Digital suveränitet i praktiken: insikterna från eFörvaltningsdagarna

Max Schrems om digital suveränitet och vad hans insikter betyder för offentlig sektor

Max Schrems är den österrikiske juristen och aktivisten vars rättsfall mot Facebook (Schrems I och II) i praktiken omformade hela EU:s syn på dataskydd och internationella dataöverföringar. I dag är han en av Europas mest inflytelserika röster i frågor om integritet, datasuveränitet och relationen mellan EU och amerikanska molntjänster.

Vi fick möjlighet att prata direkt med Max om Sveriges situation och offentlig sektors särskilda utmaningar. Ett värdefullt samtal om hur kommuner och myndigheter behöver tänka framåt, med vikten om att bygga digital infrastruktur som inte riskerar att påverkas av beslut långt utanför Sveriges eller EU:s kontroll.

Till hans keynote – ”Schrems III or Trump I? What’s next?” – här gick han igenom läget efter dessa historiska domar, vad som kan vänta härnäst och hur både amerikansk politik och EU:s kommande beslut kommer påverka.

Schrems förklarade den centrala konflikten mellan EU:s dataskyddslagar och amerikansk underrättelselagstiftning. Han lyfte särskilt att FISA 702 riktar sig mot företaget, inte serverns geografiska plats. Det betyder att data som lagras i EU ändå kan omfattas av amerikansk åtkomst om leverantören har amerikansk koppling.

Detta är grunden i det han kallar sovereignty washing vilket innebär när amerikanska molnjättar marknadsför ”europeiska” eller ”suveräna” moln trots att de juridiska riskerna kvarstår.

För offentlig sektor, där tillit och kontinuitet är centrala, är detta inte en teknisk detalj utan en strategisk risk.

Cybersäkerhetens nya verklighet – NCSC:s perspektiv

I passet ”Nationellt cybersäkerhetscenter – så får vi ett robust skydd mot cyberhoten” beskrev NCSC:s chef, John Billow, det arbete som redan pågår, och det som kommer behöva stärkas, för att skydda Sverige mot framtidens cyberattacker.

Han målade upp en tydlig bild av hur Sveriges sårbarhet ökar. Offentlig sektor är den mest utsatta målgruppen, med incidenter som slår direkt mot tillgänglighet och samhällsservice.

Cyberangreppen blir fler, mer avancerade och betydligt billigare att genomföra än tidigare. Ransomware som tjänst, AI-stödda phishingangrepp och komplexa attackkedjor gör cybersäkerhet till en fråga om beredskap, inte bara teknik.

Samtidigt växer kompetensbristen och det ökande beroendet av externa leverantörer gör många miljöer sårbara. Valet av molnleverantör handlar därför inte bara om funktion utan om leverantörskedjor, ägandestrukturer och risk.

Det europeiska ramverket som nu formas genom NIS2, AI Act, Data Act och GDPR-omnibussen syftar alla till samma sak: att stärka Europas digitala självständighet och minska känsliga beroenden.

Panelsamtal om lärdomar från IT-haverier

I panelsamtalet ”Millennium och andra IT-haverier i offentlig sektor” diskuterades varför stora systemprojekt inte får den effekt som var tänkt. Passet fokuserade på hur offentlig sektor kan undvika framtida haverier genom bättre implementering, styrning och organisering.

Samtalet visade att de stora problemen sällan handlar om tekniken i sig. De uppstår i styrning, förväntningar och bristande förankring. Några av de viktigaste lärdomarna var:

• undermålig behovsanalys
• överdimensionerade ambitioner
• för sent involverade användare
• konsultberoende som leder till kompetensförlust
• ledningar som saknar digital förståelse
• prestige som förhindrar att man drar i nödbromsen

Det återkommande rådet var tydligt: Börja mindre. Pilotera. Dokumentera. Lär.
Framför allt – bygg kompetens som stannar i organisationen.