Borte bra men hjemme best!

Bekymringene rundt amerikanske hyperscalere er økende. Spesielt offentlige instanser i Europa vurderer å flytte ut fra de amerikanske skyleverandørene og etablere IT-tjenestene sine på europeisk jord. Datasuverenitet er stikkordet.

Amerika eller Europa? Det er spørsmålet!

EU-kommisjonen har laget en europeisk strategi for data , som har som mål å skape et indre marked for data samtidig som europeiske verdier opprettholdes, med EUs datasuverenitet som en sentral pilar. Denne strategien implementeres og håndheves gjennom et europeisk rettslig rammeverk som inkluderer blant annet GDPR, Data Act, Cyber Resiliance Act og NIS2.

Sammen skaper de nevnte forskriftene et juridisk skjold som er utformet for å beskytte og ivareta EU-innbyggeres data, for å blokkere tilgang fra utenlandske myndigheter, og for å redusere EUs avhengighet av amerikanske teknologigiganter.

For å oppnå full europeisk datasuverenitet må bedrifter derfor sørge for at skytjenesteleverandøren deres oppfyller følgende kriterier:

1. EU-jurisdiksjon – Tjenesteleverandøren må utelukkende være underlagt EU-jurisdiksjon. Dette betyr at også det kontrollerende morselskapet må være på europeisk jord.
2. EU-datalokalisering – Tjenesteleverandøren må tilby datalokalisering innenfor EU.
3. EU-verdier – Tjenesteleverandøren må opprettholde europeiske verdier og kunne vise at de overholder EUs rettslige rammeverk, inkludert beskyttelse mot tilgang til data fra tredjelands myndigheter.

Når dette er på plass er man et langt skritt nærmere uavhengighet til amerikanske hyperscalere, rett og slett fordi innfrielse av de tre kriteriene utelukker amerikanske selskap eller eierskap.

Hva sier de amerikanske skyleverandørene?

De store amerikanske skyleverandørene har lansert dedikerte «suverene» skytilbud rettet mot det europeiske markedet, og erkjenner den presserende etterspørselen i Europa.

AWS annonserte sitt løfte om digital suverenitet allerede i november 2022. Som en del av dette løftet lanserer AWS AWS European Sovereign Cloud , som satte i gang sin første region i Tyskland innen utgangen av 2025 for å hjelpe kunder med å oppfylle sine krav til datasuverenitet .

På samme måte annonserte Microsoft 16. juni 2025 sine nye Microsoft Sovereign Cloud- løsninger som svar på å styrke sine europeiske digitale forpliktelser.

Google har også deltatt i kappløpet og tilbyr sitt eget sett med Sovereign Cloud-funksjoner som Google Cloud Data Boundary og Google Cloud Dedicated for å møte den økende etterspørselen .

Til tross for ulik tilnærming og markedsføring deler disse “suverene” løsningene som tilbys av amerikanske skyleverandører en felles plan bygget på fire hovedpilarer:

1. Datalagring: Som en grunnleggende sikkerhetsforanstaltning forplikter leverandørene seg til å lagre alle kundedata, inkludert sikkerhetskopier og metadata, utelukkende i datasentre i EU.
2. EU-basert tilgang og drift: Som et ekstra lag med sikkerhet, forsikrer de at all tilgang til datasentre, teknisk støtte og kundeservice for disse regionene håndteres utelukkende av EU-basert personell.
3. Kryptering og nøkkelhåndtering: Tekniske tiltak som kryptering presenteres som en garanti for konfidensialitet. Kunder tilbys tjenester som «Ta med din egen nøkkel» (BYOK) eller til og med «Hold din egen nøkkel» (HYOK), der kundene administrerer krypteringsnøklene utelukkende.
4. Lokale partnerskap: For å styrke sin forpliktelse til EUs jurisdiksjon tilbyr amerikanske leverandører uavhengig eide og drevne miljøer med partnerskyer. Disse enhetene er posisjonert som juridisk forankrede for dataoperasjonene innenfor EUs juridiske rammeverk.

Hvorfor etablerer ikke disse løsningene ekte datasuverenitet?

Jurisdiksjonsspørsmål

Tiltakene som er omtalt ovenfor gir absolutt et betydelig lag med beskyttelse, men er de nok til å etablere full europeisk datasuverenitet? Alle store amerikanske skyleverandører har europeiske datterselskaper som selger og driver deres europeiske skyløsninger. Disse datterselskapene er imidlertid fullt kontrollert av sine amerikanske morselskaper, som må overholde amerikanske lover og myndighetenes pålegg. Disse lovene og myndighetspåleggene kan omfatte deres europeiske datterselskaper, noe som skaper en stor hindring for å oppnå europeisk datasuverenitet – effekten av amerikansk jurisdiksjon.

Narrativet til de amerikanske hyperskalererne undergraves av rekkevidden til amerikansk jurisdiksjon. Derfor er alle løftene deres – om at kundedataene lagres i Europa, administreres av EU-personell eller driftes av en lokal partner eller et datterselskap – utilstrekkelige for å etablere europeisk datasuverenitet. Morselskapets jurisdiksjon er en avgjørende faktor, og det åpner en bakdør for amerikanske myndigheters tilgang.

Den amerikanske CLOUD-loven og FISA

Den viktigste rettsakten som setter europeisk datasuverenitet i fare er den amerikanske loven Clarifying Lawful Overseas Use of Data (CLOUD) , som forplikter amerikanske skyleverandører til å utlevere alle data knyttet til en kunde som leverandøren har i sin besittelse, varetekt eller kontroll, uavhengig av om dataene befinner seg i eller utenfor USA, og uten forvarsel til berørte brukere . Dette inkluderer for eksempel e-poster, bilder, logger eller andre data som kan være relevante for sakene deres. Amerikanske politimyndigheter som FBI, etterretningstjenester som NSA, aktører som etterforsker forbrytelser og amerikanske domstoler kan alle kreve disse dataene gjennom rettslige pålegg.

En annen problematisk lovgivning i USA er Foreign Intelligence Surveillance Act (FISA) , som regulerer den amerikanske regjeringens overvåking av utenlandske makter og agenter for utenlandske makter i USA. Den gir et rammeverk for elektronisk overvåking og annen etterretningsaktivitet knyttet til nasjonal sikkerhet. Paragraf 702 i FISA gir den amerikanske regjeringen fullmakt til å utføre overvåking uten arrestordre ved hjelp av USA-baserte elektroniske kommunikasjonstjenester og samle inn kommunikasjon, for eksempel e-poster og meldinger, fra personer som med rimelighet antas å befinne seg utenfor USA. Igjen gir ikke plasseringen av dataene noen beskyttelse mot disse overvåkingstiltakene. Amerikanske skyleverandører er pålagt å utlevere dataene, selv om de er lagret i EU.

På kant med europeiske verdier

Disse lovene er i fundamental konflikt med EU-lovgivningen. For eksempel forbyr GDPR og personopplysningsloven utlevering av europeiske data til myndigheter i tredjeland, med mindre utleveringen er basert på en internasjonal avtale som er bindende for EU-medlemsstaten . Formålet med disse lovene er å sikre at europeiske standarder for databeskyttelse ikke undergraves av tredjelands lovgivning.

Den høyeste databeskyttelsesmyndigheten i Europa, Det europeiske databeskyttelsesrådet (EDPB) , har bekreftet at europeiske data ikke lovlig kan utleveres til amerikanske tjenestemenn basert på CLOUD Act. Følgelig er amerikanske skyleverandører i en vanskelig posisjon, ettersom det å oppfylle den amerikanske arrestordren ville utgjøre et brudd på GDPR, mens nektelse av å overholde den kan føre til straffer i henhold til amerikansk lov.

Til syvende og sist er spørsmålet om vi kan stole på at de amerikanske hyperskalererne beskytter sine europeiske klienters interesser mot amerikanske myndigheter, og om vi kan stole på at den amerikanske regjeringen respekterer europeernes grunnleggende rettigheter når den utøver sine etterforsknings- og overvåkingsprosesser. Risikoen virker høy ettersom den nåværende amerikanske administrasjonen presser amerikanske teknologigiganter til politiske endringer, innfører proteksjonistiske retningslinjer og toll mot land hvis reguleringer retter seg ugunstig mot amerikanske selskaper og åpent truer deres nærmeste allierte.

Kryptering som en sikkerhetsforanstaltning?

De amerikanske skyleverandørene tilbyr tekniske sikkerhetstiltak, som kundeadministrerte krypteringsnøkler, som en løsning for bekymringer om datasuverenitet. Kryptering gir riktignok en viss grad av beskyttelse ved muligens å begrense utenlandske myndigheters mulighet til å lese dataene. De amerikanske skyleverandørene er imidlertid fortsatt forpliktet til å utlevere rådataene til amerikanske myndigheter, om nødvendig.

I denne forstand kan kundestyrt kryptering betraktes som en delvis beskyttelse av datasuverenitet, forutsatt at krypteringsnøklene lagres utenfor rekkevidde for amerikanske myndigheter. Kryptering innebærer imidlertid også betydelige kompromisser, spesielt når det gjelder ytelse, og kan dermed være en upraktisk løsning for selskaper som søker datasuverenitet.

Oppsummert

De «suverene» skytjenestene fra amerikanske leverandører (AWS, Microsoft, Google) klarer ikke å levere full europeisk datasuverenitet. Selv om de tilbyr datalagring og drift kun i EU, undergraves dette av den ekstraterritoriale rekkevidden til amerikanske lover som CLOUD Act og FISA.

Disse lovene tillater amerikanske myndigheter å kreve tilgang til data, uavhengig av deres europeiske plassering eller forvaltning, noe som skaper en uunngåelig konflikt med EU-lovgivningen. Til syvende og sist betyr mangelen på juridisk uavhengighet fra den amerikanske regjeringen at disse løsningene ikke etablerer reell suverenitet. Dessuten kommer avhengighet av amerikanske skyleverandører med iboende politiske risikoer, noe som demonstreres av den amerikanske regjeringens nylige handlinger.

Veien til europeisk datasuverenitet

Ikke alle bedrifter søker aktivt full datasuverenitet. AWS, Google og Microsoft tilbyr en bred portefølje av produkter og tekniske sikkerhetsfunksjoner, og for mange brukstilfeller er de fortsatt et levedyktig alternativ. For bedrifter som ser etter komplett europeisk datasuverenitet, kan imidlertid disse hyperskalerne bare tilby en delvis løsning.

Den enkleste måten for bedrifter å oppnå europeisk datasuverenitet på, uten å gå på akkord med fordelene med skytjenester, er å velge en lokal europeisk leverandør av skytjenester. En skyleverandør som har hovedkontor i Europa, garanterer datalagring i EU og demonstrerer samsvar med europeiske forskrifter. Å velge en europeisk leverandør eliminerer risikoen som oppstår fra utenlandske skyleverandører (f.eks. CLOUD Act og FISA) og sikrer transparent kontroll over data, som er viktige byggesteiner for suveren europeisk skytjenester.

Les også:

Exit-strategi, til hva?

Keep on rockin' in the free (IT) world