
En finsk AI-tjeneste til jurabranchen markedsføres på europæisk dataopbevaring. Modellen er europæisk. Data ligger i Finland. Ingen træning på brugerens forespørgsler. Det lyder rigtigt. Men da jeg efterprøvede det mod deres egen dokumentation, manglede der ét lag.
Meget at rose
Tjenesten kører sin egen sprogmodel, en europæisk, og sender ikke forespørgsler videre til amerikanske AI-tjenester. Brugernes data bruges ikke til træning. Data opbevares i Finland. Det er bedre end de fleste alternativer på markedet.
Tjenesten slår finsk ret og EU-ret op på sekunder og henviser til kilderne. Den er bygget i Finland, af et finsk selskab, under finsk lovgivning. Og den positionerer sig som det ikke-amerikanske valg over for de store chatbots.
Listen over underleverandører
Så læste jeg selskabets egen liste over underdatabehandlere. Hele driften, servere, database, fillagring og søgeindeks, kører på en stor amerikansk cloud-udbyder.
Data ligger fysisk i Finland. Det er korrekt. Men den amerikanske udbyder kan blive mødt med gyldige amerikanske retskrav om data, som selskabet har i sin besiddelse eller kontrol. Også når data fysisk befinder sig i et andet land.
Det betyder ikke fri adgang. Udbyderen kan bestride et krav, og tekniske forhold som kryptering og nøglekontrol har betydning. Men finsk dataplacering fjerner ikke i sig selv den amerikanske jurisdiktionsrisiko.
Bekræftet under ed
Den juridiske chef for en anden stor amerikansk softwareleverandør bekræftede det i 2025. Spurgt under ed i det franske senat, om europæiske kundedata altid ville være uden for amerikanske myndigheders rækkevidde, kunne han ikke give den garanti.
Sovereignty washing
Der er ikke tale om skjult infrastruktur. Den amerikanske udbyder står åbent på listen over underleverandører. Problemet er den konklusion, som markedsføring om europæisk dataopbevaring kan få kunden til at drage.
For en advokat handler det om tavshedspligt. Taster du konkrete klientoplysninger ind i et værktøj, hvis leverandørkæde inkluderer en amerikansk cloud-udbyder, har du en risiko, der skal vurderes i forhold til tavshedspligten og sagens følsomhed.
Der mangler kun ét skifte
Det pudsige er, at løsningen er tæt på. En finsk jura-AI kunne køre på en finsk sky. Der findes finskeejede cloud-udbydere, hvis europæiske tjenester leveres af det finske moderselskab under finsk ret. Det ville reducere eksponeringen for amerikansk lovgivning markant.
Så ville den europæiske model, de europæiske data og den europæiske jurisdiktion følges ad. I dag gør de det ikke.
Tjenesten har løst model, træning og dataresidens. Men ikke jurisdiktionen. Og derfor er “data i Finland” ikke det samme som digital suverænitet.
En uafhængig IT-rådgivning kan hjælpe med at efterprøve, om jeres AI-leverandørs underleverandørkæde matcher det suverænitetsniveau, I antager, at I har.
Hvilke klientoplysninger vil du lægge i et værktøj, hvis leverandørkæde inkluderer en amerikansk cloud-udbyder?
Har du brug for rådgivning om AI-leverandørvurdering og jurisdiktionsrisiko?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.



