Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Skriftlig spørsmål fra Sunniva Holmås Eidsvoll (SV) til kunnskapsministeren

Dokument nr. 15:3291 (2025-2026)

Innlevert: 25.06.2026
Sendt: 29.06.2026
Rette vedkommende: Forsknings- og høyere utdanningsministeren
Besvart: 06.07.2026 av forsknings- og høyere utdanningsminister Sigrun Aasland

Sunniva Holmås Eidsvoll (SV)

Spørsmål

Sunniva Holmås Eidsvoll (SV): Hvordan vurderer statsråden sikkerheten til dataene som tilhører norske studenter og forskere i systemer for såkalt identitets- og tilgangsstyring, kalt Felles IAM, og mener statsråden at det er forsvarlig å tvinge institusjoner som har fullgode norskutviklede systemer, som lagrer data i Norge, over på systemer der dataene deres kan bli utlevert til fremmede makter?

Begrunnelse

Universitetet i Oslo og NTNU har nylig fått vite at Det kongelige kunnskapsdepartement pålegger dem å ta i bruk en felles løsning for såkalt identitets- og tilgangsstyring, kalt Felles IAM, mot deres vilje. Dette er en løsning som bygger på et innkjøpt amerikansk system, der eier etter amerikansk lov kan pålegges å utlevere data til amerikanske myndigheter. Samtidig som EU lanserer politikk for å styrke Europas teknologiske selvstendighet med sin Tech Sovereignty Package, og stadig flere blir opptatt av digital suverenitet, får vi i Norge med dette pålegget en beslutning som gjør oss enda mer avhengig av utenlandsk teknologi og kompetanse.
Aktiviteten for å etablere et felles IAM i universitets- og høyskolesektoren har vært i gang siden et forprosjekt ble startet i 2017, og tiltaket ble lagt til Uninett (nå Sikt) på bestilling fra Digitaliseringsstyret i 2019. Da var det en rekke systemer i bruk i sektoren, men flere institusjoner brukte Cerebrum, et system som er utviklet og driftes på Universitetet i Oslo. Etter en lang ferd er nå de fleste institusjoner over på fellstjenesten for IAM, men Universitetet i Oslo og NTNU bruker fortsatt Cerebrum. Systemet er sikkert, det driftes og utvikles i Norge og alle data lagres i Norge. Det felles IAM-systemet, derimot, er USA-eid og de som drifter det kan under amerikansk lov bli pålagt å utlevere data til amerikanske myndigheter.
Det vil være både praktisk og økonomisk til stor ulempe for NTNU og UiO å gå over til et nytt system, og det stilles sterke tvil til at det er riktig å tvinge to av våre fremste utdanningsinstitusjoner over på et system der data kan utleveres til en fremmed makt. Det stilles også tvil til om det er riktig at resten av sektoren, som over flere år har følt at de har vært nødt til å ta i bruk systemet som ble tilbudt dem som en frivillig som en fellestjeneste, skal være nødt til å bruke systemet hvor data om alle deres studenter og ansatte lagres i sky levert av et amerikansk selskap.
Sikt har bedt Kunnskapsdepartementet om å pålegge NTNU og UiO å ta i bruk fellessystemet ut fra økonomisk argumentasjon. Pålegget ser ut til å være i konflikt med Nasjonal sikkerhetsmyndighets råd om at Norge bør bli mindre avhengig av utenlandsk teknologi og teknologikompetanse innenfor kritisk infrastruktur.

Sigrun Aasland (A)

Svar

Sigrun Aasland: Universitets- og høyskolesektoren ligger innenfor mitt ansvarsområde som forsknings- og høyere utdanningsminister, og spørsmålet besvares derfor av meg.
Vi står i en særdeles krevende geopolitisk situasjon hvor vi står overfor flere komplekse problemstillinger – konsentrasjonsrisiko og digitale avhengigheter til utenlandske leverandører er én av dem.
Digital sikkerhet, beredskap og personvern står høyt på min agenda, og dette er noe jeg setter strenge krav til gjennom styringen av våre underliggende virksomheter. Når det gjelder Felles IAM har Sikt (kunnskapssektorens tjenesteleverandør) redegjort for tekniske sikkerhetstiltak og personvernkonsekvensvurderinger i løsningen, også i lys av problemstillinger knyttet til digital suverenitet.
Sikt har redegjort for at felles IAM innebærer at all lagring og behandling av data i løsningen håndteres i EU/EØS, med drift fra datasentre i Stockholm og back-up i andre europeiske lokasjoner. Opplysningene er kryptert, og det er Sikt som kontrollerer krypteringsnøklene. Det er også etablert tiltak for redundans (duplisering for sikkerhet og oppetid), gjenoppretting og portabilitet (rett til utlevering) av data. Løsningen er utformet slik at leverandøren ikke har tilgang til å lese personopplysningene. Personopplysninger i denne sammenheng er begrenset til personnummer og e-postadresser.
Jeg er opptatt av at fellestjenestene levert av Sikt som hovedregel er frivillige, avtalebaserte og brukerfinansierte. Imidlertid vil det i noen få tilfeller være nødvendig å gi institusjonene pålegg om å forplikte seg til å ta i bruk og betale for en tjeneste når overordnede hensyn for sektoren tilsier det.
Beslutningen om å instruere UH-institusjonene om bruk av Felles IAM er basert på en helhetlig vurdering av hele sektorens behov for sikker, effektiv og samordnet identitets- og tilgangsstyring. Felles IAM er utviklet som en fellestjeneste på bakgrunn av etterspørsel fra sektoren, og er allerede tatt i bruk av et flertall av institusjonene. Én felles løsning gir bedre kontroll over identiteter og tilganger, styrker informasjonssikkerheten på tvers av institusjonene, legger til rette for livslang læring for den enkelte og gir økonomisk forutsigbarhet for sektoren som helhet. Disse gevinstene forutsetter bred deltakelse. Dersom enkelte institusjoner står utenfor, kan det gi et mer fragmentert systemlandskap med økte kostnader og svakere samlet sikkerhet i sektoren.
Jeg vil samtidig fremheve at Universitetet i Oslo (UiO) og Norges teknisk-naturvitenskapelige universitet (NTNU) over tid har utviklet sterke fagmiljøer og betydelig kompetanse innenfor utvikling av digitale løsninger og forvaltning. Dette arbeidet er viktig for sektoren. UiO og NTNU har også bidratt med verdifulle innspill i regjeringens arbeid med å utforske hvordan vi kan styrke vårt digitale handlingsrom. Denne kompetansen vil være viktig også fremover, særlig i dagens geopolitiske situasjon preget av økt kompleksitet og sammensatte utfordringer.
Til slutt vil jeg understreke at jeg og regjeringen følger den internasjonale utviklingen tett, også når det gjelder våre nordiske naboland og utviklingen i Europa for øvrig, knyttet til digital suverenitet. I dette inngår relevante faglige råd nasjonalt, herunder også anbefalinger fra Nasjonal sikkerhetsmyndighet (NSM), som et viktig grunnlag for å styrke sikkerheten og redusere sårbarheter i sektorens digitale infrastruktur.