Pas på sovereignty washing: Løsningen er en minimumsstandard
Timme Bisgaard Munk
Sovereignty washing er Big Techs nyeste trick til at sælge afhængighed som frihed. Modsvaret er en standard, der gør det muligt at skelne ægte digital suverænitet fra en brochure. Tænk Svanemærket, bare for din digitale infrastruktur.
Sovereignty washing er et begreb, der burde bekymre enhver IT-chef og politiker. Konceptet blev introduceret af internetforskerne Rafael Grohmann og Alexandre Costa Barbosa i en forskningsartikel i tidsskriftet Media, Culture & Society i 2025.
Her introducerer de begrebet "sovereignty-as-a-service" gennem en kritisk diskursanalyse af de digitale suverænitetsprogrammer, som Amazon, Microsoft og Google lancerede mellem 2022 og 2023. Og det er netop pointen i navnet: sovereignty washing er sovereignty-as-a-service. Suverænitet som en lejet ydelse. Ikke som en ret, men som et produkt du abonnerer på. Og ligesom enhver anden abonnementsydelse kan leverandøren opsige den.
Vi kender mekanismen fra andre domæner. Greenwashing er, når et olieselskab planter ti træer og kalder sig klimaneutralt. Sovereignty washing er, når Microsoft sælger dig en "Sovereign Cloud" og kalder dig digitalt suveræn. Retorikken skifter. Magtforholdet gør ikke.
Hvordan virker sovereignty washing?
Big Tech har taget et politisk princip, staters ret til at kontrollere egen digital infrastruktur, og omdannet det til en vare. En konfigurerbar teknisk ydelse, man køber via deres platforme. Amazon, Microsoft og Google lancerede alle mellem 2022 og 2025 "suverænitetsprogrammer", der lover kontrol og autonomi. Men kontrollen er kosmetisk. Koden er proprietær. Opdateringerne kommer fra USA. Og CLOUD Act gælder stadig, uanset hvor serveren fysisk befinder sig.
ICC-sagen i maj 2025 var beviset. Trumps administration sanktionerede Den Internationale Straffedomstol, og Microsoft lukkede omgående chefanklagerens e-mail. ICC troede, de var sikre i en europæisk cloud. Det var de ikke. Amerikansk lov trumfede alt.
Problemet er ikke kun teknisk. Sovereignty washing forurener signalerne. Når alle kalder sig suveræne, kan ingen skelne ægte investeringer i uafhængighed fra en marketingkampagne. Politikere, der køber en Sovereign Cloud, tror oprigtigt problemet er løst. Det politiske pres for reelle alternativer forsvinder. Præcis som greenwashing kvælte den grønne omstillings troværdighed.
Løsningen: En minimumsstandard
Vi kender modgiften. Vi har brugt den før. Svanemærket sikrer, at et produkt lever op til konkrete miljøkrav. Økomærket garanterer, at maden er produceret efter bestemte standarder. Mærkerne fungerer, fordi de gør det muligt for forbrugere og indkøbere at skelne. De sender et signal, som ikke kan forfalskes.
Digital suverænitet har brug for det samme: en standard, der gør det muligt at vurdere, om en løsning reelt leverer suverænitet, eller bare ligner det på overfladen.
Standarden hedder SEAL. Navnet er valgt med omhu: et segl, der forsikrer og beskytter. SEAL opererer i niveauer, hvor SEAL 3 er defineret som den absolutte minimumsstandard for enhver ansvarlig organisation. Under niveau 3 har man accepteret risikoen for total systemnedsmeltning uden en Plan B.
SEAL 3 er den digitale nødbremse. Den sikrer, at din organisation ikke bare er passager i en bus, der kan køre i grøften, men faktisk kan overtage rattet. Standarden stiller konkrete krav: Kan du skifte leverandør uden millionstraffe? Ejer du selv krypteringsnøglerne? Kan systemet overleve uden leverandørens tilladelse? Er leverandøren underlagt ekstraterritorial lovgivning som CLOUD Act?
Hvorfor en standard virker
En standard gør tre ting. For det første skaber den gennemsigtighed. Organisationer og myndigheder kan vurdere deres egen situation mod objektive kriterier i stedet for at stole på en leverandørs løfter. For det andet forhindrer den snyd. Ligesom Svanemærket gør det umuligt at kalde et produkt miljøvenligt uden dokumentation, gør SEAL det umuligt at kalde en løsning suveræn uden at leve op til kravene. For det tredje sender den et markedssignal. Når indkøbere begynder at kræve SEAL-certificering, bliver det en konkurrencefordel at levere ægte suverænitet. Og en konkurrenceulempe at lade være.
SEAL 3 svarer til det, EU's Cloud Sovereignty Framework kalder "Digital Resilience", digital robusthed. Det er niveauet, hvor EU-lovgivning gælder og kan håndhæves, og hvor europæiske aktører har betydelig indflydelse over deres digitale infrastruktur. Ikke nødvendigvis fuld kontrol. Marginal tredjepartskontrol kan stadig eksistere. Men nok kontrol til at overleve en krise. Kerneargumentet er simpelt: Under SEAL 3 er det ikke længere nok at have en juridisk kontrakt eller data låst i et europæisk datacenter. Hvis leverandøren trækker stikket, skal organisationen faktisk kunne overtage styringen. Ikke om seks måneder. Nu.
Sovereignty washing overlever kun i mørket. En minimumsstandard sætter strøm på din server.
De 4 Søjler i SEAL 3 Minimumsstandarden
For at leve op til denne minimumsstandard skal din organisation kunne svare "JA" til følgende fire operationelle krav:
1. Den Operationelle Plan B (Resiliens)
Det er ikke nok at have data gemt væk. Du skal have adgang til en "reservemotor".
● Kravet: Du skal have identificeret og testet en alternativ platform eller løsning, der kan overtage de mest kritiske opgaver. Hvis din primære leverandør forsvinder, skal du kunne genstarte driften, uden at skulle genopfinde hele din organisation.
2. Retten til at flytte (Portabilitet)
Du må ikke være teknisk "lænket" til én specifik udbyder.
● Kravet: Dine systemer skal være bygget på en måde, så de kan flyttes. Det betyder, at I undgår proprietære "sorte bokse", som kun virker hos én leverandør. At være SEAL 3-kompatibel betyder, at I har designet jeres it-arkitektur til at være mobil, så et leverandørskifte er en reel strategisk mulighed og ikke en økonomisk umulighed.
3. Gennemsigtighed i Forsyningskæden (Auditierbarhed)
Du skal vide, hvem der reelt har fingrene i dine maskiner.
● Kravet: Du skal have fuld indsigt i alle underleverandører og tekniske afhængigheder. Du skal kunne dokumentere, hvem der har administrativ adgang til dine systemer, og hvilket lands love de svarer over for. Uden dette overblik er din suverænitet blot en illusion.
4. Intern Handlekompetence (Viden-suverænitet)
Du må ikke outsource din evne til at forstå din egen teknologi.
● Kravet: Organisationen skal selv eje den strategiske forståelse af systemerne. Hvis al viden om, hvordan jeres it fungerer, ligger hos en ekstern partner, er I reelt ikke suveræne. Minimumsstandarden kræver, at I har nok interne kompetencer til at kunne styre og kontrollere leverandøren – ikke omvendt.
Hvorfor SEAL 3 er det nye "Must-Have"
Hvor niveau 1 og 2 handler om at beskytte sig, handler niveau 3 om at kunne handle. Det er forskellen på at have en forsikringspolice mod brand (Niveau 1) og faktisk at have en brandslukker og en evakueringsplan, der er øvet på forhånd (Niveau 3).
Uden SEAL 3 praktiserer I "Sovereignty Washing": I fortæller bestyrelsen og borgerne, at I har styr på det, men i det øjeblik krisen rammer, er I handlingslammede. SEAL 3 er derfor ikke en luksus for idealister – det er den nødvendige bundlinje for enhver moderne organisation.
Skarp pris på forsikringer
Som medlem af DM får du op til 27,8 % i rabat på privatforsikringer hos Alm. Brand
