Hvem eier skyen over Norge? — Thomas Heggelund

Oppsummert på 30 sekunder

26 av 49 datasenteroperatører i Nkoms register (oktober 2025) er utenlandsk eid — over halvparten. Per mars 2026 er totalantallet datasentre passert 103. Luxemburg dominerer eiersiden med 11 selskaper.
CLOUD Act gjelder. Amerikanske myndigheter kan kreve utlevert data fra Google, Microsoft, CoreWeave og STACK/Apollo uavhengig av at serverne står i Skien, Kristiansand eller Fetsund. Provideren har plikt til hemmelighold overfor kunden.
Microsoft tok over Narvik i april 2026. OpenAI gikk fra offtaker til Azure-kunde, og «Stargate Norway»-merket ble tomt. Microsoft leier nå ~30 000 NVIDIA Vera Rubin-chiper hos Nscale, oppå tidligere 6,2 mrd. USD-forpliktelse.
Schrems II rev opp Privacy Shield i 2020. Det nye Data Privacy Framework (2023) er allerede klaget inn for EU-domstolen og hviler på presidentordre EO 14086 — som en ny president kan oppheve med et pennestrøk.
Eieroversikten er blakk. Green Mountain er israelsk-eid (Azrieli). STACK ble kjøpt av Apollo Funds i april 2025. Bulk Infrastructures største eiere er registrert i Luxemburg og Kypros. Nscale Drift eies av Arkon Investment (Nederland). BitDeer (Singapore/NASDAQ) bygger nå Norges største KI-anlegg på 180 MW i Tydal.
Politisk momentum bygger seg opp. MDG vedtok i mai 2025 å ekskludere ikke-europeisk eierskap. Stortinget behandler Innst. 140 S (2025–2026) om konsesjonssystem for datasentre.

Tallet ingen vil snakke om

I del 1 av denne serien dokumenterte jeg 51 datasenteranlegg med opp mot 5 440 MW planlagt kapasitet, og at regjeringen ikke har gjort en eneste prisanalyse av veksten. Tallet som fikk minst oppmerksomhet var dette: nesten 40 prosent av planlagt kapasitet er utenlandsk eid. Tre måneder senere er bildet både bekreftet og forverret. Nkoms offentlige register viser at 26 av 49 registrerte operatører — 53 prosent — har utenlandske eiere. Per 20. mars 2026 er totalantallet datasentre i registeret 103.

Det er ikke et tall som forsvarer seg selv. En japansk fabrikk i Mo i Rana er også utenlandsk eid — forskjellen er at en aluminiumsovn ikke kan bli gjenstand for en hemmelig kjennelse fra en føderal dommer i Virginia. Datasentre lagrer ikke aluminium. De lagrer e-poster, journaler, kommuneprotokoller, sensorstrømmer fra kraftverk og treningsdata fra modeller som etter hvert vil drive offentlig saksbehandling.

Når Telemark fylkeskommune skriver kontrakt med en leverandør som hoster på Microsoft Azure Norway East, eller når Helse Sør-Øst sender pasientdata gjennom et SaaS-system bygget på Google Cloud i Skien, beveger dataene seg fysisk gjennom utstyr i norsk jord — men juridisk gjennom amerikansk jurisdiksjon. Det er ikke en metafor. Det er hvordan CLOUD Act faktisk fungerer.

103

Datasentre i Nkom-registeret (mars 2026)

26 / 49

Utenlandsk eide operatører

Eiere registrert i Luxemburg

Bilaterale CLOUD-avtaler

Planlagt MW fordelt på morselskapets jurisdiksjon — oppdatert mai 2026 med Nkom-funnene. Bulk Infrastructure (920 MW) er flyttet fra «Norge» til «Luxemburg/Kypros» etter at registeret avdekket utenlandske eiere. Microsoft har overtatt offtake-rollen i Narvik etter OpenAI. Med disse korreksjonene er reint norsk eierskap halvert sammenlignet med tidligere bransjeestimater.

Hva CLOUD Act faktisk sier

Loven heter formelt Clarifying Lawful Overseas Use of Data Act, vedtatt av Kongressen i mars 2018 som en del av Consolidated Appropriations Act. Den endret den amerikanske Stored Communications Act (18 U.S.C. §§ 2701–2713) og slo fast to ting som er relevante her:

Ekstraterritorialitet. En amerikansk «provider of electronic communication service» eller «remote computing service» er pliktig til å utlevere data «in its possession, custody, or control» etter rettslig pålegg uavhengig av hvor i verden dataene fysisk lagres (§ 2713). Skien, Hamar eller Narvik — det spiller ingen rolle.
Comity-mekanisme. En provider kan bestride pålegget hvis det skaper en «material conflict» med loven i landet der dataene faktisk er lagret — men bare hvis landet har signert en bilateral «Executive Agreement» med USA (§ 2703(h)). Norge har ikke signert en slik avtale. Storbritannia signerte i 2019, Australia i 2021. EU forhandler kollektivt og har ikke landet noe.

Konsekvensen er enkel og ubehagelig. Dersom amerikansk justisdepartement, FBI eller en føderal storjury sender en § 2703(d)-kjennelse til Google LLC, har Google en juridisk plikt til å utlevere data fra anlegget i Skien. Norske myndigheter blir ikke varslet. Den berørte kunden — en norsk kommune, et helseforetak, en privatperson — blir heller ikke varslet, fordi § 2705(b) tillater taushetspålegg på opptil 180 dager, ofte forlenget i det uendelige. Provideren risikerer rettsforfølgelse i USA hvis den varsler.

Norske myndigheter blir ikke varslet. Den berørte kunden blir ikke varslet. Provideren risikerer rettsforfølgelse i USA hvis den varsler. Det er ikke et hypotetisk scenario — det er hvordan amerikansk forvaltningsrett er konstruert.

Dette er ikke et hypotetisk scenario. Microsoft alene rapporterte i sin Law Enforcement Requests Report for andre halvår 2024 over 35 000 enkeltforespørsler om kundedata fra amerikanske myndigheter. Google mottok i samme periode over 80 000 «preservation requests» og fullbyrdet utlevering i ca. 80 prosent av tilfellene. Den faktiske bruksgraden er industriell, ikke unntaksvis.

Schrems II: bruen som kollapset

Da EU-domstolen i juli 2020 i sak C-311/18 (Schrems II) rev opp Privacy Shield-avtalen mellom EU og USA, var begrunnelsen klar: amerikansk overvåkningslovgivning — spesielt FISA Section 702 og Executive Order 12333 — gir amerikansk etterretning så vid tilgang til ikke-amerikanske borgeres data, og så lite effektive klagemuligheter, at det kolliderer med GDPR artikkel 45 og chartrene 7, 8 og 47.

Domstolen sa ikke at amerikansk skylagring var ulovlig. Den sa at dataeksport til USA krever «supplementary measures» — som kryptering der nøkkelen forblir i EØS, eller at provideren ikke har teknisk evne til å utlevere klartekst.

I juli 2023 vedtok Kommisjonen den nye EU-US Data Privacy Framework (DPF). Den hviler på Executive Order 14086, som etablerte en Data Protection Review Court (DPRC). Det er ikke en domstol i konstitusjonell forstand — den ligger under Justisdepartementet, dommerne kan avskjediges av presidenten, og saker behandles uten at klageren får innsyn i underlaget eller får vite utfallet.

Max Schrems' organisasjon NOYB klaget rammeverket inn for EU-domstolen kort etter vedtaket. Saken (Schrems III i alt unntatt navnet) er fortsatt under behandling. I tillegg kommer en politisk risiko som ble tydelig fra januar 2025: en amerikansk president kan, med samme penn som Biden brukte til å signere EO 14086, oppheve den. Hvis det skjer, faller adekvansvedtaket fra 2023 sammen, og hele den juridiske grunnpilaren for kommersiell datatrafikk fra Norge til amerikansk-eide datasentre — også de som står i Norge — står plutselig på sviktende grunn.

Tidslinjen for et juridisk korthus

Tre tiår med rammeverk som EU-domstolen har slått fra hverandre. Hver gang har man bygget et nytt — bygget på en stadig tynnere konstruksjon.

Hva betyr dette for norsk offentlig sektor?

Norge er bundet av GDPR via EØS, og Datatilsynet har gjentatte ganger utfordret offentlige etaters bruk av amerikansk skytjenester. Oslo kommune fikk i 2024 et gebyr på 2 millioner kroner for ulovlig bruk av Google Workspace i grunnskolen. Bergen kommune har vært gjennom flere runder med Datatilsynet om Microsoft 365. Helsedirektoratet utga i 2023 en veiledning som ga sykehusene rødt lys for store skytjenester for visse pasientdatakategorier.

Likevel har staten selv inngått en rammeavtale med Microsoft via DFØ som dekker hundrevis av etater. Forsvaret bruker en air-gapped variant. NSMs grunnprinsipper for IKT-sikkerhet klassifiserer norsk forvaltningsdata i fire nivåer:

ÅPEN Offentlig informasjon. Kan i prinsippet hostes hvor som helst, men reguleres likevel av personvernkrav for personopplysninger. OK

BEGRENSET Skadepotensial ved kompromittering. NSMs anbefaling: norsk eller EØS-jurisdiksjon, krypteringsnøkler kontrollert i Norge. CLOUD Act-eksponering vurderes som uakseptabel. RISIKO

KONFIDENSIELT Skadepotensial for vesentlige interesser. Skal som hovedregel ikke prosesseres i kommersiell sky — selv ikke amerikansk-eide datasentre på norsk jord. FORBUDT

HEMMELIG / STRENGT HEMMELIG Skadepotensial for rikets sikkerhet. Air-gapped infrastruktur, fysisk tilgangskontroll. Kan aldri prosesseres i kommersiell skyplattform. FORBUDT

Problemet er at størsteparten av norsk offentlig data — pasientjournaler, saksbehandlingsdokumenter, biometri, opptak av politiavhør, kommunale e-poster — teknisk klassifiseres som ÅPEN eller BEGRENSET, men aggregert utgjør et angrepsmål av strategisk betydning. Personvernforordningen (GDPR) gjelder uavhengig av sikkerhetsklassifisering.

Det norske svaret har vært en blanding av politisk fortrengning og teknisk improvisasjon: Customer Lockbox, EU Data Boundary, Confidential Computing. Alle disse er reelle tekniske mekanismer, og alle reduserer risikoen — men ingen av dem opphever CLOUD Act. En amerikansk dommer som signerer en kjennelse, bryr seg ikke om at provideren har lovet kunden «data residency».

«Data residency» er en teknisk garanti om hvor bitene lagres. «Data sovereignty» er en juridisk garanti om hvilken stat som kan kreve dem utlevert. De er ikke det samme. Norske offentlige kontrakter forveksler dem rutinemessig.

Eierne, profilert

Den følgende gjennomgangen tar utgangspunkt i de syv største utenlandske aktørene som er involvert i norsk datasenterinfrastruktur. For hver har jeg notert eierstruktur, jurisdiksjon, kapasitet i Norge, hva selskapet har lovet lokalmiljøet, og hva som faktisk er kjent om beskatning. Mye er ikke offentlig — det skal vi komme tilbake til.

1. Google — Skien (860 MW)

🇺🇸 USA · Alphabet Inc. (NASDAQ: GOOGL)

Norsk enhet: Google Norway AS — men datasenterprosjektet drives gjennom Google LLC og kontraktsstrukturer ut av Dublin. Skanska har byggekontrakten på 1,7 mrd. kr.
Kapasitet: 240 MW i fase 1, totalt 860 MW i nettilknytningssøknaden. Sannsynlig oppstart 2026.
Lovet lokalt: 200 hektar, ca. 100–200 driftsarbeidsplasser, 99 % karbonfri innen 2030, samarbeid med Telemark fylkeskommune om kompetansebygging. Eiendomsskatt til Skien kommune anslått til 30–60 mill. kr/år ved full utbygging.
Skattestruktur: Alphabet konsoliderer europeisk omsetning gjennom Google Ireland Limited. Norske kunders cloud-utgifter faktureres som hovedregel av Google Cloud EMEA Ltd (Irland). Norsk transfer-pricing: tjenestegebyr fra Google Norway AS, ikke profittsentrum. Eiendomsskatten er reell — selskapsskatten i Norge er som regel marginal.

Sårbarhetsanalyse Største enkelt-eksponering for CLOUD Act i Norge. 860 MW betyr et anlegg dimensjonert for å kjøre vesentlige deler av Google Clouds europeiske trafikk — inkludert kunder med norske offentlige kontrakter. Kjennelse fra føderal domstol i Northern District of California eller Eastern District of Virginia kan utløse utlevering uten norsk varsel. Comity-mekanismen i § 2703(h) er ikke aktivert fordi Norge ikke har Executive Agreement.

2. ByteDance / TikTok — Hamar (150 MW)

🇨🇳 Kina (effektivt) · ByteDance Ltd. (Cayman-registrert, Beijing-styrt)

Norsk enhet: Hostes hos Green Mountain (Hamar/Heggvin), som er israelsk-eid. TikTok er kunden, ikke eieren av anlegget — men effektivt kontrollerer hele kapasiteten i tre bygg.
Kapasitet: 150 MW (av 90 MW i drift). Kapasiteten er øremerket TikToks «Project Clover» — europeisk datalagring for å imøtekomme EU-reguleringer.
Lovet lokalt: 220+ ansatte (operasjon og support), eiendomsskatt til Løten kommune, varmegjenvinning under utredning. Investeringen er omtalt som EUR 600 mill+. Project Clover ble lansert som EUs sikkerhetssvar på ByteDance: kontrolleres av britisk konsulentbyrå NCC Group.
Skattestruktur: TikTok Pte. Ltd. (Singapore) er kontraktspart. Faktureringen går normalt via TikTok Information Technologies UK eller TikTok Ireland. Hverken EU eller USA har lyktes med å avgjøre om Folkerepublikken Kinas nasjonale etterretningslov fra 2017 (artikkel 7) gir den kinesiske staten tilsvarende utleveringskrav som CLOUD Act — men de fleste vestlige analytikere antar ja.

Sårbarhetsanalyse TikTok er ikke under amerikansk jurisdiksjon, men ByteDance er det de facto via PRC National Intelligence Law. I tillegg har Protecting Americans from Foreign Adversary Controlled Applications Act (april 2024) lagt et ekstra lag av amerikansk press. Project Clover er en kommersiell mitigering, ikke en juridisk garanti. Hvis Kina ber, har ByteDance ingen Schrems II-aktig rettssikkerhetsmekanisme å falle tilbake på.

3. Microsoft / Nscale — Narvik (290–520 MW) Oppdatert april 2026

🇺🇸 USA · Microsoft Corp. × Nscale (Arkon Investment, Nederland) × Aker ASA (JV)

Stor endring: OpenAI gikk fra prosjektet i april 2026. Etter at Nscale og OpenAI ikke ble enige om en offtake-avtale, tok Microsoft over hele kapasiteten. Microsoft leier ~30 000 NVIDIA Vera Rubin-chiper i Narvik, oppå tidligere 6,2 mrd. USD-forpliktelse til Nscale-anlegg. «Stargate Norway»-merket er i praksis avskaffet.
Eierstruktur: Anlegget bygges og driftes av Nscale — et selskap som markedsføres som britisk-norsk, men hvis driftsenhet Nscale Drift AS er eid av Arkon Investment, registrert i Nederland. Aker ASA er JV-partner. Microsoft er kunde og største offtaker.
Kapasitet: 230 MW i fase 1, ekspanderbart til 520 MW. Første fase forventet drift 2026–2027. OpenAI får tilgang til kapasiteten gjennom Microsoft Azure — ikke som direkte kunde.
Lovet lokalt: Spillvarme til Narvik fjernvarmenett (under planlegging), 100–150 driftsarbeidsplasser. Aker har antydet 10 mrd. kr i investering. Microsoft-overtagelsen endrer ikke disse løftene materielt — men forhandlingsmakten i Narvik kommune skifter når kunden er Microsoft og ikke et JV.
Skattestruktur: Aker ASA er norsk hovedkontor. Inntektene fra GPU-utleie til Microsoft prises etter armlengdesprinsipp og genererer overskudd hovedsakelig i Microsofts europeiske faktureringsenhet (Irland). Norsk skattegrunnlag: eiendomsskatt og marginal driftsoverskudd hos Nscale Drift AS. Når Nscale-eieren er nederlandsk og kunden er amerikansk, er pengestrømmen i prinsippet «to ganger ute av Norge».

Sårbarhetsanalyse Microsoft er allerede den største CLOUD Act-eksponerte aktøren i norsk offentlig sektor — den nye Narvik- kapasiteten styrker den posisjonen vesentlig. Det betyr også at Stargate ikke lenger er en suverenitets- problemstilling om OpenAI alene; det er nå et utvidet Microsoft Azure-anlegg. EU Data Boundary-løftene gjelder nominelt, men EU Data Boundary opphever ikke CLOUD Act. Den vesentlige tilleggsrisikoen er amerikanske eksportkontrollregler som kan innskrenke hvem som får tilgang til kapasiteten.

4. Azrieli Group / Green Mountain — flere sites (573 MW)

🇮🇱 Israel · Azrieli Group Ltd. (TASE: AZRG)

Norsk enhet: Green Mountain AS (norskregistrert), kjøpt av Azrieli Group i desember 2021 for ca. 850 mill. USD fra Smedvig Capital og Pelican Energy. Azrieli er et av Israels største eiendomsselskaper.
Kapasitet: 573 MW totalt fordelt på OSL2-Hamar (TikTok, 150 MW), Kalberg/Time (300 MW), Sandnes (100 MW), Rennesøy (50 MW), Enebakk (93 MW), Rjukan (30 MW). De facto Norges største operatør målt i antall sites.
Lovet lokalt: Eiendomsskatt til Time, Sandnes, Rennesøy, Enebakk, Løten og Tinn kommuner. Spillvarme på Rjukan (begrenset). Kalberg har vært politisk omstridt — LO Rogaland støtter, miljøorganisasjoner protesterer. Kalberg-prosjektet er i 2026 forsinket grunnet nettilknytningskøen.
Skattestruktur: Green Mountain er norsk AS, omsetning rapporteres i Norge. Profitt distribueres som utbytte til Azrieli Group i Israel. Israel har ikke lovgivning tilsvarende CLOUD Act — men også Green Mountains enkeltkunder (TikTok osv.) har egen jurisdiksjon over kundens data.

Sårbarhetsanalyse Green Mountain er teknisk en norsk operatør og rapporterer i Norge. Jurisdiksjonelt sterkere enn Google, men konsernets endelige eier er Azrieli Group, og strategiske beslutninger fattes i Tel Aviv. Israel har egen nasjonal etterretningslovgivning (Shin Bet-loven, 2002) som gir ISA tilgang til kommunikasjon i nasjonale sikkerhetssaker. Lite sannsynlig brukt mot norske kunder — men ikke umulig.

5. CoreWeave — ved Bulk N01, Kristiansand (100 MW)

🇺🇸 USA · CoreWeave, Inc. (NASDAQ: CRWV, IPO mars 2025)

Norsk enhet: Leier 100 MW i Bulk Infrastructures N01-kampus i Vennesla/Øvrebø. CoreWeave er tenant, ikke huseier — men er den eneste kunden i sin del og kontrollerer infrastrukturen.
Bulks egen eierstruktur: Korrigering: Bulk Infrastructure markedsføres som nordisk, men Bulk Infrastructure Group AS har sine største eiere registrert i Luxemburg og Kypros (kilde: Nkom-listen og Brønnøysundregistrene). Bulk er altså heller ikke et reint norsk-eid selskap, og N01-anlegget bør i en streng eierskapsanalyse regnes som delvis utenlandskontrollert.
Kapasitet: 100 MW i fase 1. Største NVIDIA GB200 NVL72-installasjon i Europa. Finansiering på EUR 410 mill. Forventet drift sommeren 2025. Bulk har sikret 400 MW totalt på N01-kampuset, med 1 GW potensiale.
Lovet lokalt: Bulk har eksisterende avtaler om infrastruktur med Vennesla og Øvrebø. CoreWeave selv har ingen direkte lokalavtaler; deres tilstedeværelse er i kontraktsforholdet til Bulk.
Skattestruktur: CoreWeave har ikke et norsk operasjonsselskap i tradisjonell forstand — tjenestene leveres som B2B-utleie til AI-kunder (bl.a. Microsoft og OpenAI er offentliggjorte kunder). Dette er pengestrømmer som ikke kommer norsk skattegrunnlag til gode utover det Bulk fakturerer for kraft og facility-tjenester — og Bulks profitt distribueres oppover en holdingstruktur som ender i Luxemburg/Kypros.

Sårbarhetsanalyse CoreWeave er amerikansk Delaware-selskap, NASDAQ-listet, og dets viktigste kunder er Microsoft og OpenAI — som hver er CLOUD Act-eksponerte. Norske ende-kunder bruker neppe CoreWeave direkte. Risikoen er indirekte: norske data som havner i en Microsoft-tjeneste som under kapasitetspress flyttes til CoreWeave-leid kapasitet i Kristiansand, beveger seg gjennom flere amerikanske jurisdiksjoner samtidig. Jurisdiktionell «layering». At vertsoperatøren (Bulk) heller ikke er norsk-eid svekker den lokale forhandlingsmakten ytterligere.

6. STACK Infrastructure — Oslo og Akershus (81 MW) Eier byttet april 2025

🇺🇸 USA · Apollo Global Management (NYSE: APO)

Norsk enhet: STACK Infrastructure (formerly DigiPlex). DigiPlex var norsk-grunnlagt (2001), kjøpt av IPI Partners i 2020, og rebrandet som STACKs EMEA-enhet i 2022. IPI ble overtatt av Blue Owl Digital Infrastructure (NYSE: OWL) i oktober 2024. I april 2025 kjøpte Apollo Funds STACKs paneuropeiske colocation-virksomhet (inkludert de norske anleggene) fra Blue Owl. Fire fasiliteter i Norge: OSL01 Ulven, OSL02 Rosenholm, OSL03 Fetsund, OSL04 Holtskogen.
Kapasitet: 81 MW i drift. Hovedsakelig colocation for nordiske banker, telco, statlige etater — den gamle DigiPlex-kundeporteføljen.
Lovet lokalt: Fjernvarmeintegrasjon på Ulven (eksisterende), eiendomsskatt til Oslo, Hobøl og Lillestrøm/Fet. Driftsstabsjobber i Oslo-regionen.
Skattestruktur: Norsk AS, omsetning og selskapsskatt i Norge. Eierstrukturen går gjennom et amerikansk PE-rammeverk — som betyr at kontroll sitter i USA. Apollo Global Management er Delaware-incorporated.

Sårbarhetsanalyse Det mest urovekkende caset, fordi STACK er der hvor de eldre etatskontraktene ligger. DigiPlex var i sin tid en pålitelig norsk leverandør for offentlig sektor. Eierskapet har nå glidd gjennom tre amerikanske private-equity-konstellasjoner på fem år (IPI → Blue Owl → Apollo) — uten at kontraktsforholdet til norske offentlige kunder nødvendigvis er gjenforhandlet. CLOUD Act-eksponeringen følger med på lasset, men hver runde gir nye konsernrelasjoner mellom norsk drift og USA-baserte fond. Norske kunder bør gjøre formell risikovurdering ved hvert eierskifte.

7. BitDeer — Mo i Rana (40 MW) + Tydal (180 MW under bygging) Stor utvidelse mars 2026

🇸🇬 Singapore (Bitfury-arven, kinesiske grunnleggere) · BitDeer Technologies Group (NASDAQ: BTDR)

Norsk enhet: BitDeer Norway AS (Mo Industripark). I tillegg eier konsernet Tydal Data Center AS (TDC) i Trøndelag — opprinnelig grunnlagt av norske Lars Naas og Haakon Bryhni, nå BitDeer-datterselskap. Mo i Rana-anlegget ble satt opp av nederlandsk-georgiske Bitfury i 2019 og overtatt av BitDeer da konsernet ble NASDAQ-listet i april 2023.
Kapasitet: Mo i Rana: 40 MW i drift, ~350 GWh/år. Tydal: 180 MW gross installert, ferdigstilling desember 2026 — vil bli Norges største operative KI-datasenter når det åpner. BitDeer annonserte 31. mars 2026 at Data Center Installations AS (DCI, eid av svenske Sparc Group AB) ferdigstiller utbyggingen. Ca. 33 % av Tydal-kapasiteten er angitt for kryptoaktivitet i Nkoms register.
Lovet lokalt: Mo i Rana: kraftavtale med Mo Industripark, eiendomsskatt, lite annet. Tydal: utbyggingsperiode med 100+ midlertidige byggjobber, eiendomsskatt til Tydal kommune, en liten driftsstab (typisk for AI-anlegg). Mining- anlegg er nesten fullautomatiserte.
Skattestruktur: BitDeer er Cayman-registrert, NASDAQ-listet, Singapore-driftet, med historiske bånd til Beijing-tilknyttede investorer. For mining-anlegg er verdiøkningen enkel å eksportere: Bitcoin mintes på norsk strøm og sendes til ekstern wallet. For Tydal-anlegget er logikken mer som CoreWeave: GPU-utleie til AI-kunder med skattesentrum utenfor Norge.

Sårbarhetsanalyse Tydal-utvidelsen endrer BitDeers betydning materielt. Fra et perifert kryptoanlegg er BitDeer i ferd med å bli Norges største enkeltoperatør målt i AI-kapasitet i drift. Regjeringen har varslet at den vurderer å forby energikrevende kryptoutvinning — BitDeer er et godt eksempel: kombinasjonen krypto + AI-utleie i ett konsern gjør det vanskelig å skille «det vi vil ha» fra «det vi vil bli kvitt». Eierskapet ligger i en jurisdiksjon (Singapore/Cayman) som hverken har CLOUD Act-paralleller eller GDPR-adekvans — som er sin egen risikoprofil.

Eierskap, beskatning og det som ikke kan måles

Hvis man legger sammen tallene fra de syv profilene over, får man følgende mønster:

Eier	Hjemland	Norsk MW	Lovende lokal verdi	Reell skattbar profitt i Norge
Google	USA	860	Bygging + eiendom	Marginal (Irland-rute)
Microsoft / Nscale (Narvik)	USA × NL (Arkon)	520	Bygging + spillvarme	Lav (Microsoft Irland)
Azrieli (Green Mountain)	Israel	573	Operasjon i 6 kommuner	Moderat (norsk AS)
ByteDance/TikTok	Kina (eff.)	150*	Drift via Green Mountain	Indirekte (via GM)
CoreWeave (vert: Bulk)	USA × LU/CY	100	Tenant hos Bulk	Ingen direkte
STACK (Apollo)	USA (PE, april 2025)	81	Etablert colo-drift	Moderat (norsk AS)
BitDeer (Mo + Tydal)	Singapore/Cayman	220	Strømavtale, byggefase	Lav
Sum	—	2 354	—	—

*ByteDance-kapasitet er telt under Israel (Green Mountain) i hovedsummen for å unngå dobbelttelling. Tallene baseres på offentlige nettilknytningssøknader og selskapsannonseringer per februar 2026.

Den ærlige observasjonen: vi vet ikke hvor mye selskapsskatt disse aktørene faktisk betaler i Norge. Selskapsregnskapene for Google Norway AS, Microsoft Norge AS, og Green Mountain AS er offentlig tilgjengelige i Brønnøysundregistrene. Tallene viser konsekvent at norsk omsetning er en brøkdel av norske kunders utgifter. Det er ikke ulovlig — det er internasjonal konsernrett — men det betyr at den «verdiskapingen» bransjen viser til, i stor grad er byggefasens verdiskaping (Skanska, elektroentreprenører, lokale leverandører) og eiendomsskatten. Driftsfasens overskudd renner i stor grad ut.

Stilisert sammenstilling: Hvor i verdikjeden forblir verdien i Norge? Eiendomsskatt og direkte arbeidsplasser er stabile lokalt. Selskapsskatt fra hyperscale-eierne følger konsernlogikk og ender ofte utenfor norsk skattegrunnlag.

Hva burde vi kreve?

Det politiske momentumet har skiftet siden første utgave av denne artikkelen. På landsmøtet i mai 2025 vedtok MDG at «datasentre som etableres i Norge skal sikres norsk eller europeisk eierskap». Nestleder Ingrid Liland navnga eksplisitt Microsoft, Google, Amazon og Green Mountain. Stortinget behandler Innst. 140 S (2025–2026) om konsesjonssystem for datasentre — den første konkrete reguleringsmodellen. Begge tar opp eierskapsspørsmålet, men ingen av dem løser det juridiske problemet (CLOUD Act) som forblir aktivt uavhengig av hvor anlegget står.

Jeg foreslår derfor fire krav som er moderate, juridisk gjennomførbare og ikke næringsfiendtlige.

Suverenitetsklausul i offentlige skytjenestekontrakter. Alle nye kontrakter med amerikansk-eide leverandører bør inneholde en formell «Schrems-klausul»: leverandøren forplikter seg til å utfordre CLOUD Act-pålegg i amerikanske domstoler basert på § 2703(h)(2), med varsel til norske myndigheter umiddelbart hvis taushetspålegg oppheves. Dette er det Microsoft formelt allerede tilbyr offentlige kunder; det burde være standard.
Norsk Executive Agreement-strategi. Norge bør formelt undersøke om en bilateral CLOUD Act-avtale med USA — etter modell av UK-USA-avtalen — er tjenlig. Den løser ikke det grunnleggende problemet, men aktiverer comity-mekanismen som i dag står ubrukt.
Eier-transparens-register. Et offentlig register over endelig eier (UBO) for alle datasenteranlegg over en viss kapasitet (f.eks. 5 MW), oppdatert årlig. Dette finnes delvis allerede gjennom Brønnøysund, men ikke aggregert eller publisert.
Klassifisert kapasitet. Norge bør — etter modell fra Frankrike (SecNumCloud), Tyskland (BSI C5) og EU (EUCS) — opprette en formell sertifisering for «Norsk Sky» som garanterer norsk eierskap, norsk jurisdiksjon, og kryptografisk separasjon fra utenlandske konsernkontroller. Det finnes norsk-eid kapasitet (Bulk, Polar DC, GreenScale, Lefdal Mine, Skygard, Eviny) som kan kvalifisere.

Ingen av disse er radikale. De forutsetter bare at Norge behandler digital infrastruktur med samme alvor som vi behandler kraftnett, vannforsyning og veier — nemlig at vi vet hvem som eier dem, og hvilken jurisdiksjon de svarer til.

Metodiske forbehold og begrensninger

Eierprofiler: Sammenstilt fra Nkoms offentlige register, offentlige selskapsannonseringer, Brønnøysundregisteret, SEC Edgar-filings, TASE og Singapore Exchange disclosures, samt selskapenes egne pressemeldinger. Konsernkart for store hyperscale-aktører er komplekse, og eierstrukturer endrer seg med oppkjøp og refinansiering — bare i de tre månedene fra opprinnelig publisering byttet både Stargate (OpenAI → Microsoft) og STACK (Blue Owl → Apollo) eier/offtaker. Tallene reflekterer beste sammenstilling per mai 2026.

Bulk Infrastructure-tilordning: Bulk er en av Norges største datasenteroperatører, og var opprinnelig kategorisert som norsk i denne analysen. Etter Nkom-registreringen og Brønnøysund-undersøkelsen er de største eierne registrert i Luxemburg og Kypros, og Bulk er reklassifisert som utenlandsk-kontrollert (kategorien «Luxemburg/Kypros» i donut-grafen). Den endelige UBO-strukturen (ultimate beneficial owner) bak holdingselskapene i disse to jurisdiksjonene er ikke fullt offentlig.

CLOUD Act-tolkning: Loven er fortsatt under utvikling rettspraktisk. Det finnes argumenter for at § 2703(h)(2)(A) gir comity-vurdering selv uten Executive Agreement, men i praksis har amerikanske domstoler vært tilbakeholdne med å avvise pålegg på dette grunnlaget. Min fremstilling er bevisst på worst-case-siden — det er den siden som er rettslig bindende.

Skattestruktur: Jeg har brukt offentlige regnskap fra Brønnøysundregisteret og selskapenes egne årsrapporter. Detaljerte transferpricing-strukturer er forretningshemmeligheter. Det jeg sier er størrelsesorden, ikke presise tall. Kritikken gjelder strukturen, ikke selskapenes lovlydighet.

Schrems II / DPF: Den juridiske usikkerheten er reell men også ikke akutt. Per mai 2026 er DPF fortsatt gyldig adekvansgrunnlag. Hovedpoenget i artikkelen er at strukturell sårbarhet finnes — ikke at krise er nært forestående.

NSM-klassifisering: Jeg har forenklet de fire klassifiseringsnivåene til formidlingsformål. Reelle krav følger sikkerhetsloven og NSMs grunnprinsipper, og de varierer per system, sektor og avtale.

Om forfatteren: Thomas Heggelund har bakgrunn som CTO og gründer med over 20 års erfaring fra teknologisektoren. Denne artikkelen er del 2 i en analyseserie om Norges datasenterboom. Del 1 dekket strømpriskonsekvensene; del 3 vil fokusere på regulatorisk respons i Tyskland, Frankrike og Irland og hva Norge kan lære av dem.

Sentrale kilder

Nkom — Registrerte datasenteroperatører og datasentre — Offisielt norsk register, oppdatert annenhver uke
Digi.no — Over halvparten av norske datasentre eies fra utlandet — E24/Digi-kartlegging av Nkom-listen
Altinget — Disse driver datasentre i Norge — Sammenstilling av operatørene
Bloomberg — Microsoft Takes Over Norway OpenAI Data Center Capacity (april 2026)
Apollo Funds to Acquire STACK Infrastructure's Pan-European Colocation Business from Blue Owl (april 2025)
Bitdeer utnevner DCI til å ferdigstille Norges største KI-datasenter (Tydal, mars 2026)
Altinget — MDG vil ekskludere datasentre med ikke-europeiske eiere
Stortinget Innst. 140 S (2025–2026) — Konsesjonssystem for datasentre
Proff.no — Bulk Infrastructure Group AS — Eierstruktur i Brønnøysundregisteret
CLOUD Act (H.R. 4943, Public Law 115–141, Division V) — Lovteksten
18 U.S.C. Chapter 121 (Stored Communications Act) — Med §§ 2702, 2703, 2705, 2713
EU-domstolen sak C-311/18 (Schrems II) — Avgjørelse av 16. juli 2020
Europakommisjonen: EU-US Data Privacy Framework — Adekvansvedtak 10. juli 2023
Executive Order 14086 — Etablering av Data Protection Review Court
NOYB (None of Your Business) — Max Schrems' løpende klagesaker
Datatilsynet: Oslo kommune bot for Google Workspace — 2024
NSM grunnprinsipper for IKT-sikkerhet (versjon 2.1)
Regjeringens datasenterstrategi 2025
Microsoft Law Enforcement Requests Report — Halvårsrapporter
Google Transparency Report — Brukerdata-forespørsler
Azrieli Group Ltd. årsrapport — Inkluderer Green Mountain-segment
SEC EDGAR — Filings for Alphabet, CoreWeave, Blue Owl Capital, BitDeer, Microsoft
Brønnøysundregistrene — Norske selskapsregnskaper for Google Norway AS, Green Mountain AS, STACK Norway AS, m.fl.
Protecting Americans from Foreign Adversary Controlled Applications Act (2024) — TikTok-konteksten