Cloud Computing Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016
Agenda Først litt om hva Cloud Computing er Så: Hva skal til for at din bedrift kan bruke Cloud Computing?
Hva er Cloud Computing?
Nok et buzzword i IT bransjen?
Internett
Gamlemåten
Cloud Computing
Noen karakteristikka IT ressurser levert over Internett Standardiserte løsninger og vilkår Stordriftsfordeler Skalerbarhet Distribuert infrastruktur Felles infrastruktur for flere kunder
Ulike typer basert på ressursomfang
Eller for å bruke en analogi
Ulike skytjenester basert på geografi Privat sky Offentlig sky Hybrid sky
Noe nytt?
IT tjenester har vært levert eksternt i mange år Service Bureau 1960 og 70 tallet Eks. Fellesdata (nå EVRY (Financial Services) Application Service Provider (ASP) 1990-tallet Eks. Telecomputing Ekstern drift, forvaltning og utvikling («tradisjonell outsourcing») Eks. IBM, Accenture, Tata Consultancy Services, HCL.
Dette er nytt
Kjært barn har mange navn
Det er realiteten som teller
En titt under panseret er nødvendig Due Diligence
Noen typiske fordeler og ulemper ved skytjenester Fordeler Forretningsmessige gevinster Dårligere avtalevilkår Ulemper Enklere, raskere og billigere å kjøpe Begrensede forhandlingsmuligheter Enklere, raskere og billigere å installere Begrensede muligheter for tilpasninger Enklere, raskere og billigere å skalere Tap av operativ kontroll I noen tilfeller: Bedre sikkerhet Ofte dårligere oppetidsgarantier og brukerstøtte Merk: Fordeler og ulemper må vurderes konkret fra sak til sak
Hva skal til for at din bedrift kan bruke Cloud Computing?
To hovedspørsmål Lovlig? Forretningsmessig klokt/forsvarlig?
Er det lovlig?
Rettslige skranker Ingen egen lov eller forskrift om skytjenester Men: En eller flere lover og forskrifter som regulerer håndtering av data vil som regel være aktuelle Generelle (eks) Personopplysningsloven med forskrift Bokføringsloven med forskrift Sektorspesifikke (eks) IKT forskriften Helseregisterloven Arkivloven Sikkerhetsloven Avtalemessig regulering av datahåndtering Konfidensialitetsavtaler Databehandleravtaler Krav til oppfyllelse av kunders lovkrav
Overføring og behandling av data overordnede sjekkpunkter Er det overhodet snakk om å overføre data? Hva slags data er det aktuelt å overføre? Hvilke regler gjelder for overføring av disse? Klarer man å oppfylle reglene, eller må man endre strategi?
Nærmere om personvern i skyen
Betydningen av personvern compliance kan ikke overvurderes Betydelig og økende fokus hos tilsynsmyndighetene i media Ny personvernforordning implementeres i løpet av de nærmeste 2 årene Styrking av personvernet på en rekke områder Bøter på inntil 4% av virksomhetens globale omsetning Tilpasning til det nye regimet bør starte allerede nå Mange tilbydere av skytjenester er ikke compliant, og det er lite sannsynlig at din virksomhet alene klarer å forhandle frem avtaleforpliktelser som gjør at de blir compliant Det handler om å identifisere hvilke tilbydere man ikke kan handle med (beroende på kundens egen risikovurdering)
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Personopplysninger Personopplysninger opplysninger og vurderinger som kan knyttes til enkeltperson (pol. 2 nr. 1) Personnavn Personnummer Telefonnummer Kontonummer Foto/video Sensitive personopplysninger (pol. 2 nr. 8) Rase/etnisk bakgrunn Politisk/filosofisk/religiøs oppfatning Straffbare forhold Helseforhold Seksuelle forhold Fagforening Kunderegister E-post Nettaktivitet Lokasjonsdata
Overføring? Overføring, og lagring av personopplysninger hos leverandør i utlandet? Ja Transit? Neppe (analogi fra direktivets art. 4, 1(c)) Fjernaksess? Antakelig (analogi fra direktivets art. 4, 1(c), til tross for Lindqvist dommen (C- 101/01))
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Behandlingsansvarlig eller databehandler? Behandlingsansvarlig Databehandler bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes behandler personopplysninger på vegne av den behandlingsansvarlige Eksempel: Cloud kunde Eksempel: Cloud leverandør
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Ansvar i forbindelse med eksport av data Behandlingsansvarlig Databehandler bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes behandler personopplysninger på vegne av den behandlingsansvarlige 1: Orden i eget hus 2: Stille krav til behandlingen (databehandleravtale) Behandling i samsvar med databehandleravtale
Orden i eget hus? Foreligger det lovlig grunnlag for behandlingen (pol 8 og 9)? Er behandlingen i samsvar med formålet, og er dette saklig begrunnet i virksomhetens forhold? Er personopplysningene tilstrekkelige og relevante for formålet med behandlingen? Er personopplysningene korrekte og oppdatert, og ikke lagret lengre enn det som er nødvendig for formålet med behandlingen? Har din virksomhet sørget for tilstrekkelig informasjonssikkerhet (pol 13)? Etablering av sikkerhetsmål og sikkerhetsstrategi Har din virksomhet etablert og dokumentert internkontrollrutiner som sikrer planlagte og systematiske tiltak som er nødvendige for å oppfylle lovens krav, herunder sikre personopplysningenes kvalitet (pol 14)? Har din virksomhet foretatt en fornyet sikkerhetsvurdering i forbindelse med bruk av den aktuelle skytjeneste?
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Databehandleravtale Kunden må sikre at leverandøren oppfyller lovens krav til behandling - på vegne av kunden. Bl.a. Krav til leverandørens informasjonssikkerhet og dokumentasjon av dette Kun behandling som avtalt med kunden Sikre tilgang til data for innsyn, retting og sletting Sikre mulighet for sikkerhetsrevisjon av bruk av informasjonssystemet I hvor stor grad oppfyller leverandørens standardavtaler disse kravene, og hva er mulig å få inn i avtalene?
Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?
Eksport av personopplysinger er OK hvis: Overføring skjer til stater som sikrer et forsvarlig beskyttelsesnivå (pol. 29) eller Lovbestemt adgang (pol. 30 (1)) (upraktisk) eller Behandlingsansvarlig garanterer for datasubjektets rettigheter (pol. 30 (2) og Datatilsynet informeres om dette (pof. 6-3)
Hvilke stater sikrer et forsvarlig beskyttelsesnivå? Færøyene Canada Isle of Man Guernsey Jersey Andorra USA Sveits Israel Australia Uruguay Argentina New Zealand Norge EØS/EU EU-godkjente tredjepartsland (Sveits, Canada, Argentina, Uruguay, Guernsey, Jersey, Isle of Man, Andorra, Færøyene, Israel, Australia og New Zealand) EU-US Privacy Shield skal implementeres gjennom en såkalt adequacy decision, dvs. forhåndsgodkjenning Advokatfirmaet Haavind 2016
Hvordan garantere for datasubjektets rettigheter Inngå en eksportavtale basert på EUs modellkontrakt Ulike modellkontrakter for overføring til hhv. behandlingsansvarlig og databehandler Overføring til behandlingsansvarlig: 2 ulike (fra 2001 og 2003) Overføring til databehandler: Ny modellkontrakt i 2010 bedre egnet for cloud computing (bruk av underleverandører) Binding Corporate Rules For konserninterne overføringer (særlig aktuelt for interne tjenesteleveranser)
Forretningsmessig klokt/forsvarlig?
Datasensitivitet Beror dels på en risikovurdering Forretningskritikalitet
dels på et business case Kostnadsbesparelser Inntektsøkninger? Nye/skjulte kostnader Lavere enhetskostnader Avskrivning av egen infrastruktur Lavere anskaffelseskostnader? Økt standardisering Økt mobilitet Økt produktivitet Nye forretningsmuligheter Byttekostnader Implementerings- og integreringskostnader Språkversjoner Premium support Backup kostnader Lagringskostnader Test- og utviklingsmiljø
som resultat av en due diligence Teknisk infrastruktur/sikkerhet: Hvor prosesseres og lagres data? Brukes underleverandører? Hvor befinner underleverandørene seg? Hvilke sikkerhetsmekanismer har leverandøren og underleverandørene implementert? Hvordan er man sikret mulighet for sikkerhetsrevisjon og tilgang til data? Med mer.. Juridiske forhold Compliance ift. regulatoriske krav, særlig personvern Les avtalevilkårene nøye i lys av forretningens behov, risikoappetitt og de kommersielle forhold (you get what you pay for) Ikke les vilkårene på «autopilot» Eks. Ansvarsbegrensninger kan være drøye men likevel akseptable Kommersielle forhold Abonnementsmodell Pris per bruker eller komponent? Volumcommitment? Prisbeskyttelse ved fornyelse?
Oppsummering
Din bedrift kan bruke skytjenester hvis: Tjenesten muliggjør compliance ift. regulatoriske krav din bedrift er underlagt Personvern compliance er sentralt, særlig knyttet til overføring av personopplysninger til utlandet og underleverandører Det er forretningsmessig fornuftig og forsvarlig i lys av: Et positivt business case målt opp mot alternativet (dagens situasjon) En risikoanalyse med akseptabelt utfall En due diligence av operative, kommersielle og juridiske forhold Lykke til!
Espen Werring Partner Haavind T: +47 997 97 676 espen.werring@haavind.no