Digital suveränitet: Så säkrar ni kommunens data i en osäker omvärld
Digital suveränitet klassas sedan 2025 som en del av det civila försvaret. För dig som beslutsfattare, IT-ansvarig och upphandlare i offentlig sektor innebär det att ta kontroll över hur - och var - verksamhetskritisk information lagras. Men vad betyder begreppet egentligen? Och hur undviker du att fastna i dyra inlåsningsfällor när kraven på cybersäkerhet skruvas upp?
Vad är digital suveränitet?
Digital suveränitet innebär att en organisation har full kontroll över sin egen data, mjukvara och digitala infrastruktur. Du ska inte vara helt beroende av enskilda utländska leverantörer eller lagstiftning i andra länder för att kunna driva din verksamhet.
Samtidigt är digital suveränitet svår att uppnå. Ett tydligt exempel på det kom nyligen; Microsoft delade information om att BitLocker-nycklar, som används för att kryptera hårddiskar, kan lagras i användarkonton. Det innebär att jobbdatorer i teorin kan nås av amerikanska intressen, trots att de är krypterade, om du reser till USA med din dator. Situationen visar att det inte bara är molntjänster som omfattas – även andra produkter kan påverkas.
Varför är digital suveränitet viktigt för kommuner?
För kommuner och regioner är det en fråga om verksamhetskritisk säkerhet. Om data är låst i system som styrs av utländsk lag (exempelvis amerikanska molntjänster), riskerar du att förlora kontrollen över information vid geopolitisk oro eller ändrade användaravtal. Dessutom kräver den nya svenska cybersäkerhetslagen (NIS2) att offentliga aktörer har full spårbarhet och kontroll över sina informationsflöden.
Min bedömning är att Data Act och NIS2 kommer påverka offentliga IT-upphandlingar minst lika mycket som GDPR gjorde. Vi är fortfarande i ett tidigt skede där praxis inte riktigt har satt sig.
Roland Sjögren, upphandlingsexpert, Publitech.
Vad är vendor lock-in och varför är det en risk?
Att vara fastlåst hos en leverantör, så kallad leverantörsinlåsning, innebär att din data är lagrad i stängda system som är svåra eller dyra att flytta. En stor del av "inlåsningsproblematiken" handlar om juridik. Om du inte äger din data, kan du inte heller garantera säkerheten vid en kris. Den nya cybersäkerhetslagen ställer krav på att verksamhetskritisk information kan exporteras utan leverantörshinder.
Hur gör man för att undvika inlåsning?
För att skapa bättre digital suveränitet och undvika att bli “inlåst”, ställ krav på:
1. Öppna standarder och API:er: En modern leverantör ska inte äga eller låsa in din data. Interoperabilitet är förmågan att låta olika system prata med varandra, vilket även ingår i SKR:s "Handslag för digitalisering". Genom att välja system med öppna API:er säkerställer ni att informationen kan flyttas och integreras med andra system.
2. Datalagring inom EU: Att veta var kommunens data finns är grundbulten i digital suveränitet. Genom att välja en svensk leverantör som lagrar data i Norden, alternativt i ett annat europeiskt land, i en plattform byggd enligt MSB:s högsta skyddsklass (klass 3), slipper du oroa dig för lagstiftning utanför EU.
3. Krav på dataportabilitet och historik: Lagen kräver att du kan flytta din data, men i praktiken stupar det ofta på tillgången till historik. Ställ krav på leverantören att de erbjuder historiklicenser. Det innebär att ni behåller full åtkomst till er gamla data även efter ett systembyte, utan att behöva betala för fulla licenskostnader.
Data act i upphandlingar - goda intentioner men otydliga krav
Den nya cybersäkerhetslagen ställer krav på att verksamhetskritisk information kan exporteras utan leverantörshinder. Vår expert Roland Sjögren svarar på vad det innebär i praktiken, och varför han ser att många upphandlingar missar skillnaden mellan migrationsarbete och dataportabilitet.
