Digital suverænitet: Hvor europæisk er europæisk AI egentlig?

En AI-løsning kan være udviklet i Europa, bruges af europæiske myndigheder og overholde europæiske regler — men stadig bygge på amerikansk cloud, amerikanske chips og amerikanske modeller. Det gør digital suverænitet til mere end et spørgsmål om datasikkerhed. Det handler om afhængighed, handlefrihed og økonomisk kontrol.

Når et interview bliver transskriberet med kunstig intelligens, virker det som en simpel funktion.

En lydfil uploades. Et system omsætter tale til tekst. Efter få minutter ligger interviewet klar til redigering, men  bag den tilsyneladende enkle proces ligger en teknologisk kæde, som ofte rækker langt ud over den computer, journalisten sidder ved — og langt ud over Europa. Mikkel Næsager bruger netop transskription som eksempel, når han forklarer, hvorfor kunstig intelligens og cloud ikke længere kan skilles ad.

“AI er cloud. Man kan ikke adskille de to ting. Det er ikke separate størrelser. Når vi eksempelvis transskriberer denne optagelse, sker det i cloud. Alle de AI-systemer, folk bruger til daglig, er cloud-baserede. Derfor er cloud-infrastruktur helt central, når vi taler om AI-vækst og suverænitet,” siger han.

Næsager rådgiver om cloud, AI og digital suverænitet og er blandt andet tilknyttet CISPE som rådgiver. CISPE er en brancheorganisation for europæiske cloud-infrastrukturudbydere.

Hans pointe er, at AI-debatten ofte begynder for højt oppe i teknologien. Vi taler om chatbots, sprogmodeller, billedgeneratorer og digitale assistenter, men  under brugerfladen ligger chips, datacentre, cloud, modeller, API’er, leverandøraftaler og jurisdiktion.

Det er dér, spørgsmålet om digital suverænitet begynder. For hvis AI i praksis er cloud, handler AI-politik ikke kun om algoritmer og modeller. Den handler også om, hvem der ejer infrastrukturen, hvem der kan ændre vilkårene, hvem der kan få adgang til data, og om virksomheder og myndigheder reelt kan skifte leverandør, hvis de bliver nødt til det.

En europæisk løsning kan hvile på ikke-europæiske lag

En AI-løsning kan sagtens se europæisk ud. Den kan være udviklet af en europæisk startup. Den kan være solgt til europæiske kunder. Den kan overholde GDPR og AI Act. Den kan være finjusteret til et europæisk sprog eller et europæisk marked. Den kan løse et konkret problem i en kommune, en virksomhed, et hospital eller en forskningsinstitution, men  hvis den kører på amerikansk cloud, bruger amerikanske GPU’er, bygger på en amerikansk foundation model og distribueres gennem en global platform, er den europæiske kontrol begrænset. Michael Solvang, CEO i NORA.ai, det norske AI-konsortium, der samler forskningsmiljøer om kunstig intelligens, machine learning og robotik, beskriver afhængigheden kontant:

“Hvis man ser på hele AI-stacken — fra strøm til chips og GPU’er — så er det i praksis Nvidia og AMD, og begge er amerikanske. Ovenpå det kommer infrastrukturen med Google, Amazon og Microsoft. Det er i høj grad de tre, alle bruger.”

Det betyder ikke, at Europa ingen AI har. Europa har forskere, startups, industrielle AI-løsninger, offentlige projekter og stærke anvendelsesmiljøer, men  det betyder, at meget af den europæiske AI-udvikling hviler på teknologiske lag, som Europa ikke selv kontrollerer. Solvangs pointe er ikke, at Europa skal afskære sig fra resten af verden, men  han peger på et simpelt problem: Hvis der ikke findes alternativer, er valgfriheden begrænset.

“Lige nu findes der reelt ikke noget godt alternativ,” siger han og forsætter: ”Pointen er, at man skal have leverandører, som giver reelle alternativer, hvis man ønsker at skifte.”

Det er en kort definition på digital suverænitet: ikke nødvendigvis at alt skal være europæisk, men at man skal kunne vælge, skifte og forhandle.

Suverænitet er ikke bare, hvor data ligger

En af de mest udbredte misforståelser i debatten er, at digital suverænitet først og fremmest handler om, hvor data fysisk befinder sig. Hvis data ligger i et europæisk datacenter, lyder det umiddelbart mere suverænt. Hvis leverandøren tilbyder en europæisk cloud-region, kan det se ud, som om problemet er løst. Hvis løsningen lever op til europæiske sikkerhedsstandarder, kan organisationen føle sig på sikker grund, men  det er ikke nødvendigvis nok. Ben Maynard fra CISPE advarer mod at forveksle suverænitet med data residency.

“En af misforståelserne er, at suverænitet er det samme som sikkerhed eller data residency. Det er vidt forskellige ting. Data residency beskytter dig overhovedet ikke mod Cloud Act,” siger han.

Pointen er, at spørgsmålet ikke kun er, hvor data fysisk ligger. Det er også, hvem leverandøren er, hvilken lovgivning leverandøren er underlagt, hvem der kontrollerer nøglerne, og om kunden reelt kan flytte systemer, data og arbejdsgange et andet sted hen. Mikkel Næsager formulerer testen sådan:

“Det egentlige spørgsmål er: Er du immun over for udenlandsk indblanding? Hvis svaret er nej, så er det efter vores opfattelse ikke suverænt.”

Det er en streng definition, men  den gør debatten mere præcis. For en offentlig myndighed kan godt bruge en løsning, der teknisk set kører i Europa, men hvor leverandøren stadig er underlagt lovgivning uden for Europa. En virksomhed kan godt have europæiske kunder og europæiske data, men bygge sin AI-løsning på amerikanske modeller og amerikansk cloud. En startup kan godt være europæisk, men være afhængig af ikke-europæisk compute, API’er og distributionskanaler.

Det gør ikke løsningen ubrugelig, men  det betyder, at den ikke uden videre er suveræn.

Afhængighed som ledelsesproblem

Også i Danmark er digital suverænitet begyndt at blive formuleret som mere end et geopolitisk eller teknisk spørgsmål. CBS-professor Jan Damsgaard argumenterer i bogen Digital suverænitet for, at afhængighed af digitale leverandører skal gøres synlig og ledelsesbar. Bogen introducerer blandt andet et digitalt afhængighedstal, en modenhedsmodel i fem niveauer og scenarieanalyse som redskaber til at håndtere leverandørafhængighed, robusthed og handlefrihed. Bogen henvender sig blandt andet til virksomheder, bestyrelser og IT-afdelinger, men har også et kapitel om den offentlige sektor som storforbruger af digitale løsninger og paradokset ved at være meget digital og samtidig mindre suveræn.

Det er en vigtig forskydning. Digital suverænitet er ikke kun et spørgsmål for EU-Kommissionen, forsvarsministerier eller techpolitikere. Det er også et spørgsmål for kommuner, regioner, virksomheder, universiteter og offentlige institutioner, der bygger flere af deres arbejdsgange på få digitale leverandører. I et interview med IT-chefer.dk formulerer Damsgaard digital suverænitet som evnen til at kende sin digitale infrastruktur og forbedre sin handlefrihed. Han advarer samtidig mod at reducere emnet til et spørgsmål om, hvorvidt man “kan lide” USA, Kina eller EU. Det handler om handlefrihed under pres.

Den pointe passer direkte ind i AI-debatten. For når AI bygges ind i administration, sundhedsvæsen, undervisning, forskning, HR, journalistik, softwareudvikling og beslutningsstøtte, bliver leverandørafhængighed ikke længere kun et IT-spørgsmål. Det bliver et spørgsmål om, hvor sårbar en organisation er, hvis priser ændres, vilkår strammes, adgang begrænses, eller geopolitiske konflikter påvirker de digitale platforme.

Fra bekvemmelighed til lock-in

Mikkel Næsager kalder en del af problemet “convenience dividend”. Europa har gennem mange år valgt de løsninger, der var lettest, mest modne, mest integrerede og mest udbredte. Det har givet hurtig digitalisering, men  det har også skabt dyb afhængighed.

“Vi har brugt det sidste årti på at bevæge os ind i det, jeg kalder convenience dividend. Det er simpelthen lettere bare at fortsætte med at købe det, vi altid har købt. Vi er dybt afhængige af bestemte leverandører, så der er næsten ingen grund til at lave et udbud, fordi vi allerede ved, hvem vi vælger. Der findes meget reelle barrierer for at skifte — og mange af dem er designet til at være der,” siger han.

Det kan lyde abstrakt, men mekanismen er konkret. En kommune bruger allerede én kontorpakke, én mailplatform, én identitetsløsning og én cloudleverandør. Når AI-funktioner bygges ovenpå, er det lettest at fortsætte i samme økosystem. En virksomhed har allerede data, sikkerhedsmodeller, arbejdsgange og medarbejderkompetencer bundet op på én platform. Når leverandøren tilbyder AI, bliver det praktisk at sige ja. Det kan være rationelt på kort sigt, men  over tid bliver bekvemmelighed til lock-in. Data, integrationer, kontrakter, sikkerhedsmodeller, brugerrettigheder, medarbejderkompetencer og interne processer væves ind i få platforme. Når AI-laget ovenikøbet bygges ovenpå de samme platforme, bliver det endnu sværere at skifte.

Det er derfor, Næsager mener, at cloud og AI er ved at ændre mere end IT-afdelingen.

Cloud og AI er, siger han, “ved at omforme hele måden, vores økonomi fungerer på.”

EU forsøger at bygge kapacitet

EU er ikke blind for problemet. I de senere år har EU forsøgt at flytte sig fra primært at være reguleringsmagt til også at føre mere aktiv teknologisk industripolitik. AI Act regulerer brugen af kunstig intelligens, men AI Continent Action Plan, AI Factories, EuroHPC og Chips Act handler om noget andet: kapacitet. Kommissionens AI Continent Action Plan skal styrke Europas AI-udvikling gennem blandt andet computing-infrastruktur, dataadgang, AI-anvendelse i strategiske sektorer, kompetencer og forenkling af regler. AI Factories-programmet skal give startups, forskere, SMV’er og offentlige aktører adgang til AI-optimeret supercomputing. På chipområdet skal European Chips Act styrke Europas halvlederøkosystem og mindske eksterne afhængigheder.

Det er nødvendige initiativer, men  de ændrer ikke udgangspunktet: Europa forsøger at opbygge handlefrihed fra en position, hvor afhængigheden allerede er dyb. De største cloudplatforme er ikke europæiske. De mest udbredte generative AI-assistenter er ikke europæiske. De mest efterspurgte GPU’er kommer fra amerikanske virksomheder. Mange europæiske virksomheder bygger deres AI-løsninger oven på ikke-europæisk infrastruktur. Derfor bliver spørgsmålet ikke kun, hvad EU planlægger at bygge. Det bliver også, om europæiske virksomheder og myndigheder faktisk efterspørger alternativerne, når de findes.

Suverænitet er ikke afkobling

Digital suverænitet kan let lyde som et krav om teknologisk isolation.

Men det er ikke sådan, Andreas Cleve, medstifter og CEO i den danske healthtech-virksomhed Corti, forstår begrebet.

“Suverænitet handler for mig ikke så meget om fragmentering fra USA. Jeg tror, vi kommer til at være partnere med amerikanerne meget længere. For mig handler det meget mere om, at vi har opgivet at være andet end konsumenter af nøgleteknologier. Vi bygger ikke evnen til at skabe innovationen selv. Vi bygger ikke evnen til at kontrollere det,” siger han.

Det er en vigtig sondring. Europa kommer fortsat til at bruge amerikansk teknologi. Amerikanske virksomheder vil fortsat være centrale leverandører. Og USA er ikke bare en konkurrent, men også en allieret og teknologisk partner, men  partnerskab er ikke det samme som afhængighed uden alternativer. Hvis europæiske virksomheder kun kan vælge mellem forskellige amerikanske platforme, er forhandlingspositionen svag. Hvis offentlige myndigheder ikke kan flytte kritiske systemer uden store omkostninger, er handlefriheden begrænset. Hvis europæiske startups kun kan skalere ved at bygge på infrastruktur, de ikke selv har indflydelse på, bliver en del af værdiskabelsen og kontrollen liggende andre steder.

Cleves pointe flytter derfor debatten væk fra et forenklet spørgsmål om USA eller Europa.

Spørgsmålet er ikke, om Europa skal afkoble sig. Spørgsmålet er, om Europa kan opbygge nok kapacitet til at være partner frem for permanent kunde.

Jagten på handlefrihed

Der findes flere mulige veje til større europæisk handlefrihed. Den ene er europæisk cloud. Ikke nødvendigvis som én stor offentlig cloud, men som et mere mangfoldigt marked af europæiske udbydere, der kan levere sikre, skalerbare og juridisk mere robuste alternativer til de globale hyperscalers.

Den anden er portabilitet og interoperabilitet. Hvis virksomheder og myndigheder kan flytte data, modeller og arbejdsgange mellem leverandører, bliver lock-in sværere. Hvis de ikke kan, bliver leverandørskifte hurtigt teoretisk.

Den tredje er adgang til compute. AI Factories og EuroHPC kan give forskere, startups og SMV’er adgang til regnekraft, som ellers ville være for dyr eller utilgængelig.

Den fjerde er offentlige indkøb. Hvis europæiske myndigheder stiller krav om dokumentation, portabilitet, gennemsigtighed og mulighed for leverandørskifte, kan de mindske lock-in og skabe efterspørgsel efter alternativer.

Den femte er at måle afhængigheden. Her bliver Damsgaards ledelsesperspektiv relevant: Afhængighed skal kunne ses, måles og håndteres, før den bliver kritisk.

Fælles for de fem veje er, at de ikke handler om isolation.De handler om forhandlingsstyrke.

Hvem får gavn af væksten?

Digital suverænitet bliver ofte diskuteret som geopolitik, men  Næsager mener, at det i lige så høj grad handler om økonomi. Hvis AI bliver en grundlæggende produktivkraft i samfundet, vil enorme værdier flytte sig gennem de platforme og infrastrukturer, der leverer teknologien. Abonnementer, cloudforbrug, API-kald, modeladgang, enterprise-licenser og automatiseringssystemer bliver en ny digital værdistrøm. Spørgsmålet er, hvor den værdistrøm ender.

“En af misforståelserne er, at det her kun handler om geopolitik. Det gør det ikke. Strategisk autonomi handler også om at kontrollere og få fordelene af den digitale vækst. Om ti år vil vi have langt mere cloud og AI end i dag. Det afgørende spørgsmål er: Hvem får gavn af den vækst?” siger han.

Det spørgsmål er særligt vigtigt i Europa, fordi AI vil blive bygget ind i sektorer, hvor kontinentet allerede har stor samfundsmæssig og økonomisk aktivitet: sundhed, industri, energi, offentlig administration, uddannelse, finans og transport. Hvis AI øger produktiviteten i europæiske virksomheder, men de mest profitable infrastrukturlag ejes uden for Europa, bliver Europas gevinst mindre. Hvis offentlige institutioner effektiviserer med AI, men låser sig dybere fast i få globale leverandører, bliver handlefriheden mindre. Hvis europæiske data, arbejdsgange og ekspertise bruges til at skabe produkter, hvor kontrollen ligger andre steder, bliver værdiskabelsen asymmetrisk. Det er ikke et argument for digital isolationisme. Det er et argument for forhandlingsstyrke.

Risikoen for digital livegenskab

CISPE bruger et stærkt begreb om risikoen: digital livegenskab.

“Hvis vi ikke handler klart og fokuseret nu, risikerer vi at sende Europa ind i det, vi kalder digital livegenskab,” siger Mikkel Næsager.

Begrebet er dramatisk. Det er også et partsindlæg i en europæisk clouddebat, hvor CISPE repræsenterer europæiske cloud-infrastrukturudbydere, men  det peger på en reel mekanisme: Afhængighed kan opstå gradvist gennem indkøb, integrationer, vaner og bekvemmelighed, indtil alternativerne bliver svære at bruge. Det er ikke nødvendigvis dramatisk fra dag til dag. Det kan ligne effektivisering. Det kan ligne innovation. Det kan ligne almindelig digitalisering. Det kan ligne en praktisk beslutning om at vælge den løsning, der allerede fungerer, men  over tid kan konsekvensen blive, at det bliver for dyrt at flytte data, for komplekst at ændre arbejdsgange, for besværligt at skifte leverandør og for sent at opbygge egne alternativer.

Hvor europæisk er europæisk AI?

Spørgsmålet om digital suverænitet handler derfor ikke om, hvorvidt Europa skal bruge amerikansk teknologi. Det kommer Europa til. Spørgsmålet er, om Europa også har andre muligheder. 

Kan en europæisk virksomhed bygge AI uden at aflevere for meget kontrol til globale platforme? Kan en offentlig myndighed bruge AI uden at låse kritiske samfundsfunktioner fast i få leverandørers økosystemer? Kan forskere og startups få adgang til compute uden at være afhængige af hyperscalers? Kan organisationer måle deres digitale afhængighed, før de opdager den i en krise? En AI-løsning kan være europæisk i sin brugerflade, sit marked, sit datasæt og sin juridiske ramme — men stadig være afhængig af ikke-europæiske lag under overfladen.

Det gør den ikke nødvendigvis forkert, men  det gør den mindre suveræn.

Europa har stærke forskningsmiljøer. Europa har industri. Europa har regulering. Europa har offentlige institutioner, der kan stille krav. Europa har supercomputing-initiativer, AI Factories, Chips Act, AI Act og en voksende erkendelse af problemet, men  Europa har også en dyb afhængighed af amerikanske platforme, amerikansk cloud, amerikanske chips og amerikanske modeller. Derfor er det afgørende spørgsmål ikke, om Europa skal eje alt. Det skal Europa næppe.

Spørgsmålet er, om Europa kan eje, kontrollere eller påvirke nok. Nok til at kunne vælge. Nok til at kunne skifte. Nok til at kunne forhandle. Nok til at kunne beskytte kritiske samfundsfunktioner. Nok til at sikre, at værdien af Europas digitale vækst ikke primært ender andre steder.

For digital suverænitet handler ikke om at lukke verden ude. Det handler om ikke at opdage for sent, at man ikke længere kan komme fri.

Vi laver journalistik om AI, fordi udviklingen går hurtigere end den offentlige samtale.

På AI Portalen forsøger vi at skabe overblik, perspektiv og kritisk indsigt i en teknologi, der allerede former alt fra arbejdsmarkedet til demokratiet — ofte uden at nogen bremser op og forklarer, hvad der foregår.

Hvis vores artikler hjælper dig med at forstå AI lidt bedre, så overvej at støtte arbejdet.

Et medlemskab gør én ting mulig: at vi kan blive ved med at undersøge, dokumentere og forklare, hvordan AI påvirker Danmark — uden investorer, uden PR-interesser og uden at jage hype.

Bliv medlem og vær med til at styrke uafhængig journalistik om AI.