Suveränitet

Digital suveränitet i offentlig upphandling: en praktisk guide

Offentlig sektor vill ha suveränitet men får ofta “EU-region” tillbaka. Här är kraven som faktiskt fångar skillnaden — formulerade så de går att utvärdera.

Allt fler offentliga upphandlingar nämner suveränitet. Men formuleringarna landar ofta i “data ska lagras inom EU”, vilket en hyperscaler uppfyller utan att adressera själva risken. Om målet är verklig kontroll behöver kraven skrivas skarpare.

Problemet med “EU-region” som krav

Ett krav på datalagring inom EU säger var bitarna ligger, inte vem som kan begära ut dem. En leverantör med amerikanskt moderbolag kan uppfylla kravet till punkt och pricka och ändå omfattas av CLOUD Act. Skallkravet ser uppfyllt ut, men risken är kvar.

Fyra skallkrav som fångar skillnaden

  • Jurisdiktion — leverantören och hela ägarkedjan ska omfattas uteslutande av EU/EES-rätt.
  • Ägande — infrastrukturen ska ägas och driftas av leverantören, inte hyras på tredje parts stack.
  • Kontrollplan — den styrande mjukvaran ska vara öppen källkod och granskningsbar.
  • Nyckelförvaring — krypteringsnycklar ska förvaras EU-resident och aldrig vara åtkomliga för en icke-EU-part.

Ett skallkrav är bara så bra som det är utvärderingsbart. Kräv bevis i produkten, inte påståenden i en PDF.

— ur Keplers trust-modell

Utvärdera med bevis

Be leverantören visa, inte berätta. En residens- och åtkomstrapport per region eller för hela kontot är ett konkret bevis som går att bifoga till utvärderingen. Kan leverantören inte generera det på begäran är det ett svar i sig.

Kepler är byggt för exakt den nivån av kontroll — svenskägt, EU-inkorporerat, egen hårdvara, öppet kontrollplan och EU-resident nyckelhantering. Hör av dig så går vi igenom hur kraven kan formuleras och verifieras.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.