Visuel oversigt over Danmark Skifter med fokus på digital suverænitet, amerikansk Cloud Act, NIS2-krav, backup og datasikkerhed.

Danmark Skifter: digital suverænitet er ikke længere et nicheproblem

/

Fra bekvemmelighed til bevidste valg

Danmark Skifter er et udtryk for et voksende fokus på digital suverænitet, hvor ejerskab, jurisdiktion og kontrol med software og data vægtes højere end bekvemmelighed alene. I mange år har digitale valg været truffet ud fra én primær logik: det, der virker bedst og er lettest at bruge.
Men den logik er i stigende grad under pres.

Ikke fordi teknologien er blevet dårligere – tværtimod – men fordi kontrol, jurisdiktion og ansvar er blevet centrale spørgsmål. Spørgsmål, som hverken privatpersoner, virksomheder eller offentlige institutioner længere kan tillade sig at ignorere.

Det er i den sammenhæng, begrebet Danmark Skifter giver mening.

Ikke som en kampagne, et parti eller en organisation – men som et mønster:
et gradvist skifte i måden, vi forholder os til software, data og digital infrastruktur.

Hvad betyder “Danmark Skifter”?

Danmark Skifter handler grundlæggende om ét spørgsmål:

Hvem kontrollerer den software, der behandler vores data – og hvilket lands lovgivning gælder, når det virkelig gælder?

Det er et skifte:

  • fra at fokusere på funktioner
  • til at fokusere på ejerskab, gennemsigtighed og jurisdiktion

Ikke fordi alle løsninger pludselig skal være danske.
Men fordi digital afhængighed er blevet en strategisk risiko, ikke bare et teknisk valg.

Software er ikke neutral

En udbredt antagelse er, at software blot er et værktøj.
I praksis er software altid indlejret i:

  • et ejerskab
  • en forretningsmodel
  • en national lovgivning

Når du åbner et dokument, sender en mail, uploader en fil eller bruger en AI-funktion, sker der mere end det synlige klik.

Det gælder især for den type software, vi bruger hver dag – og derfor sjældent stiller spørgsmål ved.

Når standardsoftware bliver et sikkerhedsspørgsmål

PDF-læsere som eksempel

PDF-filer indeholder ofte nogle af de mest følsomme oplysninger i både virksomheder og offentlige institutioner:

  • kontrakter
  • fakturaer
  • personalesager
  • strategidokumenter

Alligevel er PDF-læsere for de fleste “bare noget, der er installeret”.

I 2024–2025 fjernede flere amerikanske myndigheder – herunder Pentagon, Justitsministeriet og Department of Homeland Security – Foxit-software fra deres systemer.

Årsagen var ikke en konkret hændelse, men jurisdiktion og ejerskab:

  • Foxit er grundlagt i Kina
  • selskabet er børsnoteret i Shanghai
  • og er underlagt Kinas nationale efterretningslov fra 2017, som kan forpligte virksomheder til at bistå kinesiske myndigheder

Det interessante er ikke Foxit alene.

Det interessante er, at de fleste aldrig har overvejet PDF-læseren som et risikopunkt.

For mange åbnes PDF-filer i dag direkte i browseren:

  • Chrome bruger Googles PDFium
  • Edge bruger Microsofts PDF-engine

Begge er tæt integreret med deres respektive cloud-økosystemer og er underlagt amerikansk lovgivning, herunder Cloud Act.

Det betyder ikke nødvendigvis misbrug.
Men det betyder, at adgang i sidste ende kan pålægges.

Cloud Act i praksis – hvorfor EU-hosting ikke altid betyder EU-kontrol

En af de mest sejlivede myter i den digitale debat er:

“Vores data ligger i EU, så de er beskyttet.”

I praksis er det kun delvist sandt.

Den amerikanske Cloud Act (Clarifying Lawful Overseas Use of Data Act) giver amerikanske myndigheder mulighed for at kræve adgang til data, som kontrolleres af amerikanske virksomheder – uanset hvor data fysisk er placeret.

Det betyder:

  • EU-datacentre ophæver ikke automatisk amerikansk jurisdiktion
  • Databehandleraftaler ændrer ikke på national lovgivning
  • “No US access” er ikke det samme som “No US control”

Det er netop derfor, vi i disse år ser:

  • europæiske myndigheder genoverveje cloud-strategier
  • kommuner og regioner tale om exit-strategier
  • øget fokus på lokale eller europæisk kontrollerede løsninger

Ikke af ideologiske årsager – men af risikostyring.

Kilder:

“Glemt software” og hvorfor opdateringer er blevet et angrebspunkt

WinRAR-sagen

I 2025 dokumenterede Google og flere sikkerhedsfirmaer, at en alvorlig sårbarhed i WinRAR aktivt blev udnyttet af:

  • russiske statslige aktører
  • kinesiske spionagegrupper
  • økonomisk motiverede cyberkriminelle

Sårbarheden blev patchet i juli 2025.
Måneder senere blev den stadig brugt i aktive angreb.

Årsagen var enkel:
WinRAR opdaterer ikke sig selv automatisk, og mange ved ikke, hvilken version de kører.

Ifølge Styrelsen for Samfundssikkerhed har en betydelig andel af danske SMV’er ikke overblik over basal softwareopdatering.
Det gør “glemt software” til en ideel indgang for angreb.

Angrebet kræver ofte:

  • ingen klik på “Kør”
  • ingen advarsler
  • blot at et arkiv pakkes ud

Det er ikke avanceret hacking.
Det er udnyttelse af forsømmelse.

Når cyberangreb ikke længere handler om penge

Fra ransomware til destruktive angreb

I december 2025 var Polen tæt på et omfattende blackout.

Russiske statshackere fra enheden Sandworm forsøgte at ramme energiinfrastruktur med wiper-malware, designet til permanent at slette systemer – ikke til at afpresse penge.

Lignende aktører stod bag det historiske strømafbrydelsesangreb i Ukraine i 2015, det første kendte tilfælde hvor malware forårsagede et fysisk blackout.

Danmark er ikke immun:

  • I 2023 blev 22 danske energiselskaber ramt i et koordineret cyberangreb
  • Center for Cybersikkerhed har hævet trusselsniveauet for destruktive cyberangreb mod Danmark

Det centrale skifte er dette:

Cyberangreb handler ikke længere kun om kriminalitet.
De handler også om geopolitik og destabilisering.

Platforme, børn og data: TikTok-eksemplet

Debatten om TikTok stoppede ikke med amerikanske aftaler.
Den er eskaleret.

TikToks opdaterede privatlivspolitik anerkender eksplicit indsamling af:

  • helbredsoplysninger
  • politiske og religiøse forhold
  • seksuel orientering og kønsidentitet
  • præcis lokation
  • biometriske signaler fra billeder og video

Fotos og videoer behandles ikke længere kun som indhold, men som analyserbare miljøer:

  • objekter og omgivelser identificeres
  • ansigter og kropsdele analyseres
  • metadata bruges til sted- og adfærdsanalyse

Det betyder, at brug af platformen ikke blot er kommunikation, men dataafgivelse med juridiske og etiske konsekvenser – især for skoler, institutioner og organisationer med ansvar for børn og unge.

Privatlivspolitikker er ikke baggrundslæsning.
De er magtdokumenter.

Backup er ikke længere nok

I 2025 stjal 76% af ransomware-angreb data, før der blev stillet krav.

Mange angreb krypterer ikke længere systemer.
De kopierer data stille og roligt over tid og truer med offentliggørelse.

Det ændrer spillereglerne fundamentalt:

  • Backup gendanner drift
  • Backup sletter ikke stjålne data
  • Omdømme, GDPR-krav og kundetillid bliver den reelle trussel

Med NIS2 skærpes dokumentationskravene yderligere.
Virksomheder skal kunne vise, at de har truffet passende foranstaltninger – også hvis de er leverandører til kritiske sektorer.

Offentlig sektor, open source – og hvorfor “billigst” ikke længere er argumentet

I flere europæiske lande ser vi et markant skifte i offentlige IT-strategier:

  • øget brug af open source
  • fokus på auditérbarhed
  • reduktion af leverandørafhængighed

Open source vælges ikke primært af ideologiske grunde.
Det vælges, fordi:

  • koden kan gennemgås
  • lock-in reduceres
  • exit-strategier bliver realistiske
  • kontrol flyttes tættere på organisationen

Det er risikostyring, ikke idealisme.

Når AI flytter ind i hverdagssoftware

AI-funktioner integreres i stigende grad direkte i:

  • dokumentvisere
  • mailklienter
  • styresystemer

Ofte som “hjælp”, “assistent” eller “smart funktion”.

Men når AI analyserer indhold, bliver data input:

  • data sendes
  • caches
  • analyseres
  • og gemmes midlertidigt eller permanent

Ofte uden at brugeren forstår hvornår – eller hvordan.

Det gør AI-bevidsthed til en del af digital suverænitet.

Hvad betyder “Danmark Skifter” i praksis?

Det betyder ikke perfektion.
Det betyder ikke total afkobling.

Det betyder:

  • færre antagelser
  • flere bevidste valg
  • større fokus på kontrol frem for bekvemmelighed
  • større forståelse for, at softwarevalg er strategiske valg

Små valg med store konsekvenser

Hvilken software åbnede du sidst et fortroligt dokument i?
Hvilket lands lov gælder i det øjeblik?
Og var det et bevidst valg – eller bare det, der fulgte med?

Danmark Skifter ikke fra den ene dag til den anden.
Men det skifter, hver gang vi begynder at stille de spørgsmål.

Skriv et svar