Jeg scoret PurePPM mot EUs nye Cloud Sovereignty Framework og landet på ~80%
Det var mest for moro skyld at jeg ba Claude Opus vurdere PurePPM opp mot EU-kommisjonens nye Cloud Sovereignty Framework. Men resultatet var så gøy at jeg tenkte det var verdt å dele.
EU-kommisjonen ga i oktober ut et rammeverk for digital suverenitet i skytenester: Cloud Sovereignty Framework. Det operasjonaliserer hva det faktisk betyr for en offentlig virksomhet å ha kontroll over egne data, systemer og teknologiske valg. Rammeverket er bygget rundt åtte sovereignty-objektiver, vektet etter strategisk betydning.
Jeg tok rammeverket, leste det grundig, og la PurePPM inn i vurderingsmodellen.
Resultatet: rundt 80%.
For sammenligning: hyperscalerne lander typisk på 40 til 60%.
Hva rammeverket faktisk måler
De åtte objektive måler ting som juridisk jurisdiksjon, operativ kontroll, transparens i AI-prosessering, portabilitet og muligheten for reell exit fra leverandøren. Noen av disse er tekniske valg som kan løses med arkitektur. Andre er strukturelle realiteter som ikke endres av et anbudssvar.
Det er i den siste kategorien PurePPM skiller seg ut.
Fire av de åtte objektive er vektet til å utgjøre 50% av totalscoren: SOV-1 (strategisk), SOV-2 (legal), SOV-3 (data og AI) og SOV-4 (operativ). PurePPM er strukturelt overlegen på alle fire.
SOV-1, Strategisk kontroll: PurePPM er et norsk selskap med norsk eierskap og ingen utenlandsk kapital. Det er ikke et datterselskap, ikke en norsk avdeling av et amerikansk konsern, og ikke avhengig av at et morselskap bestemmer seg for å beholde produktet i markedet.
SOV-2, Juridisk forankring: All behandling skjer under norsk lov. Det er ingen CLOUD Act-eksponering, ingen konflikt mellom europeisk personvernregelverk og amerikanske etterretningslover, og ingen gråsone å forholde seg til.
SOV-3, Data og AI: Kunden velger selv hvilken AI-leverandør som benyttes. PurePPM støtter Mistral EU, egne modeller eller ingen AI-integrasjon i det hele tatt. Prosesseringen skjer ikke i en svart boks som tredjeparten eier og definerer.
SOV-4, Operativ kontroll: Teamet er norsk, supporten er norsk, og on-premise-distribusjon er en reell exit-opsjon. Ikke en teoretisk mulighet som krever et konsulentverk for å realisere.
Det du ikke kan kjøpe deg ut av
En hyperscaler kan ansette norske supportfolk. De kan sette opp en region i Frankfurt. De kan inngå databehandleravtaler som er juridisk korrekte i EU. Det er ekte tiltak, og de teller i rammeverket.
Det de ikke kan gjøre, er å flytte hovedkontoret til Oslo i et anbudssvar.
Eierskapsstrukturen er der. Jurisdiksjonen er der. Avhengigheten av et globalt morselskap er der. Det er ikke noe galt med det, men det gir en strukturell ceiling på sovereignty-score som ingen teknisk investering endrer.
PurePPM har ikke den celingen fordi vi aldri hadde strukturen som skaper den.
Hva som mangler for å bli fullstendig anbudsklart
Jeg er ærlig om dette: vi er ikke i mål. To ting er på roadmap og vil påvirke scoren markant.
EU-region for all hosting. I dag er vi fleksible på plassering, men en dedikert EU-region gir offentlige kunder den dokumentasjonen de trenger for DPA-er og anskaffelsesprosesser innenfor EU/EØS.
ISO 27001-sertifisering. Det er industristandarden for informasjonssikkerhet, og det er kravet som dukker opp i de fleste offentlige anbudsgrunnlag av en viss størrelse. Vi jobber mot det.
Når begge er på plass, er PurePPM et reelt anbudsklart alternativ for offentlig sektor i hele EU/EØS.
Hvorfor dette er relevant akkurat nå
Project Online pensjoneres i 2026. Tusenvis av offentlige virksomheter i Norge og EU må finne en ny løsning for porteføljestyring, og de fleste starter den prosessen nå.
Det åpenbare valget for mange vil være å gå videre i Microsoft-stakken eller over til en av de store europeiske alternativene. Men for virksomheter som lever av EU-anbud, eller som er underlagt strenge krav til digital suverenitet, er det verdt å stille spørsmålet: hva er den faktiske sovereignty-profilen til det vi velger?
PurePPM er bygget som et alternativ for akkurat den situasjonen. Ikke fordi vi planla det med EU-kommisjonen i tankene, men fordi norsk eierskap, norsk lov og full kundekontroll over data og AI alltid har vært del av fundamentet.
Sitter du i en offentlig virksomhet og tenker på hvordan dere skal håndtere både Project Online-overgangen og økte krav til digital suverenitet? Jeg vil gjerne høre hvordan dere tenker.
🔗 EU Cloud Sovereignty Framework: https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_en