OUTSOURCING TILL MOLNET CIO Sourcing 4 juni 2015 Eva Fredrikson och Nicklas Thorgerzon Informationen i presentationen är allmänt hållen och varken kan eller ska ersätta juridisk rådgivning i det enskilda fallet. De allmänna villkor som gäller för våra tjänster är tillgängliga på www.vinge.se
2
Användning av molntjänster - begränsande faktorer Fyra av tio företag köper molntjänster Två av tio företag använder gratis molntjänster Vanligast är fillagring, e-post och databastjänster Begränsande faktorer Otillräcklig kännedom om molntjänster Osäkerhet om lokalisering av data Bristande säkerhet Svårigheter att avsluta tjänst och byta leverantör Osäkerhet om tillämplig lag och tvister Källa: SCB Företagens användning av IT 2014 3
Juridiken mörka moln vid horisonten? Avtalsförhandling Avtalet upphör Specifikation SLA Tvistlösning Cloud Computing Informations- säkerhet Ansvars- begränsningar Licenser / Upphovsrätt PUL 4
Avtalsvillkor och avtalsförhandling Förhandlat avtal eller click wrap? Standardavtal Cloud Computing version 2010 från IT&Telekomföretagen Kammarkollegiets ramavtal Kontorsstöd som molntjänst Cloud Sweden Checklistor Analysera förhandlingsposition Identifiera affärskritiska villkor 5
Specifikation av molntjänsten Specifikationen: Den specifikation över innehållet i Tjänsten som finns i Avtalet eller på i Avtalet angiven domänadress. Leverantören ska utföra sina uppgifter på ett fackmannamässigt sätt. Tjänsten ska, om annat inte framgår av Specifikationen, utföras enligt de metoder och standarder som leverantören normalt tillämpar för denna typ av tjänst. Vad ingår i Tjänsten? Vad är fackmannamässigt och vilka metoder och standarder tillämpar leverantören normalt? Svårt för kunden att hävda fel och brister i tjänsten Genomför due diligence Kräv tydlig specifikation 6
Data i molntjänsten [ ] ansvarar Leverantören inte för lagring eller säkerhetskopiering av Kundens data [ ] Leverantören får anlita underleverantör för fullgörande av Tjänsten [ ] Leverantören får tillhandahålla hela eller delar av Tjänsten från ett annat land [ ] Ingen back-up eller säkerhetskopiering Om leverantören fritt får anlita underleverantörer och leverera från annat land = osäkerhet var data finns Reglera äganderätt till data och hur data får användas Avtala om back-up, underleverantörer och lagringsplats 7
Personuppgifter i molntjänsten Beställaren ansvarar för behandling av personuppgifter Leverantören är personuppgiftsbiträde Biträdesavtal Följa kundens instruktioner Vidta lämpliga säkerhetsåtgärder Underleverantörer Överföring utanför EU Möjlighet till revision Åtgärder vid avtalets upphörande Följa svensk lag Säkerställ korrekt biträdesavtal Genomför risk- och sårbarhetsanalys 8
Risk- och sårbarhetsanalys Personuppgiftsbehandlingen Risknivå för personuppgifterna? Risk för att personuppgifterna behandlas för andra ändamål? Risk för förelägganden/övervakning? Säkerhet Risk för obehörig åtkomst? Risk för avbrott i tjänsten? Risk för förlust av data? Alternativ Organisationens riskacceptens NB Ofta säkerhetsfördelar 9
Vem bär ansvaret? COMPANY COMPANY ASSUMES NO X RESPONSIBILITY AND ITS LICENSORS FOR THE PROPER COMPANY COMPANY IN NO EVENT X DOES X NOT [WILL SHALL WARRANT NOT] COMPANY BE LIABLE X S LIABILITY THAT THE FOR FUNCTIONS ANY DIRECT, INDIRECT EACH SERVICE MAY CONTAIN BUGS, ANY CONTAINED [OR] CONSEQUENTIAL USE [OF IN USE OF THE THE THE SERVICES] DAMAGES INCLUDING DAMAGES FOR WILL DEFECTS, ANY SHALL MAKE SERVICE FOR BE CLAIM UNINTERRUPTED INTERRUPTION BE NO ERRORS [AND] ARISING AT WARRANTY MAKE CUSTOMER'S AND OUT NO OF OTHER OR REPRESENTATIONS OF USE ANY ERROR OWN PROBLEMS OR RELATING KIND, FOR ABOUT RISK. FREE. LOSS TO OR INACCURACY OR CORRUPTION OF DATA. THAT COULD CAUSE SYSTEM FAILURES. ANY WHETHER THIS CONTENT AGREEMENT EXPRESS, OR INFORMATION EXCEED IMPLIED, FIVE MADE STATUTORY HUNDRED ACCESSIBLE DOLLARS OR BY OTHERWISE. SERVICE. ($500).
Vad händer vid avtalsbrott? Ansvarsbegränsning Tak för direkta skador Friskrivning för indirekta skador? Ansvar för data och förlust av data Force majeure SLA exklusiv påföljd? Tvistlösning Gällande rätt Domstol eller skiljeförfarande, land Alternativa tvistlösningsmetoder Analysera leverantörens ansvar Planera för tvistlösning 11
När avtalet upphör Risk för inlåsningseffekter? Leverantören i konkurs Avtala om: Säkra åtkomst till data och affärskritiska system Samarbete vid överlämning till ny leverantör Format för överlämning av data Skyldighet att förstöra data Identifiera alternativ Reglera åtaganden vid avveckling 12
Tänk på Se över interna riktlinjer Gör en due diligence Analysera avtalsvillkor/säkerhetsnivå Gör en riskbedömning Upprätta policy Planera för avveckling 13
Kontakt EVA FREDRIKSON Delägare, Advokat IT, Teknik & Telekom NICKLAS THORGERZON Advokat IT, Teknik och Integritetsskydd Direkt: 010 614 30 42 Mobil: 070 714 30 42 Email: eva.fredrikson@vinge.se Direkt: 010 614 31 55 Mobil: 070 714 31 55 Email: nicklas.thorgerzon@vinge.se 14
STOCKHOLM GÖTEBORG MALMÖ HELSINGBORG BRYSSEL www.vinge.se