Artikel

Suverænitet stopper ikke ved datacenterdøren

9 april 2026
SHARE

Datasuverænitet handler om mere end kundedata og cloud-regioner - det handler om, hvem der ejer indsigten i dit eget IT-miljø.
Debatten om datasuverænitet har for alvor fået fodfæste i europæiske bestyrelseslokaler og IT-strategier. GDPR, NIS2, DORA, EU Data Act - det regulatoriske landskab skærpes, og bevidstheden om data som en strategisk kapabilitet, der kræver aktiv beskyttelse og kontrol, er højere end nogensinde.

Alligevel er der et lag i den diskussion, som konsekvent fører en stille tilværelse i periferien. Vi taler om kundedata, om personoplysninger, om valget af cloud-region og formuleringen af databehandleraftaler. Det er vigtige og legitime spørgsmål. Men de dækker ikke det fulde billede. For mens organisationer træffer omhyggelige beslutninger om, hvor forretningsdata må befinde sig, afsendes fra de samme organisationer løbende en anden kategori af data - uafbrudt, døgnet rundt, uden at det indgår i nogen strategisk overvejelse.

Det data hedder telemetri. Og for de systemer og processer, der er kritiske for forretningen, er det langt mere strategisk følsomt end de fleste er klar over.

 

Telemetri - et asymmetrisk overblik

Hvert øjeblik genererer vores systemer data om sig selv: logs der registrerer transaktioner og hændelser, metrikker der beskriver infrastrukturens tilstand, traces der følger et brugerforløb fra første klik til endeligt svar, og målinger af hvad kunderne faktisk oplever når de bruger vores digitale services.

Det er værd at understrege, at ikke al telemetri er lige følsom. En stateless microservice, der logger HTTP-statuskoder repræsenterer en ganske anden risikoprofil end detaljerede traces fra et betalingsflow eller performance-data fra forretningskritiske produktionssystemer. Følsomheden afhænger af arkitektur, sektor og trusselsbillede.

Men for de systemer og processer, der er centrale for organisationens drift og forretning, gælder et principielt spørgsmål: hvem ejer indsigten i, hvad der sker i vores egne systemer - og under hvilke juridiske og tekniske rammer forvaltes den viden?

 

Et juridisk landskab med reelle nuancer

De store amerikanske cloud-udbydere har de seneste år investeret i det, de betegner som ”sovereign cloud” - datacentre på europæisk jord med tilhørende compliancecertificeringer. Det er et reelt og velment initiativ. Men det løser ikke det grundlæggende juridiske vilkår: det amerikanske CLOUD Act giver amerikanske myndigheder hjemmel til at kræve data udleveret fra amerikanske cloud-udbydere - uanset hvor dataene fysisk er lagret. Det er ikke et hypotetisk scenarie. Det er en strukturel juridisk realitet.

Det relevante spørgsmål er ikke, om sovereign cloud-tilbud er brugbare - det er et kommercielt og kontraktligt spørgsmål hver organisation må vurdere på egne vilkår. Det principielle spørgsmål er, om netop din organisation har kortlagt sin samlede eksponering - herunder telemetri fra forretningskritiske systemer - og truffet bevidste, dokumenterede valg om, hvordan den håndteres.

 

Konsekvensen af det fraværende overblik

Fraværet af systematisk indsigt i eget IT-miljø manifesterer sig sjældent som en enkelt, identificerbar begivenhed. Det akkumulerer som en strukturel slagside - en organisation, der reagerer snarere end forebygger, og som i samarbejdet med leverandører savner det grundlag, der gør klare krav mulige.

Mønsteret er velkendt: når noget fejler i et komplekst IT-miljø, begynder en række af gensidige henvisninger. Supporten peger på softwareleverandøren. Softwareleverandøren peger på netværket. Netværksudbyder peger på applikationen. Og mens ansvaret vandrer rundt, taber organisationen tid, penge og brugertillid. Det er sjældent udtryk for ond vilje - det er konsekvensen af at ingen part har det fulde og objektive overblik.

Problemet forstærkes i takt med miljøets kompleksitet. Jo flere applikationer, microservices, containers og leverandører - jo større er sandsynligheden for, at den kritiske indsigt befinder sig i et hul mellem de eksisterende monitoreringsløsninger.

 

Observability - kapabiliteten der lukker hullet

Det faglige begreb for den indsigt vi taler om, er observability - evnen til at forstå et systems indre tilstand udelukkende på baggrund af dets observerbare output. I en IT-kontekst dækker det over en samling af discipliner, der tilsammen giver et sammenhængende billede af hvad der sker på tværs af hele teknologistakken:

  • APM (Application Performance Monitoring) belyser hvad der sker inde i applikationerne og systemerne.
  • Syntetisk monitorering simulerer brugeradfærd kontinuerligt og identificerer fejl i centrale forretningsprocesser, uanset om der er reel trafik eller ej.
  • DEM (Digital Experience Monitoring) måler hvad kunderne faktisk oplever når de anvender organisationens digitale services. Tilsammen repræsenterer de komplementære linser på den samme virkelighed.
  • Observability er det begreb, der forener dem i én sammenhængende fortælling: ikke blot hvad der fejler, men hvor, hvorfor - og hvad det koster.

Her er det vigtigt at holde fast i en præcis distinktion: observability i sig selv er ikke ensbetydende med suverænitet. Suverænitet afhænger ikke blot af kapabiliteten, men af arkitekturen omkring den - af bevidste valg om hvor data indsamles, lagres og analyseres, og under hvilke vilkår.

Observability er ikke et produkt, man køber og installerer. Det er en strategisk kapabilitet man opbygger - og når den er på plads og forankret i den rette arkitektur, ændrer den fundamentalt organisationens evne til at drive, styre og dokumentere sit IT-miljø. Ikke blot teknisk, men forretningsmæssigt.

Forestil dig at kunne besvare spørgsmål som: hvad koster en sekunds ekstra svartid i vores checkout-flow? Hvilken andel af vores kundeafgang skyldes teknisk performance frem for pris eller produkt? Hvilke systemer er reelt kritiske for vores omsætning - og hvilke er det ikke? Det er spørgsmål som organisationer med moden observability besvarer med data, fordi de har etableret koblingen mellem telemetri og forretningens KPI’er. Det er spørgsmål som organisationer uden den kapabilitet gætter sig til - eller aldrig får stillet.

 

Åbne standarder og europæisk kontrol som arkitektonisk valg

Spørgsmålet om suverænitet i observability er i sin kerne et arkitektonisk valg: hvordan er dataindsamling, lagring og analyse organiseret - og hvem kontrollerer den viden, der genereres?

Åbne standarder - herunder OpenTelemetry, der er ved at etablere sig som den dominerende standard for indsamling af telemetri på tværs af heterogene IT-miljøer - muliggør en klar adskillelse af dataindsamling og analyseplatform. Telemetri kan indsamles via åbne og udbyderneutrale protokoller, behandles og lagres under europæisk kontrol og analyseres med den analysekraft, der er nødvendig for at omsætte rådata til handlingsorienteret indsigt.

Det er ikke en teoretisk ambition. Det er en tilgængelig og afprøvet arkitektonisk tilgang - og det er præcis den tilgang, der gør det muligt at forene reel observability med reel suverænitet. Indsigten tilhører organisationen. Ikke platformen.

  

Fra compliancekrav til strategisk position

Den organisation, der har opbygget reel observability - på egne præmisser, under europæisk kontrol og forankret i åbne standarder - har ikke blot håndteret et complianceanliggende. Den har tilvejebragt en konkret og varig strategisk fordel.

Den kan identificere og adressere problemer før de når brugerne. Den kan dokumentere over for leverandører når noget fejler - og verificere når det er rettet. Den kan føre den tekniske og kommercielle dialog med softwarehuse, hostingudbydere og netværksleverandører fra en position af faktabaseret viden. Og den kan træffe IT-investeringsbeslutninger på et dokumenteret grundlag.

Spørgsmålet er ikke, om din organisation har råd til at opbygge den kapabilitet. Det relevante spørgsmål er, om den har råd til at lade være - i et miljø, hvor digitale afhængigheder er mange, reguleringsmæssige forpligtelser skærpes, og forventningerne til digital driftssikkerhed kun går én vej.

 

Konklusion

Reel digital suverænitet opnås ikke ved valget af cloud-region eller underskriften på en databehandleraftale. Den kræver bevidste og dokumenterede valg om, hvem der kontrollerer indsigten i organisationens egne systemer - herunder den telemetri, der løbende beskriver de forretningskritiske processers tilstand og adfærd.

Observability er forudsætningen for den indsigt. Arkitekturen omkring den - bevidste valg om dataindsamling, lagring og analyse under europæisk kontrol - er det, der afgør, om indsigten reelt tilhører organisationen. Det er ikke et spørgsmål om, hvilken platform man vælger. Det er et spørgsmål om, hvordan man vælger at implementere og forvalte den. Suverænitet stopper ikke ved datacenterdøren og det centrale spørgsmål er ikke længere om, hvorvidt organisationer bør forholde sig til det - men hvornår og hvordan. 
Henrik Jacobi

AF

Henrik Jacobi

Henrik Jacobi, Senior Customer Engagement Manager, har mange års erfaring inden for digital transformation og kommerciel udnyttelse af IT. Henrik besidder en bred viden på tværs af flere IT-områder, hvilket gør hans arbejde og professionelle rådgivning højt værdsat af både private og offentlige virksomheder.

Find mig på

Kontakt vores eksperter!

Vil du vide mere? Kontakt vores eksperter og få svar på dine spørgsmål.

Kontakt os ››

Relaterede artikler

Full Stack Observability
Artikel,
Full Stack Observability: Sådan udnytter du det fulde potentiale
Organisationers IT-landskaber udvikler sig i stigende tempo og har i dag en enorm høj kompleksitet....
Læs mere »
Er Full Stack Observability nøglen til DORA-compliance?
Artikel,
Er Full Stack Observability nøglen til DORA-compliance?
Digital Operational Resilience Act (DORA) er en regulering, der er udstedt af EU, og som fastsætter...
Læs mere »

Du har en vision.
Vi hjælper dig med at realisere den.

Kontakt os ved brug af formularen, sales.dk@sentia.com eller via +45 33 36 63 00

Få et forspring »