Derfor er digital suverenitet stadig viktigere
Økende datamengde, skiftende internasjonale regelverk, hyppigere cyberangrep og storpolitisk ustabilitet har skapt en ny bevissthet rundt lagring av data i skyen.
Det gjelder å beskytte sensitive data, men samtidig å åpne for sikker deling. Riktig sky til riktige data har derfor aldri vært viktigere. Digital suverenitet er et nøkkelbegrep i så måte.
I en debatt under Arendalsuka belyste Knut Karper-Bjørgaas (Avdelingsdirektør Digital Strategi og Samhandling, Digitaliseringsdirektoratet), Øyvind Eidissen, (Partner og Advokat, Advokatfirmaet Schjødt) og Wenche Karlstad (Head of Strategic Differentiation Programs, Tietoevry Connect) problemstillingen.
Debattantene understreket viktigheten av å vokte dataene både på vegne av enkeltindivider, bedrifter, samfunnsinstitusjoner og Norge som nasjon.
– Digital suverenitet er nødvendig for å sikre og beskytte våre digitale eiendeler. Det handler i praksis om tilgang på data, om hvor de befinner seg, hvor de beveger seg og hvem som har eierskap. Dette er kritiske spørsmål for en moderne dataøkonomi, sier Wenche Karlstad i etterkant av debatten.
Også Øyvind Eidissen i Advokatfirmaet Schjødt mener at kjernen i begrepet er kontroll på lagring og tilgang til egne data, enten det dreier seg om personopplysninger eller andre proprietære data.
– Jeg opplever at de største utfordringene knyttet til digital suverenitet i dag er et komplekst juridisk landskap i kombinasjon med en rivende teknologisk utvikling som stadig utfordrer gjeldende juridiske føringer.
Økende bevissthet
Hva betyr GDPR, Cloud Act, Schrems II-dommen og andre regelverk for norske virksomheter og offentlig sektors valg av skyløsninger? Og hvordan skal man forholde seg til de forskjellige regelverkene? Dette er to av de mest sentrale spørsmålene.
– Inntrykket jeg sitter igjen med etter Arendalsuka er at bevisstheten rundt dette er økende. Men det er komplisert og tidkrevende å holde seg oppdatert. Derfor er det viktig at både bransjen og myndighetene bidrar med tydelige retningslinjer, og med konkrete råd ut fra de rammebetingelsen som gjelder, forklarer Wenche Karlstad i Tietoevry.
– Dette handler om å skille mellom type data som for eksempel kritiske og åpne industrielle data, og å finne gode løsninger for riktig formål og riktig skylagring.
Karlstad og Eidissen mener det trengs en innsats for å minske kompetansespriket mellom store og små aktører.
– Krav til spisskompetanse på komplekse juridiske og tekniske problemstillinger krever ressurser som det er vanskelig for mindre virksomheter å besitte selv. Det medfører naturligvis at behovet for ekstern bistand blir større, sier Eidissen.
– I så måte er det positivt at flere offentlige virksomheter har tatt initiativ den siste tiden til å etablere veiledere til ulike brukergrupper, for eksempel Digitaliseringsdirektoratets igangsatte arbeid med en veileder for god praksis etter EU-domstolens Schrems II-avgjørelse, fortsetter han.
Nye initiativer
Karlstad understreker at usikkerheten rundt skiftende regler er helt naturlig.
– Ikke bare er EU-regelverket i endring, de nordiske landene har også en ulik tilnærming. Men EU tar gode regulatoriske grep som også beskytter oss i Norge som følge av EØS-medlemskapet.
– Innen utgangen av året skal det komme et oppdatert Privacy Shield fra EU-kommisjonen, og EU-organisasjonen ENISA jobber med å spesifisere krav til ulike grader av suverenitet for skytjenester. Slike initiativer kan være klargjørende for både bransjen, organisasjoner og virksomheter, fortsetter hun.
Suverenitetsprinsippene vil påvirke alle som lagrer data i skyen, men først og fremst ha konsekvenser for de som trenger å håndtere data på et høyt sikkerhetsnivå.
– De store amerikanske skyleverandørene ønsker fortsatt å levere sine tjenester i Europa. I sommer annonserte Microsoft at de vil tilby løsninger som er i tråd med et strammere europeisk regelverk. Dette betyr at ikke bare datasentrene deres skal være plassert i Europa, men at de for å oppfylle nye krav til suverenitet også skal operere med supportfunksjoner i Europa.
Må legge til rette for innovasjon
Så hvilke grep er viktigst for norske virksomheter å ta for å sikre digital suverenitet med sikte på fremtidig utvikling? Eidissen oppfordrer til å skaffe nødvendig kompetanse som kan legge de rette rammer for den enkelte virksomhetens vurderinger.
– Ikke bli for forsiktig når det gjelder muligheter til å tenke innovativt og ta i bruk ønskede løsninger. I de fleste tilfeller finnes det gode løsninger, og mulighetsrommet er større enn mange tror. Men for å trekke grensen på rett sted og foreta gode risikovurderinger, trengs rett kompetanse.
Også Karlstad ser positivt på fremtiden:
– I Norge har vi generelt en høy modenhet og stor innovasjonskraft innen digitalisering av tjenester for innbyggere og samfunn. Kompetansen er også god sammenlignet med mange andre land. Utfordringen er at små og mellomstore aktører skal ha like vilkår som de store. Mye handler om å gi incentiver for å fremme innovasjon og vekst. Og om å legge til rette for å dele beskyttede data i en tillitsbasert infrastruktur.
– Det er slik at man ønsker å dele data, også helsedata, men man må være sikre på eierskap og at de tekniske systemene sikrer at slike data ikke kommer på avveie. Data er en ressurs som kan og bør deles, så lenge det gjøres på riktig måte. Og vi må utnytte de mulighetene det gir, som å ta i bruk ny smart-teknologi, understreker hun.
Muligheter og fallgruver
Men i en tid der cyberangrep øker og nye muligheter også kan skape nye fallgruver – løper norske selskaper større risiko enn det de gjorde før, eller er de tvert imot bedre rustet?
– På noen områder kommer vi nok ikke unna at risikoen, både regulatorisk og rent faktisk, er større i dag enn tidligere. Stordata, økt datatrafikk over landegrenser, økt internasjonal etterretningsvirksomhet og GDPRs sanksjonsregime er stikkord de fleste vil dra kjensel på. I tillegg til dette kommer den sikkerhetspolitiske uroen i verdenssamfunnet for tiden, sier Eidissen.
– Samtidig er ikke dette svart-hvitt, da mange virksomheter også er bedre rustet enn noen gang til å gjøre gode risikovurderinger og ta veloverveide valg som kan legge til rette for fortsatt innovasjon og utvikling.
I en undersøkelse fra IDC oppgir nesten to av tre beslutningstakere i regulerte bransjer at det er svært viktig med skyløsninger som gir full kontroll og autoritet over data.
– Vi må kunne stole på at reglene er så gode at man ikke må gi andre lands myndigheter tilgang til sensitive data, at data klassifiseres på en måte som sikrer den graden av kontroll som er nødvendig. Bevisstheten rundt valg av skyløsninger i et multisky-landskap er avgjørende i så måte. Det handler i siste instans om å ta eierskap til dataene, sier Karlstad.
