Digital suveränitet har länge beskrivits som en fråga om var data lagras. Men för it-chefer avgörs kontrollen också av åtkomst, underleverantörer, AI-modeller, exportmöjligheter och villkor för avveckling.
Checklista: 7 frågor att reglera i molnavtalet
STRATEGI När moln, AI och geopolitik flätas samman blir digital suveränitet en praktisk avtalsfråga. Här är kraven som it-chefen bör ställa.

Någonting är fel
Läs vidare – starta din prenumeration
– Digital suveränitet handlar i dag om betydligt mer än datalagring. För en svensk CIO eller it-chef handlar det om att säkerställa att verksamheten kan fortsätta även om regulatoriska eller geopolitiska förutsättningar förändras, säger Henrik Åqvist, Sverigechef på Matrix42.
Matrix42 levererar lösningar inom servicehantering och positionerar sig som ett europeiskt alternativ till större globala plattformar. Det gör suveränitetsfrågan central i bolagets positionering. Men frågorna som väcks är bredare än en enskild leverantör: hur mycket kontroll behöver organisationen själv behålla, och vad måste regleras innan avtalet skrivs på?
Bakgrunden är en molnmarknad där ”cloud first” inte längre är en självklar princip för alla delar av it-miljön. I stället växer en mer selektiv linje fram: moln där det ger nytta, men med tydligare krav på kontroll, portabilitet och riskhantering.
Henrik Åqvist beskriver skiftet som en rörelse från ”cloud first” till ”cloud where it makes sense”.
– Fler organisationer efterfrågar hybridmoln och privata molnlösningar för att säkerställa kontroll över sina data, säger han.
Det betyder inte att globala molnplattformar väljs bort. Däremot ser fler organisationer över vilka arbetslaster, processer och dataflöden som bör ligga i publika moln – och vilka som kräver andra lösningar.
Gartner har i flera prognoser pekat på att digital suveränitet blir en större del av molnstrategin de kommande åren. Enligt en undersökning från analysföretaget uppger 61 procent av CIO:er och andra it-ledare i Västeuropa att geopolitik ökar deras beroende av lokala eller regionala molnleverantörer. Gartner bedömer också att mer än 75 procent av alla företag utanför USA kommer att ha en strategi för digital suveränitet till 2030.
Avtalet blir viktigare än etiketten
För it-chefen är den avgörande frågan inte om en tjänst marknadsförs som europeisk, lokal eller suverän. Det avgörande är vilka rättigheter och begränsningar som faktiskt regleras i avtalet.
Ett huvudkontor inom EU kan vara relevant, men det är inte tillräckligt i sig. En organisation behöver också förstå ägarstruktur, driftsmodell, supportåtkomst, underleverantörer och vilka lagrum som kan påverka tjänsten.
– Särskilt offentlig sektor, industri, finans och andra samhällskritiska verksamheter ställer i dag betydligt högre krav på kontroll, transparens och jurisdiktion, säger Henrik Åqvist.
Här blir upphandlingen central. Krav som formuleras alltför allmänt riskerar att bli svåra att följa upp. Krav som formuleras för snävt kan i stället låsa organisationen vid en viss teknisk lösning.
AI gör beroendet djupare
AI skärper frågan ytterligare. När AI-modeller byggs in i ärendehantering, servicehantering, kundtjänst, analys och automatiserade arbetsflöden flyttas leverantörsberoendet högre upp i tekniklagren.
Det handlar inte längre bara om infrastruktur. Det handlar om vilka modeller som används, vilka data som får användas när modellen körs eller tränas, hur loggar hanteras och om organisationen kan byta AI-leverantör utan att behöva riva upp hela plattformen.
– Organisationer vill kunna välja egna modeller och styra vilka data som används, i stället för att låsa sig till en leverantörs AI-ekosystem, säger Henrik Åqvist.
Därför bör det framgå redan i upphandlingen om kunden kan använda egna modeller, välja modellleverantör, begränsa datadelning och exportera historik, konfiguration och arbetsflöden vid ett byte.
Kontroll kostar – men inlåsning kostar också
Digital suveränitet framställs ibland som ett val mellan kontroll och innovation. I praktiken handlar det snarare om att avgöra var kontrollen är värd kostnaden.
Alla arbetslaster behöver inte samma krav. En publik webbplats, ett internt samarbetsverktyg och ett system för samhällskritisk drift bör inte bedömas på samma sätt. It-chefens uppgift blir att klassificera vilka delar av miljön som är strategiskt viktiga, vilka som är känsliga för reglering och vilka som kräver hög operativ kontroll.
– Utgångspunkten bör vara att identifiera vilka delar som är strategiskt kritiska och där kontroll är avgörande, samtidigt som man behåller möjligheten att integrera med andra ekosystem, säger Henrik Åqvist.
Det handlar inte om att undvika stora plattformar till varje pris. Det handlar om att förstå konsekvenserna av att samla verksamhetskritisk funktionalitet hos en enda aktör.
En molntjänst kan vara snabb att införa, enkel att integrera och kostnadseffektiv i början. Men om dataformat, processer, AI-funktioner och licensmodeller är svåra att lämna kan kostnaden visa sig först senare.
Checklista: sju punkter att reglera i avtalet
1. Dataplacering – även för metadata, loggar och säkerhetskopior
Det räcker inte att veta var produktionsdata lagras. Avtalet bör också reglera metadata, supportloggar, säkerhetskopior, analysdata och eventuell spegling mellan regioner.
2. Tydliga regler för supportåtkomst
Kunden bör veta vilka roller, länder och underleverantörer som kan få åtkomst till miljön. Det bör också framgå hur åtkomst loggas, godkänns och begränsas.
3. Transparens kring underleverantörer
Leverantören bör redovisa vilka underbiträden och teknikpartner som används, vilken funktion de fyller och hur kunden informeras om förändringar.
4. Kontroll över AI-data och AI-modeller
Avtalet bör reglera om kunddata får användas för träning, förbättring av modeller eller analys. Det bör också framgå om kunden kan välja egna AI-modeller eller modellleverantörer.
5. Öppna API:er och dokumenterade integrationer
För att minska tekniskt beroende krävs tydliga integrationsmöjligheter. API:er, format och begränsningar bör vara dokumenterade och möjliga att använda även vid framtida migrering.
6. Export av data, processer och arbetsflöden
Avveckling handlar inte bara om att få ut databastabeller. Organisationen behöver kunna exportera relevant historik, ärenden, konfigurationer, automatiserade flöden och dokumentation i användbara format.
7. Villkor för avveckling, prisändringar och migreringsstöd
Avtalet bör ange hur en avslutande migrering går till, hur lång tid den får ta, vad den kostar och vilket stöd leverantören är skyldig att ge. Det bör också finnas transparens kring licensmodeller och framtida prisförändringar.
Europeiskt alternativ behöver också prövas
För europeiska leverantörer är suveränitetsfrågan ett tydligt konkurrensargument. Matrix42 lyfter flera driftsmodeller, europeisk juridisk hemvist och möjlighet att välja AI-strategi som fördelar gentemot större globala plattformar.
Men ett europeiskt alternativ behöver fortfarande prövas mot samma krav som andra leverantörer: funktionalitet, integrationsmöjligheter, säkerhet, ekonomi och långsiktig förvaltning.
Även här hamnar frågan i avtalet. Vilka delar av tjänsten drivs av leverantören själv? Vilka underleverantörer används? Hur regleras åtkomst, export och avveckling?
