JURIDIKEN I MOLNET CIO Cloud Confessions 22 oktober 2015 Eva Fredrikson och Nicklas Thorgerzon Informationen i presentationen är allmänt hållen och varken kan eller ska ersätta juridisk rådgivning i det enskilda fallet. De allmänna villkor som gäller för våra tjänster är tillgängliga på www.vinge.se
2
Användning av molntjänster - begränsande faktorer Fyra av tio företag köper molntjänster Två av tio företag använder gratis molntjänster Vanligast är fillagring, e-post och databastjänster Begränsande faktorer 1) Otillräcklig kännedom om molntjänster 2) Osäkerhet om lokalisering av data (personuppgifter) 3) Bristande säkerhet 4) Osäkerhet om tillämplig lag och tvister 5) Svårigheter att avsluta tjänst och byta leverantör Källa: SCB Företagens användning av IT 2014 3
1. Skapa kännedom om och kontroll över molntjänsten Avtal Förhandlat avtal eller click wrap? Leverantörens standardavtal (IT&Telekomföretagen) Kammarkollegiets ramavtal Kontorsstöd som molntjänst Checklistor (Cloud Sweden) Interna riktlinjer för avtalsingående Specifikation Vad ingår i molntjänsten? Kan kunden visa fel och brister i tjänsten (jfr specifikationen)? Genomför due diligence Kräv tydlig specifikation Analysera affärskritiska villkor 4
2. Skapa kontroll över data i molntjänsten [ ] ansvarar Leverantören inte för lagring eller säkerhetskopiering av Kundens data [ ] Leverantören får anlita underleverantör för fullgörande av Tjänsten [ ] Leverantören får tillhandahålla hela eller delar av Tjänsten från ett annat land [ ] Ingen back-up eller säkerhetskopiering Om leverantören fritt får bestämma = osäkerhet var data finns Leverantören måste kunna redovisa var och vilka bolag som hanterar data Reglera äganderätt till data och hur data får användas Avtala om back-up, underleverantörer och lagringsplats 5
2. Skapa kontroll över personuppgifter i molntjänsten Beställaren ansvarar för behandling av personuppgifter Leverantören är personuppgiftsbiträde Biträdesavtal Följa kundens instruktioner Vidta lämpliga säkerhetsåtgärder Underleverantörer Möjlighet till revision Åtgärder vid avtalets upphörande Överföring utanför EU (jfr. Safe Harbour) Säkerställ korrekt biträdesavtal Genomför risk- och sårbarhetsanalys 6
3. Skapa kontroll över säkerhetsnivån Risk- och sårbarhetsanalys Personuppgiftsbehandling Risknivå för personuppgifterna? Risk för behandling för andra ändamål? Risk för förelägganden/övervakning? Säkerhetsnivå Risk för obehörig åtkomst? Risk för avbrott i tjänsten? Risk för förlust av data? Alternativ NB Ofta säkerhetsfördelar 7
4. Skapa kännedom om och kontroll över tvistlösning Vad händer vid avtalsbrott? SLA exklusiv påföljd? Avhjälpande, prisavdrag, hävning, skadestånd Ansvarsbegränsning Tak för direkta skador Friskrivning för indirekta skador (förlust av data)? Force majeure Tvistlösning Gällande rätt Domstol eller skiljeförfarande, land Analysera leverantörens ansvar Planera för tvistlösning 8
5. Skapa kontroll över exit och avveckling Risk för inlåsningseffekter? Avtalstid och uppsägningstid Avtala om: Säkra åtkomst till data och affärskritiska system Samarbete vid överlämning till ny leverantör Format för överlämning av data Skyldighet att förstöra data Identifiera alternativ Reglera åtaganden vid avveckling 9
Tänk på Se över interna riktlinjer Gör en due diligence Analysera avtalsvillkor/säkerhetsnivå Gör en riskbedömning Upprätta policy Planera för avveckling 10
Kontakt EVA FREDRIKSON Delägare, Advokat IT, Teknik & Telekom NICKLAS THORGERZON Advokat IT, Teknik och Integritetsskydd Direkt: 010 614 30 42 Mobil: 070 714 30 42 Email: eva.fredrikson@vinge.se Direkt: 010 614 31 55 Mobil: 070 714 31 55 Email: nicklas.thorgerzon@vinge.se 11
STOCKHOLM GÖTEBORG MALMÖ HELSINGBORG BRYSSEL www.vinge.se