Var informationen förvaras är en viktig del av den offentliga förvaltningens suveränitet, men det avgör inte i sig vem som faktiskt har kontroll över informationen. Ur ett ärendehanteringsperspektiv är det också väsentligt vem som har tillgång till informationen, vem som kontrollerar krypteringsnycklarna, hur informationen förblir tillgänglig vid störningar och vilka avtal och regleringar som styr ärendehanteringen som helhet. Datasuveränitet måste betraktas ur ett bredare perspektiv än enbart datacentrets placering.
Diskussionen börjar ofta med informationens placering när man inom den offentliga förvaltningen talar om datasuveränitet. I vilket datacenter finns informationen? Inom vilket lands gränser behandlas den? Befinner sig informationen inom EU- eller EES-området?
Dessa frågor är nödvändiga, men det räcker inte längre att bara besvara dem. Den information som hanteras i ärendehanteringen är inte vilken informationssamling som helst. Den är kopplad till offentliga beslut, olika aktörers rättigheter och skyldigheter, myndigheternas ansvar samt samhällets minne. Därför måste man också fråga sig vem som överhuvudtaget har tillgång till informationen, vem som kontrollerar de tekniska krypteringsnycklarna, hur åtkomsträttigheterna till informationen fastställs och hur informationen förblir tillgänglig även vid störningar.
Den förändrade geopolitiska situationen har gjort dessa frågor till ett ännu mer strategiskt ämne. Traditionell teknisk informationssäkerhet är fortfarande nödvändig. Användarmiljöerna måste skyddas, lösningarna planeras och genomföras noggrant och driftsättningarna samt systemkonfigurationerna måste göras på rätt sätt. Parallellt med detta har frågan om verklig kontroll kommit i fokus: har organisationen kontroll över informationen även när omständigheterna förändras radikalt?
Datasuveränitet bör ses som en helhet av flera sammanhängande frågor, till exempel enligt följande.
Datasuveränitet är inte en enskild teknisk egenskap och inte heller bara en punkt på en karta där informationen är placerad. Det är organisationens förmåga att besluta och visa hur den information som den ansvarar för hanteras.
Alla nämnda delområden behöver inte maximeras i alla system. Det väsentliga är att man medvetet tar ställning till varje delområde, så att tankarna inte bara kretsar kring datacentrets placering.
Informationen kan finnas i Finland eller någon annanstans i Europa, men organisationens datasuveränitet beror också på vem som får använda systemet, vem som får hantera krypteringsnycklarna och hur tjänsten fungerar i en krissituation. Å andra sidan kan informationen vara geografiskt spridd och ändå kontrollerad, om arkitekturen, nyckelhanteringen och användarrättigheterna är rätt utformade.
Diskussionen bör inte förenklas till en motsättning mellan molnet och den egna datacentern. En molntjänst kan oftast förbättra kontinuiteten och beredskapen för exceptionella situationer. I andra situationer krävs mer lokal kontroll, kundens egna nycklar eller fristående säkerhetskopior. Det handlar inte om en enda rätt modell, utan om vilka risker organisationen bör förbereda sig för.
Vad händer om någon traditionell förutsättning för säker datahantering förändras?
Kryptering är ett av de mest praktiska sätten att stärka datasuveräniteten. Det räcker dock inte med att bara kryptera data i rörelse och i vila. Det centrala är krypteringsmetoderna och nyckelhanteringen: var nycklarna finns, vem som hanterar dem och om datans ägare själv kan påverka deras användning.
Om informationen är låst med kryptering måste man fråga sig vem som har nyckeln. Ur den offentliga förvaltningens perspektiv är detta inte bara en teknisk detalj. Vem kan i slutändan öppna och använda informationen eller hindra tillgången till information som är viktig för samhället? I en ideal situation har organisationen viljan och förmågan att själv hantera sina egna krypteringsnycklar.
Datasuveränitet innebär också förmågan att fortsätta verksamheten när störningar uppstår. Eftersom den information som hanteras i ärendehanteringen är mycket viktig för samhällets funktion måste den vara tillgänglig även i störningssituationer.
Tjänsternas placering, datakommunikationsförbindelser, säkerhetskopiering, geografisk spridning och återhämtningsförmåga är inte bara tekniska detaljer. De är en del av förvaltningens funktionsförmåga. I vissa situationer minskar lokal förankring beroendet. I andra situationer kan geografisk spridning vara det som säkerställer verksamhetens kontinuitet.
Det är viktigt att undvika alltför förenklat tänkande. Att centralisera informationen till en enda plats kan kännas kontrollerat, men det kan samtidigt öka den fysiska risken. Att sprida informationen kan förbättra kontinuiteten, men det kan öka beroendet av olika plattformstjänster. Organisationen måste utvärdera riskerna i olika scenarier och hitta skyddsmetoder som motsvarar varje risk, någonstans mellan en ärtpistol och en elefantkanon.
När man talar om datasuveränitet är det lätt att hamna i ytterligheter. I den ena änden ignoreras alla risker på grund av kostnader eller användarvänlighet. I den andra änden förbereder man sig för varje hot på det dyraste möjliga sättet. Inget av dessa är en bra utgångspunkt.
Överförberedelse kan vara lika kostsamt som underförberedelse. Därför bör organisationen först identifiera vilka uppgifter och tjänster som är mest kritiska, vilka störningar de måste förbereda sig för och vilken risknivå som är acceptabel. Först därefter är det meningsfullt att besluta var lokal kapacitet behövs, var regional service räcker, var geografisk dubblering behövs och var nycklar som organisationen själv förvaltar är nödvändiga.
Detta är också en ledningsfråga. Datasuveränitet får inte enbart vara en teknisk angelägenhet för IT-förvaltningen. Det handlar om kontinuiteten i tjänsterna, medborgarnas rättigheter, myndigheternas ansvar och hur information som är viktig för samhället förblir tillgänglig.
Informationen i ärendehanteringen visar vilka frågor som har behandlats, beslutats och dokumenterats i samhället. Det handlar inte bara om information, utan om samhällets minne, beslutsfattandets tillförlitlighet och organisationernas handlingsförmåga. Den offentliga förvaltningen måste kunna svara inte bara på var informationen finns, utan också på vem som förvaltar den, hur den förblir tillgänglig och hur dess skydd står sig i en föränderlig värld.
I den offentliga förvaltningens ärendehantering är datasuveränitet inte ett enskilt tekniskt val. Det handlar om förmågan att visa var informationen finns, vem som har tillgång till den, hur den skyddas, på vilka villkor den behandlas och hur verksamheten fortsätter vid störningar. När dessa frågor har behandlats, dokumenterats och genomförts lagrar organisationen inte bara informationen, utan hanterar den på ett ansvarsfullt sätt.