede GDPR-bøter. Clearview AI er pålagt over 20 millioner euro i bøter fra italienske, franske og greske datatilsyn. Equifax-bruddet i 2017 — 147 millioner amerikanere eksponert — har ikke direkte parallell i Norge, men illustrerer hvor liten reservasjonsmuligheten er når kreditt-infrastrukturen først har deg.
Den fjerde brikken er DMA-portvokter-listen og hva som har skjedd siden den ble vedtatt. EU-kommisjonen har utpekt seks foretak som «gatekeepers» under Digital Markets Act: Alphabet, Amazon, Apple, ByteDance, Meta og Microsoft. Booking.com kom til på listen senere. Det er ikke symbolpolitikk. I april 2025 ila Kommisjonen Apple en bot på 500 millioner euro for brudd på anti-steering-reglene i App Store, og Meta en bot på 200 millioner euro for ikke å ha gitt brukere et reelt valg om en tjeneste som bruker mindre persondata. Disse vedtakene er fortsatt ferske i 2026, og de signaliserer at portvokter-status er en regulatorisk realitet, ikke bare en betegnelse.
Den femte brikken er forbruker-eksponeringen, som ofte glemmes i forvalter-debatten. FTC publiserte i 2024 en bred gjennomgang av sosiale medier og videoplattformer (blant andre Amazon/Twitch, Meta, YouTube, X, TikTok, Discord, Reddit og WhatsApp) som dokumenterte omfattende overvåking, svake rutiner for dataminimering og særlig svake rutiner for barns og unges personvern. EU-kommisjonen har på sin side utpekt WhatsApp Channels som en Very Large Online Platform under Digital Services Act, mens privat meldingstjeneste eksplisitt holdes utenfor plattformdelen av vurderingen. For en norsk forvalter er det viktig å lese begge regimer parallelt: DMA handler om markedsmakt, DSA om plattform-ansvar, og forbruker-eksponeringen i din egen organisasjon ligger som regel i begge skjæringspunktene.
Den sjette brikken er det europeiske alternativ-laget. Mens denne diskusjonen pågår, har Tyskland — særlig forbundsstats-program ZenDiS og delstaten Schleswig-Holstein — bygget openDesk, en åpen-kilde-kontorpakke basert på Nextcloud + Collabora, som rapporteres å gi om lag 60 prosent kostnadsreduksjon mot Microsoft 365 ved innføring i offentlig sektor. EU-skyleverandører som OVHcloud (FR), Scaleway (FR), Hetzner (DE), IONOS (DE), UpCloud (FI) og Elastx (SE) tilbyr et stigende, men fortsatt mindre, alternativ til hyperskalere. EU-kommisjonen anslår at omkring 70 milliarder euro årlig flyter fra europeiske organisasjoner til amerikanske skyleverandører — den potensielle re-investeringen i lokal infrastruktur er tilsvarende stor.
Hva betyr dette tilsammen? Det betyr at indeksen i kapittel 4 ikke kan leses som distansert amerikansk kritikk når den leses i Norge i 2026. Den må leses som et kart over det stort sett amerikanske leverandør-laget den norske forvalteren selv har stående i en serverhylle, et abonnement eller en GPO-policy.
Hva indeksen ikke gjør
Det er like viktig å være klar på hva denne typen indeks ikke kan løse, som hva den synliggjør.
For det første: lik vekting handler om bredde, ikke alvor. En leverandør med høy CL-skår (borgerrettseksponering) som er involvert i ICE-kontrakter, er kvalitativt mer alvorlig enn en leverandør med høy MC-skår (markedskonsentrasjon) som bare er stor. Indeksen forteller deg ikke hvilke former for skade du selv prioriterer. Den rangerer bare strukturell distanse, og forutsetter at leseren har sin egen verdimaler.
For det andre: skårene er ekspert-vurderte, ikke uavhengig auditerte. De bygger på offentlige kilder — bøter, lobbyutgifter, kontraktspublisering, brudd-historikk, regulatoriske avgjørelser — som er sammenstilt og oversatt til en 0–10-skala av en redaksjonell vurderer. Det er en plausibel tolkning, ikke et måltall man kan banke i bordet med. Trenger du tallet til å forsvare en innkjøpsbeslutning i 2026, går du til kildene som ligger under, ikke til det aggregerte tallet.
For det tredje: indeksen sier ingenting om substituerbarhet. En leverandør med skår 38 som er enkel å bytte ut, er et helt annet operasjonelt problem enn en leverandør med skår 28 som er låst inn i organisasjonens identitets-graf gjennom femten år med Active Directory og Entra. Substituerbarhet er forvalterens reelle handlingsrom — og det er den dimensjonen del 3 av serien forsøker å gi språk til, akkurat som del 2 forsøker å gi språk til den samme dimensjonen for en husholdning.
For det fjerde: indeksen er datert. Cambridge Analytica er et historisk anker. Men leverandørene rundt den lever, kjøper opp hverandre, fusjonerer, splittes opp og endrer eierskap. En revurdering om to år vil mest sannsynlig gi nye tall. Det betyr ikke at metodikken er svak. Det betyr at en kjøper-beslutning aldri kan «outsources til indeksen». Den må tas med indeksen som ett kart blant flere.
En kjøper-beslutning kan aldri outsources til indeksen. Den må tas med indeksen som ett kart blant flere — sammen med substituerbarhet, kontraktshistorikk og det forvalteren faktisk vet om sitt eget hus.
Hvorfor dette er et forvalter- og forbruker-spørsmål, ikke et juridisk
Det er en fristelse å lese hele samtykkeøkonomien som en juridisk eller en politisk tekst. Den er det til en viss grad. Men den fristelsen kan også være en flukt.
Juristen kan lese databehandleravtaler hele uken. Politikeren kan vedta en ny lov hvert femte år. Men det er IT-systemforvalteren — den som faktisk bestemmer hva som blir installert, hvilken tenant som blir provisjonert, hvilken lisensavtale som blir fornyet, hvilket alternativ som blir vurdert ved neste avtaleperiode — som har det daglige handlingsrommet som matcher samtykkeøkonomiens daglige takt. Og det er forbrukeren — som velger søkemotor i nettleseren, som installerer (eller lar være å installere) en app, som bruker familie-meldingstjenesten — som har den andre halvparten av det handlingsrommet.
Det er ikke et romantisk poeng. Det er en pragmatisk observasjon. Hvis konsentrasjonen i norsk offentlig sektor er 40–60 prosent på én leverandør, er den konsentrasjonen ikke laget av jurister. Den er laget av tusener av små anskaffelses- og fornyelsesbeslutninger over tjue år, og av millioner av enda mindre forbruker-beslutninger som har normalisert hvilke leverandører «alle» bruker. Den vil måtte de-konsentreres på samme måte: ikke i én lov, men i mange små vurderinger.
Resten av serien handler om de små vurderingene. Del 2 — Det stille jaet — er en sjekkliste for husholdningen som vil ut, men ikke offline. Del 3 — Det forvalteren faktisk kan gjøre — er en gjennomgang av de ti mest kjøpbare leverandørene fra indeksen, med konkrete alternativer.
Kilder
- Datatilsynet: oversikt over overtredelsesgebyr og pålegg knyttet til atferdsbasert markedsføring, biometri og databehandleravtaler 2022–2026.
- EDPB (European Data Protection Board): retningslinjer for SCC etter Schrems II.
- C-311/18 (Schrems II), Den europeiske unions domstol (16.07.2020): rettslig ramme for personopplysninger til tredjeland.
- EU-kommisjonen, Digital Markets Act: utpekte gatekeepers Alphabet, Amazon, Apple, ByteDance, Meta og Microsoft (september 2023) og Booking.com (mai 2024).
- EU-kommisjonen (april 2025): Apple ilagt 500 millioner euro for brudd på anti-steering-reglene i App Store; Meta ilagt 200 millioner euro for ikke å ha gitt brukere et reelt valg om en tjeneste som bruker mindre persondata.
- EU-kommisjonen (januar 2026): WhatsApp Channels utpekt som Very Large Online Platform under Digital Services Act; privat meldingstjeneste eksplisitt holdes utenfor.
- US Federal Trade Commission (september 2024): A Look Behind the Screens — Examining the Data Practices of Social Media and Video Streaming Services. Bred surveillance- og dataminimerings-rapport som dekker Amazon/Twitch, Meta, YouTube, X, TikTok, Discord, Reddit og WhatsApp.
- presentation-builder (2026): European Digital Autonomy Playbook: Norway + EU — anslag for norsk offentlig sektor-andeler (Microsoft 40–60 %, Amazon 20–30 %, Google 10–15 %).
- presentation-builder (2026): EU Cloud Exit: The EUR 19B Sovereignty Opportunity — Schleswig-Holstein/openDesk-referanse, EU-leverandørstack (Nextcloud, Collabora, Proxmox, Keycloak, OVHcloud, Scaleway, Hetzner, IONOS).
- Janis Berzins, Øyvind Bøhren, Bogdan Stacescu: Personal liquidity shocks and firm-level dividends, investments and outcomes — referanse for hvordan personlige likviditetssjokk kan få selskapsvirkninger; gjør samtykke-debatten mer presis.
- sol-meridian (13.12.2025): The Consent Economy: Big Tech vs the People — anglospråklig essay og samtykkeunderskudd-indeks. En av flere referanser for indeksen vi bruker i kapittel 4.
- sol-meridian (30.04.2026): redaksjonell revisjonsnotat, Consent Economy — revision: align Bottom Ten to article's actor set. Bekrefter at samtykke-maskineriets aktørsett (Meta, Alphabet, ByteDance, X Corp, Amazon, Palantir, Oracle, datameglere, kredittbyråer, Clearview AI) er det riktige utgangspunktet for forbruker- og forvalter-veiledning.
Redaksjonell note: Tabellen i kapittel 4 bygger på fem dimensjoner som er etablert i åpen samtykke-økonomi-litteratur og særlig formulert i sol-meridians _Consent Economy-essay. Skårene er ekspert-vurderte, ikke uavhengig auditerte. Norsk kontekst i kapittel 5 er hentet fra Datatilsynets praksis, EDPBs retningslinjer, Schrems II-rammen og strategi-dokumentasjonen i presentation-builder/. Vurderingene gjennom hele teksten er Terrengs — kildene er det vi har lent oss på, ikke det vi har overlatt arbeidet til._
