Juridikens betydelse när det oväntade händer Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå
Juridikens betydelse när det oväntade händer Informationsläckage Intrång Dataförlust System ligger nere Bristande tillgänglighet Oväntade fel i tjänst eller system Cyberattacker 2
Riskhantering Interna åtgärdsplaner, riskanalyser, rutiner, disaster recovery, säkerhets- och backupslösningar Försäkringsskydd Avtal - vältra över risken på en utomstående Ha en kombination av ovan! 3
Avtal - en försäkring mot katastrofer För att kunna utnyttja en leverantörs försäkringsskydd krävs grund i avtal Avtal med vem? 4
Avtal med vem vem kan göras ansvarig? Open source community Partner Leverantör/Licensgivare Underleverantörer Om ingen extern kan göras ansvarig Interna lösningar och avsättningar för risk blir viktigare 5
Partner Leverantör Avtal Kund Open source community 6
Ekonomisk situation? Partner Partnerns ansvar? Leverantör Avtal Kund Open source community Klarar avtalspartnerns ekonomi åtagandena? Försäkringsskydd? 7
Balansen i ett avtal Lågt pris Nytta Ansvar Risk 8
9
Balansen i ett avtal 10
Hur prioritera i ett avtal? Sannolikhet för incident? Vad kostar en incident (jfr prisbesparing)? Vilken risk är vi beredda att ta? Vilket ansvar ska vi ta? Hur allvarlig blir skadan? 11
Vad innebär ansvaret i praktiken? 12
Ansvar i avtal Klassiska påföljder: Skadestånd Viten Åtgärda fel/buggrättning 13
Ansvar i avtal Vad avtalar ni om? Läs Klassiska påföljder: Skadestånd Viten avtalsförslag! Åtgärda fel/buggrättning 14
Ansvarsbegränsningar Gränsen för vad leverantören ansvarar för Räkna på vad det blir matcha mot försäkringsskyddet! Behöver vi kräva större eller mindre ansvar? Är vi beredda att betala för det? 15
Exempel på begränsningar Ur IT&Telekomföretagens standardavtal för drift m.m. IT-Infrastrukturtjänster version 2014 (ersätter gamla IT-Drift) 16
Exempel på begränsningar Ur IT&Telekomföretagens standardavtal för drift m.m. IT-Infrastrukturtjänster version 2014 (f.d. IT-Drift) Indirekt skada ersätts sällan Förlorad vinst Produktionsbortfall Badwillskada Svårförutsebara följder av avtalsbrott Utebliven vinst eller indirekt förlust: 17
Exempel på begränsningar Ur IT&Telekomföretagens standardavtal för drift m.m. IT-Infrastrukturtjänster version 2014 (f.d. IT-Drift) 18
Tillgänglighet - SLA Risk för ett avbrott? Vad kostar ett avbrott er? Vilka behov har ni? Hur sker mätning? Reglera vite/påföljd räkna på utfall för olika exempel 19
20
97 % på ett år är nästan 11 dagar, men 21 timmar på en månad 21
Vem ansvarar för en cyberattack? Skriv in i avtalet hur ni vill ha det! 22
Ansvar i avtal alternativ? Klassiska påföljder: Skadestånd Viten Åtgärda fel/buggrättning Disaster recovery Aktivt åtagande att återställa Andra typer av påföljder där kund och leverantör arbetar tillsammans för att minska skada 23
Ansvar i avtal alternativ? Klassiska påföljder: Fundera över alternativa Skadestånd påföljder Viten Åtgärda fel/buggrättning Vilka åtgärder skulle Disaster recovery hjälpa er? Aktivt åtagande att återställa Andra typer av påföljder där kund och leverantör arbetar tillsammans för att minska skada 24
Dokumentation Kan du visa vad du förlorar? Innan det oväntade händer: Säkerställ att ni kan bevisa vad ni avtalat om (vad som lagrats, graden av säkerhetskopiering, etc.) Om det oväntade händer: Dokumentera och logga allt arbete ni gör och kräv att era samarbetspartners gör det samma! 25
Att förbereda sig för det oväntade: Slutsats Vem är avtalspart? Finns försäkringar? Väg risk mot nytta och förtjänst Var tydlig i avtalen! Gör en legal riskanalys Förutse olika scenarier vad kan vi få ut/ansvara för under avtalet? Vilket ansvar kan vi acceptera/kräva? Vilken assistens behöver vi vid en incident? 26
Kontakt Agnes Andersson Hammarstrand Advokat, Senior Associate T: +46 31 701 1718 M: +46 730 83 50 70 E: agnes.a.hammarstrand@setterwalls.se IT_advokaten på twitter