Datasikkerhet

Datasuverenitet i skyen – Hva Microsofts innrømmelse betyr for norske bedrifter

Full Width Featured Image With Sidebar
Bjørn Marius Narjord
Share 0
Tweet 0
Share 0
11/09/2025

Microsoft har bekreftet noe mange har fryktet: De kan ikke garantere at europeiske data er trygge fra innsyn fra amerikanske myndigheter. Det er ikke bare en nyhet fra Frankrike – det er et varsko for alle norske virksomheter som bruker Microsofts skytjenester.

Dette handler ikke om teknisk surr eller juridisk teori. Det handler om risiko for bøter, tap av tillit og svekket kontroll over egne data. Her ser vi nærmere på hvorfor dette er alvorlig, og hva du må gjøre for å sikre bedriftens data og etterlevelse.

Sammendrag

  • Microsoft kan ikke garantere at dine data er beskyttet fra amerikanske myndigheter, grunnet U.S. Cloud Act – dette kan stride mot GDPR.
  • Norske virksomheter risikerer bøter, omdømmeskade og tap av kontroll dersom sensitive data lagres i skyen uten nødvendige garantier.
  • Du bør kartlegge data, vurdere leverandører og sikre teknisk og juridisk kontroll – og vurdere europeiske skyleverandører for sensitive data.

Bjørn Marius Narjord

Optimalisert AS

«Denne konflikten ble tydelig etter Schrems II-dommen i 2020, da EU-domstolen fjernet "Privacy Shield"-avtalen med USA. Dommen slo fast at amerikansk overvåkingslovgivning ikke gir tilstrekkelig beskyttelse for europeiske data. Microsofts nylige uttalelse gjør det klart at de ikke kan garantere at GDPR overholdes dersom amerikanske myndigheter banker på døra.».

En konflikt mellom to verdener – og to lovverk

Kjernen i problemet ligger i en kollisjon mellom U.S. Cloud Act og GDPR.

  • U.S. Cloud Act gir amerikanske myndigheter rett til å hente ut data fra amerikanske selskaper – uansett hvor i verden dataene lagres.
  • GDPR, derimot, krever at personopplysninger fra EU beskyttes på høyeste nivå. Overføring til tredjeland krever strenge garantier.

Hva betyr dette for bedriften din?

Dette handler ikke bare om juss. Det handler om virksomhetsrisiko på tre nivåer

1. Juridisk risiko

Bruker du en amerikansk skytjeneste som Microsoft, risikerer du brudd på GDPR. Det kan føre til bøter fra Datatilsynet – som allerede har vist at de tar brudd på alvor.

2. Omdømmerisiko

Dersom kundedata, ansattdata eller forretningshemmeligheter kommer på avveie, kan det skade omdømmet. I dagens marked er tillit en konkurransefaktor – og den kan være vanskelig å bygge opp igjen.

3. Tap av digital kontroll

Dette handler også om digital suverenitet. Kontrakter, forskningsdata og strategiske dokumenter kan havne i feil hender. Å ikke vite hvor dataene befinner seg – eller hvem som har tilgang – er en risiko få virksomheter har råd til.

Se norske eksempler på datasuverenitet i praksis.

Se hvordan vi sparte de ansatte i Rørosregionen Næringshage for 83% arbeidstid med AI

Se kundecaset

Hva bør du gjøre? En konkret handlingsplan

Du trenger ikke vente på neste dom eller en skandale.

Her er fire grep du kan ta nå med en gang.

1. Start med et tydelig datakart

  • Hva slags data har du?
  • Hvor lagres de?
  • Hvor sensitive er de?

Dette gir deg et beslutningsgrunnlag for resten av tiltakene.

2. Still krav til skyleverandøren

Snakk med Microsoft eller andre leverandører om datasuverenitet.

  • Hva gjør de for å sikre at data ikke utleveres?
  • Har de initiativer som Microsoft EU Data Boundary?
  • Hva kan de faktisk garantere – og hva kan de ikke?

Du må vite hva du får – og hva du risikerer.

3. Sikre deg teknisk og juridisk

Tekniske tiltak.

  • Bruk ende-til-ende-kryptering.
  • Behold kontroll over krypteringsnøkkelen – slik at selv leverandøren ikke kan lese dataene.

Juridiske tiltak.

Merk: SCC må vurders i sammenheng med rsikonivået. Det vil også kreve ekstra tiltak for å sikre god etterlevelse av GDRPR.

4. Vurder hybrid- eller multi-sky-løsninger

For de mest sensitive dataene bør du vurdere europeiske alternativer.

  • OVHcloud
  • Tietoevry
  • Andre aktører under europeisk jurisdiksjon

Du kan fortsatt bruke de store globale skyene – men vær bevisst på hva du lagrer hvor.

Dette krever proaktivitet – ikke passivitet

Datasikkerhet er ikke noe du bør overlate til leverandørene alene. Det er din virksomhet, dine data og ditt ansvar.

  • Kartlegg dataene dine
  • Forstå leverandørenes begrensninger
  • Sikre deg teknisk og juridisk
  • Vurder europeiske alternativer for kritisk informasjon

Dette gir deg et beslutningsgrunnlag for resten av tiltakene.

Rune Hansèn Steinnes-Westum

Optimalisert AS

«Dette handler ikke om å boikotte amerikansk teknologi. Det handler om bevisst bruk, godt dokumenterte beslutninger og aktiv styring.»

Hva bør du gjøre nå?

Forhåpentligvis blir du ikke for stresset av å lese dette. En god start er å gjøre følgende.

  • Start med en intern datakartlegging
  • Gjennomgå dagens avtaler og sikkerhetstiltak
  • Book et møte med din skyleverandør
  • Involver IT, ledelse og personvernansvarlig i strategien

Vil du ha hjelp til å lage en datasikkerhetsstrategi tilpasset dine behov? Da kan du høre med oss i Optimalisert AS.

Ta kontakt med oss for en uforpliktende kartleggingssamtale.

Hos Optimalisert AS handler det ikke om å imponere med teknologi. Det handler om å levere resultater som du merker – i arbeidshverdagen, i regnskapet, og i kundetilfredsheten.

Andre kilder om Microsoft og GDPR

Jo, vi har all grunn til å være redde

Mer om AI fra Optimalisert:

Hva er GDPR? En komplett guide

Hvordan jobbe riktig med GDPR i kunstig intelligens?

Se alle våre artikler om datasikkerhet her

 Slik jobber vi med kunstig intelligens
Om forfatteren Bjørn Marius Narjord

Med en bakgrunn i digital strategi og over 15 års erfaring med teknologi og markedføring, leder Bjørn Marius Narjord Optimalisert AS. Han er opptatt av å gjøre kunstig intelligens tilgjengelig, effektiv og trygg for norske bedrifter.

Author Box 03

Følg meg

Share 0
Share 0
Del dine tanker

E-postadressen din vil ikke bli publisert. Obligatoriske felter er merket

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}