Tech-suverænitet og geopatriation: Guide for SMV'er

I en stadig mere digitaliseret verden står danske SMV'er over for komplekse valg, når det kommer til cloud-løsninger. Begreber som **tech-suverænitet** og geo-patriotisme bliver stadig vigtigere, da de dikterer, hvor jeres data må opbevares og behandles for at overholde nationale og europæiske lovkrav.

Hvad er tech-suverænitet og geopatriation?

**Tech-suverænitet** handler om et lands eller en organisations evne til at have kontrol over sin egen teknologi, data og digitale infrastruktur, uafhængigt af udenlandske aktørers indflydelse. For SMV'er betyder det, at I skal kunne stole på, at jeres data er beskyttet i henhold til danske og EU-lovgivninger som GDPR, og at disse data ikke er underlagt fremmede jurisdiktioners lovgivning.

**Geopatriation**, eller geo-patriotisme, er et beslægtet koncept, der specifikt fokuserer på at opbevare og behandle data inden for et bestemt geografisk område – typisk det nationale territorium eller EU. Målet er at sikre, at data forbliver under den lokale jurisdiktion og er beskyttet af lokale love. Dette er især relevant for virksomheder, der håndterer følsomme persondata eller data med strategisk betydning.

Implementering af disse principper medfører ofte, at virksomheder vælger cloud-udbydere, der garanterer datalagring inden for EU's grænser, og helst med mulighed for at specificere et bestemt datacenter i for eksempel Danmark.

Hvorfor er det relevant for danske SMV'er?

For servicevirksomheder og andre SMV'er i Danmark er tech-suverænitet og geopatriation afgørende af flere årsager:

• **Overholdelse af GDPR:** Hvis I behandler personoplysninger, er I forpligtet til at beskytte disse i henhold til GDPR. Overførsel af data uden for EU/EØS kræver specifikke juridiske garantier. Ved at vælge en cloud-løsning, der geopatriates data inden for EU, mindsker I risikoen for brud på GDPR.
• **Tillid og omdømme:** Kunder og samarbejdspartnere har stigende fokus på datasikkerhed. Ved at demonstrere, at I aktivt tager stilling til datasuverænitet, kan I styrke jeres omdømme og opbygge tillid. Dette er særligt vigtigt for virksomheder, der lever af kundetillid.
• **Minimering af juridiske risici:** Undgå potentielle konflikter med udenlandsk lovgivning, såsom den amerikanske CLOUD Act, der kan tvinge amerikanske cloud-udbydere til at udlevere data, selvom dataene er lagret i Europa. Ved at sikre, at data primært er under dansk eller EU-jurisdiktion, mindskes disse risici.
• **NIS2-direktivet:** Med implementeringen af NIS2-direktivet bliver kravene til IT-sikkerhed og modstandsdygtighed yderligere skærpet for mange SMV'er. Valg af cloud-løsninger, der understøtter tech-suverænitet, vil være en integreret del af at opfylde disse skærpede krav, især for identifikation af leverandørrisici.

Konkrete Overvejelser ved Cloud-valg

Når I skal vælge cloud-løsninger, bør I aktivt spørge ind til følgende aspekter hos potentielle cloud-udbydere:

En grundig vurdering af disse punkter kan have stor betydning for jeres virksomheds regelefterlevelse og sikkerhed.

• **Datacenterlokation:** Hvor er jeres data fysisk placeret? Kan udbyderen garantere, at data opbevares inden for EU's grænser, og er der mulighed for at specificere et datacenter i et bestemt land, f.eks. Danmark?
• **Jurisdiktion og lovvalg:** Hvilken lovgivning er udbyderen underlagt? Vil en udenlandsk lov, som CLOUD Act, kunne tvinge udbyderen til at udlevere jeres data, selvom de er placeret i EU?
• **Datalokalisering:** Kan udbyderen opdele jeres data, så nogle data bevares lokalt, mens andre data behandles i skyen? Dette kan være relevant for kritiske systemer eller specifikke datakategorier.
• **Service Level Agreements (SLA'er):** Sikrer SLA'en, at udbyderen overholder danske og europæiske standarder for databeskyttelse og sikkerhed?

Sådan kommer I i gang

At navigere i landskabet af tech-suverænitet og geopatriation kræver en systematisk tilgang. Følg disse trin for at komme i gang:

1. **Kortlæg jeres data:** Få et overblik over, hvilke typer data I behandler (personfølsomme, forretningskritiske osv.) og hvor de aktuelt er lagret. 2. **Identificer lovgivningsmæssige krav:** Vurder jeres specifikke forpligtelser under GDPR, NIS2 og andre relevante love. 3. **Vurder eksisterende cloud-løsninger:** Analyser, om jeres nuværende cloud-udbydere opfylder kravene til tech-suverænitet og geopatriation. 4. **Udarbejd kravspecifikationer:** Formuler klare krav til datalagringslokation og jurisdiktion, når I vælger nye cloud-løsninger eller migrerer data. 5. **Søg rådgivning:** Overvej at inddrage eksperter, der kan hjælpe jer med at træffe de rigtige beslutninger og implementere løsninger, der lever op til jeres behov.

Ofte stillede spørgsmål

**Hvad er forskellen på tech-suverænitet og datasikkerhed?** Tech-suverænitet handler om kontrol over data og systemer på et nationalt eller organisatorisk niveau, især med fokus på jurisdiktion. Datasikkerhed er de tekniske og organisatoriske foranstaltninger, der beskytter data mod tab, beskadigelse eller uautoriseret adgang.

**Kan jeg bruge Microsoft 365 og stadig opnå tech-suverænitet?** Ja, Microsoft tilbyder datacenterregioner inden for EU (f.eks. Sverige eller Holland), og de har produkter som EU Data Boundary for Microsoft Cloud, der sigter mod at imødekomme disse krav. Det kræver dog, at I aktivt vælger den rette konfiguration og er opmærksomme på, hvilke data der behandles hvor.

**Er geopatriation et lovkrav?** Ikke direkte, men mange love som GDPR medfører indirekte et behov for geopatriation for at sikre overholdelse, især ved overførsel af personoplysninger til lande uden for EU/EØS, der ikke har tilstrækkeligt data-beskyttelsesniveau.

THINGGAARD IT kan hjælpe jer med at navigere i disse komplekse overvejelser og sikre, at jeres IT-løsninger lever op til både jeres forretningsbehov og de skærpede krav til tech-suverænitet og datasikkerhed, så I kan fokusere på jeres kerneforretning.