I en debatt under Arendalsuka belyste vi tematikken sammen med DigDir og Advokatfirmaet Schjødt
Det gjelder å beskytte sensitive data, men samtidig å åpne for sikker deling. Riktig sky til riktige data har derfor aldri vært viktigere. Digital suverenitet er et nøkkelbegrep i så måte.
I en debatt under Arendalsuka belyste Knut Karper-Bjørgaas (Avdelingsdirektør Digital Strategi og Samhandling, Digitaliseringsdirektoratet), Øyvind Eidissen, (Partner og Advokat, Advokatfirmaet Schjødt) og Wenche Karlstad (Head of Strategic Differentiation Programs, Tietoevry Connect) problemstillingen.
Debattantene understreket viktigheten av å vokte dataene både på vegne av enkeltindivider, bedrifter, samfunnsinstitusjoner og Norge som nasjon.
Digital suverenitet er nødvendig for å sikre og beskytte våre digitale eiendeler. Det handler i praksis om tilgang på data, om hvor de befinner seg, hvor de beveger seg og hvem som har eierskap. Dette er kritiske spørsmål for en moderne dataøkonomi.
Også Øyvind Eidissen i Advokatfirmaet Schjødt mener at kjernen i begrepet er kontroll på lagring og tilgang til egne data, enten det dreier seg om personopplysninger eller andre proprietære data.
Øyvind opplever at de største utfordringene knyttet til digital suverenitet i dag er et komplekst juridisk landskap i kombinasjon med en rivende teknologisk utvikling som stadig utfordrer gjeldende juridiske føringer.
Hva betyr GDPR, Cloud Act, Schrems II-dommen og andre regelverk for norske virksomheter og offentlig sektors valg av skyløsninger? Og hvordan skal man forholde seg til de forskjellige regelverkene? Dette er to av de mest sentrale spørsmålene.
Inntrykket Wenche sitter igjen med etter Arendalsuka er at bevisstheten rundt dette er økende. Men det er komplisert og tidkrevende å holde seg oppdatert. Derfor er det viktig at både bransjen og myndighetene bidrar med tydelige retningslinjer, og med konkrete råd ut fra de rammebetingelsen som gjelder.
Dette handler om å skille mellom type data som for eksempel kritiske og åpne industrielle data, og å finne gode løsninger for riktig formål og riktig skylagring.
Karlstad og Eidissen mener det trengs en innsats for å minske kompetansespriket mellom store og små aktører.
Eidissen mener at krav til spisskompetanse på komplekse juridiske og tekniske problemstillinger krever ressurser som det er vanskelig for mindre virksomheter å besitte selv. Det medfører naturligvis at behovet for ekstern bistand blir større.
I så måte er det positivt at flere offentlige virksomheter har tatt initiativ den siste tiden til å etablere veiledere til ulike brukergrupper, for eksempel Digitaliseringsdirektoratets igangsatte arbeid med en veileder for god praksis etter EU-domstolens Schrems II-avgjørelse.
Usikkerheten rundt skiftende regler er helt naturlig. Ikke bare er EU-regelverket i endring, de nordiske landene har også en ulik tilnærming. Men EU tar gode regulatoriske grep som også beskytter oss i Norge som følge av EØS-medlemskapet.
Innen utgangen av året skal det komme et oppdatert Privacy Shield fra EU-kommisjonen, og EU-organisasjonen ENISA jobber med å spesifisere krav til ulike grader av suverenitet for skytjenester. Slike initiativer kan være klargjørende for både bransjen, organisasjoner og virksomheter.
Suverenitetsprinsippene vil påvirke alle som lagrer data i skyen, men først og fremst ha konsekvenser for de som trenger å håndtere data på et høyt sikkerhetsnivå.
De store amerikanske skyleverandørene ønsker fortsatt å levere sine tjenester i Europa. I sommer annonserte Microsoft at de vil tilby løsninger som er i tråd med et strammere europeisk regelverk. Dette betyr at ikke bare datasentrene deres skal være plassert i Europa, men at de for å oppfylle nye krav til suverenitet også skal operere med supportfunksjoner i Europa.
Så hvilke grep er viktigst for norske virksomheter å ta for å sikre digital suverenitet med sikte på fremtidig utvikling? Eidissen oppfordrer til å skaffe nødvendig kompetanse som kan legge de rette rammer for den enkelte virksomhetens vurderinger.
Ikke bli for forsiktig når det gjelder muligheter til å tenke innovativt og ta i bruk ønskede løsninger. I de fleste tilfeller finnes det gode løsninger, og mulighetsrommet er større enn mange tror. Men for å trekke grensen på rett sted og foreta gode risikovurderinger, trengs rett kompetanse.
I Norge har vi generelt en høy modenhet og stor innovasjonskraft innen digitalisering av tjenester for innbyggere og samfunn. Kompetansen er også god sammenlignet med mange andre land. Utfordringen er at små og mellomstore aktører skal ha like vilkår som de store. Mye handler om å gi incentiver for å fremme innovasjon og vekst. Og om å legge til rette for å dele beskyttede data i en tillitsbasert infrastruktur.
Det er slik at man ønsker å dele data, også helsedata, men man må være sikre på eierskap og at de tekniske systemene sikrer at slike data ikke kommer på avveie. Data er en ressurs som kan og bør deles, så lenge det gjøres på riktig måte. Og vi må utnytte de mulighetene det gir, som å ta i bruk ny smart-teknologi.
Men i en tid der cyberangrep øker og nye muligheter også kan skape nye fallgruver – løper norske selskaper større risiko enn det de gjorde før, eller er de tvert imot bedre rustet?
Eidissen mener at det på noen områder kommer man nok ikke unna at risikoen, både regulatorisk og rent faktisk, er større i dag enn tidligere. Stordata, økt datatrafikk over landegrenser, økt internasjonal etterretningsvirksomhet og GDPRs sanksjonsregime er stikkord de fleste vil dra kjensel på. I tillegg til dette kommer den sikkerhetspolitiske uroen i verdenssamfunnet for tiden.
Samtidig er ikke dette svart-hvitt, da mange virksomheter også er bedre rustet enn noen gang til å gjøre gode risikovurderinger og ta veloverveide valg som kan legge til rette for fortsatt innovasjon og utvikling.
I en undersøkelse fra IDC oppgir nesten to av tre beslutningstakere i regulerte bransjer at det er svært viktig med skyløsninger som gir full kontroll og autoritet over data.
Vi må kunne stole på at reglene er så gode at man ikke må gi andre lands myndigheter tilgang til sensitive data, at data klassifiseres på en måte som sikrer den graden av kontroll som er nødvendig. Bevisstheten rundt valg av skyløsninger i et multisky-landskap er avgjørende i så måte. Det handler i siste instans om å ta eierskap til dataene.
Wenche brenner for å skape verdier for våre kunder og muliggjøre vekst med attraktive tjenestetilbud. Hun har nærmere 20 års erfaring i IT-bransjen med ulike roller innen ledelse og rådgivning, og med å bringe nye tjenester til markedet.
I sin nåværende rolle som leder for Strategic Differentiation Programs i Tietoevry Tech Services, leder hun et globalt team av eksperter og ledere.