EU Data Act: Hvad det betyder for din virksomhed

EU Data Act, der trådte i kraft i januar 2024 og finder anvendelse fra september 2025, repræsenterer en af de mest betydningsfulde dele af datalovgivning siden GDPR. Mens meget af den offentlige debat har fokuseret på dens konsekvenser for IoT-producenter og rettigheder til skyskifte, har forordningen dybtgående konsekvenser for, hvordan europæiske virksomheder vælger og styrer deres samarbejdsinfrastruktur.

Hvad Data Act faktisk kræver

I kernen fastlægger Data Act regler om, hvem der kan tilgå og bruge data genereret af forbundne produkter og relaterede tjenester. For virksomhedssamarbejdsplatforme er flere bestemmelser særligt relevante.

For det første nedfælder forordningen retten til at skifte mellem cloud-tjenesteudbydere uden urimelig forsinkelse, overdrevne gebyrer eller datatab. Det betyder, at organisationer skal kunne udtrække deres data — beskeder, filer, opkaldsoptagelser, metadata — fra én platform og migrere dem til en anden. Leverandører, der låser kunder fast gennem proprietære dataformater eller kunstige eksportbarrierer, vil befinde sig på den forkerte side af forordningen.

For det andet introducerer forordningen sikkerhedsforanstaltninger mod ulovlige internationale dataoverførsler. Artikel 27 kræver eksplicit, at cloud-tjenesteudbydere træffer rimelige tekniske, juridiske og organisatoriske foranstaltninger for at forhindre regeringsadgang til ikke-personlige data, der opbevares i EU, hvor en sådan adgang ville være i strid med EU-lovgivning. Denne bestemmelse adresserer direkte den spænding, der er skabt af den amerikanske CLOUD Act, der tillader amerikanske myndigheder at kræve data fra amerikanske virksomheder uanset, hvor de er lagret.

For det tredje pålægger forordningen interoperabilitetskrav til databehandlingstjenester, hvilket lægger grundlaget for, at kunder kan bruge flere tjenester i kombination uden kunstige barrierer.

Hvorfor det betyder noget for samarbejdsværktøjer

Overvej den typiske virksomheds samarbejdsstak: videokonferencer, beskeder, fildeling og i stigende grad AI-drevne funktioner som transskription og resumering. Disse værktøjer behandler enorme mængder af følsomme data — strategiske diskussioner, personalesager, finansielle overvejelser, juridisk rådgivning, intellektuel ejendom.

Under Data Act har organisationer ansvaret for at sikre, at deres samarbejdsleverandører påviseligt kan overholde databeskyttelsens sikkerhedsforanstaltninger. Dette går ud over at sætte kryds i et felt på en leverandørevalueringsformular. Det kræver forståelse af leverandørens juridiske jurisdiktion, deres tekniske arkitektur for dataisolation og deres evne til at modstå udenlandske regeringers adgangsanmodninger.

For mange europæiske organisationer skaber dette en ubehagelig opgørelse. De dominerende samarbejdsplatforme drives af virksomheder med hovedsæde i USA. Uanset hvor de placerer deres datacentre, forbliver disse virksomheder underlagt CLOUD Act og andre amerikanske juridiske instrumenter, der kan tvinge til udlevering.

Den praktiske compliance-tjekliste

På baggrund af vores læsning af forordningen og samtaler med compliance-teams på tværs af europæiske virksomheder er her, hvad organisationer bør evaluere i deres samarbejdsværktøjer.

Dataportabilitet. Kan I eksportere alle jeres data — beskeder, filer, metadata, brugerbiblioteker, opkaldsoptagelser — i standardiserede, dokumenterede formater? Er der et API til automatiseret udtrækning? Hvad sker der med jeres data, hvis I opsiger kontrakten?

Jurisdiktionel klarhed. Hvor er leverandøren indregistreret? Hvilken juridisk jurisdiktion styrer tjenesten? Kan en udenlandsk regering tvinge leverandøren til at udlevere jeres data? Findes der en datterselskabsstruktur, der kunne skabe indirekte udenlandsk jurisdiktion?

Tekniske sikkerhedsforanstaltninger. Tilbyder platformen end-to-end-kryptering? Hvis ja, hvem har nøglerne? Kan I medbringe jeres egne krypteringsnøgler? Er krypteringsarkitekturen dokumenteret og revisorerbar?

Infrastruktursuverænitet. Hvor ligger dataene fysisk? Hvem driver den underliggende cloud-infrastruktur? Er selve cloud-udbyderen underlagt udenlandsk jurisdiktion?

Skifteomkostninger. Hvad ville det kræve at migrere til en alternativ platform? Er der kontraktlige sanktioner? Understøtter leverandøren standardprotokoller og -formater?

Interoperabilitet. Kan platformen integreres med andre værktøjer i jeres stak uden proprietær fastlåsning? Understøtter den åbne standarder?

Hvordan Mandraki adresserer disse krav

Vi byggede Mandraki med Data Acts principper i tankerne fra begyndelsen, ikke som en eftermontering.

Alle data ligger på en europæisk-ejet hyperscaler, der udelukkende er underlagt EU-jurisdiktion. Mandraki er selv en europæisk virksomhed uden amerikansk moderselskab eller datterselskab. Vores trelagede krypteringsarkitektur, inklusive Bring Your Own Key-support, sikrer, at organisationer bevarer kryptografisk kontrol over deres data. Fuld dataeksport er tilgængelig gennem dokumenterede API’er. Og vores krydsorganisationelle føderationsprotokol er bygget på åbne, dokumenterede standarder.

Vi hævder ikke, at compliance nogensinde er enkelt. Det regulatoriske landskab er komplekst og under udvikling. Men vi tror på, at det at starte med de rigtige arkitektoniske og jurisdiktionelle fundamenter gør compliance opnåeligt frem for aspirativt.

Fremtidsudsigter

Data Act er en del af en bredere europæisk digital strategi, der inkluderer AI-forordningen, Digital Markets Act, Digital Services Act, NIS2 og DORA. Tilsammen omformer disse forordninger forventningerne til teknologileverandører, der opererer i Europa.

For europæiske organisationer er budskabet klart: de værktøjer, I bruger til dagligt samarbejde, er ikke længere blot en IT-indkøbsbeslutning. De er en compliance-beslutning, en risikostyringsbeslutning og i stigende grad en strategisk beslutning om digital autonomi.

Den gode nyhed er, at det europæiske teknologi-økosystem modnes hurtigt. Suveræn cloud-infrastruktur er tilgængelig. Compliance-egnede samarbejdsværktøjer eksisterer. Vejen frem kræver ikke, at man venter på, at amerikanske leverandører tilpasser sig europæiske regler. Den kræver, at man vælger europæiske løsninger, der er bygget til dem fra starten.