Menu

Digital suverænitet og EU-lovgivning

Digital Sovereignty and EU Legislation

Indholdsfortegnelse

    Digital suverænitet og EU-lovgivning 

    Digital suverænitet er et relativt nyt koncept, som er opstået særligt pga. EU’s afhængighed af tredjelandes teknologier under monopollignende vilkår. Digital suverænitet handler om at have kontrol over sin egen digitale fremtid, hvilket omfatter den data, software, og hardware, som samfundet er afhængig af. 

    I denne artikel vil vi se på sammenhængen mellem digital suverænitet, og de EU-rammelovgivninger, som virksomheder og myndigheder skal efterleve i dag, og som netop kræver beskyttelse af samfundets digitale infrastruktur og vores personlige frihedsrettigheder i en digitaliseret verden. 

    Digital suverænitet 

    Det går hurtigt med den teknologiske udvikling, og store dele af samfundet drager nytte af dette; privatpersoner, virksomheder og offentlige myndigheder. Denne udvikling fører dog også til afhængighed af IT-leverandører, som altid er underlagt den politiske ramme og lovgivning, som finder sted i deres hjemlande. Når man anvender leverandører i tredjelande, så vil der være risiko, som varierer med det politiske landskab i de enkelte lande. Dette kan føre til risici for leveringen af kritiske tjenester i EU fra hospitalsdrift til betaling af varer i butikken.  

    Det er alment kendt, at flere af verdens største virksomheder er amerikanske, samt at deres tjenester udgør en betydelig del af den digitale infrastruktur for medlemslandene i EU. Hvis disse virksomheder vælger at hæve priserne eller slukke for en tjeneste, så kan dette have alvorlige konsekvenser for de enkelte virksomheder. Fra et EU-perspektiv, så vil dette have enorme konsekvenser på tværs af alle lande, og ikke blot for de enkelte virksomheder, myndigheder og privatpersoner. 

    Dette er også grunden til, at samfundsdebatten omkring digital suverænitet har været tiltagende efterhånden, som EU-landene er blevet mere digitaliserede og afhængige af disse leverandører. 

    Fra politik til virkelighed 

    Digital suverænitet er typisk anvendt i en geopolitisk kontekst, som handler om at frigøre sig fra disse digitale afhængigheder til tredjelande. Sådanne politiske målsætninger bliver dog først virkelige når virksomheder og myndigheder tilrettelægger deres drift herefter. Og meget tyder på, at dette allerede sker gennem de krav, som EU’s digitale rammelovgivninger stiller til virksomheder og myndigheder. 

    Hvad er sammenhængen mellem digital suverænitet og de digitale rammelovgivninger? 

    Formålet med rammelovgivninger som GDPR, NIS2, Dataforordningen, DORA, m.fl. er at sikre borgernes og produktionsapparatets suverænitet, samt et velfungerende marked i EU, hvilket derfor er i overensstemmelse med ideen om digital suverænitet.  

    Ved at efterleve disse digitale rammelovgivninger, så bidrager man til at sikre den digitale suverænitet, hvilket vi vil komme nærmere ind på i de følgende afsnit. 

    GDPR 

    GDPR-reglerne som helhed understøtter ideen om digital suverænitet, men i det følgende ser vi på nogle af de GDPR-krav, som er mere direkte tilknyttet til digital suverænitet. 

    Overførsel til tredjelande 

    GDPR-reglerne har til formål at EU-borgernes frihedsrettigheder beskyttes, hvor end deres data behandles, også når de overføres til et tredjeland. Hvis en tredjelandsoverførsel vurderes ikke at kunne efterleve dette krav, så vil det være i modstrid med GDPR-reglerne. 

    Dette var fx tilfældet med Schrems-2 dommen, hvor EU-domstolen vurderede at amerikansk lovgivning ikke var i overensstemmelse med en sikker behandling af EU-borgeres personoplysninger, hvilket derfor vanskeliggjorde enhver overførsel af persondata til USA i en periode indtil, at et nyt overførselsgrundlag blev etableret med USA.  

    Brug af databehandlere  

    Ved brug af databehandlere, så skal man sikre sig, at de behandler ens personoplysninger sikkert og således, at det modsvarer ens risikovurdering. Derudover, så skal man altid have en databehandleraftale, som opfylder form- og sikkerhedskravene i GDPR-reglerne, samt føre tilsyn med, at aftalen efterleves i praksis. Disse krav har til formål at sikre hele værdikæden ved behandling af EU-borgeres personoplysninger, så deres frihedsrettigheder ikke kompromitteres.  

    NIS2 

    NIS2 kræver, at organisationer, der leverer kritiske tjenester til samfundet, beskytter sig mod cybertrusler, så de kontinuerligt kan levere disse tjenester til slutbrugerne. Helt overordnet, så indebærer dette, at de omfattede organisationer er i stand til at sikre forsyningssikkerheden, hvilket derfor er tæt knyttet til debatten om digital suverænitet. 

    Forsyningskæde 

    NIS2 indfører desuden et specifikt krav om, at man skal sikre sin egen forsyningskæde, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere. Dette kræver, at man laver risikovurderinger af sine leverandørforhold, så man kan vurdere om der bør indføres yderligere sikkerhedsforanstaltninger for at sikre forsyningssikkerheden, eller om man bør vælge en anden leverandør. En sådan risikovurdering bør også inkludere eventuelle politiske forhold, som kan føre til øget risici for leveringen af den kritiske tjeneste.  

    Dataforordningen 

    Dataforordningen omfatter både persondata og andre typer data, med det formål at give brugere og virksomheder bedre kontrol over de data, der skabes ved brugen af produkter og tjenester. 

    Deling af data 

    Dataforordningen fastsætter regler for brugen af data, som skabes af brugerne selv ved fx at benytte IoT-enheder. Reglerne giver øget kontrol over egne data, samt adgang til disse og mulighed for at dele disse data med tredjeparter. Dette styrker muligheden, for virksomheder og privatpersoner, til at råde over egne data, deres autonomi og forretningsmuligheder.  

    Tredjelande 

    Tilsvarende kravet i GDPR-reglerne vedrørende overførsel af personoplysninger til tredjelande, så stiller dataforordningen også krav til overførslen af ikke-personhenførbare data, da der kan være risici forbundet hermed.  

    Leverandørskifte 

    Dataforordningen gør det desuden nemmere at skifte fra en cloudtjeneste til en anden, hvilket derfor mindsker afhængighedsforholdet til sine leverandører. Dette styrker den digitale suverænitet ved at facilitere øget valgmulighed fx ved ophør af en eksisterende kontrakt eller ved et akut behov for at skifte databehandler.  

    DORA 

    Forordningen ‘Digital Operational Resilience Act’ har til formål at styrke modstandsdygtigheden af den finansielle sektor, og understøtter også ideen om digital suverænitet. 

    Finansielle virksomheder skal eksempelvis begrænse risikoen ved brug af leverandører fx IT-leverandører, så det ikke bringer deres finansielle tjeneste i risiko. Herudover, så skal der tages hensyn til risici ved brugen af leverandører i tredjelande. 

    Hvad betyder det for din virksomhed? 

    For din virksomhed betyder det, at du aktivt skal vurdere og dokumentere, om dine IT-leverandører udgør en risiko for din drift og sikkerhed. Det sikrer dermed, at du har nemmere mulighed for at skifte leverandør, hvis det bliver nødvendigt. Samtidig skal du have styr på reglerne for dataoverførsel til tredjelande og kunne dokumentere over for myndigheder, at du arbejder risikobaseret, som lovgivningen kræver. Ved at følge EU’s digitale rammelovgivninger, så er du altså med til at styrke virksomhedens og samfundets digitale suverænitet. 

    Konklusion 

    Digital suverænitet er en politisk debat, som kræver politiske beslutninger, men i praksis bliver dette til virkelighed, når alle virksomheder og myndigheder i EU forholder sig aktivt til emnet deres daglige drift. Når du sikrer din virksomheds digitale compliance, og tager en risikobaseret tilgang til din drift og IT-sikkerhed, så er du også med til at styrke den digitale robusthed og suverænitet. 

    Processing activities

    .legal compliance platform Start din compliance rejse i dag

    Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
    • Kreditkort ikke nødvendigt
    • Ubegrænset tid på gratis plan
    • Ingen binding
    Start nu - gratis
    Book demo
    +325 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    arp-hansen-hotel-group-logo-1
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    Zwipe
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontorer

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    København

    Vesterbrogade 26
    1620 København V

    Produkter

    Lad mig hjælpe jer i gang

    mads-i-blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl