Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster
Cloud Sweden Oberoende kompetensnätverk Analys & Konsultbolag Leverantörer Kunder Dataföreningen Startat i mars 2010 Predrag Mitrovic & Inger Gran LinkedIn, Dataföreningen 1500+ medlemmar
Verksamhet Leverantör Kravställning (säkerhet, upphandling, processer)
Vad är Molnet? Skillnaden för kunden är att: Molnleverantören tar ansvar för att köpt funktionalitet levereras och utvecklas hela vägen till slutanvändaren En traditionell IT-leverantör ansvarar för att funktionaliteten levereras och utvecklas till IT-avdelningen. Detta innebär att skillnaden mellan en molntjänst och traditionell IT börjar redan när tjänsten utvecklas.
Vad är Molnet? Undvik begreppsförvirring National Institute of Standards and Technology (NIST) Fem egenskaper hos en molntjänst 1. Självbetjäning (On Demand Self service) 2. Internetdistribuerad (Broad network access) 3. Delade resurser (Resource Pooling) 4. Flexibel (Rapid Elasticity) 5. Mätbar (Measured Service)
Vad är Molnet? Tre leveranssätt av molntjänster 1. Software as a Service (SaaS); Leverans av färdiga eller konfigurerbara applikationer över Internet Fortnox, Google apps 2. Platform as a Service (PaaS); Plattformar i molnet där användaren installerar sina egna applikationer Google app engine, Microsoft Azure 3. Infrastructure as a Service (IaaS); IT-infrastrukturella tjänster i nätet som t.ex lagring, nätverk och servrar Amazon EC2 med unika IP adresser, Rackspace
Vad är Molnet? Tre installationssätt 1. Publikt moln Molntjänsten ägs och hanteras av en leverantör som säljer resurser till flera kunder på samma infrastruktur 2. Privat moln Molntjänsten levereras på en infrastruktur dedikerad åt endast en kund och hanteras av kunden själv eller av leverantören. 3. Hybrid moln En blandning av 1 och 2
Legala aspekter på molntjänster Medverkande: Jens Forzelius (Hannes Snellman) Henrik Bergström (Hannes Snellman)
Allmänna rättsliga överväganden Due diligence undersökning av leverantörens ställning och historik legalt, tekniskt och finansiellt Riskanalys (publikt/privat) Förhandlat avtal, standardavtal eller click wrap Rättsliga hinder - särskilda säkerhetskrav - personuppgifter - börskrav - kryptering - redovisningen i molnet Informationssäkerhet Internationella aspekter personuppgiftsfrågor edition tvångsvis tillgängliggörande av information Upphandling offentlig upphandling offentlighetsprincipen arkivregler
Allmänna synpunkter på molntjänstavtal Standardvillkor och allmänna villkor Kundspecifika anpassningar Tjänstespecifikation Undvik att lämna öppna frågor Hur hanteras underleverantörer Tydliga krav på vad leverantören skall uppfylla om och när det upphör
Molntjänster i det offentliga Offentlighetsprincipen Arkivlagen Lagen om upphandling inom sektorerna vatten, energi, transporter och posttjänster (349/2007), dvs. försörjningslagen Bra villkor! Säkra flexibilitet?
Personuppgifter Utgångspunkter: var behandlas uppgifterna kunden ansvarar normalt för behandlingen av personuppgifter vilket lands lag gäller? Säkerhet: leverantören är personuppgiftsbiträde avtal och kontroll underleverantörer Överföring till tredje land: adekvat skyddsnivå samtycke standardavtals klausuler/safe Harbor Datainspektionens uttalanden
Konfidentialitet och kryptering Sekretessåtaganden Information bör inte fås ge ut till tredje man Föreläggande att lämna ut information Information får inte användas till annat ändamål Hur och på vilket sätt leverantören får övervaka samt samla in information om kunden Kryptering av känslig information
Krav på säkerhet Inom eller utom organisationen - skillnad? Etablerade standardar på marknaden skall åtminstone följas säkerhetspolicy behörighetskontroll inklusive administrativa rutiner för denna loggning och spårbarhet rutiner för incidenthantering och rapportering säkerhetskopiering Klargör leverantörens roll i kundens kontinuitetsplanering med leverantören Förvaring av uppgifter skall ske avskilt Back up och katastrofplan Vem skall bära ansvaret för förlust av data (stöld, intrång, tekniska fel)
Immateriella rättigheter Leverantören bör: garantera att nödvändiga immateriella rättigheter finns (i samtliga relevanta länder) åta sig ansvar för att nyttjande av tjänsten inte utgör intrång i tredje mans rätt Klargör att kunden äger oinskränkt rätt och behåller alla rättigheter till sin data minimera möjligheten för leverantören att använda uppgifterna för andra ändamål Egen/tredje mans programvara används i molnet tillåter kundens licensavtal användning i molnet? ansvar för intrång?
Avstängning och exit Avstängning bör som utgångspunkt inte vara tillåtet Skyldigheter för leverantören vid flytt eller tillbaka till kund När inträder skyldigheten (upphörande av hela/delar av avtalet och/eller viss specifik tjänst) Skyldighet att förstöra data
Lagval Avtalsförhållandet - Om inte reglerats - det land som avtalet har närmast anknytning till (troligen leverantörens i molnförhållanden) - Leverantörerna har ofta reglerat detta i sina allmänna villkor - Sträva alltid efter svensk rätt Tillämplig lag - Typ av händelse - Inte alltid möjligt för parterna att disponera frågan
Forum och jurisdiktion Reglera i vilket land eventuell tvist ska lösas (säte skiljeförfaranden) Domstol Skiljeförfarande
Hur går du vidare? Läs gärna våra dokument Cloud Sweden Vill du ha mer information Kontakta: jens.forzelius@hannessnellman.com