Utviklingen av skytjenester har ført til at måten data blir flyttet, behandlet og lagret på, nå går
på tvers av landegrenser i større grad enn med tradisjonell datalagring. Dette medfører nye
utfordringer for de som er ansvarlige for at dataen holdes sikker. Etter hvert som dataen
krysser landegrenser, oppstår også en ny utfordring med å vite hvilken jurisdiksjon dataen
ligger under, og hvordan dette påvirker sikkerhet. Norske kommuner lagrer store mengder
betydningsfull data, og har i stor grad tatt i bruk skytjenester.
I denne oppgaven undersøkes ivaretakelse av datasuverenitet i en kommunes arbeid med
skytjenester, og hvilke utfordringer som eksisterer i dette arbeidet. Formålet med oppgaven er
å se på en utvalgt kommunes arbeid med skytjenester, hvordan dette arbeidet ivaretar
karakteristikker for datasuverenitet, og hvilke utfordringer arbeidet møter på.
For å besvare oppgaven undersøker jeg organisering av, og arbeid med, skytjenester i
kommunen. Dette gjøres gjennom å studere offentlige dokumenter og dybdeintervju om
skytjenester med informanter fra kommunen, en rådgivende organisasjon og en markedsaktør.
Oppgaven baseres på utarbeiding av et teoretisk rammeverk om datasuverenitet, ettersom det
ikke eksisterer et allment akseptert rammeverk. Gjennom å identifisere karakteristikker for
datasuverenitet i kommunens arbeid med skytjenester, drøftes det hvordan disse
karakteristikkene ivaretas og hvilke utfordringer kommunen møter på i dette arbeidet.
Undersøkelsen av hvordan kommunen ivaretar datasuverenitet i sitt arbeid med skytjenester
viser at det er store variasjoner i hvordan arbeidet blir strukturert og fulgt opp i kommunen,
som påvirker ivaretakelse av datasuverenitet. Det er avdekket at det er mer fokus på relevante
karakteristikker av datasuverenitet når dataen som skal lagres oppfattes som persondata og er
underlagt GDPR.
De største identifiserte utfordringene for ivaretakelse av datasuverenitet i kommunens arbeid
med skytjenester er knyttet til mangel på gjennomføring av dataklassifisering, for lite
kompetanse om hvordan skytjenesters IT-arkitektur bør tilpasses data og ønsket
sikkerhetsnivå, mangel på relevante rutiner for anskaffelser og oppfølging av skytjenester, og
kjennskap til disse rutinene, og ikke minst for få ressurser til avtaleforvaltning. Som følge av
disse utfordringene er ivaretakelse av datasuverenitet i kommunens arbeid med skytjenester
preget av tilfeldigheter og sterk avhengig av leverandørens egne initiativ
