Datasikkerhet

Datasuverenitet i praksis

Full Width Featured Image With Sidebar
Bjørn Marius Narjord
Share 0
Tweet 0
Share 0
13/09/2025

La oss se på noen norske eksempler på risiko ved bruk av amerikanske skytjenester.

Dette ble spesielt aktuelt etter at Microsoft innrømmet at de ikke kan garantere at europeiske data er trygge fra innsyn fra amerikanske myndigheter

Bruken av skytjenester har eksplodert de siste årene. I dag er mange norske virksomheter tett integrert med løsninger fra giganter som Microsoft, Amazon og Google.

Men med denne utviklingen følger også et økende press. Hvem eier egentlig dataene dine – og hvem kan få innsyn?

Sammendrag

  • Helse Sør-Øst, Digdir og Datatilsynet peker på risikoen ved amerikanske skytjenester, der lover som Cloud Act og FISA 702 kan gi tilgang til data selv når de lagres i Europa.
  • Virksomheter har selv ansvaret for datasuverenitet, og må gjennomføre egne risikovurderinger (DPIA), selv om leverandører eller veiledere antyder at løsningene er trygge.
  • Se hvilke 5 tiltak du bør vurdere (du finner de nederst i artikkelen).

Helse Sør-Øst - Usikkerhet rundt Microsoft Azure

I 2023 behandlet Helse Sør-Øst en sak om bruk av Microsoft Azure i helsesektoren.

Fokus?

Risikoen for at amerikanske myndigheter kan få tilgang til sensitive data – selv om de lagres i Europa.

“Det er en gjenværende risiko for at amerikanske myndigheter kan få tilgang til personopplysninger gjennom amerikanske leverandører, selv om dataene lagres i Europa. Samtidig har vi ikke funnet holdepunkter for at dette lovverket er anvendt i praksis for tilsvarende løsninger.”

Vurderingen viser at risikoen ikke er dokumentert i praksis – ennå. Men den vurderes likevel som reell og relevant. Det holder ikke lenger å lene seg på antakelser.

Bjørn Marius Narjord

Optimalisert AS

«Datasuverenitet handler om å ha full kontroll over egne data. Norske eksempler viser at dette ikke bare er et teoretisk tema for jurister og teknologer. Det er en reell risiko som tas på alvor i alt fra helseforetak til offentlig sektor.»

Digdir og DFØ - Veileder, ikke frikort

Etter Schrems II-dommen publiserte Digitaliseringsdirektoratet (Digdir) og DFØ en veileder for bruk av skytjenester.

Den har skapt diskusjon. Flere virksomheter har nemlig tolket den som et grønt lys for å bruke skytjenester uten videre vurdering.

Datatilsynet var raske med å avklare:

“Vi ser at mange virksomheter oppfatter veilederen som en fullmakt til å bruke skytjenester uten å gjøre egne vurderinger. Det er ikke tilfelle – virksomhetene må selv ta ansvar for vurderingene.”

Det finnes ingen snarveier med andre ord. Egne risikovurderinger er et krav – og i mange tilfeller må du gjennomføre en full DPIA (Data Protection Impact Assessment).

Se hvordan vi sparte de ansatte i Rørosregionen Næringshage for 83% arbeidstid med AI

Se kundecaset

Kritikk fra fagbevegelsen og Datatilsynet

Da Helse Sør-Øst vurderte å bruke amerikanske skytjenester, lot ikke reaksjonene vente på seg.

Datatilsynet uttrykte bekymring. Det samme gjorde fagforeningene. Spesielt innen helse er det stor uro for hva som skjer med pasientdata hvis de lagres hos amerikanske aktører.

Fagforbundet har pekt på risikoen for at sensitive helseopplysninger kan bli utsatt for utenlandsk innsyn dersom de legges i skyer eid av amerikanske selskaper.

Dette er ikke bare et spørsmål om teknologi og jus. Det er et spørsmål om tillit til helsetjenestene – og vår felles digitale infrastruktur.

Hva betyr dette for norske virksomheter?

Eksemplene fra Helse Sør-Øst og Datatilsynet er ikke unntak.

De er symptomer på en større utfordring.

Hvordan skal norske virksomheter sikre datasuverenitet – i praksis?

Her er fem konkrete tiltak du bør ta stilling til

  • Kartlegg hvor data lagres – og hvem som har tilgang
  • Gjennomfør DPIA når persondata behandles
  • Vurder europeiske alternativer med lokal datalagring
  • Bruk kryptering og nøkkelstyring du selv kontrollerer
  • Hold deg oppdatert på EU-regelverk og dataavtaler

Dette er ikke nok et punkt på to-do-lista. Det er et strategisk spørsmål som angår sikkerhet, samfunnsansvar og kundetillit.

Oppsummering

Casene fra Helse Sør-Øst, Datatilsynet og fagforeningene viser én ting.

Risikoen for at utenlandske myndigheter får tilgang til norske data er ikke hypotetisk. Den vurderes seriøst – og kan få konsekvenser for tillit, sikkerhet og etterlevelse.

For norske virksomheter handler dette om mer enn etterlevelse av GDPR. Det handler om tillit, ansvar og langsiktig kontroll over egne data.

Skal du være en troverdig aktør i det digitale Norge, må du sørge for at dine data forblir nettopp dét: dine.

Kilder:

Vil du ha hjelp til å lage en datasikkerhetsstrategi tilpasset dine behov? Da kan du høre med oss i Optimalisert AS.

Ta kontakt med oss for en uforpliktende kartleggingssamtale.

Hos Optimalisert AS handler det ikke om å imponere med teknologi. Det handler om å levere resultater som du merker – i arbeidshverdagen, i regnskapet, og i kundetilfredsheten.

Mer om datasikkerhet fra Optimalisert:

Hva er GDPR? En komplett guide

Hva er datasuverenitet? En enkel men tydelig guide

Hvordan jobbe riktig med GDPR i kunstig intelligens?

Se alle våre artikler om datasikkerhet her

 Slik jobber vi med kunstig intelligens
Om forfatteren Bjørn Marius Narjord

Med en bakgrunn i digital strategi og over 15 års erfaring med teknologi og markedføring, leder Bjørn Marius Narjord Optimalisert AS. Han er opptatt av å gjøre kunstig intelligens tilgjengelig, effektiv og trygg for norske bedrifter.

Author Box 03

Følg meg

Share 0
Share 0
Del dine tanker

E-postadressen din vil ikke bli publisert. Obligatoriske felter er merket

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}