Digital suverenitet i praksis: innsikt fra eFörvaltningsdagarna

Max Schrems om digital suverenitet og hva hans innsikt betyr for offentlig sektor

Max Schrems er en østerriksk advokat og aktivist hvis rettssaker mot Facebook (Schrems I og II) effektivt endret hele EUs syn på databeskyttelse og internasjonal dataoverføring. I dag er han en av Europas mest innflytelsesrike stemmer når det gjelder personvern, datasuverenitet og forholdet mellom EU og amerikanske skytjenester.

Vi fikk muligheten til å snakke direkte med Max om situasjonen i Sverige og de spesifikke utfordringene offentlig sektor står overfor. Det var en verdifull samtale om hvordan kommuner og myndigheter må tenke fremover, med vekt på å bygge digital infrastruktur som ikke risikerer å bli påvirket av beslutninger langt utenfor Sveriges eller EUs kontroll.

I sin hovedtale, «Schrems III eller Trump I? Hva skjer videre?», gjennomgikk han situasjonen etter disse historiske kjennelsene, hva som kan vente oss og hvordan både amerikansk politikk og EUs kommende beslutninger vil påvirke situasjonen.

Schrems forklarte den sentrale konflikten mellom EUs personvernlover og amerikansk etterretningslovgivning. Han fremhevet særlig at FISA 702 retter seg mot selskapet, ikke serverens geografiske plassering. Dette betyr at data som er lagret i EU fortsatt kan være tilgjengelig for USA hvis leverandøren har en tilknytning til USA.

Dette er grunnlaget for det han kaller suverenitetsvasking, som er når amerikanske skygiganter markedsfører «europeiske» eller «suverene» skyer, selv om de juridiske risikoene fortsatt eksisterer.

For offentlig sektor, hvor tillit og kontinuitet er avgjørende, er dette ikke en teknisk detalj, men en strategisk risiko.

Den nye virkeligheten innen cybersikkerhet fra NCSCs perspektiv

I sesjonen «National Cyber Security Centre – hvordan vi kan oppnå robust beskyttelse mot cybertrusler» beskrev lederen for NCSC, John Billow, arbeidet som allerede er i gang og hva som må styrkes for å beskytte Sverige mot fremtidige cyberangrep.

Han tegnet et klart bilde av hvordan Sveriges sårbarhet øker. Offentlig sektor er den mest sårbare målgruppen, med hendelser som direkte påvirker tilgjengeligheten og offentlige tjenester.

Cyberangrep blir stadig hyppigere, mer avanserte og betydelig billigere å gjennomføre enn før. Ransomware som en tjeneste, AI-støttede phishing-angrep og komplekse angrepskjeder gjør cybersikkerhet til et spørsmål om beredskap, ikke bare teknologi.

Samtidig øker kompetansemangelen, og den økende avhengigheten av eksterne leverandører gjør mange miljøer sårbare. Valget av skyleverandør handler derfor ikke bare om funksjonalitet, men også om forsyningskjeder, eierstrukturer og risiko.

Det europeiske rammeverket som nå er under utforming gjennom NIS2, AI-loven, dataloven og GDPR-omnibus, har alle samme mål: å styrke Europas digitale uavhengighet og redusere sensitive avhengigheter.

Paneldiskusjon om erfaringer fra IT-svikt

Paneldiskusjonen «Millennium og andre IT-feil i offentlig sektor» diskuterte hvorfor store systemprosjekter ikke har den tiltenkte effekten. Sesjonen fokuserte på hvordan offentlig sektor kan unngå fremtidige feil gjennom bedre implementering, styring og organisering.

Diskusjonen viste at de største problemene sjelden gjelder selve teknologien. De oppstår i styring, forventninger og mangel på støtte. Noen av de viktigste erfaringene var:

• mangelfull behovsanalyse
• overdrevne ambisjoner
• brukere involvert for sent
• avhengighet av konsulenter som fører til tap av kompetanse
• ledelse som mangler digital forståelse
• prestisje som hindrer folk i å trekke i nødbremsen

Det gjentatte rådet var klart: Start i det små. Pilotér. Dokumenter. Lær.

Fremfor alt: Bygg opp kompetanse som blir værende i organisasjonen.