Inga produkter i varukorgen.
It-chefens suveränitetsfråga: Vem kontrollerar datan när krisen kommer?
CYBERSÄKERHET Diskussionen om datasuveränitet fastnar ofta vid molnleverantörens hemvist. Men enligt Veeams EMEA-teknikchef Edwin Weijdema börjar den verkliga kontrollfrågan någon annanstans.
Edwin Weijdema. Foto: Pressbild & Adobe stock.
Datasuveränitet har blivit en strategisk fråga för många it-chefer. Men diskussionen blir ofta för snäv, enligt Edwin Weijdema, teknikchef för EMEA och cybersäkerhetsansvarig på Veeam.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
I stället för att bara fråga var en molntjänst är registrerad behöver organisationer förstå var datan finns, hur den rör sig, vem som kan nå den – och om den går att återställa när något går fel.
– Många organisationer reagerar med hjärtat i stället för med huvudet. De vill minska beroendet av amerikanska leverantörer, men har inte alltid en tydlig strategi för vad de faktiskt vill uppnå, säger Edwin Weijdema.
Fyra lager bakom kontrollen
Enligt honom består verklig datakontroll av flera lager. Det första handlar om själva datan: var den lagras, hur den flyttas mellan system och vilka som kan komma åt den.
Det andra är juridiken: avtal, utlämningskrav och vilka regelverk som påverkar leverantören. Det tredje är driftfrågan: support, outsourcing och nödtillgång vid incidenter. Det fjärde är tekniken: kryptering, nyckelhantering, återställning och möjligheten att flytta data om leverantörsrelationen förändras.
– Frågan är inte bara var data lagras. Den kan ligga i Europa men ändå flöda genom andra delar av världen, eller hanteras av supportpersonal i en annan region. Det måste organisationen förstå, säger han.
”En grundläggande motsägelse”
Många organisationer vill minska sitt beroende av stora amerikanska molnleverantörer. Samtidigt använder de redan tjänster som Microsoft 365 i stor skala.
Det skapar en praktisk motsättning när samma organisationer sedan ställer långtgående krav på sina backup- och säkerhetsleverantörer.
– De sitter i Microsoft 365 och frågar sedan oss som backupleverantör att följa lokala suveränitetsregler. Det finns en grundläggande motsägelse där, säger Edwin Weijdema.
Hans poäng är inte att frågan är oviktig, utan att den måste bygga på en realistisk bild av organisationens faktiska beroenden.
– Vi är alla en del av en leverantörskedja. Därför behöver organisationer förstå vilka beroenden de har, vilka risker de accepterar och vilka alternativ som faktiskt finns.
Ransomware visar glappet
När ransomware slår till blir skillnaden mellan upplevd och verklig kontroll tydlig.
I Veeams Data Trust and Resilience Report 2026, baserad på svar från mer än 900 it-, säkerhets- och riskchefer, uppger 90 procent att de litar på sin förmåga att återhämta sig efter en cyberincident inom utsatt tid.
Men bland organisationer som drabbats av ransomware och fått data eller verksamhet påverkad lyckades bara 28 procent återställa all påverkad data. I snitt återställdes 72 procent.
Rapporten är framtagen av Veeam, som säljer lösningar för backup, återställning och dataresiliens. Men siffrorna pekar på en bredare utmaning: backup är inte samma sak som bevisad återställningsförmåga.
– Det är skillnad på att ha en kopia och att kunna återställa verksamheten med rätt data, i rätt ordning och på ett säkert sätt, säger Edwin Weijdema.
AI gör dataröran farligare
Samma problem växer när organisationer skalar upp sin AI-användning. Under lång tid har många hanterat ökande datamängder genom att köpa mer lagring i stället för att rensa och klassificera information.
Med AI blir gammal, felaktig eller överflödig data en större risk.
– Vi köpte mer lagring i stället för att städa upp. Det fungerade länge. Men när AI driver upp användningen av data går det inte att fortsätta så. Om du matar AI med fel data förstärker du skadan, säger Edwin Weijdema.
All gammal data ska inte raderas. Viss information måste sparas av juridiska, tekniska eller affärsmässiga skäl. Men beslutet behöver vara aktivt.
– Vet du var datan finns, vem som har tillgång till den och hur den stöder verksamhetens beslut, då är du redan i ett betydligt bättre läge.
Det bör it-chefen kontrollera
För it-chefen blir slutsatsen att datasuveränitet inte kan reduceras till valet mellan amerikanska och europeiska leverantörer. Den avgörande frågan är om organisationen har kontroll när något går fel.
Det kräver svar på några grundfrågor:
- Vilken data är verksamhetskritisk?
- Var finns datan och hur rör den sig?
- Vem har åtkomst till produktionsdata, backupmiljöer och supportfunktioner?
- Hur vet organisationen att backupen är ren?
- I vilken ordning ska system och data återställas?
- När testades återställningen senast under realistiska förhållanden?
- Går det att flytta data om leverantörsrelationen förändras?
– Börja med datastrategin. Vet du vilken data du har, varför du har den och hur den används, har du en bättre grund för både AI, compliance, säkerhet och återställning, säger Edwin Weijdema.
