Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Transkript

1 Molnets möjligheter och utmaningar IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

2 Agenda On-premises vs cloud för- och nackdelar med en molnbaserad lösning Förhandla molnavtal går det? Personuppgifter i molnet vad ska du tänka på?

3 Cloud, Cloud Computing om molntjänster Cloud, Moln, It-moln, big data, cloud computing. Teknik där stora skalbara resurser, t.ex. program, lagring och funktioner, tillhandahålls som tjänster via internet Användaren har inte kontroll över infrastrukturen Underlättar arbete oberoende av tid och plats, från olika enheter Exempel: SaaS: program som tjänst PaaS: OS, databaser, web server IaaS: infrastruktur som tjänst, t ex lagring nätverkskapacitet, testmiljöer

4 On-premises vs cloud för- och nackdelar med en molnbaserad lösning

5 Molnbaserad lösning vs on-premiseslösning Molnet Kunden har inte samma kontroll som vid on-premises licenser Kan vara enklare licensmodeller än vid on-premises licens men också risk för tillkommande kostnader Inte lika stort behov av licensrevision leverantören har kontroll Men traditionella audit -bestämmelser lever ändå kvar Leverantören ser överanvändning direkt Eftersom leverantören har bättre kontroll på överanvändning bör man som kund kräva att leverantören meddelar kunden inom viss tid Undvik straffavgifter Tidsbegränsad licens On-premises Kunden kontrollerar sin data Men innebär det med automatik bättre säkerhet? Bestämmelser om licensrevision ofrånkomliga Överanvändning uppmärksammas vid licensrevision Undvik straffavgifter Eviga licenser (med software assurance)

6 Molnbaserad lösning vs on-premiseslösning, forts Molnet Personuppgiftslagstiftningen blir tillämplig Kan utgöra utkontraktering = specifika regulatoriska regler kan bli tillämpliga T.ex. banker Data blir tillgängligt utanför Sverige/EU tillåter kundens policies det? Sekretess Säkerhet On-premises Personuppgiftslagstiftning tillämplig endast i begränsad utsträckning För verksamheter under tillsyn (t.ex. banker) typiskt sett ingen utkontraktering = specifika regulatoriska regler blir inte tillämpliga Data stannar hos kunden

7 Utmaningar när man förhandlar molnavtal

8 Molnavtalet Många likheter med traditionellt outsourcingavtal Men vissa specifika egenskaper Standardiserade tjänster Standardiserade villkor Risk för inlåsningseffekter Kundens kontroll minskar Även villkoren för on-premiseslicenser är standardiserade

9 Går det att förhandla molnavtal? Allt från amerikanska jättar (IBM, Microsoft, Google, Amazon) till små svenska start-ups såsom Storegate, Projektplatsen, Citycloud). Kultur av amerikanska avtal med omfattande ansvarsfriskrivningar som ofta kunden accepterar utan att läsa (för enkelt att beställa?). Förhandlingsmöjlighet beror givetvis på kund och storlek av affär men det går och är ofta absolut nödvändigt om kunden vill minska risker och uppfylla legala krav.

10 Hur ska kunden veta vad den köper? Tjänstespecifikationen Hjärtat i avtalet. I en bra tjänstebeskrivning bör det tydligt framgå vilka tjänster som ska utföras. men hur tydligt är det när man köper molntjänster? Off the shelf karaktär ställer krav på att kunden noggrant har kontrollerat att tjänsten är rätt för det kunden behöver. Vanligt med länkar till mer eller mindre luddiga beskrivningar av tjänsternas innehåll. Kräv beskrivningar i form av dokument Begränsningar i felansvar Materially Men förekommer även i standardiserade on premises licensavtal

11 Levande tjänster, ändringshantering Ändring av tjänsterna naturlig del av molntjänster (delvis det man köper), men hur vet man att det inte försämras? Överenskommen ändring vs leverantörens ensidiga Ensidig ändring vanligast och kanske omöjligt att förhindra till viss del Försök få till en baseline från vilken det inte får bli sämre särskilt med tanke på säkerhet. Materially?

12 forts. Levande tjänster, ändringshantering Byte av underleverantörer Vanligast: bara ett faktum man ska acceptera? Kräva godkännande i förväg Rätt att säga upp om ej godkänner ny underleverantör?

13 Säkerhet Do or die för leverantörerna! Men vad lovar de i avtalet om det otänkbara händer? Leverantören hänvisar ofta till webbplats med beskrivning Kräv beskrivningar i form av dokument Uppfylls kundens interna säkerhetspolicies och regulatoriska krav? Reglera även: behörighetskontroll inklusive administrativa rutiner för denna loggning och spårbarhet rutiner för incidenthantering och rapportering skydd mot skadlig kod säkerhetskopiering kryptering ( lock box ) Risk- och sårbarhetsanalys (se nästa bild) Business continuity och disaster recovery Ansvaret för förlust av data ska regleras ofta undantaget från leverantörens ansvar Etablerade standarder på området SOC I (SSAE 16/ISAE 3402, SOC 2 and SOC 3, ISO räcker det att hänvisa till dessa?

14 8 oktober 2015 Sekretess Ömsesidigt sekretessåtagande Se upp för Customer data carve out! Kontrollera att kundens information inte får lämnas ut till tredje man lämnas ut till annan personal hos leverantören än sådan som arbetar med tjänsten användas för andra ändamål än för att leverera tjänsten Leverantören ska teckna sekretessförbindelse med personal + underleverantör som arbetar med tjänsten Särskilda krav: Kundens data måste förvaras åtskild från övriga kunders information (?) Spårbarhet, krypteringskrav Banksekretess m.m. (längd på åtagande m.m.)

15 Avstängning och exit (generellt) Avstängning av tjänsten När och under vilka förutsättningar Ofta låga krav för när leverantören ska ha rätt till detta hög risk! Undvik lock-in (exit-hantering) Leverantören ska biträda kund vid överföring till ny leverantör eller tillbaka till kund Ingen rätt för leverantören att hålla inne data Detaljerad reglering krävs, skyldighet att hjälpa till På vilket sätt ska migrering av data ske? I vilket format? Kostnad? Skyldighet för leverantören att återlämna/radera data. Skäliga uppsägningstider ett måste för kunden, oavsett grund för uppsägning

16 Leverantörens ansvar Ansvarsbegränsning: Vad är vanligt, vad är rimligt? Ensidig, ömsesidig(?) Ansvar för kundens data och efterlevnad av sekretess, PUL/GDPR? Friskrivningar, förlust av data, force majeure

17 8 oktober 2015 Lagval och tvistlösning Möjlighet att avtala om tillämplig lag Svensk lag? Om utländsk rätt risk/svårighet om kunden har verksamhet i flera länder Domstolsförfarande Svårt med verkställbarhet i land utanför EU Skiljeförfarande Verkställbarhet i de flesta länder

18 Personuppgiftsbehandling i molnet

19 PUL i molnet Personuppgiftsbehandlingen flyttas till molnet Det är kunden som är personuppgiftsansvarig Leverantören är personuppgiftsbiträde Behandling utanför EU/EES (?) Frågan om behandling av personuppgifter är central för molnavtalet Lagstiftningen utgår ifrån att det är klarlagt: var uppgifterna lagras; vilka som behandlar dem och vilken behandling som utförs; och att det är kunden som ansvarar.

20 Personuppgiftsbiträdesavtalet PUL krav på innehåll i 30 -nya krav enligt GDPR Kompletteras med Datainspektionens krav och Artikel 29-gruppens uttalanden: Biträdesavtal ska tecknas med varje biträde och underbiträde alt. ge mandat till biträdet Villkoren ska vara urskiljbara från övriga villkor i avtalet Villkoren ska inte ensidigt kunna ändras av personuppgiftsbiträdet

21 Överföring av personuppgifter till tredje land Rättsliga grunder: 1. adekvat skyddsnivå 2. SCC 3. BCR 4. Privacy shield post Safe Harbor Efter EU-domstolens dom om underkännande av Safe Harbor även självständig rättslig analys! Bilaga till personuppgiftsförordningen lista med tredje länder med adekvat skyddsnivå.

22 Risk- och sårbarhetsanalys (PUL) Innan leverantören anlitas, dvs. innan bindande avtal ingås Finns standarder/checklistor, t.ex. från ENISA, OBS! ska inte användas mekaniskt, kan skilja sig mellan olika molntjänster Cloud Security Alliance 5-stegsmodell Skriftlighet / ska dokumenteras! Lämplig säkerhetsnivå? klassificera data utifrån integritetsrisk (antalet personer, mängden uppgifter och känslighet?)

23 Utmaningar med den nya dataskyddsförordningen Bland annat: Strängare sanktioner Behov av reglering av fördelning av ansvar mellan kund och leverantör i avtalet Krav på mer utförliga instruktioner från kunden Fylligare personuppgiftsbiträdesavtal Underrättelse till Datainspektionen vid data breach

24 Peter Nordbeck / Partner / Advokat Direkttelefon: Mobiltelefon: peter.nordbeck@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17 / Stockholm, Sweden Telefon: / Fax: / delphi.se

25