1 Nasjonale grenser i Nettskyen? Advokat Arve Føyen FØYEN Advokatfirma DA
May 20, 2015
1
Nasjonale grenser i Nettskyen?
Advokat Arve FøyenFØYEN Advokatfirma DA
2
Hva er ASP og hva er SaaS (juridisk)?Fellestrekk:
– Leveranse av en tjeneste– Programvaren befinner seg hos leverandøren– Tjenesten omfatter disponering av program som
leverandøren har lisens til• ASP – Application Service Provider
– ASP er levering av tjenester fra et ”datasenter” eiet eller operert av leverandøren mer vekt på ”driftstjenester”
– Mer fokus på drift av applikasjonen enn på innsikt i selve forretningsprosessene mv
• SAAS – Software as a Service omfatter i tillegg– shared services og derved betydelig reduksjon i
kostnader – mer vekt på genuin kunnskap om tjenestene
3
ASP/SaaS vs kjøp av programvare
• Kjøp – kjøp av ”lisens”, ”bruksrett” eller ”disposisjonsrett” (dvs. lisensiering)– Kunden får disposisjonsrett til selv å ha
ett eller flere eksemplar av programmet
• ASP – SaaS– Leverandøren har lisens til programvare
og lisensen omfatter rett til å drive henholdsvis ASP eller SaaS-virksomhet ved hjelp av programvaren
4
Leverandørens posisjon ASP/SaaS
• Bindeledd mellom kunde og programvareleverandør– Ikke love kunden mer enn hva avtalen med
programvareleverandøren tillater– Back-to-back mht. evt. bruksbegrensninger– Back-to-back mht. evt. krav fra kunden– Varighet og oppsigelse
5
6
Ask Larry: What the hell is Cloud computing
Includes everything that we already do
” Includes everything that we already do”
”complete gibberish”
”fashion driven”
”We’ll just change the wording on some of our ads”
7
Hva er Cloud computing• Cloud Computing refererer til både
– Applikasjoner levert som tjenester over Internett– Tilgang til hardware og system software som
tilgjengeliggjøres i datasentrene som leverer slike tjenester
– Tjenestene i seg selv har lenge blitt referert til som Software as a Service (SaaS)
– Datasenter hardware og software blir gjerne referert til som ”a Cloud”
8
Cloud computing kan fremstå som noe helt nytt
• Men det betyr ikke at det foregår i lovtomt rom• Idéen er ikke ny (ASP på slutten av 90-tallet),
deretter SaaS– Nye måter å presentere på – Ny utbredelse i bruk– Nye kontraheringsmåter– Globale tjenester
• Både for bedrifter og forbrukere• Geografisk uavhengig
9
Cloud er ikke outsourcing• Kontrakter av kortere varighet og uten binding:
– Timer, dager eller uker er gjerne tidshorisonten– Outsourcing er gjerne fler-årige kontrakter
• Kapasiteter og innhold etter behov: – Cloud gir nær umiddelbar opp- og
nedskaleringsmulighet for ressurser • Cloud computing krever ikke noen up-front
investeringer– Kapitalkostnader absorberes i det løpende
vederlaget • I den egentlige form for Cloud computing vet ikke
kunden hvor applikasjoner og data befinner seg til enhver tid
10
Sammenlikningen med kraftverkKraftverk• Plugg i veggen forbinder deg
til – Infrastruktur (monopolist) – Selvvalgt kraftprodusent
(konkurranse)• Betal kraft og
infrastrukturleie etter forbruk
• Separat avtale med Kraftprodusent
Cloud• Plugg i veggen forbinder deg
til– Infrastruktur
(konkurranse)– Selvvalgt leverandør av
Cloud tjenester– Betal infrastruktur-
leverandør separat– Betal applikasjonsbruk,
lagring osv separatForskjell:• Dine data overføres til, blir
behandlet og lagret ett eller annet sted i nettskyen
11
Tjenestetyper• Lagring som tjeneste• Databasehosting som tjeneste• Informasjon som tjeneste• Prosessering som tjeneste• Applikasjon som tjeneste• Plattform som tjeneste• Integrasjon som tjeneste• Sikkerhet som tjeneste• Styring/ledelse som tjeneste• Testing som tjeneste
12
SPONSORER
Juridiske hovedpunkter
• Avgrensning av CC• Regulatorisk juridiske problemstillinger• Kontraktsmessige problemstillinger• Problemstillinger for involverte parter
13
Cloud leverandør
Sluttbruker
Leverandør av tjenester til sluttbrukere
Avtale Avtale
Ikke noe direkte avtaleforhold som kan kreves gjennomført
Avgrensning – hvem er deltakere
14
Regulatoriske problemstillinger- Datasikkerhetskrav
• Ansvar for datasikkerhet handler om juridiske problemstillinger
• Implementering av datasikkerhet handler mest om teknologiske løsninger
• Dataeier mister den fysiske kontrollen over data – avhengig av utenforstående og overlater fysisk
kontroll– Uavhengig av egne investeringer i utstyr og i lokaler
mv for utstyr • Data lagres i datasentre med strenge sikringstiltak og høy
grad av redundans og driftssikkerhet– Viktig med avtalemessig sikring av at
implementeringen blir tilfredsstillende
15
Regulatoriske problemstillinger- Personvern og Datasikkerhet
• Lovgivning stiller krav om oppbevaring og sikring og av data, f. eks– Sikkerhetsloven– Personopplysningsloven, – Bokføringsloven (oppbevaring i Norge) – IKT-Forskriften (utkontraktering og dokumentasjon)– Personal opplysninger– Helsejournaler– Skatteopplysninger
• Lovgivningens krav til oppbevaring varierer og er kompliserte - fragmentariske
16
Regulatoriske problemstillingerf.eks: Personopplysningsloven
– ”Behandlingsansvarlig” og ”Databehandler” i Cloud• Krav om databehandleravtale• Lovpålagt krav om sikring av data – må følges opp i
avtale overfor Cloud leverandøren – Kan ikke fravikes i avtale
• Hvor befinner data seg?• Overføring av data til utland
– Regler som gir tilgang til data er forskjellige • FRA-loven i Sverige• US patriot Act og liknende lovgivning• Tilgang til elektroniske bevis i tvistesaker
(straffesaker og sivile saker)
17
SPONSORER
Noen kontraktsmessige problemstillinger• Leveringsansvar og SLA• Priser og prisingsstruktur• Sikkerhet og kontroll med data• Personvern overholdelse av lovgivning• Lagring – Geografisk• Grensesnitt og integrasjon med
spesialtilpassede systemer mv• Kontroll og oppfølging – Revisjonsadgang• Ansvar og ansvarsfraskrivelse• Lovvalg og jurisdiksjon
18
Leveringsansvar og SLA• Leveransebeskrivelse (vesentlig mislighold av
kontrakt)– Spørsmål om hvordan leveransen er beskrevet og
hvor stort avvik som faktisk leveres– Det gis få eller ingen ”garantier” for kvalitet –
tjenestene leveres ”as is”– Oppetidskrav og skalerbarhet– Håndtering av oppgraderinger og kostnader ved
dette– Behandlings- og svartider– Tjenestekontinuitet og flyttbarhet
19
Priser og prisingsstruktur• Er prisangivelsen transparent og slik at man
kun betaler for reelt forbruk– Faktisk lagring utnyttet– Applikasjoner etter forbruk– Prosesseringskapasitet etter forbruk– Oppgraderingskostnader mv– Oppstart og termineringsavgifter (flytteutgifter)
• Vil leverandøren ha rett til å foreta ensidige prisendringer
• Avgifter – MVA problematikk• Valuta og valutarisiko
20
Sikkerhet og kontroll
• Stor spennvidde – individuelle behov• Forskjellige typer tjenester, tjenestenivå krav,
data og sluttbrukere• Brukerne må vurdere risiko og stille opp sine
kritiske krav før valg av tjeneste• Valg av tjeneste må gjøres ut fra
– Krav til beskyttelse av aktuelle data – Hva data og resultater skal benyttes til– Krav som gjelder oppbevaring og
myndighetskontroll
21
Sikkerhet og kontroll (forts)
• Fire prinsipp som er viktige for informerte valg:1. Krav til at Cloud leverandør sin arkitektur,
infrastruktur og tilhørende sikkerhets kontroller tilfredsstiller anerkjente kriteria, f.eks ISO 27000
2. Robuste tilgangskontroll og autentiseringsløsninger for tilgang til data og systemer
3. Tjenestene må være til å stole på over tid, (tilgjengelige og sikre)
4. Applikasjoner må på vanlig måte testes grundig før de settes i operativ drift.
22
Interoperabilitet og flyttbarhet
• Integrasjon med løsninger som forvaltes og driftes internt
• Grensesnitt for dataflyt til andre løsninger• Datastrukturer og overførbarhet til andre
leverandører (tiltak mot ”innelåsing”)• Sikkerhet for eiendomsrett til data og
datastrukturer
23
Personvern - overholdelse av lovgivning• Avtalen må plassere ansvaret for overholdelse
av Personvernlovgivningen riktig• Det må avtales bruksbegrensninger i avtalen i
forhold til krav i lovgivningen - ”databehandleravtale”– Formål – ikke-bruk av Cloudleverandør– Geografisk plassering– Sikring og tilgangskontroll– Krav til retting, sletting og supplering mv.– Krav til innsyn fra datasubjekter
24
Grensesnitt og integrasjon med spesialtilpassede systemer mv
• Grensesnitt og avtale om standardiserte APIer er viktig
• Fokus i avtalen på – forutsigbarhet mht grensesnitt, – varslingstider mv før innføring av endringer vedr
Grensesnitt
25
Kontroll og oppfølging – Revisjonsadgang
• Dataeier har en klar egeninteresse i å kunne etterprøve at data oppbevares og behandles i henhold til gjeldende krav
• Lovgivningen stille mange krav til dataeier – Må ha adgang til kontroll, revisjon og innsyn for å
forsikre seg om at lovgivningens krav overholdes– Dataeier må i avtale med Cloud-leverandør sørge
for å skaffe seg hjemmel for slik kontroll mv
26
Mangelfulle kontrakter• De vanligste standardkontraktene er utilfredsstillende mht
ansvar for – Kvaliteten på leveransene og kontinuitet og tilgjengelighet på
leveransene over tid– Tilfredsstillende back-up og recovery fra alvorlige hendelser– Beskrivelse av exit og hvorledes Kunden enkelt skal kunne bytte
leverandør av tjenester– Sikkerhet for lagrede data– Tilbakelevering av kundenes data ved avslutning av
kontraktsforholdet– Benchmarking– Endringer i eierskap eller kontroll og styring av leverandøren– SLA og straffe/belønningssystemer
• Individuelle avtaler bør forhandles, der slike elementer er vektlagt etter behov.
27
Lovvalg og jurisdiksjon• Når avtalen misligholdes
– Hvilket land sin lovgivning gjelder for tolkning og gjennomføring av avtalen
– Hva slags domstol skal benyttes• Ordinære domstoler eller voldgift
– Hvor (geografisk) skal sak føres• Vil en dom fra vedkommende land kunne
tvangsfullbyrdes der avtalemotparten holder til?– Finnes avtale (mellom stater) om gjensidig
anerkjennelse av dommer i sivile saker?• Innen Eu/EEA (ikke Lichtenstein) –
Luganokonvensjonen• Ikke med viktige og sentrale land forøvrig
28
SPONSORER
Spørsmål?