Digital suverenitet i praksis: innsikt fra eForvaltningsdagene

Max Schrems om digital suverenitet og hva hans innsikt betyr for offentlig sektor

Max Schrems er den østerrikske advokaten og aktivisten som med sine rettssaker mot Facebook (Schrems I og II) effektivt omformet hele EUs tilnærming til personvern og internasjonal dataoverføring. I dag er han en av Europas mest innflytelsesrike stemmer når det gjelder personvern, datasuverenitet og forholdet mellom EU og amerikanske skytjenester.

Vi fikk muligheten til å snakke direkte med Max om situasjonen i Sverige og de spesifikke utfordringene i offentlig sektor. En verdifull samtale om hvordan kommuner og myndigheter må tenke fremover, med viktigheten av å bygge digital infrastruktur som ikke risikerer å bli påvirket av beslutninger langt utenfor Sveriges eller EUs kontroll.

Til hans keynote - "Schrems III eller Trump I? What's next?" - her , gjennomgikk han status etter disse historiske dommene, hva som kan bli det neste, og hvordan både USAs politikk og EUs kommende beslutninger vil påvirke.

Schrems forklarte den sentrale konflikten mellom EUs personvernlovgivning og USAs etterretningslovgivning. Han fremhevet spesielt at FISA 702 retter seg mot selskapet, ikke serverens geografiske plassering. Det betyr at data som er lagret i EU, likevel kan være gjenstand for amerikansk innsyn hvis leverandøren har forbindelser til USA.

Dette er grunnlaget for det han kaller " sovereignty washing ", der amerikanske skygiganter promoterer "europeiske" eller "suverene" skyer, selv om de juridiske risikoene fortsatt er til stede.

For offentlig sektor, der tillit og kontinuitet er avgjørende, er dette ikke en teknisk detalj, men en strategisk risiko.

Den nye virkeligheten innen cybersikkerhet - NCSCs perspektiv

I en sesjon med tittelen "National Cyber Security Centre - how to achieve robust protection against cyber threats" beskrev direktøren for NCSC, John Billow, det arbeidet som allerede er i gang, og som må styrkes, for å beskytte Sverige mot fremtidige cyberangrep.

Han tegnet et tydelig bilde av hvordan Sveriges sårbarhet øker. Offentlig sektor er den mest utsatte målgruppen, med hendelser som direkte påvirker tilgjengelighet og offentlige tjenester.

Cyberangrepene blir stadig flere, mer avanserte og mye billigere å gjennomføre enn tidligere. Løsepengevirus som en tjeneste, AI-støttede phishing-angrep og komplekse angrepskjeder gjør cybersikkerhet til et spørsmål om beredskap, ikke bare teknologi.

Samtidig øker mangelen på kompetanse, og den økende avhengigheten av eksterne leverandører gjør mange miljøer sårbare. Valget av skyleverandør handler derfor ikke bare om funksjon, men også om leverandørkjeder, eierstrukturer og risiko.

Det europeiske rammeverket som nå formes av NIS2, AI-loven, dataloven og GDPR-omnibus, har alle det samme målet: å styrke Europas digitale suverenitet og redusere sårbar avhengighet.

Paneldiskusjon om lærdom fra IT-katastrofer

Paneldiskusjonen "Millennium og andre IT-fiaskoer i offentlig sektor" diskuterte hvorfor store systemprosjekter ikke får den tiltenkte effekten. Sesjonen fokuserte på hvordan offentlig sektor kan unngå fremtidige fiaskoer gjennom bedre implementering, styring og organisering.

Samtalen viste at de store problemene sjelden handler om selve teknologien. De oppstår i styring, forventninger og manglende forankring. Noen av de viktigste lærdommene var

• utilstrekkelig behovsanalyse
• overdimensjonerte ambisjoner
• sen involvering av brukerne
• avhengighet av konsulenter som førte til tap av kompetanse
• manglende digital forståelse hos ledelsen
• prestisje som forhindrer at man trekker i nødbremsen

Rådene som gikk igjen var klare: Begynn i det små. Piloter. Dokumenter. Lær.
Fremfor alt - bygg kompetanse som blir værende i organisasjonen.