Digital suveränitet kräver riskhantering
Beslut om digital suveränitet måste förankras i praktisk riskhantering. Det menar Noah Phillips, dataskyddsombud och biträdande chefsjurist på affärssystemsleverantören Unit4, i detta inlägg.
Noah Phillips.
Frågan om digital suveränitet har under det senaste halvåret blivit alltmer intensiv. Ämnet väcker starka känslor och kan snabbt bli politiskt laddat. Därför är det viktigt att beslutsfattare håller sig till konkret riskhantering och tekniska överväganden, snarare än att låta sig styras av politisk osäkerhet. Beslut om digital suveränitet måste helt enkelt förankras i praktisk riskhantering.
Tre dimensioner av suveränitet
Digital suveränitet rymmer tre separata dimensioner: data, molninfrastruktur och AI. Var och en ställer sina egna krav.
1. Datasuveränitet handlar om var data lagras, vem som har tillgång till den och vilket lands lagar som gäller. Centrala frågor är krav på datahemvist, rättslig exponering, till exempel de risker som följer av amerikanska CLOUD Act, samt behovet av att hålla känslig och icke-känslig information åtskild.
2. Infrastruktursuveränitet berör frågan om vem som kontrollerar den tekniska miljön och driften. Kan verksamheten köras inom landets gränser? Är det möjligt att undvika att utländska aktörer får tillgång till systemen? Finns det risk för inlåsning hos en leverantör?
3. AI-suveränitet rör hur AI-system tränas, driftsätts, styrs och granskas. Det handlar om att veta var träningsdata kommer ifrån, att säkerställa att modellerna används inom ett lands eller andra juridiska gränser och att förhindra att externa aktörer får tillgång till känsliga frågor, svar eller träningsunderlag.
Affärsmässiga skäl för förändring
Att flytta till en teknisk infrastruktur i Sverige eller andra europeiska länder innebär i grunden att den teknik som ett svenskt eller europeiskt företag använder och de data som hanteras där helt lyder under ett europeiskt lands jurisdiktion. Kunddata är skyddade från ingrepp utifrån.
Pågående geopolitiska spänningar har fått länder, företag och myndigheter att ompröva sitt beroende av icke-europeiska leverantörer. Tyskland driver det digitala ekosystemet GAIA-X, franska staten har gått ifrån Zoom och Teams och Internationella brottmålsdomstolen (ICC) har bytt från MS Office till öppen källkod.
Men innan ett företag eller en myndighet fokuserar på digital suveränitet är det viktigt att ställa sig frågan: vad är det egentliga skälet till förändringen? Precis som covid-19-pandemin visade hur sårbar försörjningen av varor och tjänster kan vara, visar dagens geopolitiska läge hur beroenden av utländsk teknik kan vara riskfyllda genom tullar och sanktioner. Det finns alltså konkreta skäl att se över sina IT-tillgångar.
Men det är lika viktigt att utvärdera om teknisk suveränitet verkligen är rätt svar för just det egna företaget eller myndigheten och man bör fundera över följande frågor:
Hur många företag eller myndigheter har faktiskt fått sin data röjd av en utländsk stat och hur vanliga är sådana förfaranden?
Hur sannolikt är det att den egna verksamheten berörs och hur reell är risken att bli av med åtkomst till tjänster?
Vad är teknikleverantörernas hållning när det gäller att lämna ut kunddata?
Faktum är att det finns mycket få dokumenterade fall där utländska stater har krävt, och än mindre beviljats, tillgång till data lagrad i Europa. Många leverantörer publicerar transparensrapporter som visar att sådana begäranden om EU-lagrad data är sällsynta. Det sker nästan enbart i undantagsfall, som vid brottsutredningar.
En mer reell risk, belyst av de amerikanska sanktionerna mot ICC, är ett alltför stort beroende av IT-tjänster som kontrolleras av företag verksamma under utländsk jurisdiktion, oavsett om det gäller traditionell IT-infrastruktur eller AI-modeller.
Många faktorer att väga in
Det finns flera frågor att ta ställning till om man vill byta ut sina IT-system mot inhemska alternativ:
1. Vad förlorar man om man lämnar en global leverantör? Stora internationella IT-leverantörer erbjuder en bredd och ett djup i sina lösningar som lokala alternativ sällan kan matcha. Att byta kan innebära sämre tillgänglighet och lägre motståndskraft eller ett beroende av föråldrade system. Om det uppstår brister måste organisationen bestämma om den kan hantera dessa på egen hand eller om det finns andra lokala leverantörer eller partner man kan anlita.
2. Vad vinner man på att välja en europeisk leverantör? Utöver ökad kontroll över data och minskat beroende finns också varumärkesmässiga fördelar med att köpa europeiska IT-lösningar. Det finns ett intresse av att stärka den europeiska tekniksektorn och valet av europeiska leverantörer kan uppfattas som ett konkret stöd för europeisk tillväxt.
3. Är all data lika viktig? Vissa uppgifter, som känsliga personuppgifter eller brottsrelaterad information, kräver ett starkare skydd än annan data. Det finns goda skäl att skilja ut sådan information och säkerställa att den lagras lokalt, utom räckhåll för utländsk jurisdiktion.
4. Vet man var AI-datan har befunnit sig? I takt med att AI-verktyg används mer intensivt kan modeller ha tränats på data från en rad olika källor, utan att det syns. En organisation måste kunna ta reda på varifrån både data och modeller kommer och vilket lands lag som därmed är tillämplig.
5. Vilka skyddsåtgärder finns på plats hos er och era leverantörer? Det räcker inte att se till de egna åtgärderna. Minst lika viktigt är att granska de tekniska och juridiska skydd som leverantörerna tillhandahåller. Den avgörande frågan är om dessa skydd ger tillräcklig trygghet för att förlita sig på tekniska plattformar som inte är helt suveräna.
Undvik svepande slutsatser
Det är tydligt att digital suveränitet är en fråga i förändring och det finns goda skäl att ta den på allvar. Men det är viktigt att bortse från den uppskruvade debatten och i stället fatta beslut utifrån vad som faktiskt är rätt för den egna verksamheten, de egna medarbetarna och kunderna. De flesta företag eller myndigheter behöver inte fullständig digital suveränitet i alla lager. En nivåindelad och riskbaserad modell är ofta ett balanserat och bra val.
Noah Phillips, dataskyddsombud och biträdande chefsjurist på affärssystemsleverantören Unit4