Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.

1

Nasjonale grenser i Nettskyen?

Advokat Arve FøyenFØYEN Advokatfirma DA

2

Hva er ASP og hva er SaaS (juridisk)?Fellestrekk:

– Leveranse av en tjeneste– Programvaren befinner seg hos leverandøren– Tjenesten omfatter disponering av program som

leverandøren har lisens til• ASP – Application Service Provider

– ASP er levering av tjenester fra et ”datasenter” eiet eller operert av leverandøren mer vekt på ”driftstjenester”

– Mer fokus på drift av applikasjonen enn på innsikt i selve forretningsprosessene mv

• SAAS – Software as a Service omfatter i tillegg– shared services og derved betydelig reduksjon i

kostnader – mer vekt på genuin kunnskap om tjenestene

3

ASP/SaaS vs kjøp av programvare

• Kjøp – kjøp av ”lisens”, ”bruksrett” eller ”disposisjonsrett” (dvs. lisensiering)– Kunden får disposisjonsrett til selv å ha

ett eller flere eksemplar av programmet

• ASP – SaaS– Leverandøren har lisens til programvare

og lisensen omfatter rett til å drive henholdsvis ASP eller SaaS-virksomhet ved hjelp av programvaren

4

Leverandørens posisjon ASP/SaaS

• Bindeledd mellom kunde og programvareleverandør– Ikke love kunden mer enn hva avtalen med

programvareleverandøren tillater– Back-to-back mht. evt. bruksbegrensninger– Back-to-back mht. evt. krav fra kunden– Varighet og oppsigelse

5

6

Ask Larry: What the hell is Cloud computing

Includes everything that we already do

” Includes everything that we already do”

”complete gibberish”

”fashion driven”

”We’ll just change the wording on some of our ads”

7

Hva er Cloud computing• Cloud Computing refererer til både

– Applikasjoner levert som tjenester over Internett– Tilgang til hardware og system software som

tilgjengeliggjøres i datasentrene som leverer slike tjenester

– Tjenestene i seg selv har lenge blitt referert til som Software as a Service (SaaS)

– Datasenter hardware og software blir gjerne referert til som ”a Cloud”

8

Cloud computing kan fremstå som noe helt nytt

• Men det betyr ikke at det foregår i lovtomt rom• Idéen er ikke ny (ASP på slutten av 90-tallet),

deretter SaaS– Nye måter å presentere på – Ny utbredelse i bruk– Nye kontraheringsmåter– Globale tjenester

• Både for bedrifter og forbrukere• Geografisk uavhengig

9

Cloud er ikke outsourcing• Kontrakter av kortere varighet og uten binding:

– Timer, dager eller uker er gjerne tidshorisonten– Outsourcing er gjerne fler-årige kontrakter

• Kapasiteter og innhold etter behov: – Cloud gir nær umiddelbar opp- og

nedskaleringsmulighet for ressurser • Cloud computing krever ikke noen up-front

investeringer– Kapitalkostnader absorberes i det løpende

vederlaget • I den egentlige form for Cloud computing vet ikke

kunden hvor applikasjoner og data befinner seg til enhver tid

10

Sammenlikningen med kraftverkKraftverk• Plugg i veggen forbinder deg

til – Infrastruktur (monopolist) – Selvvalgt kraftprodusent

(konkurranse)• Betal kraft og

infrastrukturleie etter forbruk

• Separat avtale med Kraftprodusent

Cloud• Plugg i veggen forbinder deg

til– Infrastruktur

(konkurranse)– Selvvalgt leverandør av

Cloud tjenester– Betal infrastruktur-

leverandør separat– Betal applikasjonsbruk,

lagring osv separatForskjell:• Dine data overføres til, blir

behandlet og lagret ett eller annet sted i nettskyen

11

Tjenestetyper• Lagring som tjeneste• Databasehosting som tjeneste• Informasjon som tjeneste• Prosessering som tjeneste• Applikasjon som tjeneste• Plattform som tjeneste• Integrasjon som tjeneste• Sikkerhet som tjeneste• Styring/ledelse som tjeneste• Testing som tjeneste

12

SPONSORER

Juridiske hovedpunkter

• Avgrensning av CC• Regulatorisk juridiske problemstillinger• Kontraktsmessige problemstillinger• Problemstillinger for involverte parter

13

Cloud leverandør

Sluttbruker

Leverandør av tjenester til sluttbrukere

Avtale Avtale

Ikke noe direkte avtaleforhold som kan kreves gjennomført

Avgrensning – hvem er deltakere

14

Regulatoriske problemstillinger- Datasikkerhetskrav

• Ansvar for datasikkerhet handler om juridiske problemstillinger

• Implementering av datasikkerhet handler mest om teknologiske løsninger

• Dataeier mister den fysiske kontrollen over data – avhengig av utenforstående og overlater fysisk

kontroll– Uavhengig av egne investeringer i utstyr og i lokaler

mv for utstyr • Data lagres i datasentre med strenge sikringstiltak og høy

grad av redundans og driftssikkerhet– Viktig med avtalemessig sikring av at

implementeringen blir tilfredsstillende

15

Regulatoriske problemstillinger- Personvern og Datasikkerhet

• Lovgivning stiller krav om oppbevaring og sikring og av data, f. eks– Sikkerhetsloven– Personopplysningsloven, – Bokføringsloven (oppbevaring i Norge) – IKT-Forskriften (utkontraktering og dokumentasjon)– Personal opplysninger– Helsejournaler– Skatteopplysninger

• Lovgivningens krav til oppbevaring varierer og er kompliserte - fragmentariske

16

Regulatoriske problemstillingerf.eks: Personopplysningsloven

– ”Behandlingsansvarlig” og ”Databehandler” i Cloud• Krav om databehandleravtale• Lovpålagt krav om sikring av data – må følges opp i

avtale overfor Cloud leverandøren – Kan ikke fravikes i avtale

• Hvor befinner data seg?• Overføring av data til utland

– Regler som gir tilgang til data er forskjellige • FRA-loven i Sverige• US patriot Act og liknende lovgivning• Tilgang til elektroniske bevis i tvistesaker

(straffesaker og sivile saker)

17

SPONSORER

Noen kontraktsmessige problemstillinger• Leveringsansvar og SLA• Priser og prisingsstruktur• Sikkerhet og kontroll med data• Personvern overholdelse av lovgivning• Lagring – Geografisk• Grensesnitt og integrasjon med

spesialtilpassede systemer mv• Kontroll og oppfølging – Revisjonsadgang• Ansvar og ansvarsfraskrivelse• Lovvalg og jurisdiksjon

18

Leveringsansvar og SLA• Leveransebeskrivelse (vesentlig mislighold av

kontrakt)– Spørsmål om hvordan leveransen er beskrevet og

hvor stort avvik som faktisk leveres– Det gis få eller ingen ”garantier” for kvalitet –

tjenestene leveres ”as is”– Oppetidskrav og skalerbarhet– Håndtering av oppgraderinger og kostnader ved

dette– Behandlings- og svartider– Tjenestekontinuitet og flyttbarhet

19

Priser og prisingsstruktur• Er prisangivelsen transparent og slik at man

kun betaler for reelt forbruk– Faktisk lagring utnyttet– Applikasjoner etter forbruk– Prosesseringskapasitet etter forbruk– Oppgraderingskostnader mv– Oppstart og termineringsavgifter (flytteutgifter)

• Vil leverandøren ha rett til å foreta ensidige prisendringer

• Avgifter – MVA problematikk• Valuta og valutarisiko

20

Sikkerhet og kontroll

• Stor spennvidde – individuelle behov• Forskjellige typer tjenester, tjenestenivå krav,

data og sluttbrukere• Brukerne må vurdere risiko og stille opp sine

kritiske krav før valg av tjeneste• Valg av tjeneste må gjøres ut fra

– Krav til beskyttelse av aktuelle data – Hva data og resultater skal benyttes til– Krav som gjelder oppbevaring og

myndighetskontroll

21

Sikkerhet og kontroll (forts)

• Fire prinsipp som er viktige for informerte valg:1. Krav til at Cloud leverandør sin arkitektur,

infrastruktur og tilhørende sikkerhets kontroller tilfredsstiller anerkjente kriteria, f.eks ISO 27000

2. Robuste tilgangskontroll og autentiseringsløsninger for tilgang til data og systemer

3. Tjenestene må være til å stole på over tid, (tilgjengelige og sikre)

4. Applikasjoner må på vanlig måte testes grundig før de settes i operativ drift.

22

Interoperabilitet og flyttbarhet

• Integrasjon med løsninger som forvaltes og driftes internt

• Grensesnitt for dataflyt til andre løsninger• Datastrukturer og overførbarhet til andre

leverandører (tiltak mot ”innelåsing”)• Sikkerhet for eiendomsrett til data og

datastrukturer

23

Personvern - overholdelse av lovgivning• Avtalen må plassere ansvaret for overholdelse

av Personvernlovgivningen riktig• Det må avtales bruksbegrensninger i avtalen i

forhold til krav i lovgivningen - ”databehandleravtale”– Formål – ikke-bruk av Cloudleverandør– Geografisk plassering– Sikring og tilgangskontroll– Krav til retting, sletting og supplering mv.– Krav til innsyn fra datasubjekter

24

Grensesnitt og integrasjon med spesialtilpassede systemer mv

• Grensesnitt og avtale om standardiserte APIer er viktig

• Fokus i avtalen på – forutsigbarhet mht grensesnitt, – varslingstider mv før innføring av endringer vedr

Grensesnitt

25

Kontroll og oppfølging – Revisjonsadgang

• Dataeier har en klar egeninteresse i å kunne etterprøve at data oppbevares og behandles i henhold til gjeldende krav

• Lovgivningen stille mange krav til dataeier – Må ha adgang til kontroll, revisjon og innsyn for å

forsikre seg om at lovgivningens krav overholdes– Dataeier må i avtale med Cloud-leverandør sørge

for å skaffe seg hjemmel for slik kontroll mv

26

Mangelfulle kontrakter• De vanligste standardkontraktene er utilfredsstillende mht

ansvar for – Kvaliteten på leveransene og kontinuitet og tilgjengelighet på

leveransene over tid– Tilfredsstillende back-up og recovery fra alvorlige hendelser– Beskrivelse av exit og hvorledes Kunden enkelt skal kunne bytte

leverandør av tjenester– Sikkerhet for lagrede data– Tilbakelevering av kundenes data ved avslutning av

kontraktsforholdet– Benchmarking– Endringer i eierskap eller kontroll og styring av leverandøren– SLA og straffe/belønningssystemer

• Individuelle avtaler bør forhandles, der slike elementer er vektlagt etter behov.

27

Lovvalg og jurisdiksjon• Når avtalen misligholdes

– Hvilket land sin lovgivning gjelder for tolkning og gjennomføring av avtalen

– Hva slags domstol skal benyttes• Ordinære domstoler eller voldgift

– Hvor (geografisk) skal sak føres• Vil en dom fra vedkommende land kunne

tvangsfullbyrdes der avtalemotparten holder til?– Finnes avtale (mellom stater) om gjensidig

anerkjennelse av dommer i sivile saker?• Innen Eu/EEA (ikke Lichtenstein) –

Luganokonvensjonen• Ikke med viktige og sentrale land forøvrig

28

SPONSORER

Spørsmål?