Hvad er Data Sovereignty og hvorfor er det vigtigt i skyen?

Hvad betyder Data Sovereignty, Data Residency og Data Localization?

Inden vi dykker ned i strategien, er det vigtigt at skelne mellem tre begreber, som ofte bliver blandet sammen:

Data Sovereignty
Handler om, hvilken lovgivning der kan regulere eller gøre krav på jeres data. Det afhænger af flere faktorer – herunder hvor data fysisk opbevares, hvor organisationen er hjemmehørende, og hvilke jurisdiktioner cloudleverandøren er underlagt.

Selv hvis data ligger i et EU-datacenter, kan der derfor være juridiske overvejelser, som rækker ud over landets grænser.

Data Residency
Handler om, hvor data fysisk opbevares – fx i Danmark, i et andet EU-land eller inden for EU/EØS som region.

Data Localization
Handler om direkte krav om, at bestemte typer data skal forblive inden for et bestemt land eller en klart afgrænset geografi.  

Hvad betyder “Sovereign Cloud”?

Microsoft bruger betegnelsen Sovereign Cloud om en række tekniske, kontraktuelle og operationelle kontrolmekanismer, der skal hjælpe organisationer med at opfylde skærpede krav til datasuverænitet.

Det er ikke én enkelt isoleret cloud, men snarere et sæt muligheder, som spænder fra den almindelige offentlige cloud til mere specialiserede løsninger for offentlige myndigheder og stærkt regulerede brancher.

Fælles for tilgangen er, at den giver organisationer bedre styring over:

• hvor data placeres og behandles
• hvem der kan få adgang til dem
• hvordan juridiske krav og governance dokumenteres

Hvis mine data ligger i Danmark eller andre EU-lande – har Microsoft så adgang?

Det er et af de mest udbredte spørgsmål, især fordi Microsoft er en amerikansk virksomhed.

For europæiske kunder har Microsoft etableret det, der kaldes EU Data Boundary. Det betyder, at kundedata og persondata for Microsofts centrale cloudtjenester – herunder Azure, Microsoft 365, Dynamics 365 og Power Platform – som udgangspunkt lagres og behandles inden for EU/EØS.

Det er dog vigtigt at forstå to ting:

1. Microsoft har ikke “default-adgang” til jeres data.
   Adgang er stærkt begrænset, rollebaseret og tidsafgrænset. I sjældne driftsscenarier – fx hvis en service ikke kan gendannes automatisk – kan autoriseret Microsoft‑personale få midlertidig adgang, men kun når det er nødvendigt, og adgangen logges og kontrolleres.
2. I kan selv hæve kontrolniveauet.
   Med funktioner som Customer Lockbox kan I kræve, at Microsoft kun får adgang til data, hvis jeres egen it-afdeling eksplicit godkender det.

Samtidig har Microsoft forpligtet sig til at gennemgå og udfordre anmodninger om dataudlevering fra myndigheder – og kun udlevere data, når de er juridisk forpligtet til det og i overensstemmelse med gældende lovgivning, herunder GDPR.

Hvad er Microsoft EU Data Boundary – i praksis?

EU Data Boundary er en geografisk afgrænsning, hvor Microsoft har forpligtet sig til at lagre og behandle kundedata og persondata inden for EU/EØS for de tjenester, der er omfattet.

Det betyder, at:

• data som udgangspunkt ikke flyttes til USA eller andre tredjelande
• også pseudonymiserede driftsdata og tekniske logdata i højere grad holdes inden for Europa
• tekniske supportdata for kerneydelser nu også lagres i EU/EØS

Det er dog ikke det samme som, at ingen data nogensinde forlader EU. Der findes begrænsede undtagelser – fx ved:

• global cybersikkerhed og trusselsanalyse
• visse tekniske servicekomponenter
• bruger- eller administratorinitierede handlinger (fx hvis en medarbejder arbejder fra et land uden for EU eller integrerer tredjepartsløsninger)

Disse scenarier er dokumenteret af Microsoft og håndteres med tekniske og juridiske sikkerhedsforanstaltninger.

En vigtig nuance om Microsoft 365

To forhold er særligt vigtige at kende:

• Microsoft 365 Multi-Geo
  Hvis en organisation bruger Multi‑Geo til at placere data i flere regioner globalt, er tenant’en ikke omfattet af EU Data Boundary.
• Advanced Data Residency (ADR)
  For organisationer med krav om, at Microsoft 365‑data skal lagres i et bestemt land (fx Danmark), tilbyder Microsoft Advanced Data Residency som et tilkøb. Det giver en kontraktuel forpligtelse til lokal datalagring for udvalgte Microsoft 365‑tjenester.

Hvad betyder det for jeres data i praksis?

Når flere forretningskritiske systemer flytter i skyen – og når AI, Copilot og automatisering bliver en reel del af hverdagen – ændrer it-sikkerhed karakter.

Det handler ikke længere kun om at beskytte sig mod hackere, men om aktivt at styre:

• juridisk eksponering
• dataplacering og adgang
• ansvar over for bestyrelse, kunder og myndigheder

Datasuverænitet bliver dermed en ledelsesopgave – ikke kun en teknisk disciplin.

10 spørgsmål om Data Sovereignty, I bør stille jer selv

Tag dem gerne med til næste it‑ eller strategimøde:

1. Hvor er vores data fysisk placeret i dag?
2. Hvilken lovgivning er vores data underlagt?
3. Har vi data, som ikke må forlade EU eller Danmark?
4. Hvilke cloudleverandører bruger vi – og hvor opererer de juridisk?
5. Hvordan beskytter vores cloud-leverandør os mod udlevering af data til myndigheder i tredjelande?
6. Er vores services omfattet af EU Data Boundary?
7. Bruger vi Multi‑Geo – og ved vi, hvad det betyder for datasuveræniteten?
8. Skal vi selv eje krypteringsnøglerne (BYOK)?
9. Er vores databehandleraftaler opdateret?
10. Hvordan sikrer vi, at nye AI‑værktøjer overholder vores regler?

Vil du have hjælp til at finde svarene?

Hos Fellowmind hjælper vi virksomheder med at navigere i de komplekse krav til skyen.

Lad os tage en snak om, hvordan vi sikrer jeres datasuverænitet, uden at I mister de mange fordele ved Microsofts økosystem.