Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen
2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte tjenester Selvbetjening Standardiserte priser Standardiserte vilkår Opp og nedskalering
3 Innledning Public cloud Privat cloud Community cloud (G-cloud) Hybrid cloud Combined cloud Hosted (driftsleverandør)
SOA Public cloud Exchange HR Økono mi Kritisk app Privat cloud Commun ity cloud PaaS IaaS
Kundens modenhet Kunden må vurdere hvilke applikasjoner og andre tjenester som kan leveres som cloudtjenester. Gå igjennom arbeidsprosesser for å se om disse kan endres eller tilpasses for å kunne supporteres med standard programvare Definere leveringsmåte
6 Kundens modenhet Vurdere sikkerhet Vurdere hvilket behov man har for tilgjengelighet, oppetid osv Hvem har behov for de enkelte tjenestene, f.eks vil man kun ha behov for MS project i konkrete prosjekter og til de aktuelle deltakere i prosjektet
7 Juridiske problemstillinger i skyen Datasikkerhet og personvern regulatoriske problemstillinger Kontraktsmessige problemstillinger
Regulatoriske problemstillinger Datasikkerhet Ansvar for datasikkerhet er et juridisk forhold Implementering av datasikkerhet handler om teknologi Dataeier mister den fysiske kontrollen over data avhengig av utenforstående og overlater kontroll til andre Uavhengig av egne investeringer i utstyr og i lokaler mv for utstyr Data lagres i datasentre som er plassert utenfor Kundens kontroll Viktig med avtalemessig sikring av at implementeringen blir tilfredsstillende Leverandører av verktøy for å sikre datasikkerhet både før og under Kunden tar steget ut i skyen
9 Regulatoriske problemstillinger Personvern og datasikkerhet Lovgivning stiller krav om oppbevaring og sikring og av data, f. eks Sikkerhetsloven ( 3-3 i forskriften tilknytning til internett utgjør en sårbarhet for sikkerheten) Personopplysningsloven Bokføringsloven (oppbevaring i Norge) Personalopplysninger (eks kryptering av sensitive opplysninger) Helseregisterloven Skatteopplysninger arkivloven Lovgivningens krav til oppbevaring kan representere hindringer for overføring av opplysninger
Personopplysninger Behandling av personopplysninger Overføring av personopplysninger til utlandet Forskjell på krav for private eller statlige bedrifter? Kontroll på informasjonen? http://ec.europa.eu/justice/policies/privacy/th ridcountries/index_en.htm
Personopplysningsloven 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. 30. Unntak Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. 30 (2): Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Hvor er dataene lagret? Så lenge man vet hvor dataene lagres, er alt ok? EU-land Third countries Fullstendig cloud hva da?
Bokføringsloven 13. Oppbevaring Primærdokumentasjon skal oppbevares i Norge i ti år etter regnskapsårets slutt. Sekundærdokumentasjon skal oppbevares i Norge i tre år og seks måneder etter regnskapsårets slutt. Bokførte opplysninger som i utgangspunktet er tilgjengelig elektronisk, skal være tilgjengelig elektronisk i tre år og seks måneder etter regnskapsårets slutt. Oppbevaringspliktig regnskapsmateriale skal oppbevares ordnet og være betryggende sikret mot ødeleggelse, tap og endring. Regnskapsmaterialet skal kunne fremlegges for offentlig kontrollmyndighet i hele oppbevaringstiden i en form som muliggjør etterkontroll.
Avtaler i nettskyen Tjenesteleverandør Hvem er ansvarlig for hvem? Cloudleverandør Kunden/sluttbruker
15 Anskaffelsesrettslige problemstillinger Cloud-tjenester er standardiserte produkter. Dette legger føringer for. Kravspesifikasjon Avtaletype SLA krav Prisstruktur
16 Avtalehensyn Leveringsansvar og SLA Priser og prisingsstruktur Sikkerhet og kontroll med data Personvern - databehandleravtale Lagring hvor? Kontroll og oppfølging revisjonsadgang Lovvalg og jurisdiksjon Ansvar og ansvarsfraskrivelse
Levering og ansvar Hvordan beskrives tjenesten? Ansvaret as is? SaaS ikke lenger kjøp av et produkt, men en tjeneste. Kjøpsloven ikke lenger gjelde. Viktig å se på garantier for leveranse Oppetidsgarantier og SLA med responstider Vedlikehold oppgraderinger og skalerbarhet
Prising og prisstruktur As a service Betaling for bruk Mekanismer for opp- og nedskalering Forutsigbarhet Ensidige endringer av prisene Avslutning kostnader forbundet med dette?
Sikkerhet og kontroll med data Partene må avtale hvilket nivå sikkerheten skal ligge på, etter en analyse av behov i forhold til hva slags data som behandles Sikre at sikkerheten er på plass før tjenesten settes i gang Vurdere behov ut fra: Risiko Krav til oppbevaring Krav til behandling mm
Personvern - databehandleravtale Avtale hvem som skal ha ansvaret for overholdelse av reglene Databehandleravtale: Angi formålet Beskrive hvordan dataene skal oppbevares Databehandler/databehandlingsansvarlig Sikring Varighet Overføring av data ved avslutning av avtaleforholdet
Lagring hvor overføring av opplysninger til tredjeland er det mulig? Mottaker skriver under en av EUs standardkontrakter Mottaker (i USA) er tilsluttet Safe Harbor avtalen Mottakerland godkjent av EU Skjønnsmessig vurdering: Opplysningens art: Jo mer sensitiv karakter opplysningene har, jo mer kreves det av reguleringen i mottakerlandet. Behandlingens formål: Når behandlingen ikke medfører noen konsekvenser for den opplysningene gjelder, kan man godta et dårligere vern enn når behandlingen kan medføre konsekvenser. Tidsperspektiv: Jo lenger tid behandlingen går over, jo bedre vern av personopplysningene kreves. Regler som oppveier personvernulempene: Finnes det innenfor bransjen atferdsnormer, sikkerhetstiltak eller liknende som kan ivareta personvernet
Kontroll og revisjon Avtalen må legge opp til at kravene til kontroll med dataene oppfyldes Rett til tilgang Retting Sletting osv
Lovvalg og jurisdiksjon Dersom man har kontroll alltid norsk Avtale både jurisdiksjon og domstol Eksempel Salesforce: for land i Europa gjelder Sveitsisk rett med domstol i Sveits
Ansvar og ansvarsfraskrivelse I og med at ansvaret ofte er as is begrenset ansvar Ansvarsfraskrivelser Bør skrive individuelle avtaler
Spørsmål å stille seg 25 Hva slags data skal lagres i skyen? Fra hvor sendes dataene? Hvor lagres dataene? Hvor befinner serverne seg? Skal data transporteres mellom lokasjoner, og hvis; til hvor? Kan noen data begrenses til visse geografiske områder? Hvilken sikkerhetsplan har du for slike overføringer av data? Er leverandørene klare for å tilfredsstille kundenes behov for oppfyllelse av regulatoriske krav?
Spørsmål å stille seg 26 Kontraktsavsluttning Sørg for å avtale overføring av data tilbake til ny leverandør eller til kunden. Strukturert i XLM format
Kontakt 27 Herman Valen, Partner Mobil: +47 91 57 22 44 e-post: hv@simonsenlaw.no