Veiledning ved anskaffelse av nettskytjenester

Like dokumenter
Dataforeningens Veiledning ved anskaffelse av nettskytjenester

Dataforeningens nye Avtale for Skytjenester

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Skyløsninger. Sikkerhet og leveransemodell

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Nettskyen, kontroll med data og ledelsens ansvar

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Skytjenester (Cloud computing)

Cloud computing. Bruk av skytjenester krever en klar strategi

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Azure Stack. - når skyen blir lokal. Foredragsholder: Odd Egil Bergaust

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Vær med når toget går!

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

PRAKTISKE ERFARINGER MED DATAFORENINGENS SKYTJENESTEAVTALE. IT-kontraktsdagen 2017

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Juridiske utfordringer med digitalisering

IT-kontraktsdagen 2017

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Skytjenester i skolen

IT-kontraktsdagen 2014

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

NetNordic 365. Dine nettverks- og samhandlingsløsninger i trygge hender C L O U D D R I F T SUPPORT KONSULENT

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Public 360 Online Datasikkerhet

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Personvern - sjekkliste for databehandleravtale

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Drifte selv eller sette bort - pro et contra.

Hvordan ser brukere på nytteverdien av Cloudtjenester?

Arkivsystemer med skyløsninger

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Systemleverandører anno 2011

Flytting av digital infrastruktur. Harald Hjelde

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Standarder med relevans til skytjenester

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

IT-kontraktsdagen 2016

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

IBM Bruksbetingelser Betingelser for et bestemt IBM SaaS-tilbud. IBM Spectrum Control Storage Insights

Arkivet i skyen Serveren på månen

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi

Ny kontraktsstandard: Fleksibel utviklingskontrakt

Retningslinjer for databehandleravtaler

Moss Industri og næringsforening

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

IT-kontraktsdagen 2015

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Finne, tilpasse og tilby skyjenester til sektoren...på lengre sikt levere alle felles IT-tjenester til sektoren. 12. mars

Stian Estil IT TRENDER 2011

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Kan du legge personopplysninger i skyen?

efaktura og EDI Kjell Erik Magnussen

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

Databehandleravtaler

Oslo kommune Utdanningsetaten

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Konsernpolicy kontrakt. Fra SLIK

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Nettskyen utfordringer og muligheter

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Jeg vil se mappa mi!

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Personvernerklæring for Portal Travel AS

Bilag 6 Vedlegg 3 Definisjoner

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Veikart Standardiseringsrådet

Norwegian License for Open Government Data (NLOD) Bane NOR

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

Rammeverk for anskaffelse av tjenester i skyen.

HVA ER SKYTJENESTER? Balanserte anskaffelser 19.juni

Hvordan lykkes med Offshoring av IT- tjenester

AVTALE OM ABONNEMENTSTJENESTER

Personvernerklæring for Vesterålsprodukter AS

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Nye kontraktsreguleringer i vår digitale virkelighet - et innblikk i utviklingen som skjer med Statens standardavtaler

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Tjenesteavtaler (SLA) Praksis og planer ved IT-avdelingen. IT-forum 18. april 2008 Magne Bergland

Databehandleravtale etter personopplysningsloven

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Må man være syk i hodet for å ha helseopplysninger i skyen?

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Transkript:

Veiledning ved anskaffelse av nettskytjenester Svein Erik Markussen, EVRY Veiledningens formål og bruk Kort om definisjoner og markedsstatus Hva skiller nettskyen fra tradisjonelle IT-tjenester Avtalekrav til tjenestene DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Veiledning ved anskaffelse av nettskytjenester Formål og bruksområde: Gi innsikt i avtalerelaterte vurderinger som bør gjøres Balansere «styrkeforholdet» mellom kunde og leverandør Spesiell fokus på risiko og sikkerhet Fokus på faste avtalefestede leveranser ikke sporadiske kjøp 2

Veiledning ved anskaffelse av nettskytjenester Arbeidsgruppe: Jørgen Petersen (prosjektleder), PROMIS Thor Beke, Steria (nå Berngaard Sandbek) Svein Erik Markussen, EVRY Erik Bollestad, Departementenes servicesenter Kari Anne Støkken, Statens lånekasse for utdanning Trine Lysaker Lehn, Oslo kommune (nå Statoil F&R) Innspill og høring: Haavind Advokatfirma, Simonsen Advokatfirma, Datatilsynet, Dataforeningens faggrupper, flere IT-leverandører m.m. 3

Scope og avgrensninger Veiledningen fokuserer på det som er spesielt for skytjenester og supplerer således Dataforeningens generelle veileder for ITdrift avtaler 4

Definisjoner og fokusområder Leveransemodeller/tjenestenivå: Programvare som en tjeneste (SaaS) Plattform som en tjeneste (PaaS) Infrastruktur som en tjeneste (IaaS) Typiske leverandørmodeller: Offentlig nettsky (Public Cloud) Privat nettsky (Private Cloud) Nettskyfellesskap (Community Cloud) Hybrid nettsky (Hybrid Cloud) 5

I utgangspunktet er nettskyen en gave til alle konsumenter av IT Tradisjonelt IT-tjenestetilbud Hva forretningssiden trenger Forretningsdrivere: Enkelhet, hastighet, fleksibilitet, effektivitet og kvalitet Virkemidler: Prefabrikering, selvbetjening og automatisering > industrialisering

8 Og ja, det er også utfordringer

Dataforeningens Veileder for nettskytjenester Hva skiller nettskyen fra tradisjonelle IT-tjenester DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Hva skiller nettskyen fra tradisjonelle IT-tjenester Støttefunksjoner og servicegarantier Bygger på stordrift og lav kundeinvolvering Selvbetjening og generell e-support Gode oppetidsgarantier, men ofte også minimal «straff» ved avvik ER dette dekkende - trenger man tilleggsytelser/tredjepart 10

Hva skiller nettskyen fra tradisjonelle IT-tjenester Integrasjon og ende til ende ansvar Nettskytjenester er normalt spissede leveranser som gir tilgang til en avgrenset funksjonalitet eller kapasitet Typisk er kun deler av IT-verdikjeden er dekket Eventuell integrasjon, utover det som er gjort i leverandørens datasenter, må gjerne håndteres på kundesiden eller av tredjepart Roller, ansvarsforankring og tilhørende servicegarantier i dette bildet må avklares 11

Hva skiller nettskyen fra tradisjonelle IT-tjenester Risiko og sårbarhet Offentlige nettskyer er basert på drift av mange kunder på delte plattformer Internett er normalt kanal for brukertilgang, datautveksling og administrasjon Data kan ofte lagres og prosesseres i en eller flere fremmede land Kritiske hendelser kan berøre svært mange kunder og datamengder samtidig Leverandørens sikkerhetsregime er avgjørende og må evalueres Ansvar ved konkurs eller insolvens bør også evalueres 12

Hva skiller nettskyen fra tradisjonelle IT-tjenester Internasjonale aspekter Nettskytjenester leveres ofte på tvers av landegrenser for å optimalisere ressurser Som kunde kan en bli eksponert for flere leverandører og lands rettssystemer For øvrig har de fleste ledende leverandører nå datasentre innen EU Informasjon lagret i et bestemt land kan bli gjenstand for revisjon eller tilsvarende basert på dette lands lovverk Dette må vurderes og tas i betraktning før nettskytjenester tas i bruk 13

Hva skiller nettskyen fra tradisjonelle IT-tjenester Regulatoriske føringer og virksomhetskrav Gjelder for alle eksterne IT-tjenester, men det kan være tyngre å få dokumentert etterlevelse i en offentlig nettsky Et stort antall kunder vil ofte medføre begrensede muligheter for kundespesifikk innsyn og revisjon Leverandøren kan også være underlagt andre lands krav og lovverk som gjør det vanskelig å fremme egne/norske krav Spesielt relevant er dette i relasjon til; Personopplysningsloven Regnskapsloven Helseregisterloven Føringer fra Finanstilsynet Samt for egne virksomhetskrav 14

Hva skiller nettskyen fra tradisjonelle IT-tjenester Terminering og flytting av leveranser Egne virksomhetsløsninger flyttes inn i fellessystemer med tilhørende drifts- og forvaltningsmetodikk eid av leverandøren Det er da viktig å ha avklart vilkår for terminering av leveransen, enten det initieres fra kunde- eller leverandørsiden Hvem eier hva Hvilke format kan data utleveres i Hvordan slettes data (kan ofte være umulig å garantere) Hvilke hjelpeverktøy er tilgjengelig ved flytting av data, etc. 15

Cloud adaption level Oppsummert vil graden av standardisering og industrialisering avgjør kundens påvirkning i kontrakt og leveranser ERVY s Managed IT services EVRY s Cloud based services Highly customizable Partly customizable Specialized Generic high volume Operational Services (classic) Infrastructure Utility Services Private Cloud Public Cloud Community Shared production Partly self serviced Self-serviced and automated delivery Converged infrastructure prepared for fast delivery Standardized service modules, shared skill pools and basic infrastructure Delivery industrialization level 16

Veiledning ved anskaffelse av nettskytjenester Anskaffelsesprosess Der tjenesten kjøpes løpende online, vil selve bestillingen bety aksept av avtalevilkår og betingelser Bruk støtteverktøy og maler i behovsspesifisering og utforming av forespørsel CloudStore Community UK Cloud services approved by HM Government Pass på å gi åpning for både tradisjonelle ITtjenester og nettskytjenester Det bør være enkelt for leverandørene å svare på om de oppfyller kravene Forstå rasjonale for leverandørens standardvilkår Særskilte kundekrav kan fort bli prisdrivende eller ekskluderende Lokale leverandører har ofte mer rom for tilpasninger i tjenester og vilkår 17

Dataforeningens Veileder for nettskytjenester Avtalekrav til tjenestene DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Veiledning ved anskaffelse av nettskytjenester Avtalekrav til tjenestene Krav til funksjonalitet SLA-krav og sanksjoner ved brudd «Rask utbedring av generelle mangler, men treg retting av kundespesifikke problem» SLA på sikkerhets- og katastrofehåndtering? Vurder mulige ansvarsfraskrivelser Krav til ansvar ved tap av data «Du får refundert 12 mnd. avtalekost» Ansvarsfraskrivelser Krav til samhandling og rapportering Krav til endringer i tjenestene Prismodeller «Forbruksbasert pris ga uventet utslag» Google har flere linker (URL) til selvstendige og «levende» avtalevilkår, f.eks. SLA og privacy policy

Veiledning ved anskaffelse av nettskytjenester Øvrige avtalemessige krav Rettigheter kunde/leverandør Oppsigelse og avslutning Krav til tilgang til data Partsspesifikke krav Krav til informasjonssikkerhet Generelle krav til behandling av personopplysninger NSA overvåkningsprogram PRISM

Veiledning ved anskaffelse av nettskytjenester Øvrige veiledninger, rammeverk og kilder 21

Veiledning ved anskaffelse av nettskytjenester Oppsummering Samme leveranse - Forskjellig leveransemodell Dette påvirker anskaffelsesprosess, avtaleverk og løpende leverandøroppfølging Stor fokus på sikkerhetsutfordringer i dag mye av dette vil bli løst eller akseptert Skillet mellom tradisjonelle tjenester og nettskytjenester vil gradvis forsvinne 22

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding