AI & Metode

Own your own data — derfor bygger vi uden Big Tech i fundamentet

Nogle husker måske Brittany Kaiser — whistlebloweren fra Cambridge Analytica. Hun kunne se, hvordan valg i USA og andre lande blev afgjort på baggrund af private borgeres data, misbrugt uden deres viden. Det endte med store sagsanlæg og en Netflix-dokumentar, The Great Hack, der stadig er værd at se, hvis man vil forstå hvad der reelt står på spil.

Historien er over syv år gammel nu. Men den underliggende pointe er blevet vigtigere, ikke mindre: hvem ejer dine data, og hvor bor de, mens de bliver brugt?

Reglen på papiret vs. virkeligheden i infrastrukturen

De fleste ved efterhånden, at persondata skal hostes i EU. Det står i GDPR, og de fleste leverandører kan da også vise en flot "EU-region"-markering på deres serverpark.

Problemet er, at en server fysisk placeret i Frankfurt eller Dublin ikke automatisk betyder, at dataene er uden for amerikansk myndigheds rækkevidde. Den amerikanske CLOUD Act giver amerikanske myndigheder ret til at kræve data udleveret fra amerikanske virksomheder — uanset hvor på kloden de rent fysisk har gemt dem. En "EU-region" hos en amerikansk cloud-giant er stadig underlagt amerikansk lovgivning, fordi det er selskabet, ikke serveren, loven rammer.

Det er præcis den konflikt, der fik EU-domstolen til at underkende Privacy Shield-aftalen i 2020 (Schrems II-dommen), og som fortsat holder liv i debatten om, hvorvidt den nuværende EU-US Data Privacy Framework-aftale reelt løser problemet. Mange jurister forventer stadig en "Schrems III"-sag.

EU har selv taget konsekvensen

Det her er ikke længere kun en teoretisk diskussion for compliance-nørder. EU-Kommissionen har i 2026 for alvor sat handling bag ordene:

  • I april 2026 tildelte Kommissionen for første gang nogensinde en sky-kontrakt til fire europæiske leverandører — værdi op til 180 mio. euro over seks år — hvor sourcing eksplicit blev vurderet ud fra suverænitetskriterier, ikke kun pris og funktionalitet.
  • I maj 2026 begyndte Kommissionen at overveje direkte begrænsninger på brugen af amerikanske cloud-platforme til følsomme offentlige data — særligt finans-, retsvæsens- og sundhedsdata.
  • Offentlige udbud i EU stiller i stigende grad kravet "ikke underlagt tredjelands-lovgivning med ekstraterritorial rækkevidde" — altså eksplicit et nej til amerikanske (og andre ikke-europæiske) tech-giganters infrastruktur, uanset hvor serveren står.
  • Initiativer som Gaia-X arbejder på fælles europæiske standarder for gennemsigtig, suveræn cloud-infrastruktur, så virksomheder og myndigheder ikke behøver vælge mellem funktionalitet og uafhængighed.

Med andre ord: det, vi har prioriteret hos broberg.ai i et stykke tid, er nu ved at blive den retning, hele EU bevæger sig i.

Hvorfor det betyder noget for dig som borger, forbrugere og beslutningstager

Man behøver ikke at bygge software for at det her rammer en. Det rammer enhver, der bruger et website, en offentlig selvbetjeningsløsning, en app fra sin kommune eller en tjeneste, der beder om ens data.

Spørgsmålet er ikke kun "er det GDPR-compliant på papiret", men: hvis den bagvedliggende infrastruktur ejes af en udenlandsk tech-gigant, hvem har så reelt kontrollen — og adgangen — til dine data, uanset hvad kontrakten siger? Det er præcis den refleksion, kommunale beslutningstagere bør have med sig, når fremtidens digitale løsninger skal bygges og udbydes.

Sådan har vi bygget broberg.ai

Det er en af de vigtigste grunde til, at vi har designet og bygget hele broberg.ai-universet, som vi har.

Alle byggesten i fundamentet — motoren, videnlaget, orkestreringen, overvågningen — er bygget helt fra bunden, af danske IT-arkitekter og udviklere sammen med moderne AI-agenter. Ikke én linje kildekode i det fundament afhænger af en tech-gigants cloud-infrastruktur. Og hele stakken er samtidig 100% open source — gennemsigtighed man reelt kan efterprøve, ikke bare et løfte på et website.

Vi har allerede skrevet om ét konkret lag af det: hvordan vi router AI-kald efter opgave, ikke efter vane, så alt der rører persondata automatisk går til en model hostet i EU. Men det er kun ét lag. Den dybere pointe er, at hele fundamentet under det — hosting, motor, byggeklodser — aldrig har været afhængigt af en amerikansk tech-gigant til at begynde med.

Det er ikke noget, vi krydser af bagefter. Det er den arkitektur, vi startede med.

Selve driften kører da også i egen, europæisk hosting — Stockholm, ikke Silicon Valley. Og selve motoren, der driver hvert eneste site i universet — CMS'et — er bygget efter samme princip.

Vil du vide, hvad et 100% uafhængigt fundament betyder for jeres løsning? → Lad os tale sammen.

Kilde: Netflix-dokumentaren The Great Hack om Cambridge Analytica-sagen.