Dataforeningens Veiledning ved anskaffelse av nettskytjenester

Transkript

1 Dataforeningens Veiledning ved anskaffelse av nettskytjenester DEN NORSKE DATAFORENING Versjon : 1.0 Dato oppdatert :

2 Dataforeningens Side : 2 av 15 INNHOLDSFORTEGNELSE 1 INNLEDNING FORMÅL OG BRUKSOMRÅDE BAKGRUNN PROSESS FOR UTARBEIDELSE AV VEILEDNINGEN DEFINISJONER HVA SKILLER NETTSKYTJENESTER FRA TRADISJONELLE IT-TJENESTER GENERELT STØTTEFUNKSJONER OG SERVICEGARANTIER INTEGRASJON OG ENDE TIL ENDE ANSVAR RISIKO OG SÅRBARHET INTERNASJONALE ASPEKTER REGULATORISKE FØRINGER OG VIRKSOMHETSKRAV TERMINERING OG FLYTTING AV LEVERANSER MARKEDSSITUASJONEN FOR AVTALER OM NETTSKYTJENESTER ANSKAFFELSESPROSESS FOR NETTSKYTJENESTER GENERELT OM ANSKAFFELSER SPESIELLE FORHOLD VED ANSKAFFELSEN UNNTAKSTILFELLER AVTALEKRAV TIL TJENESTENE KRAV TIL FUNKSJONALITET SLA-KRAV OG SANKSJONER VED BRUDD PÅ KRAVENE KRAV TIL ANSVAR VED TAP AV DATA ANSVARSFRASKRIVELSER KRAV TIL SAMHANDLING OG RAPPORTERING KRAV TIL ENDRINGER I TJENESTENE PRISMODELLER ØVRIGE AVTALEMESSIGE KRAV RETTIGHETER OPPSIGELSE/OPPHØR AV AVTALEN OG AVSLUTNING AV TJENESTENE LOVVALG OG VERNETING KRAV TIL TILGANG TIL DATA PARTSSPESIFIKKE KRAV KRAV TIL SIKKERHET GENERELLE KRAV TIL PERSONVERN OG BEHANDLING AV PERSONOPPLYSNINGER REFERANSER Veiledning avtale om nettskytjenester v1 0

3 Dataforeningens Side : 3 av 15 1 Innledning 1.1 Formål og bruksområde Dette dokument er en veiledning for inngåelse av avtaler om nettskytjenester hvor det gjennomføres en prosess for å anskaffe tjenestene. Det vil si at veiledningen ikke fokuserer på enkle og sporadiske nettskytjenester som kun bestilles online, men tjenester som innebærer at det inngås en avtale mellom kunde og leverandør. Formålet med veilederen er å gi en grunnleggende innsikt i problemstillinger som aktualiseres i forbindelse med bruk av nettskytjenester. Spesielt fokus er det på overordnede forhold som bør vurderes før inngåelse av avtaler om nettskytjenester. Veilederen peker både på muligheter og utfordringer, slik at private og offentlige aktører vil være i bedre stand til å gjøre vurderinger av virksomhetens egnethet til å ta i bruk nettskytjenester, samt risiko- og sikkerhetsvurderinger av hva det vil si å inngå slike avtaler. I tillegg inneholder veilederen en del råd om hva som bør reguleres i en leveranseavtale. Intensjonen er at det vil føre til en mer balansert utvikling mellom kundenes behov og leverandørenes tjenestetilbud, som igjen vil stimulere til økt interesse og bruk av nettskytjenester med tilhørende tjenesteutvikling. Veilederen er ikke ment å være uttømmende og er heller ikke tilpasset en enkelt kundes virksomhet. Videre tar veilederen utgangspunkt i norsk rett, selv om nettskytjenester i sin natur ofte omfatter andre lands lover. Det anbefales at kunder som ønsker å gå til anskaffelse av nettskytjenester innhenter juridisk vurdering i forhold til lovverket i andre land hvor aktuelle leverandører kan komme til å levere sine tjenester fra. 1.2 Bakgrunn Dataforeningen har gjennom Faggruppen for IT-kontrakter, påtatt seg et ansvar for utvikling og forvaltning av kontraktsstandarder med basis i PS2000. Det komplette kontraktstilbudet fra Dataforeningen er per dato som beskrevet i figuren nedenfor: Leveranseomfang Kontraktsstandard for IT-drift Vedlikeholdskontrakt (Feilretting, brukerstøtte, beredskap og øvrig forvaltning) PS2000 kontraktsstandard eller annen utviklingskontrakt Rammeavtale for utviklingstjenester (Videreutvikling, tillegg og endringer) Oppdragsavtale 1 Oppdragsavtale 2. Oppdragsavtale n Programvare utvikling/tilpasning Programvareforvaltning Leveransetidspunkt Livsløp Veiledning avtale om nettskytjenester v1 0

4 Dataforeningens Side : 4 av 15 I 2011 ble det utgitt en ny versjon av driftsavtalen og i den sammenheng ble det avdekket et behov for også å regulere tjenester som er basert på nettskyen, noe som da i første omgang har resultert i denne veiledningen. 1.3 Prosess for utarbeidelse av veiledningen Arbeidet er gjennomført av en arbeidsgruppe bestående av følgende personer: Firma PROMIS Steria (per oppstart av arbeidet) EVRY Departementenes servicesenter Statens lånekasse for utdanning Oslo kommune (per oppstart av arbeidet) Navn Jørgen Petersen (prosjektleder) Thor Beke Svein Erik Markussen Erik Bollestad Kari Anne Støkken Trine Lysaker Lehn Gruppen er sammensatt av personer fra kunde- og leverandørsiden med IT-faglig og juridisk bakgrunn. I tillegg har følgende gitt innspill til veiledningen: Haavind Advokatfirma ved Kari Rørstad Simonsen Advokatfirma ved Kristin Haram Vi har utvekslet informasjon og innhentet høringsuttalelser fra følgende virksomheter og faglige fora: Datatilsynet har gått gjennom veiledningen og kommet med innspill under sluttføringen av denne, som er hensyntatt i endelig utgave. Datatilsynet har uttalt at de anser veiledningen som et nyttig verktøy der det vurderes anskaffelse av nettskytjenester. Dataforeningens faggruppe for outsourcing og offshoring, ved Øivind Schønemann. Mer informasjon kan fås ved henvendelse til Den Norske Dataforening ( eller PROMIS AS ( 2 Definisjoner Nettskytjenester kjennetegnes ved at de er forhåndsdefinerte og tilrettelagt for selvbetjent bestilling med betaling etter bruk. Leveransene er automatiserte og høyt skalerbare med lokasjonsuavhengig tilgang via internett. Normalt bygger leveransene på virtualiserte produksjonsmiljøer fordelt på mange kunder, men kan også være dedikert til enkeltkunder. Nettskytjenester består i hovedsak av tre leveransemodeller/tjenestekategorier: Programvare som en tjeneste (SaaS / Software as a Service) - Programvare og tilhørende data er tilgjengelig via Internett. Tilgang skjer typisk via abonnering og ikke kjøp av tradisjonelle programvarelisenser. Leverandøren eier, drifter og forvalter underliggende systemer. SaaS utgjør i stor grad en nyere og mer industrialisert utgave av ASP-modellen. Plattform som en tjeneste (PaaS / Platform as a Service) - Plattform for utvikling, test og drift av programvare man selv eier eller disponerer, men som leveres via nettskyen over

5 Dataforeningens Side : 5 av 15 Internett. Plattformen med tilhørende biblioteker og programmeringsgrensesnitt kan også omfatte en rekke andre typiske mellomvare tjenester innen integrasjon, database m.m. Infrastruktur som en tjeneste (IaaS / Infrastructure as a Service) - Infrastruktur ressurser levert som en standard tjeneste via nettskyen. Innebærer typisk tilgang til underliggende servere, lagringssystemer, systemprogramvare, nettverk og datasenter infrastruktur etter behov. I tillegg finnes det en rekke andre delkategorier innen nettskytjenester som i hovedsak bygger på samme leveranseprinsipp, men adresserer mer spesifikke fag-/leveranseområder innen IT. I hovedsak kan nettskytjenester også defineres i fire leverandørmodeller: Offentlig nettsky (Public Cloud) er nettskytjenester som er allment tilgjengelig for alle virksomheter og levert fra en felles plattform. Det kreves normalt kun en enkel kunderegistrering før uttak av tjenestene kan starte. Privat nettsky (Private Cloud) er et internt eller eksternt leveransemiljø bygget på nettskyprinsipper dedikert til en spesifikk kunde og gjerne plassert på innsiden av kundens brannmur. Kreves ofte av virksomheter som ikke ønsker å dele nettskyen med andre eller har spesielle krav til leveransene. Nettskyfellesskap (Community Cloud) er en modell hvor flere virksomheter, gjerne innen en spesifikk bransje, går sammen om en felles nettsky-løsning. Medlemmene er da kjent for alle og «godkjent» innenfor prinsippene satt for felleskapet. Hybrid nettsky (Hybrid Cloud) er en kombinasjon av modellene over. For de fleste virksomheter av litt størrelse vil en hybrid nettsky kombinert med klassiske driftstjenester/hosting være nødvendig for å dekke alle behov.

6 Dataforeningens Side : 6 av 15 3 Hva skiller nettskytjenester fra tradisjonelle IT-tjenester 3.1 Generelt Nettskytjenester innebærer en dynamisk tilgang til skalerbare IT-ressurser levert som en tjeneste over Internett etter behov. Internasjonalt omtalt som Cloud Computing. Normalt leveres tjenestene i stor grad som standardiserte tjenester med selvbetjent bestilling og betaling etter bruk. Utover enkelhet og fleksibilitet i bestilling og avregning gir nettskytjenestene i stor grad samme leveranse som tradisjonelle eksterne IT-tjenester sett fra kundesiden. Forskjellen ligger i hovedsak i leveransemodell samt styring og eierskap til det som inngår i denne. Videre vil nettskytjenester ofte bli levert på tvers av landegrenser. Siden leveransemodellen er annerledes for nettskytjenester, vil også avtaleverket være annerledes. Leverandører av offentlige nettskytjenester krever normalt at deres standard avtaler/vilkår benyttes for volumtjenester. Disse er ofte utformet av leverandørene selv og kan ofte ensidig endres av leverandøren etter avtaleinngåelse. De er ofte kompliserte og vanskelig tilgjengelige og det er derfor noen temaer det er spesielt viktig å være oppmerksom på når man inngår avtaler på denne typen tjenester. Kunden må verifisere at leverandørens generelle leveransevilkår ikke bryter med de vilkår som det inngås spesifikk avtale på, alternativt at avtalen som inngås, går foran leverandørens leveransevilkår ved motstrid. Som et utgangspunkt vil det være slik at jo mer standardiserte nettskytjenester er, vil de i større grad være regulert av standard leverandørvilkår. Dette innebærer at kunden i liten grad vil kunne påvirke endring av disse, og dermed vil kunden ofte måtte akseptere standard SLAnivå og andre avtaleklausuler. Et annet element som skiller nettskytjenester fra tradisjonelle IT-leveranser, er standardisering i form av stordrift. Standardisering medfører mindre fleksibilitet i tjenestene, mens stordriften innebærer at tjenestene som tilbys, er felles for en rekke kunder, og det må derfor vurderes om andre kunders bruk vil kunne gå ut over de krav kunden selv har stilt til stabilitet og kapasitet. Bruk av nettskytjenester reiser også en rekke spørsmål knyttet til beskyttelse av data som behandles i løsningen. Det vil kunne være økt risiko for at kunden mister kontroll over personopplysninger og at kunden ikke har fullstendig informasjon med tanke på hvem, hvor og hvordan dataene blir behandlet. For kunder som behandler personopplysninger bør det velges en leverandør som garanterer overholdelse av EUs personvernlovgivning. De enkelte temaene er nærmere adressert i de øvrige kapitler av denne veiledningen for nettskytjenester. Det gjøres oppmerksom på at de forhold som omtales her vil være mindre relevante ved etablering av en privat nettsky dedikert til en kunde eller en samarbeidende kundegruppe (nettskyfellesskap). Kunden har da langt større mulighet for påvirkning av krav til leveransen, innsyn og avtalesammensetning, samtidig som tradisjonelle avtaleprinsipper i langt større grad vil kunne gjøres gjeldende. 3.2 Støttefunksjoner og servicegarantier Offentlige nettskytjenester bygger i prinsippet på stordrift og lav kundeinvolvering. Kundegrensesnittet er gjerne avgrenset til online-veiledning, selvbetjening og en generell e- postadresse for support. Oppetidsgarantier kan gjerne være gode, mens sanksjonene for leverandøren ved avvik ofte er minimal eller fraværende. Det må derfor vurderes om dette er dekkende eller om man må ha tilleggsytelser, eventuelt fra en tredjepart. Dette er nærmere omtalt i kapittel 4 om markedssituasjonen for nettskytjenester.

7 Dataforeningens Side : 7 av Integrasjon og ende til ende ansvar Offentlige nettskytjenester består normalt av spissede leveranser som gir tilgang til en avgrenset funksjonalitet eller kapasitet. Ofte er denne funksjonaliteten avgrenset slik at kun deler av IT-verdikjeden er dekket. Eventuell integrasjon, utover det som er gjort i leverandørens datasenter, må per i dag håndteres på kundesiden eller av en tredjepart. Roller, ansvarsforankring og tilhørende servicegarantier i dette bildet må derfor avklares. 3.4 Risiko og sårbarhet Offentlige nettskytjenester er i prinsippet basert på drift av mange kunder på delte plattformer. Internett er normalt kanal for brukertilgang, datautveksling og administrasjon. Data kan ofte lagres og prosesseres i en eller flere fremmede land. Kritiske hendelser kan berøre svært mange kunder og datamengder samtidig. Dette setter ekstra store krav til leverandørens sikkerhetsmodell, herunder sikkerhetssertifiseringer og sikkerhetspolicy, garantiordninger samt forsikringsregime ved fatale hendelser. Dette samt ansvar ved konkurs eller insolvens bør ved eventuell avtaleinngåelse vurderes om er dekkende. 3.5 Internasjonale aspekter Nettskytjenester leveres som nevnt ovenfor ofte på tvers av landegrenser. Det er derfor ikke tilstrekkelig bare å finne ut hvor informasjonen er lagret, men også hvor og hvordan informasjonen behandles. Dette fordi leverandører ofte vil ønske å optimalisere utnyttelsen av sin totale datakraft. Eksempelvis betyr dette at informasjonen kan overføres til behandling i et annet land, og deretter returneres og lagres i behandlet form på det avtalte lagringssted (som kan være i et tredje land). Konsekvensen av dette er at en kunde kan bli eksponert for flere leverandører og dermed rettssystemer fra land ut over de som fremkommer av avtale. Slike aspekter har betydning i forhold til hvordan for eksempel behandling av personopplysninger skal kreves løst. I tillegg kan for eksempel informasjon som er lagret i et bestemt land, basert på dette lands lovverk, bli gjenstand for revisjon eller tilsvarende og det kan også være lovpålagt å gjøre informasjonen tilgjengelig for landets myndigheter. Slike eventuelle betingelser bør dermed vurderes og tas i betraktning før nettskytjenester tas i bruk. Dette innebærer at det må innhentes informasjon om leverandørens tekniske løsning (lokalisering av servere/lagringsenheter med mer) og bruk av underleverandører. 3.6 Regulatoriske føringer og virksomhetskrav Dette gjelder i prinsippet for alle eksterne IT-tjenester, men det kan være tyngre å få dokumentert etterlevelse i en offentlig nettsky. Et stort antall kunder vil ofte medføre begrensede muligheter for kundespesifikk prosesstilpasning, innsyn og revisjon, da stordriftsfordelen ellers vil bli redusert. Leverandøren kan også være underlagt andre lands krav og lovverk som kan medføre vanskeligheter med gjennomføring av slike krav. Spesielt relevant er dette i relasjon til personopplysningsloven, regnskapsloven, helseregisterloven og føringer fra Finanstilsynet samt for egne virksomhetskrav. Forhold knyttet til personvern er nærmere beskrevet i veilederens kapittel Terminering og flytting av leveranser Når egne virksomhetsløsninger flyttes inn i fellessystemer med tilhørende drifts- og forvaltningsmetodikk eid av leverandøren er det viktig å ha avklart vilkår for terminering av leveransen, enten det initieres fra kunde- eller leverandørsiden.

8 Dataforeningens Side : 8 av 15 4 Markedssituasjonen for avtaler om nettskytjenester Markedet for nettskytjenester har økt betydelig i den senere tid. Fra å være et område med et begrenset antall leverandører og tjenesteomfang, er dette endret til at det kontinuerlig kommer nye leverandører med nye tjenester. Selv om det fortsatt er slik at leverandører presenterer egne standardvilkår og generelle vilkår som et grunnlag for avtale om nettskytjenester som ofte ikke er forhandlebare, er dette i ferd med å endre seg. Konkurransen i markedet fører til at leverandørene i større grad enn tidligere må tilpasse seg kundenes spesifikke krav. En viktig premiss for videre utbredelse og bruk, vil være at det oppnås avtalevilkår som oppfattes som balanserte og som automatisk ivaretar en del av de viktige områdene som er adressert i kapittel 3 over. Nettskyleverandørene bør ved utarbeidelse av tilbud og deltakelse i konkurranser, vurdere de avtalevilkår som tilbys slik at disse ikke setter kunden i en situasjon hvor tilbudet kan måtte bli avvist eller forkastet. Se også punkt Anskaffelsesprosess for nettskytjenester 5.1 Generelt om anskaffelser Anskaffelse av nettskytjenester bør kunne håndteres innenfor ordinære anskaffelsesregelverk eller anskaffelsesprosedyrer, enten kunden er en offentlig eller en privat virksomhet. Offentlige virksomheter må uansett følge lov og forskrift om offentlige anskaffelser. Nettskytjenester, og ikke minst markedet for nettskytjenester, har likevel noen særlige egenskaper som en bør være oppmerksom på i planleggingen og gjennomføringen av anskaffelsesprosessen. Ved kjøp av nettskytjenester er det sentralt for kunden på forhånd å ta stilling til hvilke tjenester som skal settes ut. Gjennom en analysefase hvor kunden konkluderer med at det vil være mulig å kjøpe nettskytjenester, kan det være hensiktsmessig å utarbeide kravene så fleksible at det åpnes for at tjenestene kan leveres både som for eksempel en tradisjonell ITtjeneste og som nettskytjenester. På denne måte kan kunden kunne nå et bredere marked og velge det tilbudet som fremstår som det beste, basert på de kriterier som er stilt til konkurransen. 5.2 Spesielle forhold ved anskaffelsen Ved kjøp av nettskytjenester, anbefales det at kunden utarbeider et konkurransegrunnlag/ forespørselsdokument hvor det fremgår hvilke tjenester som skal kjøpes og hva slags behov/krav kunden har til tjenestene både når det gjelder funksjonalitet, tekniske forhold og service- og tjenestekvalitet. Kunden bør nøye vurdere hva slags krav som stilles, både i forhold til om de er sentrale for kundens virksomhet og behovet i dag og på lengre sikt. Spesielle krav som avviker fra andre kunders, kan fort kan bli prisdrivende. Kravene bør utformes slik at leverandører enkelt kan svare på om de oppfyller kravene eller ikke. Det bør også tydelig beskrives hvordan bruken av nettskytjenester samhandler med kundens driftsmiljø. Et kjennetegn spesielt ved offentlige nettskytjenester er at de leveres med standard avtalevilkår. Dette er noe kunden bør være oppmerksom på ved utarbeidelse av krav til tjenestene, da absolutte krav kan medføre at en tilbyder enten ikke vil delta eller ikke kan levere komplett tilbud i en konkurranse. For offentlige kunder kan krav som gjøres absolutte, medføre at et eventuelt tilbud må avvises på grunn av det er tatt vesentlige forbehold til kravene.

9 Dataforeningens Side : 9 av 15 Det er viktig at kunden vurderer ulike leverandørers standardvilkår og betingelser, samt forhandlingsmuligheter, før valg av leverandør. Tjenestetype, tjenesteomfang, partenes gjensidige relasjoner mv. kan innebære at kunden har bedre muligheter til individuelt å forhandle vilkårene i avtalen, særlig dersom avtalen inngås med en lokal leverandør av nettskytjenester, og de tilbyr kundespesifikke tilpasninger. 5.3 Unntakstilfeller Inngåelse av avtale vil i de fleste tilfeller gjøres på tradisjonell måte, men der tjenesten bestilles løpende online, vil prosessen avvike både fra ordinær anskaffelse og avtaleinngåelse ved av at kunden gjennom sin bestilling elektronisk bekrefter aksept av avtalevilkår og betingelser, slik at dette utgjør selve avtalen mellom partene. Dette vil som oftest være aktuelt når det gjøres avrop på en inngått rammeavtale. 6 Avtalekrav til tjenestene I dette kapittelet omtales noen utvalgte temaer knyttet til krav til nettskytjenestene og avtalebetingelser for disse, som kunden spesielt bør ta stilling til i forbindelse med avtaleregulering. Leverandører av nettskytjenester har ofte en forretningsmodell som innebærer at tjenestene, og dermed avtalevilkårene, skal være mest mulig generiske. Nedenfor gjennomgås noen viktige krav som bør vurderes stilt til nettskytjenestene. Det er viktig for kunden å ha fokus på at bruk av nettskytjenester ikke skal lede til at krav til datasikkerhet reduseres sammenlignet med de krav kunden har i tradisjonelle tjenester. Det er også viktig at kunden velger en leverandør som garanterer overholdelse av relevant lovgivning. Da tjenestene ofte vil involvere bruk av underleverandører, er det videre viktig at avtalekravene også gjelder disse. 6.1 Krav til funksjonalitet Kunden bør for egen del gjennomgå hvilken funksjonalitet som er ønskelig, og vurdere i hvilken grad de ulike nettskytjenesteleverandørene dekker disse kravene. Dette for at kunden skal vite hvilken funksjonalitet som lå til grunn for avtalen, i tilfelle det foretas senere funksjonelle endringer fra leverandørens side. Kunden kan ofte kun stille overordnede krav til den teknologiske løsningen nettskytjenestene skal baseres på. Dette fordi nettskytjenester alltid vil inkludere grader av et standardisert sett av tjenester. Normalt vil programvaren i utgangspunktet være standardisert, men det vil være varierende grad av konfigureringsmuligheter for å tilpasse programvaren til kundens behov. Tilpasning av avtalevilkår er avhengig av hvilket markedssegment løsningen og partene befinner seg i. I hvilken grad det kan avtales særegne SLA-krav vil derfor kunne variere. Nedenfor er mulige SLA-krav og sanksjoner fremhevet. Kunden bør være spesielt oppmerksom på kontraktsmessige vilkår som gir leverandøren retten til ensidig endring i tjenestespesifikasjonen. Kunden bør også sikre seg rett til på forhånd å godkjenne alle underleverandører som skal benyttes og som vil kunne ha tilgang til kundedata. 6.2 SLA-krav og sanksjoner ved brudd på kravene Avhengig av om tjenesten er fullt eller delvis standardisert, kan det være aktuelt å avtale tilpassede servicenivåer. For standardiserte tjenester vil det som regel være ferdigforhandlede betingelser knyttet til SLA-krav som må aksepteres av kunden, og som legges til grunn for levering av nettskytjenestene. Nedenfor følger en sjekkliste for forhandling av servicenivåer.

10 Dataforeningens Side :10 av 15 Disse elementene bør vurderes selv om leverandøren normalt vil operere med standardiserte betingelser og SLA-nivåer. Vurder servicenivåkrav ut fra kundens reelle behov og hva som bør og kan måles med hensyn til den tjenesten. Servicenivåer skal alltid være tilpasset forretningsbehov, fordi de ellers vil kunne medføre unødvendige merkostnader. Vurder om alle nettskytjenestene må ha samme servicenivået på tjenesten eller om differensierte nivåer er en mulighet, for eksempel høyt servicenivå for spesifikk, kundekritisk programvare og eventuelt ulike nivåer for ukedag/helg og dag/natt. Herunder må krav til rapportering vurderes. I nettskytjenester er tilkobling ofte av relativt enkel natur, slik at andre parametere enn forsinket levering bør måles, som for eksempel reaksjonsevne, responstider, feilrettingstider og tilgjengelighet til tjenestene. Se punktene nedenfor. Kunden bør i enkelte tilfeller kunne stille krav til kapasitet, det vil si at datavolumer som kunden har behov for dekkes, eventuelt ved skalering av tjenestene, ref. punkt 6.5. I tillegg bør kunden i enkelte tilfeller kunne kreve at data behandles innen gitte behandlings- og responstider forutsatt at kunden har avtale om tilstrekkelig båndbredde over internett. Kunden bør i enkelte tilfeller kunne kreve feilretting innen gitte tider, forutsatt at dette er innenfor leverandørens ansvarsområde og myndighet. Også tilgjengelighet til servicedesk eller kontakt med leverandøren bør avklares, spesielt i forhold til bruk i ulike tidssoner. Hvis leverandøren oppgir en prosent for tilgjengelighet, bør dette omregnes til absolutte tidsangivelser for å få et nøyaktig anslag over, for eksempel hvor mange minutter per måned en tjeneste kan være nede, uten å kunne kreve kompensasjon fra leverandøren. Beskriv hvordan servicenivåer kan justeres over tid, og hvordan de skal måles og rapportert. Kunden er normalt avhengig at nettskytjenestene leveres kontinuerlig og leverandørens anledning til ikke å tilby tjenestene i perioder, i forbindelse med oppgraderinger og annet vedlikehold, bør derfor reguleres i detalj. Det er viktig at avtalen konkret beskriver hvilken anledning leverandøren har til dette med tid på døgnet og hvilke dager det gjelder, samt angi gjeldende tidssone. Sanksjoner bør inntre når avtalte servicenivåer ikke er oppfylt. Eventuelt kan time- og dagbøter benyttes ved forsinket tilkobling av kunden til nettskytjenestene, eller når det er et avbrudd i tjenesten. Sanksjoner bør kun beregnes i forhold til de tjenester som blir påvirket av mangelen. Sanksjonene kan også variere for de forskjellige tjenestene som inngår, for eksempel i forhold til: Ulike sanksjoner avhengig av om en bestemt tjeneste er kritisk. Kumulative straffer med multiplikator hvis flere eller gjentatte avbrudd på samme tjeneste.

11 Dataforeningens Side :11 av 15 Kunden bør alltid vurdere om det er riktig i tillegg å etablere incentiver for å belønne en leverandør for gode leveranser. 6.3 Krav til ansvar ved tap av data Det må vurderes og beskrives hvem som er ansvarlig for tap av data (for eksempel på grunn av tekniske feil, tyveri av data eller inntrenging) og hvordan dette er differensiert i forhold til ulike data. Leverandøren bør uansett være ansvarlig for tap av data som oppbevares hos leverandøren. Det er viktig å avklare hva som anses å bli inkludert i slikt tap og hvem som skal ha ansvaret for forebyggende tiltak som muliggjør gjenoppretting av data. Kunden må presisere om datatap kan betraktes som indirekte eller direkte tap, og som sådan regnes som unntak fra leverandørens ansvar, eller om tap av data skal erstattes slik at leverandøren må kompensere for konsekvensen av tapet (når gjenoppretting ikke er gjennomført komplett). Dersom dette innebærer kompensasjon for tapte inntekter, vil det være naturlig å definere et beløp for erstatningsbegrensning. Krav til sikkerhetskopiering er for øvrig behandlet i punkt Ansvarsfraskrivelser En standardavtale om nettskytjenester kan inneholde ulike bestemmelser for omfattende ansvarsbegrensninger/-fraskrivelser. Kunden bør ved inngåelse av avtale i hvert tilfelle nøye vurdere om det er akseptabelt at leverandøren skal ha rett til å kunne begrense sitt ansvar og i hvilken grad. Det bør være en balanse mellom, på den ene siden, en rimelig ansvarsbegrensning, og på den andre side, faren for at leverandørens grunnleggende ansvar blir utvisket. En ansvarsfraskrivelse vil ofte redusere leverandørens incentiv til å handle i henhold til avtalens øvrige bestemmelser. På den annen side vil krav til et ubegrenset eller betydelig ansvar for leverandøren, kunne medføre at risikopremien leverandøren da vil ta, blir unødvendig høy, særlig dersom andre kunder ikke har samme krav til begrensning i ansvarsfraskrivelse. I mange tilfeller kan det derfor være bedre å klart angi hvilke typer tap som skal dekkes eller ikke dekkes av en ansvarsfraskrivelse, istedenfor den tradisjonelle delingen i direkte og indirekte tap. Dette fordi indirekte tap ofte krever tilleggsavklaring og gjerne er knyttet til kundens tap av inntekter. En ubegrenset forpliktelse i denne forbindelse kan gi stor uforutsigbarhet for leverandøren og dermed en høy risikopremie. Ansvarsreguleringer bør videre tilpasses en eventuell levering av tjenester fra et annet land hvor tolkningen av hva som kan defineres som partenes ansvar og hva som kan være en uforutsett hendelse kan være annerledes. 6.5 Krav til samhandling og rapportering For nettskytjenester der leverandøren har full kontroll over kundens data og hvor kunden mangler innsikt i hvordan leverandøren utfører sine tjenester, bør samhandling og rapportering være beskrevet i avtalen. I forhold til samarbeid og rapportering bør følgende punkter vurderes regulert: kunden bør få jevnlige statusoppdateringer/-rapporter informasjon om hendelser bør gis til kunden uoppfordret og uten opphold varsel om oppgraderinger og forbedringer i tjenestene bør gis kunden i god tid muligheten til å eskalere kritiske hendelser på et tidlig tidspunkt

12 Dataforeningens Side :12 av 15 beskrivelse av kontaktpunkter hos leverandøren anledning for partene til å møtes anledning til å kreve sikkerhetsrevisjoner eller andre kvalitetsrevisjoner, eventuelt gjennom uavhengig tredjepart i hvilken grad leverandøren skal kunne overvåke og samle inn informasjon om hvordan og i hvilken utstrekning kunden bruker tjenesten (som frekvens, endringer i volum, samt bruk av båndbredde osv.) 6.6 Krav til endringer i tjenestene Ettersom nettskytjenester ofte representerer en ny form for samarbeid både for kunde og leverandør, bør avtalen være fleksibel og inneholde regler for endringshåndtering. Et karakteristisk trekk ved nettskytjenester er fleksibiliteten og muligheten til å foreta endringer i form av skalering av nettskytjenestene. Dette innebærer at omfanget av tjenestene enkelt bør kunne endres eller reguleres. Ulempen med dette er at endringer ikke underlegges tilstrekkelig kvalitetskontroll og kan gi uforutsigbare kostnadsendringer. Mulighetene for endringer i tjenestenes innhold vil derimot ofte være svært begrensede i forbindelse med standardiserte nettskytjenester, da de samme tjenestene ofte leveres til en rekke kunder. Det anbefales at det avtalefestes i hvilken grad leverandøren skal ha anledning til å gjennomføre oppgraderinger og endringer i tjenestene og at dette må varsles god tid i forkant. Det bør i slike tilfeller videre reguleres om kunden skal gis adgang til å heve avtalen uten ytterligere vederlag. På samme måte anbefales det at kundens rett og muligheter til endringer også avtalefestes. Begge parter må vurdere om det er behov for frys-perioder i forbindelse med innføring av endringer. 6.7 Prismodeller Kunden bør her vurdere hvilken type tjenester som skal kjøpes og velge en prismodell som passer for den tjenesten som skal kjøpes. I enkelte tilfeller vil det også kunne være aktuelt å velge flere prismodeller i en og samme avtale. Da nettskytjenester er tjenester som vil kunne medføre hyppigere skifte av leverandør/tjeneste enn tradisjonelle driftsavtaler, bør partene vurdere å regulere kostnader ved avslutning av avtalen og uthenting av data ved avtaleinngåelse. 7 Øvrige avtalemessige krav I dette kapittelet vil vi gå nærmere inn på noen øvrige avtalemessige krav som kunden bør være oppmerksom på. Forhold knyttet til personvern og behandling av personopplysninger er spesielt relevant for nettskytjenester. 7.1 Rettigheter Partene i avtalen må sikre at nødvendige immaterielle rettigheter er ivaretatt og at bruk av tjenestene ikke innebærer noen form for krenkelse av tredjeparts rettigheter. I avtalen bør det presiseres at kunden har ubegrenset eiendomsrett og beholder alle rettigheter til sine data. På samme måte bør leverandøren sørge for å avtaleregulere hvilke data leverandøren skal ha eiendomsrett til.

13 Dataforeningens Side :13 av Oppsigelse/opphør av avtalen og avslutning av tjenestene En avtale om offentlige nettskytjenester inngås normalt for en begrenset periode og det er da normalt ikke anledning til å si opp avtalen i perioden. Det bør derfor reguleres i hvilke situasjoner avtalen skal kunne sies opp og hvor lang oppsigelsesperiode som skal gjelde. Leverandøren bør ikke ha rett til å avslutte tjenestene etter eget valg. For en kunde er det ofte nødvendig å kreve at tjenestene ikke kan avsluttes permanent eller midlertidig uten at det foreligger en avgjørelse fra domstol eller voldgiftsdom, eventuelt force majeure. Ensidig påstand om at kunden har misligholdt avtalen, bør for eksempel ikke kunne legges til grunn for en avslutning av tjenestene. Avtalen bør inneholde bestemmelser som dokumenterer forpliktelsene leverandøren har til å bistå kunden i forbindelse med avslutning av avtalen uavhengig av opphørsgrunn, herunder en plikt til å hjelpe kunden med å flytte data til en annen leverandør eller til kunden selv i forbindelse med avslutning av avtalen. Dersom leverandøren i tillegg til å returnere data, også skal fjerne eller anonymisere annen informasjon og data som ikke leveres tilbake til kunden, bør både metode og frister for dette også fremgå av avtalen. Ved regulering av oppsigelse av avtalen bør kunden vurdere å kreve at leverandøren skal oppbevare dataene i en viss periode etter avslutning av avtalen. Tiden bør være tilstrekkelig til at kunden får tid å hente ut sine data og eventuelt overføre disse til ny leverandør. Selv om åpne standarder er benyttet, er det ikke trivielt å overføre data. For å unngå innlåsingseffekter er det derfor viktig å regulere hvordan og på hvilket format kundens data skal leveres tilbake. Leverandøren skal i prinsippet aldri ha rett til å tilbakeholde eventuelle kundedata. Det bør også fremgå tydelig fra avtalen. 7.3 Lovvalg og verneting Ved regulering av lovvalg og valg av verneting i forbindelse med avtaler om nettskytjenester anbefales det at kundens verneting og lovregler legges til grunn. 7.4 Krav til tilgang til data Det må spesifiseres hvordan kundens tilganger til nettskytjenestene skal defineres og tildeles, herunder ulike roller hos kunden som kan ha tilgang til å tildele rettigheter, oppdatere data eventuelt kun ha lesetilgang. Krav i forhold til taushetsplikt bør reguleres. For offentlige kunder bør regulering gjøres i samsvar med forvaltningslovens regler. Taushetsplikten må for øvrig reguleres tilsvarende som i andre avtaler. 7.5 Partsspesifikke krav Kunden bør også beskrive de partspesifikke krav, herunder krav som følge av bransje- eller sektorspesifikt regelverk, som har relevans for gjennomføring av nettskytjenestene. 7.6 Krav til sikkerhet Et grunnleggende krav fra kundens side må være at leverandøren ivaretar informasjonssikkerhet i henhold til gjeldende lovverk, andre myndighetskrav og etablerte standarder. Aktuelle sikkerhetstiltak som bør reguleres i avtalen er for eksempel sikkerhetspolicy, autorisering, inkludert administrative rutiner for dette, logging og sporbarhet, prosedyrer for hendelsesadministrasjon og rapportering, beskyttelse mot skadelig programvare (virus), sikkerhetskopiering av data på forskjellige lokasjoner og periodisk

14 Dataforeningens Side :14 av 15 kontroll av funksjoner for gjenoppretting av data samt muligheter for sikkerhetsrevisjon både fra kunden og fra tredjepart. Sensitiv informasjon bør beskyttes av kryptering ved overføring til og fra leverandøren. Datatilsynets veiledere har strenge krav til behandling av sensitive personopplysninger, blant annet at slike personopplysninger skal behandles i egen sikker sone uten tilgang til internett. Behandling av sensitive personopplysninger vil derfor kunne være uegnet i offentlige nettskytjenester. Krav til sikkerhet må for øvrig reguleres tilsvarende som i andre avtaler. 7.7 Generelle krav til personvern og behandling av personopplysninger Dersom nettskytjenestene omfatter behandling av personopplysninger, er det en forutsetning at personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt. Det er viktig å vurdere hvilke personopplysninger som vil inngå i hvert tilfelle, hvor lenge behandlingen vil pågå og til hvilket formål. I tillegg må 2 i personopplysningsforskriften om informasjonssikkerhet også vurderes i forhold til punkt 7.6 ovenfor. Ved behandling av personopplysninger er det videre krav til etablering av en databehandleravtale. Slike databehandleravtaler skal sørge for at leverandøren innestår for å behandle personopplysningene lovlig og i tråd med databehandleravtalen. Nettskytjenester leveres ofte på tvers av nasjonale grenser og i ulike deler av verden på samme tid. I et personvernperspektiv omfatter behandling av personopplysninger både overføring av data, selve behandlingen og lagring av personopplysninger. Kunden som behandlingsansvarlig har ansvaret for at reglene i Personopplysningsloven blir overholdt. Det anbefales at kunden velger en leverandør som garanterer at reglene i Personopplysningsloven, eller EU-reglene på området (Directive 95/46/EC), blir etterlevet. Såfremt personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt, kan personopplysninger overføres til land innen EU og EØS-området. Personopplysningsloven definerer også unntak fra dette, dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Personopplysninger kan også overføres til land som Europa-kommisjonen har godkjent, samt leverandører i USA som har sluttet seg til Safe Harbor. Tilstrekkelige garantier om vern av den registrertes rettigheter, er for eksempel ved bruk av de såkalte Standard Contractual Clauses (SCC), som er et sett av standard overføringsavtaler. Europa-kommisjonen har utarbeidet disse avtalene for at de skal kunne utgjøre et lovlig grunnlag nettopp for slik overføring. Ved signering av en slik avtale, forplikter leverandøren seg til å behandle personopplysninger i samsvar med de krav som gjelder innenfor EU og EØS-området, uansett hvor i verden personopplysningene måtte bli lagret etter behandlet. Overføring av personopplysninger til tredjeland på grunnlag av slike SCCer krever forhåndsgodkjenning av Datatilsynet. SCC er det mest anvendte grunnlag for overføring til tredjeland i dag, også i forbindelse med nettskytjenester. Et ytterligere eksempel på tilstrekkelige garantier, er såkalte Binding Corporate Rules for Processors (BCRP), slik det er foreslått av EUs arbeidsgruppe under Artikkel 29 om personvern ref. kapittel 8, og som er noe leverandørene av nettskytjenester kan ha etablert internt. BCRP representerer et sett av bindende interne retningslinjer for behandling av personopplysninger, som gjør at leverandøren kan innestå for at personopplysningene som blir overført til leverandøren, skal behandles i overensstemmelse med Personopplysningsloven og EU-lovgivningen. Dette krever også forhåndsgodkjenning av Datatilsynet og mer informasjon om dette finnes på Datatilsynets internettsider.

15 Dataforeningens Side :15 av 15 Uansett skal det gjennomføres en risikovurdering for behandling av personopplysninger som gir grunnlag for å iverksette adekvate tiltak for å oppnå en tilfredsstillende informasjonssikkerhet for behandling av personopplysningene. Risikovurderingen vil være avgjørende for bruken av nettskytjenestene, og kunder og leverandører av nettskytjenester må foreta en grundig risikoanalyse før tjenestene kan tas i bruk. En slik vurdering må omfatte krav til tilgjengelighet, konfidensialitet og integritet, og tilknyttede krav som er spesielle for nettskytjenester som transparens, separasjon (isolasjon) av data, tilgang til egne data, gjenskaping av data/informasjon og flyttbarhet av data er avgjørende. Utfyllende informasjon om personvern finnes på Datatilsynets internettsider hvor det også finnes en mal for databehandleravtaler og for SCCer. 8 Referanser I forbindelse med innhenting av informasjon om bruk av nettskytjenester, er det blant annet hentet inspirasjon fra Cloud Sweden som er en nettverksgruppe i den svenske Dataföreningen (se som har utgitt en sjekkliste for slike tjenester. For øvrig er det under en arbeidsgruppe i EU utarbeidet en veiledning ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing ( utgitt 1. juli Denne rapporten har spesielt blitt vektlagt i forbindelse med utarbeidelsen av kapittelet om personvern, ref. punkt 7.7. Videre har EU-kommisjonen utgitt en rapport kalt Unleashing the Potential of Cloud Computing in Europe, utgitt 27. september 2012, som vil bli etterfulgt av retningslinjer og forordninger i 2013 og 2014, for å tilrettelegge for økt bruk av nettskytjenester. Til slutt vil vi også trekke frem International Working Group on Data Protection in Telecommunications sitt arbeid gjennom den såkalte Berlin-gruppens Sopot Memorandum og som også er hensyntatt i arbeidet med denne veiledningen (