Digital suverænitet: Derfor er kortlægning helt central - sådan bør du gribe det an

Klumme: Den organisation, der kender sin cloud-infrastruktur præcist (hvilke udbydere, hvilke jurisdiktioner, hvilke adgangsveje), kan flytte, forhandle og prioritere. Den, der ikke kender den, er afhængig af sine udbydere på betingelser.

Artikel top billede

Suverænitet skal kortlægges i fire lag. SaaS-laget er typisk det største og det mindst transparente, og det er ofte her overraskelserne ligger.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Næsten hver gang en kortlægning går i gang, starter den samme sted: Et regneark, som ingen vedligeholder, og en liste over SaaS-aftaler, hvor ingen helt ved, hvem der godkendte dem.

Markedsafdelingen har sit eget analyseværktøj, salg har et CRM-tillæg, og et abonnement dukker op på et kreditkort, som chefen for den afdeling for længst har glemt.

Det er ikke en anklage.

Organisk cloud-adoption over et årti er normen, og et helt rimeligt udgangspunkt.

Kortlægningen handler ikke om skyld, men om at kunne handle. For at vide, hvad der bør justeres, og hvad der allerede er under kontrol, må du først vide, hvad du har.

De fire lag du skal kortlægge

Suverænitets-kortlægningen er enklest at forstå som fire lag.

Infrastruktur (IaaS)

Virtuelle maskiner, netværk, lagring. Hvilke udbydere kører din beregningskapacitet? Hvilke geografiske regioner? Dedikerede servere eller delt infrastruktur?

Platform (PaaS)

Databasetjenester, containerplatforme, udviklingsværktøjer. De er ofte usynlige i en systemoversigt, men kritiske. En europæisk virtuel maskine, der sender data til en amerikansk administreret database, er ikke suverænitet, uanset hvor infrastrukturen ligger.

Software (SaaS)

CRM, HR-systemer, samarbejdsværktøjer, BI-platforme. Dette lag er typisk det største og det mindst kortlagte. Et konservativt skøn for en organisation med 200 ansatte er 30-60 aktive SaaS-tjenester, hvoraf it typisk kender halvdelen.

Identitet og adgang

Hvem kan logge ind på hvad, og via hvilken udbyder? En europæisk cloud-tjeneste, der autentificerer via Microsoft Entra ID, er et forhold, der skal kortlægges, fordi adgangsvejen er en jurisdiktion i sig selv.

Hvem ejer hvad, og under hvilken ret

For hvert system og hver tjeneste skal du besvare tre spørgsmål.

Hvilken juridisk enhed ejer og driver tjenesten? Det er ikke det samme som det mærke, du betaler til.

Mange SaaS-tjenester drives af datterselskaber eller underleverandører i andre lande, end fakturaen antyder.

Kig på databehandleraftalen, ikke fakturaen.

Hvilke underdatabehandlere trækker tjenesten på? Databeskyttelseslovgivningen kræver, at du kender dine databehandlere, men databehandlerens databehandlere er sjældent fremtrædende i hoveddokumentationen.

Næsten alle større tjenester offentliggør en liste, typisk kaldet “subprocessor list”, men den skal man lede efter. Listen kan indeholde overraskende navne.

Hvilken adgang findes til dine data ud over din egen? Support-adgang, systemovervågning, fejlretning. Mange serviceaftaler giver udbyderen ret til at tilgå kundedata til netop de formål. Det skal fremgå af kortlægningen.

Det du ikke ved, du har

En kortlægning, der kun ser på det, it allerede kender, er ufuldstændig.

I de fleste organisationer har forretningsenheder over tid tegnet abonnementer direkte.

Pengene kommer fra driftsbudgetter, ikke it-budgettet, og systemerne er aldrig anmeldt til virksomhedens DPO.

Der er to praktiske måder at afdække det på. Den første er en gennemgang af kreditkortudgifter og fakturakategorier.

Den anden er en gennemgang af, hvilke applikationer der beder om at logge ind via organisationens identitetsudbyder.

De systemer, der bruger SSO, afslører sig selv. Ingen af metoderne er fuldstændige, men tilsammen giver de et langt mere retvisende billede end en serviceaftale-liste.

Infrastruktur som kode, ikke som dokumentation

Resultatet af kortlægningen skal ikke ende som endnu en fortegnelse i en skuffe. Det skal ende i kode.

Infrastruktur som kode betyder, at din infrastruktur er beskrevet i versionsstyrede filer, med OpenTofu eller tilsvarende, frem for at leve som en sum af manuelle klik i en cloud-konsol.

Det er forudsætningen for, at suverænitetsarbejdet giver reel bevægelsesfrihed i stedet for at blive en engangsflytning fra én låst platform til en anden.

To ting gør det afgørende her: du kan genskabe din infrastruktur på en anden platform, fordi den er defineret som kode, der kan køres mod en anden udbyder, og du kan sammenligne det definerede med det, der faktisk kører, og dermed opdage de ressourcer, der er opstået uden for den kontrollerede proces.

Den kode, der definerer din infrastruktur, er selv en del af din forsyningskæde, og dermed en del af suverænitetsspørgsmålet. Det overser de fleste.

En organisation, der har flyttet sin cloud-infrastruktur til europæisk kontrol, men gemmer sin IaC (Infrastructure as Code) i GitHub, har sat kontrollen tilbage under Microsofts amerikanske juridiske ramme. Det er en inkonsistens, der skal håndteres bevidst.

Du kan selv hoste det nødvendige (Git-server, byggesystem, CI/CD-pipeline), men det kræver tid og kompetencer at gøre rigtigt og sikkert.

Alternativet er en europæisk Git- og CI/CD-platform, drevet under europæisk ret, hvad enten du hoster den selv eller køber den som driftsleverance.

Det afgørende er ikke produktnavnet, men to ting: At den juridiske enhed bag er europæisk, og at du kan eksportere kode og data uden bindingsklausuler.

En organisation, der ved, at den kører kritiske data på AWS, kan træffe en informeret beslutning om, hvad den vil gøre ved det.

En organisation, der ikke ved, at dens HR-system sender medarbejderdata til en underdatabehandler i Virginia, kan ikke.

Her gør kortlægningen forskellen.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Rambøll Management Consulting

Senior Software Engineer

Midtjylland

Everllence

Senior Software Engineer - R&D

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger to sektionschefer til Systemafdelingen i Hvidovre

Københavnsområdet

Annonceindlæg fra Computerworld

Udsolgt succes rykker i større rammer og offentliggør stjerneprogram

Computerworlds Cloud & AI Festival tager konsekvensen af sin egen succes

Navnenyt fra it-Danmark

netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS