= Dybdeanalyse

Digital suverænitet: Hvad sker der, når USA slukker for lyset?

Når amerikanske myndigheder kan afskære danske virksomheder og offentlige institutioner fra AI-adgang fra den ene dag til den anden, er det ikke længere et hypotetisk scenarie — det er en konkret erhvervsrisiko.

Det korte svar

Danmark og Europa er dybt afhængige af amerikansk teknologi. Det er ikke nyt. Men det amerikanske handelsministeriums beslutning om at lukke AI-adgang for udenlandske statsborgere gør sårbarheden synlig på en måde, der er svær at ignorere. Virksomheder og offentlige institutioner, der har bygget kritiske processer oven på amerikanske AI-tjenester, opdager nu, at de ikke råder over infrastruktur — de lejer den. Og udlejeren kan sige op.

Analysen her undersøger, hvad den konkrete hændelse betyder, hvad den afslører om strukturelle risici, og hvad der faktisk kan gøres.


Baggrund

Begrebet "digital suverænitet" har cirkuleret i europæisk teknologidebat i årevis. Det handler grundlæggende om, hvem der kontrollerer den digitale infrastruktur, de data, der flyder igennem den, og de systemer, der træffer beslutninger baseret på den.

I praksis er svaret i stigende grad: ikke europæerne selv.

Cloud-markedet domineres af tre amerikanske selskaber — Amazon Web Services, Microsoft Azure og Google Cloud. Størstedelen af de avancerede AI-modeller, der er tilgængelige som tjenester, er udviklet og drevet af amerikanske virksomheder. Det gælder OpenAI, Anthropic, Google DeepMind og Meta. Europæiske alternativer eksisterer, men de er markedsmæssigt marginale set i forhold til de amerikanske platforme.

Det er i denne kontekst, at det amerikanske handelsministeriums begrænsninger på AI-adgang for udenlandske statsborgere skal forstås. Som Ingeniøren beskriver i det udgangspunkt, der ligger til grund for denne analyse, er der tale om en konkret begivenhed — ikke en abstrakt trussel. Danske og europæiske brugere og virksomheder kan blive afskåret fra tjenester, de har gjort til en del af deres daglige drift, fordi en politisk beslutning i Washington ændrer adgangsbetingelserne.


Hvad sker der

Det amerikanske handelsministerium har indført restriktioner, der begrænser udenlandske statsborgeres adgang til visse AI-modeller og -tjenester. Begrundelsen er primært knyttet til nationale sikkerhedshensyn og ønsket om at bremse teknologioverførsel til potentielle modstandere.

Problemet er, at sådanne restriktioner ikke opererer med kirurgisk præcision. Når adgang lukkes eller begrænses på baggrund af geografi eller statsborgerskab, rammer det bredt. Danske virksomheder, forskningsinstitutioner og offentlige myndigheder, der anvender disse tjenester, befinder sig pludselig i en situation, hvor deres adgang afhænger af en politisk proces, de hverken har stemme i eller indsigt i.

Det er ikke kun et spørgsmål om bekvemmelighed. For virksomheder, der har integreret AI-tjenester i kerneprocesser — kundeservice, sagsbehandling, logistik, sundhedsdokumentation — er et pludseligt afbrud ensbetydende med driftstop. For den offentlige sektor er konsekvenserne potentielt endnu mere alvorlige, fordi kontinuitet i borgerrettede ydelser er en politisk og juridisk forpligtelse, ikke blot et kommercielt hensyn.


De centrale spørgsmål

Hændelsen rejser tre fundamentale spørgsmål, som Danmark og Europa er nødt til at tage stilling til:

1. Hvem ejer infrastrukturen?

Når en dansk virksomhed anvender en AI-model via en API fra en amerikansk udbyder, ejer den ikke modellen. Den ejer ikke beregningskraften. Den ejer ikke engang nødvendigvis sine egne data, afhængigt af kontraktvilkårene. Den har købt adgang — og adgang kan fratages.

Forskning i digital suverænitet peger på, at dette er et strukturelt problem, ikke blot et forretningsmæssigt. Som Mohamed Shareef argumenterer i en analyse af AI-implementering i sårbare stater, skaber afhængighed af fjernliggende datacentre en arkitektonisk sårbarhed, der sjældent navngives som sådan. Valget om, hvordan AI-systemer implementeres, er i sig selv et politisk valg — men det behandles sjældent som det.

2. Hvad sker der med data?

Digital suverænitet handler ikke kun om adgang til tjenester. Det handler også om, hvad der sker med de data, der behandles af udenlandsk infrastruktur. Canadiske forskere Alain Dudoit og Tony Labillois identificerer tre uadskillelige elementer i digital suverænitet: datainteroparabilitet, suveræn AI-governance og regulatorisk tilpasning på tværs af myndighedsniveauer. Samme logik gælder for Danmark og EU: Suverænitet over data og suverænitet over beregning er to sider af samme sag.

Når følsomme data — om borgere, om kritisk infrastruktur, om strategiske forretningsbeslutninger — behandles på servere, der er underlagt amerikansk lovgivning, herunder love som CLOUD Act, er der en reel risiko for, at disse data kan tilgås af amerikanske myndigheder uden dansk eller europæisk retlig kontrol.

3. Hvem styrer faktisk cybersikkerheden?

Chee Hae Chungs forskning i digital suverænitet peger på en paradoksal udvikling: Stater, der ønsker at styrke deres digitale suverænitet, er i stigende grad afhængige af transnationale teknologivirksomheder til at levere den cybersikkerhed, der skal beskytte dem. Det er ikke en løsning — det er en uddybning af problemet. Når sikkerhedsinfrastrukturen selv er outsourcet, er suveræniteten illusorisk.


Analyse

Den ubekvemme sandhed om lock-in

Dansk erhvervsliv har i vid udstrækning omfavnet amerikanske cloud- og AI-tjenester, fordi de er gode. Det er den ærlige forklaring. De er skalerbare, relativt billige, og de tekniske muligheder langt overstiger, hvad europæiske alternativer typisk kan tilbyde. At vælge dem har været rationelt.

Men rationalitet i det korte perspektiv kan skabe irrationelle afhængigheder i det lange. Virksomheder, der har integreret eksempelvis OpenAI's modeller dybt i deres produkter og processer, har et problem, der ikke løses hurtigt. At skifte AI-leverandør er ikke som at skifte mobilabonnement. Det kræver teknisk omskrivning, ny træning eller tilpasning af modeller, test og validering — og i mange tilfælde eksisterer der ikke nogen direkte erstatning med tilsvarende kapabilitet.

Det er præcis denne situation, der gør den aktuelle hændelse alvorlig. Ikke fordi danske virksomheder er lukket ude i dag — men fordi de nu har set, at det kan ske. Og de fleste har ingen plan B.

Offentlig sektor er særlig sårbar

Den private sektor kan i princippet bære omkostningerne ved at diversificere og udvikle alternativer — om end det er dyrt og tidskrævende. Den offentlige sektor er i en vanskeligere situation.

Offentlige myndigheder er underlagt databeskyttelsesregler, der allerede gør brugen af mange amerikanske cloud-tjenester juridisk kompleks. GDPR og de amerikanske overførselsregler har i årevis skabt en gråzone, som mange myndigheder har navigeret pragmatisk snarere end principielt. Schrems II-dommen og den efterfølgende debat om EU-US Data Privacy Framework har ikke løst de grundlæggende spændinger — de har blot midlertidigt reduceret friktionen.

Hvis AI-adgang begrænses, og den offentlige sektor ikke har suveræne alternativer, opstår der et reelt kapacitetsproblem. Sagsbehandling, der er effektiviseret med AI-assistance, vil falde tilbage til lavere kapacitet. Det er ikke en katastrofe — det var jo sådan, det fungerede før. Men det understreger, at afhængighed af udenlandsk infrastruktur i kritiske funktioner er et beredskabsspørgsmål, ikke kun et it-spørgsmål.

Hvad Europa burde have gjort — og hvad der stadig kan gøres

Det er let at konkludere, at Europa burde have investeret mere i egne AI-kapaciteter for ti år siden. Det er sandt, men ikke særlig handlingsorienteret.

Det, der kan gøres nu, falder i tre kategorier:

Kortsigtede handlinger:

Virksomheder og offentlige institutioner bør kortlægge, hvilke kritiske processer der afhænger af amerikanske AI-tjenester, og vurdere, hvad konsekvenserne af et afbrud ville være. Det er basalt beredskabsarbejde. For mange er det ikke gjort.

Kontrakter med AI-leverandører bør gennemgås med fokus på, hvad der sker ved tjenesternes ophør — herunder om data kan udtrækkes og anvendes andre steder, og om der er opsigelsesvilkår, der beskytter mod pludselige afbrud.

Mellemsigtede handlinger:

EU's investeringer i europæisk AI-infrastruktur — herunder initiativerne under European AI Act og de industrielle partnerskaber — bør prioriteres med afsæt i suverænitetshensyn, ikke kun i markedskonkurrencelogik. Målet er ikke at bygge europæiske modeller, der er lige så gode som de amerikanske. Målet er at sikre, at der eksisterer tilstrækkelige europæiske kapaciteter til at opretholde kritiske funktioner, hvis adgangen til amerikanske tjenester begrænses.

For den offentlige sektor bør udbudsregler og it-strategier eksplicit tage højde for suverænitetskrav — ikke som et bureaukratisk krav, men som en reel risikostyringsparameter.

Strukturelle forandringer:

John W. Moravec argumenterer i en analyse af AI i uddannelse for, at de nuværende "parathedsskemaer" for AI-adoption maskerer en reel magtoverførsel fra offentlige institutioner til private teknologivirksomheder. Den pointe gælder bredere end uddannelse. Når staten og erhvervslivet adopterer AI-systemer, de ikke kontrollerer, og data, de ikke ejer, sker der en stille omfordeling af magt og beslutningskompetence.

Det kræver politisk opmærksomhed — i Folketinget, i EU-Parlamentet og i de institutioner, der fastlægger standarder og regulering for digital infrastruktur.

Er europæiske alternativer realistiske?

Det er et legitimt spørgsmål, om det overhovedet er realistisk for Europa at bygge AI-kapaciteter, der kan erstatte de amerikanske. De ressourcer, der investeres i frontier AI-modeller af selskaber som OpenAI og Google, er enormt store og vanskelige at matche.

Men det er det forkerte spørgsmål. Suverænitet kræver ikke, at man er bedst. Det kræver, at man er tilstrækkeligt selvstændig til ikke at blive lammet, hvis den stærkeste aktør ændrer sine betingelser. Det er en anden og mere opnåelig målsætning.

Forskningen i alternative AI-implementeringsmodeller — herunder Shareefs arbejde med edge AI-løsninger, der reducerer afhængighed af centraliserede datacentre — peger på, at det er muligt at designe systemer, der prioriterer lokal kontrol over maksimal kapacitet. Det er et kompromis. Men det er et bevidst valg frem for en ubevidst afhængighed.


Konklusion

Det amerikanske handelsministeriums begrænsninger på AI-adgang er et wake-up call, men ikke en krise — endnu. Den reelle krise opstår, hvis Danmark og Europa anvender de næste år på at fortsætte som hidtil.

Tre ting er klare:

Afhængighed af udenlandsk AI-infrastruktur er en konkret erhvervs- og beredskabsrisiko, ikke en abstrakt politisk bekymring. Virksomheder og myndigheder, der ikke har kortlagt denne afhængighed, er ikke i stand til at håndtere den.

Digital suverænitet kræver kontrol over data, beregning og governance på én gang. Delløsninger — som f.eks. at hente data hjem, men fortsat lade al beregning foregå på udenlandske servere — løser ikke det strukturelle problem.

Politiske beslutninger i Folketinget og EU om AI-investering, udbudsregler og standarder bør eksplicit tage afsæt i suverænitetshensyn. Det er ikke protektionisme. Det er risikostyring.

Den ubekvemme sandhed er, at markedslogikken og suverænitetslogikken ikke altid peger i samme retning. Det billigste og mest kapable valg er sjældent det mest suveræne. At erkende den spænding er første skridt mod at håndtere den.


Kilder