Fire år mere med Microsoft – på trods af alle advarselssignaler
Frankrig prædiker fri software og digital uafhængighed, men fornyer samtidig en milliardtung rammeaftale med Microsoft. Det er ikke kun det astronomiske beløb, der får øjenbrynene til at løfte sig – det er frem for alt det faktum, at aftalen direkte underminerer flere statslige regler for beskyttelse af følsomme data.
Det franske undervisningsministerium forlængede i marts 2025 sin eksisterende rammeaftale med Microsoft med yderligere fire år. Det bekræftede ministeriet over for det investigative medie Mediapart. Den maksimale kontraktværdi lyder på 152 millioner euro eksklusiv moms.
Aftalen dækker næsten hele ministeriets IT-infrastruktur: cirka en million arbejdspladser og servere i centraladministrationen, de regionale uddannelsesakademier, universiteter og forskningsinstitutioner. Den største del af pengene går til licenser til Microsoft-produkter – her er der afsat et særskilt beløb på op til 130 millioner euro.
Rent praktisk er det ikke overraskende. Mange franske skoler og videregående uddannelsesinstitutioner har i årevis arbejdet med Windows, Office, Outlook og Teams. Afhængigheden er reel. Det bliver sprængfarligt, når politiske retningslinjer og faktiske handlinger støder direkte sammen.
Officielt kræver staten åbne og suveræne løsninger – i praksis betaler den fortsat for proprietære amerikanske cloud-tjenester.
Fri software i loven, Microsoft i kontrakten
Frankrig har egentlig defineret sin digitale kurs meget klart. På uddannelsesområdet fastslår artikel L123‑4‑1 i uddannelsesloven, at videregående uddannelsesinstitutioner fortrinsvis skal anvende fri software – altså open source-programmer, der kan drives og videreudvikles uafhængigt af enkeltleverandører.
Parallelt hermed har regeringen i årevis fremmet sin „Cloud au centre"-doktrin. Den fastsætter, at statslige myndigheder kritisk skal vurdere, hvilke cloud-tilbud de benytter, og så vidt muligt vælge løsninger under europæisk kontrol eller med særligt strenge sikkerhedscertificeringer.
Allerede i 2021 gjorde den statslige digitaldirektion Dinum ministerierne opmærksomme på, at Microsofts samarbejdssuiter ikke opfylder dette krav. Tjenesterne er underlagt amerikansk lovgivning, hvilket teoretisk åbner for adgangsmuligheder for amerikanske myndigheder – en klassisk suverænitetskonflikt.
Interne regler forbyder, hvad kontrakten tillader
Sidst i februar 2025 – kun få dage inden den nye kontrakt blev underskrevet – sendte den digitale uddannelsesafdeling (DNE) en opsigtsvækkende instruks til akademiernes rektorer. Den lød: Følsomme data skal opbevares på infrastrukturer, der er i besiddelse af det franske sikkerhedscertifikat „SecNumCloud".
Sådanne certificeringer har i øjeblikket kun meget få udbydere. Microsoft 365 og Google Workspace er udtrykkeligt ikke blandt dem. Konsekvensen er, at de interne regler forbyder brugen af præcis de tjenester, som ministeriet efterfølgende køber nye licenser til for hundredvis af millioner.
Ministeriet forbyder skolerne det, det centralt og i stor skala selv betaler for – et lærebogeksempel på digital dobbeltmoral.
Digital suverænitet som politisk slagord
Konflikten falder i en periode, hvor Europa højlydt kræver sin digitale selvstændighed. Bruxelles forhandler Data Act, AI-lovgivning og cybersikkerhedsregler, mens Paris taler om „strategisk autonomi" inden for cloud og kunstig intelligens. I taler lyder det som et gennembrud – men virkeligheden i forvaltningerne halter ofte bagefter.
Frankrig er ikke et isoleret tilfælde. Også i Tyskland kæmper forvaltninger siden årevis med spørgsmålet om, hvorvidt Microsoft 365 overhovedet kan anvendes lovligt i myndigheder eller skoler. Datatilsynsmyndigheder rejser gentagne gange tvivl, mens ministerier af pragmatiske og økonomiske grunde holder fast i eksisterende kontrakter.
I det franske tilfælde vejer modstriden særligt tungt, fordi undervisningsministeriet selv er ansvarligt for grundlæggende digital dannelse. Den, der skriver læreplaner om informatik, databeskyttelse og mediekompetence, er under særligt skærpet observation, når ministeriets egen IT-strategi strider mod statslige krav.
Hvad SecNumCloud indebærer
SecNumCloud er et sikkerhedsmærkat fra den nationale cybersikkerhedsmyndighed ANSSI. Udbydere skal blandt andet dokumentere, at:
- Data opbevares og behandles i EU,
- ingen udeneuropæisk modervirksomhed kan tvinge adgang til data igennem retssystemet,
- strenge tekniske og organisatoriske sikkerhedsforanstaltninger er på plads,
- sikkerhedsaudits gennemføres regelmæssigt og uafhængigt.
Formålet er at forhindre, at fortrolige forvaltningsdata ender i udlandet ad juridiske omveje. Det er præcis her, at amerikanske tjenester som Microsoft 365 og Google Workspace kommer i konflikt med europæiske forestillinger om suverænitet.
Prisen for bekvemmelighed
Hvorfor holder undervisningsministeriet alligevel fast i Microsoft? En del af svaret ligger i den rene bekvemmelighed ved et etableret system. Lærere og administrationsansatte er vant til de kendte programmer, og udgifterne til omskoling og omstilling ville være enorme.
Dertil kommer infrastrukturelle afhængigheder. Mange fagsystemer er bygget op om Windows-miljøer eller Office-makroer. Den, der fra den ene dag til den anden ønsker at skifte fuldstændigt til open source-løsninger, ville i praksis skulle genopfinde processer, snitflader og skolesoftware fra bunden.
Her afsløres et strukturelt problem ved statslige IT-projekter: På kort sigt virker en forlængelseskontrakt billigere og mindre risikabel end et skift til alternative platforme. På lang sigt forstærker den afhængigheden og gør fremtidige migreringer endnu dyrere.
152 millioner euro for fire år med Microsoft ligner prisen for ikke at turde gennemføre et egentligt strategiskifte.
Hvad alternativer kan tilbyde
Teknisk set eksisterer der allerede løsninger, der kan erstatte en stor del af Microsoft-økosystemet. Typiske byggesten kunne eksempelvis være:
| Funktion | Microsoft | Muligt alternativ |
|---|---|---|
| Kontorsoftware | Office | LibreOffice, OnlyOffice |
| E-mail og kalender | Exchange / Outlook | Groupware som Kopano, BlueMind |
| Fillagring | OneDrive / SharePoint | Nextcloud, Storage Made Easy |
| Online-samarbejde | Teams | Matrix/Element, Jitsi, BigBlueButton |
Disse alternativer er ikke overalt lige komfortable og er ofte mindre integrerede end Microsofts samlede pakke. Til gengæld kan de drives på europæiske servere, tilpasses nationale sikkerhedskrav og skræddersyes til egne behov.
Et signal til andre lande – også til Danmark
Det franske undervisningsministeriums beslutning sender et blandet signal til andre europæiske lande. På den ene side viser den, hvor svært selv store forvaltninger har ved konsekvent at gennemføre den digitale vending mod øget suverænitet. På den anden side øger den presset på regeringer om ikke blot at kræve konkrete alternativer, men faktisk at bygge dem op.
Den, der seriøst ønsker mere europæisk uafhængighed, må investere penge og tålmodighed: i egne platforme, i open source-fællesskaber, i uddannelse og i attraktive brugerflader. Ellers forbliver råbet om suverænitet et politisk slagord, der er fuldstændig løsrevet fra lærernes og elevernes hverdag.
Hvad digital suverænitet konkret betyder
Begrebet „digital suverænitet" virker ofte abstrakt. I en skoles eller universitets hverdag drejer det sig om meget konkrete spørgsmål:
- Hvem kontrollerer de servere, hvor prøver, karakterer og helbredsoplysninger opbevares?
- Hvilke love gælder, når en udenlandsk myndighed anmoder om data?
- Kan skoler skifte software uden at lamme hele deres IT?
- Hvor stor er gennemsigtigheden i den programkode, som centrale systemer bygger på?
Jo mere en stat satser på få globale IT-koncerner, desto sværere bliver det at besvare disse spørgsmål suverænt. Forlængelsen af Microsoft-kontrakten i det franske undervisningsministerium viser, hvor stor kløften stadig er mellem ambition og virkelighed.
For forældre, lærere og studerende rejser det ikke kun spørgsmål om databeskyttelse, men også om digital rollemodel. Den, der vil forklare unge mennesker, hvor vigtigt uafhængighed, dataminimering og åbne standarder er, bør kunne begrunde sin egen IT-strategi på en troværdig måde – eller have modet til at ændre den fra grunden.
