Digital suveränitet: Så säkrar ni kommunens data i en osäker omvärld
Digital suveränitet klassas sedan 2025 som en del av det civila försvaret. För dig som beslutsfattare, IT-ansvarig och upphandlare i offentlig sektor innebär det att ta kontroll över hur - och var - verksamhetskritisk information lagras. Men vad betyder begreppet egentligen? Och hur undviker du att fastna i dyra inlåsningsfällor när kraven på cybersäkerhet skruvas upp?
Vad är digital suveränitet?
Digital suveränitet innebär att en organisation har full kontroll över sin egen data, mjukvara och digitala infrastruktur. Du ska inte vara helt beroende av enskilda utländska leverantörer eller lagstiftning i andra länder för att kunna driva din verksamhet.
Samtidigt är digital suveränitet svår att uppnå. Ett tydligt exempel på det kom nyligen; Microsoft delade information om att BitLocker-nycklar, som används för att kryptera hårddiskar, kan lagras i användarkonton. Det innebär att jobbdatorer i teorin kan nås av amerikanska intressen, trots att de är krypterade, om du reser till USA med din dator. Situationen visar att det inte bara är molntjänster som omfattas – även andra produkter kan påverkas.
Varför är digital suveränitet viktigt för kommuner?
För kommuner och regioner är det en fråga om verksamhetskritisk säkerhet. Om data är låst i system som styrs av utländsk lag (exempelvis amerikanska molntjänster), riskerar du att förlora kontrollen över information vid geopolitisk oro eller ändrade användaravtal. Dessutom kräver den nya svenska cybersäkerhetslagen (NIS2) att offentliga aktörer har full spårbarhet och kontroll över sina informationsflöden.
Vad är vendor lock-in och varför är det en risk?
Att vara fastlåst hos en leverantör, så kallad leverantörsinlåsning, innebär att din data är lagrad i stängda system som är svåra eller dyra att flytta. En stor del av "inlåsningsproblematiken" handlar om juridik. Om du inte äger din data, kan du inte heller garantera säkerheten vid en kris. Den nya cybersäkerhetslagen ställer krav på att verksamhetskritisk information kan exporteras utan leverantörshinder.
Hur gör man för att undvika inlåsning?
För att skapa bättre digital suveränitet och undvika att bli “inlåst”, ställ krav på:
1. Öppna standarder och API:er: En modern leverantör ska inte äga eller låsa in din data. Interoperabilitet är förmågan att låta olika system prata med varandra, vilket även ingår i SKR:s "Handslag för digitalisering". Genom att välja system med öppna API:er säkerställer ni att informationen kan flyttas och integreras med andra system.
2. Datalagring inom EU: Att veta var kommunens data finns är grundbulten i digital suveränitet. Genom att välja en svensk leverantör som lagrar data i Norden, alternativt i ett annat europeiskt land, i en plattform byggd enligt MSB:s högsta skyddsklass (klass 3), slipper du oroa dig för lagstiftning utanför EU.
3. Krav på dataportabilitet och historik: Lagen kräver att du kan flytta din data, men i praktiken stupar det ofta på tillgången till historik. Ställ krav på leverantören att de erbjuder historiklicenser. Det innebär att ni behåller full åtkomst till er gamla data även efter ett systembyte, utan att behöva betala för fulla licenskostnader.
Vill du veta mer om hur vi kan hjälpa dig att framtidssäkra dina system och uppfylla interoperabilitetskraven?
