En dansk domstol har afgjort, at staten kan hemmeligholde navnene på it-leverandører bag kritisk infrastruktur — selv når Skatteforvaltningen bruger over 1,4 milliarder kroner på eksterne konsulenter om året.
Konklusion
Danmark har en domstolsafgørelse, der siger: staten behøver ikke fortælle borgerne, hvilke virksomheder der drifter og sikrer kritiske statslige it-systemer. Det er en beslutning med vidtrækkende konsekvenser for demokratisk kontrol, offentlig accountability og den måde, vi som samfund overvåger brugen af skattekroner.
Afgørelsen rammer et ømfindtligt punkt: hvornår ophører hensynet til it-sikkerhed med at være et legitimt argument og bliver en frihavn fra offentlighedens indsyn? Og hvem kontrollerer de controllere, der aldrig bliver navngivet?
Baggrund
Skatteforvaltningen brugte i 2025 over 1,4 milliarder kroner på eksterne it-konsulenter. Det er ikke et lille beløb — det er en milliardpost på statsbudgettet, betalt af danske skatteydere, til virksomheder hvis identitet staten nu har fået lov til at holde hemmelig i retten.
Ingeniøren, det fagtekniske medie, forsøgte at få aktindsigt i, hvilke leverandører der leverer it-sikkerhedsydelser til Skatteforvaltningen. De tabte sagen. Retten fastslog, at hensynet til statens sikkerhed vejer tungere end offentlighedens interesse i at vide, hvem der leverer kritiske it-ydelser.
Begrundelsen er ikke useriøs. Hvis fjendtlige aktører — stater, kriminelle netværk, hackergrupper — kender navnene på de virksomheder, der beskytter dansk skattedata, kan de i teorien målrette angreb mod netop disse leverandører. Det er et reelt argument inden for it-sikkerhed.
Men argumentet har en grænse. Og den grænse er ikke let at tegne.
Hvad sker der
Sagen er enkel på overfladen: et medie søgte aktindsigt, staten nægtede, og en domstol gav staten ret. Under overfladen er den langt mere kompleks.
Skatteforvaltningen er ikke en perifer myndighed. Den administrerer det skattesystem, der finansierer hele den danske velfærdsstat. Dens it-systemer indeholder oplysninger om samtlige danskeres økonomi, gæld, indkomst og formue. Når disse systemer fejler — som vi har set det med tidligere skandaler i SKAT — mærker borgerne det direkte.
Når leverandørerne bag disse systemer er ukendte for offentligheden, opstår der et demokratisk hul. Folketinget kan principielt stadig føre kontrol via Rigsrevisionen og ministerielle spørgsmål. Men den brede offentlighed, pressen og uafhængige forskere mister muligheden for at stille kritiske spørgsmål til, hvem der rent faktisk sidder med nøglerne til statens mest følsomme it-infrastruktur.
De centrale spørgsmål
Hvem kontrollerer kontrollørerne?
Når private virksomheder leverer kritiske sikkerhedsydelser til staten, og deres identitet er hemmelig, hviler kontrollen udelukkende på den indre forvaltning. Det er ikke nødvendigvis utilstrækkeligt — men det er ikke nok i et demokrati, der hviler på offentlighedens mulighed for at efterprøve magtudøvelse.
Forskning i demokratisk civil kontrol med kritisk infrastrukturs informationssikkerhed — herunder arbejdet af Ursol (2026) om ukrainsk erfaring med netop dette felt — understreger, at effektiv demokratisk kontrol kræver klare institutionelle mekanismer, ikke blot tillid til forvaltningens egne vurderinger. Den ukrainske kontekst er naturligvis anderledes end den danske, men den grundlæggende pointe holder: fraværet af gennemsigtighed svækker den demokratiske kontrolkæde.
Hvor går grænsen for sikkerhedshensyn?
Statens argument er, at offentliggørelse af leverandørnavne skaber sikkerhedsrisici. Det argument kan principielt bruges til at hemmeligholde næsten enhver kontrakt med it-sikkerhedsrelevans. Hvis domstolen accepterer det bredt, har vi skabt en undtagelse, der kan vokse sig stor.
Det er ikke hypotetisk. Når præcedensen er etableret, vil fremtidige myndighedsafgørelser om aktindsigt i it-kontrakter trække på den. Grænsen flyttes stille og roligt.
Hvad ved vi om risikoen ved leverandørafhængighed?
Her er der en reel faglig diskussion. Forskning i digital transformation i den offentlige sektor — herunder studier af kritiske succesfaktorer for e-governance i forskellige nationale kontekster — peger konsekvent på, at vendor lock-in og manglende transparens i leverandørkæder udgør strukturelle risici for det offentlige. Alquraidi et al. (2024) identificerer i deres analyse af digital transformation i offentlige forsyningskæder gennemsigtighed og governance-kapacitet som afgørende faktorer for at sikre langsigtet effektivitet og kontrol. Når leverandørerne er ukendte, vanskeliggøres netop den type governance.
Analyse
Transparens og sikkerhed er ikke modsætninger
Den offentlige debat har en tendens til at opstille transparens og sikkerhed som hinandens fjender. Det er en falsk dikotomi.
Man kan sagtens offentliggøre, at virksomhed X har en kontrakt med Skatteforvaltningen, uden at offentliggøre tekniske detaljer om sikkerhedsarkitektur, sårbarhedsprofiler eller systemkonfiguration. Sidstnævnte er legitimt hemmelig. Førstnævnte er grundlæggende offentlig information i et demokrati.
Den logik finder støtte i bredere forskning i e-governance og offentlig finansforvaltning. Paul og Malachy (2025) viser i deres analyse af e-governance-reformer, at transparens i kontraktindgåelse og leverandørforhold er en grundpille i effektiv og ansvarlig offentlig finansforvaltning. Hemmeligholdelse af leverandøridentiteter underminerer netop den transparens, der gør det muligt at vurdere, om pengene bruges fornuftigt.
Det er ikke en irrelevant parallel. Hvis man ikke ved, hvem der får pengene, kan man heller ikke vurdere, om der er tale om god eller dårlig forretning for staten — om der er konkurrence i udbuddene, om der er interessekonflikter, eller om de samme få leverandører gentagne gange vinder kontrakterne.
Udbudsprocessen og dens blinde vinkler
Et centralt problem ved hemmeligholdelse af leverandøridentitet er, hvad det gør ved muligheden for at kontrollere udbudsprocessen.
Forskning i e-procurement i den offentlige sektor — herunder Anyisile et al. (2023), der undersøger faktorer bag effektiv implementering af digitale udbudsprocesser — fremhæver, at gennemsigtighed i leverandørvalg er fundamental for at undgå korruption, sikre fair konkurrence og opnå value for money. Når leverandørnavne er hemmelige, kan ingen udefrakommende verificere, at udbudsprocessen har fulgt reglerne, at den billigste eller bedste løsning er valgt, eller at der ikke eksisterer uformelle relationer mellem beslutningstagere og leverandører.
Det betyder ikke, at der nødvendigvis er noget galt. Men muligheden for at konstatere, at der ikke er noget galt, er netop det, transparens tjener. Uden den forsvinder tilliden — ikke nødvendigvis til Skatteforvaltningen specifikt, men til systemet som helhed.
Den demokratiske kontrolkæde
I Danmark hviler den demokratiske kontrol med forvaltningen på en kæde: borgeren vælger Folketinget, Folketinget vedtager love og bevilger penge, regeringen implementerer, og Rigsrevisionen kontrollerer. Pressen og civilsamfundet fungerer som supplerende vagthunde.
Denne kæde er ikke brudt af denne afgørelse. Men den er svækket. Rigsrevisionen kan stadig få adgang til oplysninger om leverandørerne. Men Rigsrevisionens rapporter offentliggøres med forsinkelse og på et overordnet niveau. Den journalistiske undersøgelse — som Ingeniøren forsøgte at gennemføre — opererer i realtid, stiller specifikke spørgsmål og kan følge enkeltkontrakter.
Når den mulighed lukkes, reduceres den reelle kontrol. Det er ikke et angreb på Skatteforvaltningens integritet at sige det. Det er en strukturel observation om, hvordan demokratisk kontrol fungerer.
Statens afhængighed af eksterne leverandører
Der er en større kontekst her, som retssagen kun er ét symptom på.
Den danske stat — som mange andre vestlige stater — har over årtier opbygget en dyb afhængighed af private it-leverandører til at drive og vedligeholde kritiske systemer. Kompetencerne er i mange tilfælde ikke tilstrækkelig interne. Det betyder, at staten ikke altid har den tekniske kapacitet til selv at vurdere, om de løsninger, den køber, er gode, sikre og prisfastsat rimeligt.
Det er et strukturelt problem, der rækker langt ud over denne ene sag. Men sagen gør det tydeligere: når leverandørerne er ukendte for offentligheden, og staten måske heller ikke internt har fuld teknisk kapacitet til at evaluere dem, er tilsynet tyndt.
Hvad med andre landes tilgang?
Andre demokratier håndterer spændingen mellem sikkerhed og transparens forskelligt. I mange tilfælde er det muligt at offentliggøre, at en given type kontrakt er tildelt en given leverandør, uden at offentliggøre kontraktens tekniske indhold. Det er ikke en perfekt løsning, men det er et kompromis, der i højere grad respekterer begge hensyn.
Den danske domstolsafgørelse synes at vælge den ene pol fremfor et kompromis. Det er ikke nødvendigvis forkert — domstolen har vurderet det konkrete tilfælde ud fra gældende ret — men det rejser spørgsmålet om, hvorvidt den gældende ret er hensigtsmæssigt indrettet til at håndtere det stigende omfang af eksternaliseret, kritisk it-infrastruktur i staten.
Konklusion
Domstolsafgørelsen er juridisk korrekt givet den gældende ramme. Det ændrer ikke på, at rammen er problematisk.
Danmark har skabt en situation, hvor:
- Over 1,4 milliarder kroner af skatteydernes penge bruges på eksterne it-konsulenter i Skatteforvaltningen alene
- Identiteten på leverandørerne bag kritisk it-sikkerhed er juridisk beskyttet fra offentlig indsigt
- Den demokratiske kontrol dermed i praksis reduceres til intern forvaltningskontrol og Rigsrevisionens periodiske gennemgang
Det er ikke en holdbar balance på lang sigt. Ikke fordi der nødvendigvis er noget galt med de pågældende leverandører. Men fordi muligheden for at vide, om der er noget galt, er selve pointen med demokratisk transparens.
Løsningen er ikke at offentliggøre tekniske sikkerhedsdetaljer. Løsningen er at skelne klart mellem leverandøridentitet — som bør være offentlig — og sikkerhedsarkitektur — som kan være fortrolig. Det kræver muligvis en lovændring eller en præcisering af offentlighedsloven i relation til it-kontrakter.
Uden den skelnen risikerer vi, at sikkerhedsargumentet langsomt æder sig ind i det offentlige rums ret til at vide, hvem der driver den stat, vi betaler for.
Kilder
- Ingeniøren: Staten må holde it-leverandører hemmelige
- Ursol, O. (2026): Development of democratic civilian control in the field of public management of critical infrastructure information security of Ukraine
- Paul, C. & Malachy, J. (2025): E-Governance Initiatives and Financial Management in the Nigerian Public Sector
- Anyisile, S., Kipilimba, T. & Ng'elenge, H. (2023): Factors Influencing Effective Implementation of Public Sector E-procurement in Tanzania
- Alquraidi, A., Elabed, S. & Shamayleh, A. (2024): Critical Success Factors of Digital Transformation in Supply Chain Management of UAE's Public Sector