Skrevet af Kåre Bjørn Jensen assisteret af AI

Digital suverænitet handler ikke om at lukke verden ude. Det handler om at kunne vælge – teknologier, partnere og dataflows – på en måde, hvor kammeraterne i kontrakten og juraen arbejder for dig, også når geopolitikken blæser. I 2025 gør nye EU-regler og danske tiltag begrebet konkret: AI Act, Data Act, EU’s cloud-certificering (EUCS) – og danske investeringer i robust infrastruktur og kompetencer.

Hvad betyder “digital suverænitet” – i praksis?

Skåret ind til benet er digital suverænitet evnen til at styre sine digitale valg selv: hvor data ligger, hvem der har adgang, hvilke standarder der bruges, og hvor nemt man kan flytte sig. Det er ikke isolationisme; det er valgfrihed og håndhævelseskraft. For overskuelighedens skyld kan vi opdele den i tre dele:

1. Kontrakter og exit-muligheder
2. Compliance og dokumentation
3. Arkitekturvalg, der gør skift muligt uden at tabe forretning eller sikkerhed.

Hvorfor lige nu?

Fordi rammerne har rykket sig i år: AI Act ruller ind i faser, Data Act har været gældende siden 12. september 2025, og EU’s EUCS for cloud bevæger sig fremad – men uden de mest vidtgående “suverænitetsetiketter”, som skabte debat. Samtidig har EU-Domstolens DPF-dom i september 2025 givet midlertidig ro om dataoverførsel til USA. Tilsammen peger det på en ny normal: byg til at kunne skifte, dokumentér dine valg – og hold øje med udviklingen.

De vigtigste EU-lovpakker ift. digital suverænitet

AI Act (EU’s AI-lov):
Loven trådte i kraft 1. august 2024. Dens krav fases ind frem mod 2027, med forbud, generelle governance-krav og særlige regler for generelle modeller (GPAI) og højrisiko-systemer. For virksomheder betyder det: kortlæg jeres AI-brug, dokumentér data og beslutningsveje, og vær klar til at vise hvem der gør hvad i AI-kæden.

Data Act:
Gælder fra 12. september 2025. Et centralt krav i denne lovgivning er cloud-switching: leverandører skal gøre det reelt muligt og rimeligt billigt at flytte data og tjenester, så man undgår hårdt lock-in. Brug den nye retsposition aktivt i kontrakter: definer eksportformater, brugerbetingelser for skift af leverandør og realistiske lofter for omkostningerne til dette.

EUCS (EU Cloud-certificering):
Det politiske minefelt. I 2024-udkastet blev “suverænitet/immunitet” fjernet som krav til de højeste niveauer, til fordel for mere tekniske sikkerhedskriterier. Det gør certificering mere opnåelig for globale spillere – men rejser fortsat spørgsmål om tredjelandslovgivning (fx CLOUD Act). Følg processen, og brug certificering som et datapunkt, ikke som eneste sandhed.

EU-US Data Privacy Framework (DPF):
3. september 2025: EU’s Ret (General Court) fastholdt Kommissionens afgørelse om, at USA aktuelt giver et “tilstrækkeligt” beskyttelsesniveau. Det skaber driftsro for transatlantiske dataflows – men sager kan ankes, så lav stadig overførselsvurderinger og hav en plan B.

Den danske vinkel

Regeringen har i 2025 afsat 80 mio. kr. over perioden 2026–2029 til “digital suverænitet” i den offentlige sektor. Det er et signal om at styrke kompetencer, infrastruktur og styring – og det smitter af på leverandørkrav og samarbejdsmodeller. For private virksomheder betyder det: forvent flere krav om portabilitet, logning og dokumentation i offentlige udbud – og tilsvarende forventninger i værdikæden.

Suverænitet starter i arkitekturen (og kontrakten)

1) Gør skift muligt – design-mæssigt
Vælg åbne formater og standardiserede grænseflader. Hold data og forretningslogik adskilt fra specifikke vendor-features, hvor det giver mening. Brug multi-region/EU-lokationer bevidst, og dokumentér, hvad der må ligge uden for EU – og hvorfor.

2) Brug Data Act aktivt
Indskriv eksportformat, vilkår for leverandørskift, fee-loft, og en klar exit-runbook i kontrakten. Når det er på skrift, får I både forhandlingskraft og operationel ro, når I skifter.

3) Kend jeres tredjelands-eksponering
Kortlæg, hvilke datatyper der potentielt rammes af udenlandsk jurisdiktion via underdatabehandlere. Brug DPF-grundlaget – men lav stadig en Transfer Impact Assessment, og hold øje med klagesager og anker.

4) Certificering er ikke alt
EUCS kan hjælpe, men kig bag mærket: underleverandører, logik for nøglehåndtering, og hvem der kan pålægges at udlevere data. Brug certificeringer som signal, ikke garanti.

5) AI-governance som driftsevne
Med AI Act på vej ind: udpeg roller (provider/deployer), lav datasheets/model cards, og log beslutningsgrundlag. Når audit-spørgsmål kommer, er det jeres dokumentation, der bærer suveræniteten.

Fem hyppige misforståelser – og hvad du gør i stedet

1. “Suverænitet = EU-kun-cloud.”
   Nej. Det er begrundede valg + exits, ikke geografi alene. Brug EU-lokationer hvor påkrævet – men byg så I kan skifte, hvis regler, priser eller kvalitet ændrer sig.
2. “EUCS løser alt.”
   Nej. Certificering reducerer risiko, men den erstatter ikke kontraktlige og tekniske exit-greb – og siger intet om jeres forretningsmæssige afhængigheder.
3. “DPF = fri leg.”
   Nej. Afgørelsen giver stabilitet nu, men følg sager og anker. Hav SCCs + organisatoriske/tekniske kontrollerklar som sikkerhedsnet.
4. “Data Act gælder kun ‘data’ fra IoT.”
   Nej. Læs kapitel om data processing services: cloud-switching rammer bredt og kan bruges offensivt i forhandlinger – også uden IoT-case.
5. “AI Act = kun for tech-giganter.”
   Nej. Også deployere (dem, der bruger AI) får pligter. Start med kortlægning, risikovurdering og logning – så er I foran kurven.

Tjekliste: Otte skridt I kan tage i morgen

1. Datakort: Hvilke data ligger hvor – og under hvilke love?
2. Klassificér data: Hvad skal blive i EU – og hvorfor?
3. Cloud-exit: Sæt eksportformat, SLA for udtræk og fee-loft i kontrakter (Data Act).
4. Underleverandører: Få fuldt overblik – og audit-ret.
5. Kryds-atlantisk plan: Brug DPF – men hav SCCs/kompensationsforanstaltninger klar.
6. EUCS-status: Brug certificering som datapunkt – og kig bag label’en.
7. AI-governance: Roller, logning, modelkort – og en simpel intern policy.
8. KPI for suverænitet: Mål tid og pris for at flytte en repræsentativ tjeneste i en “table-top” øvelse.

Hvor efterlader det os?

Digital suverænitet er ikke et flag, man hejser – det er en driftsevne, man bygger. EU-reglerne giver jer faktisk mere greb om leverandører og data end tidligere. Brug dem. Og når geopolitikken eller certificeringerne skifter retning (det gør de), står I stærkere, fordi arkitektur, kontrakter og dokumentation allerede spiller sammen.