Publikationen kan hentes på Digitalisér.dk: Cloud computing i den offentlige sektor - et diskussionsoplæg

Størrelse: px
Starte visningen fra side:

Download "Publikationen kan hentes på Digitalisér.dk: http://digitaliser.dk/group/375255. Cloud computing i den offentlige sektor - et diskussionsoplæg"

Transkript

1

2 Cloud computing i den offentlige sektor - et diskussionsoplæg Udarbejdet af: IT- & Telestyrelsen Kontoret for IT-infrastruktur og implementering Publikationen kan hentes på Digitalisér.dk: IT- & Telestyrelsen Holsteinsgade København Ø Telefon: Fax:

3 Cloud computing i den offentlige sektor - et diskussionsoplæg IT- og Telestyrelsen & KL juli 2009

4 4 >

5 Indhold > Indhold 5 Indledning 6 Hvorfor er det interessant at se på Cloud computing? 6 Oversigt 7 Opsummering 9 Hvad er Cloud computing? 10 Definition 10 Fordelene ved Cloud computing 12 Tekniske udfordringer i forbindelse med at skifte til Cloud computing 14 Interne Clouds og virtualisering 15 Økonomiske betragtninger 17 Plads 17 Energi 17 Drift og servicering 17 Besparelser afhænger af loadsituationen 18 Datasikkerhed og juridiske krav vedrørende data 20 Særlige sikkerhedsmæssige forhold vedrørende Cloud computing 20 Juridisk grundlag 21 Perspektivering af de sikkerhedsmæssige og juridiske rammer 24 Områder vi kan blive klogere på 28 Umiddelbare anbefalinger 30 Referencer og yderligere information 32 5

6 Indledning > I den seneste tid har Cloud computing været et af de mest omtalte emner i it debatten. Private virksomheder påpeger de besparelser, der er vundet ved at skifte over til Cloudleverandører, samtidig med at debattører råber vagt i gevær overfor informationssikkerheden i de nye Clouds. Skal den offentlige sektor hoppe med på vognen og skifte over til Cloudløsninger, og hvilke fordele og problematikker kan der være forbundet med det? Dette er et oplæg til diskussion af Cloud computing i den offentlige sektor, udarbejdet i samarbejde imellem KL og IT- og Telestyrelsens Kontor for IT-infrastruktur og implementering. Med dette oplæg vil vi løst skitsere de overordnede rammer for Cloud computing i den offentlige sektor og dermed invitere til en bred debat om muligheder og udfordringer ved anvendelse af Cloud computing offentlige it-løsninger. Målet er at lave vidensdeling samt skabe dialog imellem offentlige myndigheder, leverandører, borgere og alle andre relevante interessenter. Hvorfor er det interessant at se på Cloud computing? Cloud computing er it-produkter der, i stedet for at blive solgt som et produkt som køberen derefter ejer, bliver udbudt som en service via en abonnementsordning leveret via internettet. Det kan være software som for eksempel , hvor man, i stedet for at have Outlook liggende på computeren, benytter for eksempel gmail eller hotmail direkte på nettet. Men det kan også være i form af serverkapacitet, der leverer computerkraft og lagerplads over nettet, så alle ressourcer bliver leveret fra en ekstern udbyder over nettet og ikke fra computeren på kontoret eller serverrummet i kælderen. I de senere år har der været øget debat omkring effektiviteten af it-afdelingerne i virksomheder og offentlige institutioner. It-afdelingerne vokser, og udgifterne stiger. Samtidig kan mange kommuner specielt efter den nye kommunalreform mærke pres på budgetterne, og den offentlige sektor er ofte i mediernes søgelys, når der sker forringelser af ydelserne til borgerne. Arbejdsstyrken i det offentlige falder, og det bliver sværere at finde kompetencer til at realisere målet om, at Danmark skal være en af de førende it-nationer 1. Derfor bliver det endnu mere vitalt at kunne udnytte de eksisterende it-kompetencer i det offentlige optimalt. Måske kan Cloud computing, hvor it-ydelser købes som en service, være med til at lette nogle af problemerne med at skaffe kompetenceressourcer til den offentlige it-administration? Nogle af it-drifts og - support opgaverne, der i dag varetages af den interne it-afdeling, kan i tilfælde af en Cloudløsning outsources til danske eller globale leverandører. En sådan løsning kan i teorien spare både hænder og driftsomkostninger. Samtidig tilbyder Cloud computing fleksible løsninger, som potentielt kan: mindske hardware overkapacitet, give bedre håndtering af spidsbelastningsperioder, samt automatisk opdatere til nyeste software og hardware teknologi. Cloud computing er derfor et meget interessant emne at undersøge for det offentliges fremtidige itforretningsmodel, herunder hvorledes anvendelse kan ske uden at kompromittere sikkerheden. 1 For yderligere information se CIO s vision om Danmark som digitalt skabersamfund, som kan findes på DetDigitaleSkabersamfund.pdf 6

7 Oversigt Dette diskussionspapir er et oplæg til en yderligere analyse og diskussion af de muligheder og problematikker, der ligger i at benytte Cloud computing i den offentlige sektor. Cloud computing rejser mange spørgsmål, specielt sikkerhedsmæssige og juridiske, som vil blive diskuteret som en hjælp til at udpege de områder, hvor der kan være forhindringer, eller som kræver dybere undersøgelser. Det er vigtigt, at vi i denne indledende debat sætter forbeholdene op imod de potentielle muligheder, der ligger i at følge erhvervslivets eksempel og benytte Cloud computing i den offentlige sektor. Diskussionspapiret er rettet specielt imod offentlige myndigheder, både beslutningstagere og it-ansvarlige, så alle relevante parter aktiveres i debatten. Efter denne korte indledning vil vi > introducere Cloud computing og hvordan begrebet defineres i dette diskussionspapir, > gennemgå nogle af de økonomiske aspekter, der er forbundet med Cloud computing, > perspektivere de sikkerhedsmæssige og juridiske rammer, der kan komme i spil, hvis Cloud computing benyttes til at håndtere offentlige data, > opridse hvilke områder der har brug for yderligere undersøgelser, og som derfor efter sommerferien løbende vil blive taget op på Digitalisér.dk, samt > slutte af med nogle korte anbefalinger om områder, hvor vi mener at offentlige myndigheder allerede i dag uden den store risiko kan bevæge sig mod en udnyttelse af Cloud computing Vi håber at læseren vil tage opfordringen til diskussion op og efterfølgende aktivt deltage i debatten i gruppen Cloud computing i det offentlige på Digitalisér.dk. 7

8 8 >

9 Opsummering > > Computerkraft leveret som en ydelse (Utility computing) åbner mulighed for hurtig op- og nedskalering, som er en fordel, hvis der er store udsving i ressourcebehovet, ved udviklingsprojekter som hurtigt skal startes op og som måske har en begrænset tidsramme, eller hvis man ved projektets opstart har svært ved at estimere det fremtidige ressourcebehov. Offentlige myndigheder kan allerede i dag med fordel undersøge mulighederne for at benytte utility computing, for eksempel til at drive hjemmesider som ikke indeholder følsomme data. Dette vil give konkrete erfaringer med at benytte Cloud computing uden at datasikkerheden kompromitteres. > I forbindelse med initiativet Offentlige data i spil er det oplagt at benytte Cloudbaseret lagring til offentlige data, da det er væsentligt lettere at gøre data tilgængelige for virksomheder og andre offentlige myndigheder, hvis de allerede ligger i Cloud en. > Ved at benytte Software as a Service (SaaS) produkter kan der skæres ned på omkostninger i forbindelse med drift og service i form af softwareopdateringer, installeringer og patching. Det er dog væsentligt at overveje, om SaaS løsningen kan levere den nødvendig funktionalitet, hvilke integrationer som kan blive påvirket ved et skift til SaaS, hvordan data migrationen skal foregå, og vigtigst om sikkerheden er tilstrækkelig. Der er brug for flere konkrete økonomiske analyser af forskellige Cloudbrugsscenarier, der kan perspektivere omkostningerne i forhold til traditionelle leverancer. > Grøn it er på regeringens dagsorden og Cloud computing kan være et skridt på vejen, via de energibesparelser, det kan føre med sig at konsolidere og virtualisere offentlige institutioners servere i centrale datacentre. > En Cloudløsning er afhængig af netforbindelsen imellem leverandør og bruger. Det er derfor essentielt at båndbredden er tilstrækkelig, så brugeren får uhindret adgang til ydelsen der leveres. Samtidig skal leverandøren garantere en oppetid, som modsvarer brugerens behov. Det skal vurderes, om der skal være mulighed for offline brug af ydelsen. > Der er mange juridiske hensyn at varetage, hvis en cloudløsning omhandler behandlingen af persondata eller andre følsomme data. Specielt angående den fortsatte kontrol over data og i forbindelse med databehandlere udenfor Danmarks grænser. Datatilsynet skal derfor tages med på råd inden løsninger, som potentielt skal håndtere følsomme data, udvikles og tages i brug. > Sikkerhedsmæssigt er det vigtigt at lave en grundig risikovurdering af den specifikke Cloudløsning. Det skal overvejes om de eksisterende skabeloner og standarder for risikovurdering af informationssikkerheden skal opdateres til at imødekomme de nye problematikker, der kan opstå i forbindelse med Cloud computing. 9

10 Hvad er Cloud computing? > Internationalt har Cloud computing i stigende grad vist sig som et nyt buzzword for effektivisering og outsourcing af it-ydelser til eksterne leverandører. Leverandørerne kan levere varen til en lavere pris ved at benytte sig af stordriftsfordele. Også den offentlige sektor har flere steder vist interesse for fænomenet, både nationalt og internationalt. For eksempel benytter Københavns Kommune en Cloudleverandør, Amazon Web Services (fremover blot benævnt Amazon), til at hoste deres webbaserede World Climate Community, som er oprettet i forbindelse med klimatopmødet i november. Ved at benytte Amazon til hosting af hjemmesiden skal Københavns Kommune ikke selv investere i serverkapacitet men benytter i stedet Amazons Cloudinfrastruktur. Digital Britain I juni udgav den britiske regering en rapport, der satte fokus på Storbritanniens digitale fremtid 2. Denne rapport nævner flere steder nødvendige tiltag omkring bredbånds- og mobilnetværk for at fremme bl.a. Cloud computing. Storbritannien har iværksat en grundig strategisk analyse af potentialet for at oprette en Government Cloud dvs. en intern Cloud for hele den offentlige sektor i Storbritannien. Definition Der er mange forskellige forklaringer på, hvad Cloud computing er, og der findes stadig ikke en entydig definition. I dette diskussionspapir vil vi, inspireret af Berkeleys definition, definere Cloud computing således: Definition af Cloud computing 3 : Cloud computing dækker både løsninger (services) tilgængelige via internettet, såvel som den hardware og software der er i datacentrene, og som leverer de nævnte services. Løsningerne er i sig selv kendt som Software as a Service (SaaS). Ovennævnte hardware og software, lokaliseret i datacentre vil vi kalde en Cloud. En Cloud, der gøres tilgængelig for alle interesserede via betaling for aktuelt forbrug, kaldes en kommerciel Cloud; Ydelsen, der sælges er Utility Computing. Udtrykket intern Cloud anvendes om interne datacentre for en virksomhed eller anden organisation, som ikke er tilgængelige for offentligheden. Cloud computing er således summen af SaaS og Utility Computing, men inkluderer ikke interne Clouds. 2 Hele rapporten Digital Britain udgivet den 16. juni 2009 kan findes på 3 Definitionen er inspireret af Above the Clouds: A Berkeley View of Cloud Computing, som findes på 10

11 Da meget af dialogen om Cloud computing foregår på engelsk, vil vi nævne at kommerciel Cloud på engelsk benævnes Public Cloud, mens intern Cloud på engelsk benævnes Private Cloud. Definitionen af Cloud computing i dette dokument er rettet imod offentlige myndigheder og deres udnyttelse af Cloud computing produkter. Cloud computing defineres i andre sammenhænge som havende tre lag: > Infrastrucuture as a Service (IaaS) - svarende til Utility computing i vores definition > Platform as a Service (PaaS) > Software as a Service (SaaS) - som også anvendes i vores definition Figur 1 illustrerer sammenhængen mellem de tre lag. Figur 1: Illustration af Cloud computing og de overordnede typer services der udbydes. Kommuner og andre offentlige myndigheder er som oftest aftagere af Cloudprodukter og ikke producenter af disse. Vi har derfor valgt ikke at tage Platform as a Service (PaaS) med i vores definition, da denne service hovedsagligt retter sig imod udviklere, der for eksempel producerer SaaS produkter. 11

12 Fordelene ved Cloud computing Det er ikke et nyt tiltag at udlicitere it-services til underleverandører, som så leverer en ydelse over nettet. Det sker allerede i nogen grad; for eksempel med ASP løsninger 4 som skolernes intranet, SkoleIntra, eller med centrale datacentre. Forskellen er, at det nu er blevet relevant i langt højere grad, da netværk og båndbredde er ved at være oppe på en kapacitet, hvor det reelt er en mulighed at få alle sine services som en netbaseret ressource. Fleksibilitet og skalering Blandt fordelene ved at benytte Cloud computing er, at det skaber fleksibilitet; det er lettere og hurtigere for brugeren eller organisationen at tilpasse sig til nye behov der opstår eller krav som konstant svinger, hvis man benytter en Cloudservice. Man kan bedre skalere op og ned, når ens behov ændres og der, måske for en begrænset periode, er brug for større kapacitet. Man kan samtidig minimere ressourcespild fra serverkapacitet, software eller andet, som sjældent eller aldrig benyttes. Det er blandt andet denne fleksibilitet, der gør Cloud computing interessant. Uden selv at skulle investere i hardware kan man, ifølge leverandørerne, på relativt kort tid have computerkraft til rådighed, som modsvarer det behov, man står med lige nu. Måske kunne der være endnu større gevinster at hente, hvis ikke kun enkeltstående projekter blev flyttet til cloud en, men også hele infrastrukturer. Sådan et tiltag vil kræve grundige overvejelser, specielt angående sikkerhed, som det er vigtigt at undersøge grundigt, inden et eventuelt projekt realiseres. I teorien er det med Cloud computing lettere at skifte leverandør, da man ikke, på samme måde som i dag, er bundet af dyre investeringer. I realiteten er det endnu ikke helt tilfældet for alle Cloudservices, da der stadig mangler eksistens og anvendelse af åbne standarder, der ville kunne muliggøre et problemfrit leverandørskifte. Drift og service besparelser Ved at benytte Cloudressourcer udliciteres al driften forbundet med services hentet i Cloud en, til leverandøren. Drift og servicering er ofte en væsentlig omkostning for en organisation eller kommune, og mange mindre organisationer kan have besvær med at tiltrække de nødvendige kompetencer og ressourcer til selv at vedligeholde en effektiv it-drift. Leverandørerne af SaaS løsninger fortæller, at man ved at skifte til SaaS kan lette itafdelingens opgaver i forbindelse med bl.a. installering af software, løbende softwareopdatering, samt installering og vedligeholdelse af patches. Ifølge Kommunernes Landsforening har it-afdelingerne i kommunerne mange omkostninger alene med vedligeholdelsen af de basale kontorprogrammer (såsom , kalender, skriveprogram). Hvis en SaaS leverandør kan overtage nogle af disse opgaver, vil en SaaS løsning spare både tid og ressourcer. Igen er der dog mange andre aspekter, der også skal tages i betragtning, for eksempel om de udbudte SaaS programmer kan levere de nødvendige funktionaliteter. Omvendt kan en mulighed for at anvende SaaS begrænset funktionalitet måske give anledning til overvejelser om, hvorvidt særlige funktionsmæssige behov er "need to have" eller mere "nice to have. 4 ASP står for Application Service Provider. Leverandøren af ASP-løsningen står for driften af denne. 12

13 Internt hostet i forhold til Google Apps Analysefirmaet Forrester har i januar 2009 udgivet en rapport, som sammenligner udgifterne ved traditionel intern hosting med Cloudbaserede 5 løsninger, deriblandt Google Apps. Resultatet af analysen kan ses i tabellen nedenfor. Omkostningerne afhænger selvfølgelig af antallet af medarbejdere i den givne virksomhed det viste eksempel er for en amerikansk virksomhed med konti. Totale omkostninger pr. bruger pr. måned Internt hostet Google Apps $ 25,18 $ 8,47 Analysen kan ikke direkte overføres til danske forhold, da den bygger på amerikanske tal, men resultatet er alligevel tankevækkende. Derudover er der selvfølgelig mange andre aspekter at overveje, inden man skifter til Google Apps, såsom sikkerhedsforanstaltninger og om funktionaliteten lever op til de krav, man har til en service osv. Besparelser på hardwareressourcer Også computerressourcer i form af serverkapacitet er en væsentlig udgift for en kommune eller organisation. For at være forberedt på eventuelle spidsbelastningsperioder, for eksempel ved lønudbetalinger eller andre periodemæssige aktiviteter, kører de fleste datacentre til dagligt med en væsentlig overkapacitet. Denne overkapacitet kan mindskes, hvis der indgås en fleksibel abonnementsordning med en IaaS leverandør, da der derved kun betales for det reelle forbrug. Dette forklares yderligere i afsnittet Økonomiske betragtninger. Grøn it Et andet interessant aspekt af Cloud computing er Grøn it. Grøn it er kommet på regeringens dagsorden, idet det vurderes, at it alene står for 2 % af verdens samlede CO 2 -udledning 6. Ved at centralisere datacentrene spares energi, og derved også CO 2, igennem bedre udnyttelse af serverkapaciteten 7. Der vil formodentlig også være større incitament for en privat leverandør med en større samlet volumen i at investere i den mest effektive og ressourcebesparende hardwareteknologi. 5 Se Forresterrapporten Should Your Live in the Cloud? A Comparative Cost Analysis af Ted Schadler, tilgængelig på 6 Se Handlingsplan for grøn it i Danmark udgivet af IT- og Telestyrelsen i 2008, tilgængelig på 7 Se for eksempel Forrester analytikeren Christopher Mines blog på 13

14 Tekniske udfordringer i forbindelse med at skifte til Cloud computing Fordelene ved at benytte Cloud computing skal selvfølgelig opvejes imod de eventuelle forhindringer, der kan være ved forbundet med at benytte en Cloudløsning. De væsentligste forhindringer er forbundet med sikring af data, hvilket vil blive taget op i afsnittet Datasikkerhed og juridiske krav vedrørende data. Derudover kan der også være visse tekniske udfordringer forbundet med at overgå til et Cloudprodukt. Disse udfordringer afhænger bl.a. af den teknologiske udvikling (Cloud computing er stadig et relativt nyt begreb, som først er blevet en reel mulighed med de seneste års udvikling på netværkssiden) samt det konkrete produkts modenhed. Adgang til data At benytte en Cloudløsning kræver selvfølgelig en netforbindelse, der kan håndtere den pågældende datatrafik, så data og applikationer er tilgængelige for brugeren i det omfang, det er nødvendigt. Senest har der i medierne kørt en sag om de dårlige netforbindelser, som skolelærerne må døje med i forbindelse med undervisningen og opkobling til SkoleIntra, det landsdækkende skolenetværk. Det kan både være netforbindelserne eller programmets opbygning, der skaber forsinkelserne, men i bund og grund er det essentielt for brugeren, at der er den oppetid og hastighed, som er defineret som minimumskrav i den aftalte Service Level Agreement (SLA), der igen baserer sig på grundig risikovurdering. Hvis serverne, som opbevarer dine data eller udbyder en applikation, rent fysisk er lokaliseret på den anden side af jordkloden, vil der være forsinkelser i reaktionerne, når brugeren anmoder om en handling, dvs. bruger programmet eller henter/gemmer data. Større leverandører imødekommer dette ved at have datacentre spredt i hele verden, så hele deres marked er dækket ind. På nuværende tidspunkt er de fleste nye Cloud computing tiltag lokaliseret i USA og ikke i Europa. Datamigrering En af fordelen ved Cloud computing er den fleksibilitet, som den kan medføre. Men der mangler standarder, som gør det muligt for kunderne frit at skifte imellem leverandørerne. Det er derfor i teorien muligt at skifte leverandør med øjebliks varsel, men i praksis er processerne langt mere komplicerede. Som teknologien udvikler sig, vil der formodentlig opstå standarder igennem krav fra markedet og lovgivende institutioner, eller ved at en af de større udbyderes standarder vinder indpas på større dele af markedet. Integrationer I det offentlige benyttes både standardprogrammer (for eksempel Microsoft Office) samt fagspecifikke programmer (som for eksempel ESDH systemer), som er udviklet eller tilpasset en specifik funktion og/eller institution. Selvom langt størstedelen af de programmer, der benyttes, er standardprogrammer, udgør fagsystemerne stadig en vital del, som den enkelte offentlige institution kan være meget afhængig af. Der er ofte integrationer imellem programmerne; standardprogrammer er for det meste fra producentens side udviklet til at kunne spille sammen med andre store standardprogrammer, men specielt fagsystemer er ofte designet til at passe til et specifikt standardprogram. Dette gør, at det kan være en omfangsrig opgave at skifte selv standardprogrammerne, da de fagspecifikke programmer derved skal tilpasse de nye programmer. Samtidig er det vigtigt at tage brugertilpasning med i overvejelserne, 14

15 inden der skiftes til en ny software, som brugerne ikke kender, og derfor skal til at sætte sig ind i. Interne Clouds og virtualisering En måde hvorpå en organisation kan benytte sig af Cloud computing, men stadig opretholde fuld kontrol over sine systemer, er ved at oprette en intern Cloud. Interne Clouds fungerer ligesom offentlige Clouds, men drives internt i organisationen, for eksempel som et centraliseret datacenter. De enkelte afdelinger og medarbejdere har adgang til Cloud en, som styres centralt i virksomheden. Derved opnås en vis fleksibilitet internt i organisationen, samtidig med at data stadig er sikret. Virksomheden skal dog stadig investere i etableringen af infrastrukturen og er afhængig af selv at drive og servicere systemer osv. i Cloud en. Samtidig er interne Clouds stadig begrænset af den samlede kapacitet i organisationen, hvilket nedsætter den fleksibilitet, som Cloud computing ellers giver. Prisudviklingen på computer ressourcer fra 2003 til 2008 I en teknisk rapport fra Berkeley beskrives prisudviklingen på computerressourcer fra 2003 til Resultatet viser en væsentlig reduktion af prisen pr. ressource specielt på CPU og lagerressourcer. Prisen på båndbredde er ikke fulgt med i samme grad som de to andre parametre, på trods af at kapaciteten er forbedret fra 1 til 100 Mbps. $1 kunne i 2003 købe $1 kunne i 2008 købe Udviklingen af pris/ydelse WAN båndbredde/ måned CPU timer Disk plads 1 GB 8 CPU timer 1 GB 2.7 GB 128 CPU timer 10 GB 2.7x 16x 10x Cloududbyderne har udnyttet denne prisudvikling til det yderste gennem stordrift med færre administratorer per server, og placering af datacentrene hvor strøm og køling fås billigst. Mindre datacentre har en relativ større andel af udgifter på områder som personel, strøm og køling, samtidig med at de ikke kan købe ind i samme volumen, som Cloududbyderne. Mindre datacentre har derfor ikke været i stand til at drage nytte af de dramatiske prisfald, der vises i tabellen på samme måde som Cloududbyderne. 8 Eksemplet kommer fra Berkeleyrapporten Above the Clouds: A Berkeley View of Cloud Computing, som er tilgængelig på html 15

16 I medierne høres der om flere forskellige tiltag om at oprette interne Clouds dedikeret til den offentlige sektor, for eksempel har den føderale regering i USA udtalt, at de undersøger mulighederne for at oprette en Government Cloud. Senest har den japanske regering offentliggjort, at de har startet et omfattende projekt, hvor de vil oprette en intern Cloud for hele den Japanske forvaltning for at reducere omkostninger og højne effektiviteten. Virtualisering 9 er det første skridt på vejen for at kunne benytte sig af utility computing, eller IaaS ydelser. Ved at benytte sig af virtualisering deler man sine servere virtuelt i stedet for fysisk, dvs. en fysisk server kan deles op i x antal virtuelle servere, således at software osv., der skal køre på en dedikeret server, ikke længere behøver sin egen fysiske server, men blot en dedikeret virtuel server. Derved udnyttes ressourcerne på de fysiske servere bedre, hvilket også er princippet med utility computing. 9 Virtualisering giver et lag af abstrahering til den konkret anvendte hardware, som gør det nemmere at dele fysiske servere mellem flere applikationer. Samtidig gøres det nemmere at flytte applikationerne da de ikke er bundet til een bestemt leverandørs hardwareplatform. 16

17 Økonomiske betragtninger > Ved at benytte Cloud computing kan der potentielt spares ressourcer på både hardware og software. I realiteten betales der kun for det reelle forbrug og ikke for uudnyttede ressourcer. Ydelserne købes som et abonnement eller efter ren forbrugsafregning, og det er derfor billigere i opstart, da man ikke køber softwaren eller hardwaren, men i stedet abonnerer på en ydelse. Samtidig er man ikke på samme måde bundet af software, som ikke kan udskiftes fordi den repræsenterer en væsentlig investering for organisationen. Man har derfor altid den nyeste version af softwaren og skal ikke gå ind i overvejelser om opdateringer, da dette sker helt automatisk hvad enten man vil det eller ej. Det er dog vigtigt at beregne, hvor mange udgifter der reelt kommer til at være i forbindelse med en SaaS løsning i det lange løb, i forhold til en traditionelt indkøbt software licens. Der er endnu ingen generelle tommelfingerregler for, hvornår SaaS er billigst, og hvornår det bedre kan betale sig selv at investere i softwaren.. Plads For mange institutioner er datacenterplads et reelt problem, og ved at outsource de interne datacentre til eksterne leverandører kan der spares kvadratmetre, da serverrum optager en del plads i virksomheden. Eksempelvis står én region med den udfordring, at pladsen til servere vil være et problem allerede indenfor en overskuelig årrække, på trods af at de har iværksat en omfattende virtualiseringsplan 10. Samtidig er serverrum dyre at indrette med køleanlæg, nødvendig sikring osv. Energi Servere tager også en del energi og ved at samle serverne i datacentre, hvor de udnyttes bedre, spares CO 2. Her er der ikke blot tale om at flytte CO 2 byrden til leverandøren; ved at centralisere igennem datacentre udnyttes kapaciteten bedre og overkapaciteten nedbringes, hvilket sparer ressourcer. En større datacenterudbyder vil, i kraft af den større samlede kapacitet og derved en mere synlig effektiviseringsgevinst, have større incitament i at investere i nyere hardwareteknologi, som er mere energibesparende og effektiv. Drift og servicering Det formodes, at driftsomkostningerne ved servicering og vedligehold kan nedsættes ved at gå over til Cloud computing. Cloudleverandøren kan benytte sig af stordriftsfordele og er ekspert i sit produkt og vil formodentligt ved at centralisere driften kunne administrere de udliciterede opgaver mere effektivt. En anden fordel er, at de interne kompetencer i det offentliges IT-afdelinger udnyttes mere optimalt til mere specialiserede og krævende opgaver i stedet for serviceringsopgaver som opdatering, patching osv. Alle disse overvejelser er dog langt hen af vejen baseret på formodninger, og der er stor debat om, hvorvidt Cloud computing reelt kan betale sig økonomisk og i så fald for hvilke organisationer. Der er derfor brug for flere dybdegående økonomiske analyser og eksempler baseret på reelle erfaringer fra situationer, hvor Cloud computing har været eller bliver benyttet. 10 Fra præsentation af Jan Kold, it-stabsdirektør i Region Hovedstaden, under emnet konsolidering af sundheds it ved arkitektur konferencen 2. april

18 Eksempel: Flytning af Digitalisér.dk og NemHandel til Cloud en IT- og Telestyrelsen er midt i en proces med at flytte driften af domænerne Digitalisér.dk og NemHandel til Cloud en. Forudgående for processen har en analyse estimeret at der være en månedlig besparelse på 71 % ved at skifte fra en traditionel hosting løsning til Amazons AWS løsning. På trods af at der er en del omkostninger ved at skifte hostingløsning, vurderes det at investeringerne vil være tilbagebetalt allerede inden 9 måneder. Den løsning som eksemplet bygger på, er baseret på et relativt konstant loadsituation hvor der kun er små udsving, da ingen af domænerne er udsat for væsentlige spidsbelastningsperioder. Det er væsentligt at nævne at Amazon kun udbyder drift af infrastrukturen. Der er stadig opgaver forbundet med drift af software og applikationer, som skal varetages af IT- og Telestyrelsen selv eller outsources til anden leverandør. Besparelser afhænger af loadsituationen Forbrugsmønsteret er en væsentlig faktor for, om der er besparelser at hente ved at skifte over til utility computing. Specielt ved et svingende forbrug af serverkapacitet er der besparelser at hente. I perioder med lav aktivitet skal man også være forberedt på at kunne håndtere spidsbelastningsperioder, hvilket resulterer i en del overkapacitet, som kun udnyttes i begrænsede perioder. Figur 2 illustrerer tre forskellige loadsituationer og hvor meget overkapacitet, der reelt er til stede i hvert tilfælde. > I situation 1, hvor der er et forholdsvis konstant forbrug, er den uudnyttede serverkapacitet mindre og en løsning hvor der købes en konstant serverkapacitet, er mest hensigtsmæssig. > I situation 2 er forbruget konstant svingende, og det er meget svært at sætte en øvre grænse for serverkapaciteten. Det vil derfor være hensigtsmæssigt med en fleksibel aftale, som hele tiden tilretter sig efter behovet på det givne tidspunkt. En lignende situation er, hvis man har svært ved at estimere, hvor stort behovet bliver i fremtiden. > I situation 3, hvor der er et forholdsvis konstant forbrug med enkelte spidsbelastningsperioder, kan det være en fordel med en løsning, hvor der reserveres en konstant serverkapacitet svarende til det daglige forbrug, samtidig med at en fleksibel aftale indgås for at imødekomme spidsbelastningsperioderne. De fleksible aftaler er dyrere at investere i end aftaler med fast serverkapacitet, og det er derfor en fordel at begrænse indkøbet af den fleksible ydelse. 18

19 Figur 2: Illustration af udnyttelsen af den reelle serverkapacitet ved forskellige typer forbrug. Grafen illustrerer tid i forhold til kapacitet. 19

20 Datasikkerhed og juridiske krav vedrørende data > Udnyttelsen af Cloud computing skal ske sikkerhedsmæssigt forsvarligt og inden for rammerne af gældende lovgivning. Særligt hvis Cloudløsningen omhandler persondata eller andre følsomme data, kan lovgivningen stille krav til, hvordan data skal håndteres. Overordnet handler det om at bevare kontrol over data. I følgende kapitel skitserer vi hvilke områder, der skal overvejes i forbindelse datasikkerhed, og giver et overblik over hvilke love, der er relevante i forbindelse med myndigheders håndtering og lagring af data. Målet er dels at åbne for debat om, hvorledes de lovmæssige krav kan overholdes i forbindelse med Cloud computing, dels at hjælpe projekter, som overvejer at anvende Cloud computing, ved at pege på relevante juridiske krav vedrørende datasikkerhed 11. Den offentlige sektor registrerer og opbevarer en meget stor mængde oplysninger, som især anvendes i forbindelse med den offentlige myndighedsudøvelse. Det er ofte af afgørende betydning, at de relevante og korrekte data er tilgængelige for den rette myndighed på det rette tidspunkt. Hertil kommer, at oplysningerne i nogle tilfælde heller ikke må komme uvedkommende til kundskab. Det er således nødvendigt, at data opbevares tilstrækkeligt sikkert, > af hensyn til den interne administration (for eksempel kalender- og journaloplysninger), > på grund af lovgivningsmæssige krav (for eksempel oplysninger i fagregistre), eller > på grund af oplysningernes fortrolige karakter (for eksempel erhvervshemmeligheder). Nedenfor opridses dels de væsentligste sikkerhedsmæssige udfordringer, dels de væsentligste dele af den regulering, der har indflydelse på Cloud computing med øget fokus på bestemmelser omkring dataopbevaring og processering af tredjeparter og i tredjelande 12 samt andre krav om sikkerhedsforanstaltninger. Efterfølgende vurderes udfordringerne, og der diskuteres forskellige forslag til, hvordan de kan håndteres. Særlige sikkerhedsmæssige forhold vedrørende Cloud computing Der er en række sikkerhedsmæssige aspekter forbundet med implementeringen af Cloud computing; det gælder både for private virksomheder og for offentlige myndigheder. De grundlæggende sikkerhedsaspekter knytter sig til tilgængelighed, integritet, fortrolighed og privatlivets fred. Det vil sige at man som institution skal forholde sig til risikoen for, > at data ikke er tilgængelige på det tidspunkt, hvor man skal bruge dem, eller at de helt forsvinder, > at data bliver manipuleret af uvedkommende, så man ikke længere kan stole på indholdet, 11 Bemærk at vi ikke kommer med håndfaste anbefalinger om, hvorledes data sikres specifikt i forbindelse med Cloud computing, da der endnu mangler tilstrækkeligt med danske erfaringer hertil. 12 Et tredjeland betegner her et land udenfor EU. 20

21 > at virksomhedskritiske data kommer i hænderne på uvedkommende. Her skal der tages højde for udfordringer med hensyn til datas fortrolighed, hvor der kan være krav om særlig håndtering af disse data, eller > at data, som måske hverken er virksomhedskritiske eller personfølsomme, men som kan krænke enkeltpersoners privacy, kommer i hænderne på uvedkommende. Risikovurdering Datasikkerhed er et komplekst begreb, og der er intet system, der er fuldstændigt sikkert. Der vil altid være noget, der kan gå galt, og det er derfor essentielt, at der laves en fyldestgørende risikovurdering inden et Cloudprojekt sættes i søen 13. Man skal, som organisation eller virksomhed, med udgangspunkt i forretningsstrategi og -målsætning gennemføre en omhyggelig risikovurdering, hvor man identificerer og prioriterer alle de særlige risici, som skabes ved Cloud computing. På baggrund af en trusselsvurdering og en sårbarhedsanalyse kan organisationen fastlægge sandsynligheden for, og konsekvenserne af, at en hændelse opstår. Herefter kan organisationen på basis af ovenstående sammenholdt med det aktuelle trusselsbillede og sårbarhedsvurdering af Cloudleverandøren prioritere og fastlægge tiltag og sikringsforanstaltninger, så risikoen er på acceptabelt niveau. Det kan være relevant at vurdere, om en risikoanalyse af en Cloudleverandør er væsentligt anderledes end en risikoanalyse af en traditionel leverandør. Når alle risici vurderes, er det vigtigt at holde det op imod den sikkerhedsrisiko, der allerede er i dag; for eksempel: Er der større risiko for, at uvedkommende hacker sig ind på internetbaserede databaser end på intranet databaser? Juridisk grundlag Persondatabeskyttelsesdirektivet (direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) Persondatadirektivet blev vedtaget den 24. oktober 1995 og har fastlagt de overordnede rammer for den danske persondatalov. Direktivet er udformet for at sikre den enkelte borgers rettigheder i forbindelse med behandlingen af personoplysninger; specielt i form af elektroniske data, men også i et vist omfang ikke-elektroniske data. Direktivet skal også sikre, at strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel. Direktivet varetager således også hensynet til den fri udveksling af personoplysninger EU-landene imellem med henblik på at sikre det indre marked. 13 DS484 foreskriver hvorledes risikoanalyse foretages. Inspiration til en dybdegående risikoanalyse kan findes i en publikation fra den New Zealandske regering: Government Use of Offshore Information and Communication Technologies (ICT) Service Providers Advice on Risk Management, april

22 Safe Harbor I forbindelse med indførslen af EU s persondatadirektiv, oprettede USA i samarbejde med EU en certificeringsordning, kaldet Safe Harbor. Safe Harbor skal sikre, at det er muligt for amerikanske virksomheder at blive godkendt som sikre databehandlere i forhold til EU direktivet. Hvis en virksomhed skriver under på, at de opfylder Safe Harbor principperne og dermed også de krav, som EU-direktivet opstiller, kan de blive Safe Harbor certificeret. Der er dog rejst en del betænkeligheder omkring virkningen af Safe Harbor. Der har blandt andet været udtrykt bekymring i forhold til, at certifikatet administreres via selvjustits, dvs. der er ikke nogen overordnet myndighed, der tjekker, at kravene reelt overholdes. Det er først ved en direkte indberetning af overtrædelser af retningslinjerne, at en undersøgelse kan iværksættes. Det bemærkes i den forbindelse, at der ikke, i de ca. 10 år Safe Harbor ordningen har fungeret, har været gennemført et eneste sagsanlæg omkring brud på Safe Harbor reglementet. Dette på trods af, at undersøgelser viser, at kun 31 % af de certificerede virksomheder, opfylder de mest basale principper i Safe Harbor reglementet 14. Persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplysninger) Persondataloven er den mest relevante i forbindelse med Cloud computing i det offentlige. Persondataloven gennemfører det ovennævnte EU-direktiv i dansk ret og beskriver, hvordan personoplysninger skal håndteres i forhold til blandt andet fortrolighed og datasikkerhed. Loven gælder som udgangspunkt for offentlig virksomhed og til dels for kommercielle virksomheder. Det følger blandt andet af persondataloven, at den, som er ansvarlig for de pågældende data (den dataansvarlige), skal træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige har det overordnede ansvar for sikkerheden også i forbindelse med eventuelle sikkerhedsbrud hos eventuel databehandler, jf. lovens 41 stk. 3. Persondatalovens 41 stk. 3: Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 14 Se analysen The US Safe Harbor - Fact or Fiction? af Chris Connolly fra Galexia, på fact_or_fiction.html#fn1 22

23 Det kan endvidere nævnes, at persondataloven indeholder en bestemmelse om, at oplysninger, der behandles for det offentlige, skal kunne bortskaffes i forbindelse med krig og konflikt, såfremt oplysningerne kan være af speciel interesse for fremmede magter, jf. lovens 41 stk. 4. Persondataloven indeholder særlige regler om overførsel af personoplysninger til tredjelande. EU kommissionen har endvidere udformet en standardkontrakt, som eventuelt kan anvendes i forbindelse med overførsel af personoplysninger til tredjelande. I sådanne tilfælde skal der indhentes tilladelse fra datatilsynet. Persondataloven indeholder andre bestemmelser, som i et eller andet omfang kan tænkes at have betydning for behandling af personoplysninger i Cloudløsninger. Spørgsmål angående loven kan rettes til Datatilsynet, og det anbefales, at Datatilsynet konsulteres, inden eventuelle Cloudløsninger tages i brug. Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) Sikkerhedsbekendtgørelsen er udstedt med hjemmel i persondataloven og er specifikt rettet imod persondata, som behandles af den offentlige forvaltning. Bekendtgørelsen fastsætter en række sikkerhedsmæssige krav til, hvordan persondata skal håndteres. Sikkerhedsbekendtgørelsen foreskriver blandt andet, at kun medarbejdere, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, jf. bekendtgørelsens 11 stk. 1. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver, jf. 11 stk. 3. Sikkerhedsbekendtgørelsen indeholder andre bestemmelser, som i et eller andet omfang kan tænkes at have betydning for behandling af personoplysninger i Cloudløsninger. Det anbefales, at Datatilsynet konsulteres, inden eventuelle Cloudløsninger tages i brug. Andre retsforskrifter som kan have indvirkning på Cloud computing Forvaltningslovens (lovbekendtgørelse nr af 7. december 2007) regler om aktindsigt fordrer, at relevant dokumentation, som er omfattet af aktindsigtsbestemmelserne, skal være tilgængelig for den offentlige forvaltning. Dette medfører i forbindelse med Cloud computing, at man skal sikre, at data ikke forsvinder, så de derved ikke længere er tilgængelige for de relevante parter. Arkivloven (lovbekendtgørelse nr af 21. august 2007) forholder sig ikke udtrykkelig til, hvor og hvordan data skal opbevares, herunder heller ikke om data må håndteres af anden part eller i udlandet. Arkivloven fastslår dog, at data skal arkiveres og håndteres på betryggende måde, jf. lovens 8. Bekendtgørelsen om statens regnskabsvæsen (Bekendtgørelse nr af 19. december 2006) er den mest konkrete med hensyn til hvordan data kan og skal lagres. Den siger direkte, at regnskabsmaterialet skal opbevares her i landet, dog kan materiale fra indeværende og forrige måned opbevares i udlandet, jf. lovens 45. Sikkerhedscirkulæret (Statsministeriets cirkulære nr. 204 af 7. december 2001 om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt) skal også tages i betragtning og omfatter informationer som: Citat fra sikkerhedscirkulæret: Cirkulæret vedrørende 23

24 sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt. Politiets Efterretningstjeneste (PET) skal konsulteres inden eventuelle Cloudløsninger, som kunne tænkes at være omfattet af sikkerhedscirkulæret, tages i brug. Perspektivering af de sikkerhedsmæssige og juridiske rammer Efterfølgende vil vi diskutere de juridiske rammer sammenholdt med andre sikkerhedsmæssige aspekter. Klassificerede data Som udgangspunkt ses der bort fra Cloudløsninger til håndtering af data, som er at betragte som klassificerede i følge Statsministeriets sikkerhedscirkulære. Mængden af klassificerede data formodes at være relativt lille i forhold til den samlede datamængde i den offentlige forvaltning (det anslås, at ca. 5 % af den samlede datamængde i den offentlige forvaltning er klassificeret i forhold til statsministeriets sikkerhedscirkulære), og det er derfor foreløbigt ikke essentielt at få den inkluderet i et eventuelt Cloudprojekt. I den forbindelse bør det dog også overvejes, om eventuelle klassificerede data indgår i en sådan sammenhæng med andre ikke-klassificerede data, at Cloudløsninger for de ikke-klassificerede data reelt ikke er en mulighed. Fysisk placering af data Som nævnt ovenfor er en af udfordringerne ved Cloudløsninger at der, i forbindelse med at have kontrol over sine data, vil være overvejelser om den geografiske placering af data. Udfordringerne knytter sig blandt andet til spørgsmålet om, der er sikkerhed for, at behandlingen af data overholder de nødvendige datasikkerhedsstandarder. Visse Cloudleverandører kan, som det ser ud i dag, umiddelbart ikke leve op til krav om kendt geografisk placering af data. Andre leverandører har imidlertid allerede oprettet dedikerede datacentre i Europa for at imødekomme kravet. Der kan imidlertid også være et behov for at kende den helt præcise placering af data og ikke kun placeringen inden for et større geografisk område, for eksempel inden for EU. Dette skyldes blandt andet, at der muligvis i medfør af for eksempel persondataloven kan være et afledt krav om, at den danske stat og/eller den dataansvarlige skal kunne være i stand til at beslaglægge og slette data, hvis det bliver nødvendigt. Når data lagres og behandles i Cloud en, ved aftageren i dag oftest ikke præcist, hvor og hvordan det foregår. Det kan ske i bidder rundt om i forskellige datacentre og på forskellige servere. Ikke engang databehandleren kan altid med sikkerhed vide, hvor data reelt findes på et givent tidspunkt. Datafordelingen er ofte baseret på komplicerede algoritmer, som hele tiden flytter data til, hvor det er mest hensigtsmæssigt i forhold til den kapacitet, der er til rådighed. Eksempelvis benytter Google en datalagringsmodel, hvor data automatisk processeres og lagres, hvor der er plads på det givne tidspunkt. Data lagres som udgangspunkt i det datacenter, der ligger geografisk tættest på brugeren, men hvis der ikke er ressourcer nok i det pågældende datacenter, benyttes et andet datacenter. Usikkerheden i datalokationen kan skabe problemer, når data skal slettes eller trækkes ud, for eksempel ved leverandørskifte, men også som en del af de daglige rutiner; 24

25 Hvordan kan man være sikker på, at data reelt slettes, og at de ikke stadig ligger i gamle backups eller på spejle rundt om i Cloud en? Nogle af disse aspekter kan formentlig håndteres med tekniske løsninger, men det vil under alle omstændigheder være nødvendigt at regulere forholdet udtrykkeligt i eventuelle kontrakter, der indgås med Cloudleverandører. I denne forbindelse kan der henvises til en sag imellem datatilsynet og ATP, angående outsourcing til en databehandler i Indien 15. Retablering af data Det er vigtigt at være forberedt på nedbrud eller andre hændelser, hvor man potentielt kan miste data. Man skal sikre sig, at der er den nødvendige back-up og spejling, og at den tid det tager at reetablere data er acceptabel i forhold til organisationens fortsatte forretningsgang. Et væsentligt punkt i relation til retablering af data er, at man som organisation skal forholde sig til, hvad der vil ske, hvis Cloudleverandøren går konkurs, fusionerer med andre eller bliver opkøbt af andre. Adgang til data og services skal sikres også under disse omstændigheder. Man bør altså sikre sig, at man altid kan få data ud af Cloud en igen i et læsbart standardformat uanset om man vil insource, eller om man vil outsource til en ny Cloudleverandør. Efterforskning Som tidligere nævnt, skal offentlige myndigheder i forbindelse med en efterforskningssituation have mulighed for at få adgang til og beslaglægge data. Samtidig er der også krav til logning, som kan være mere kompliceret i forbindelse med Cloud computing, da data, og dermed også loggen, kan være spredt over mange forskellige servere i flere forskellige datacentre. Compliance Det er stadig organisationen der i sidste ende er ansvarlig for sikkerheden af egne data og ikke databehandleren. Hvis man benytter en Cloudleverandør, som ikke er dansk, eller som opbevarer data uden for Danmarks grænser, skal man være opmærksom på, at det så ikke er dansk lovgivning, der gælder for vedkommendes behandling af data. Driftsleverandørens adgang til data Som nævnt ovenfor kan der være fastsat krav om personers adgang til data, herunder for eksempel, at kun et begrænset antal medarbejdere i praksis skal have autorisation til oplysninger. Dette gælder både i forhold til sagsmedarbejdere samt teknisk personale. Der synes i den forbindelse i øvrigt ikke at være forskel på traditionelle driftsløsninger hos en ASP leverandør og Cloudleverandører. 15 Afgørelsen kan findes på 25

26 Cloud computing er imidlertid i høj grad muliggjort af konsolidering og automatisering for at kunne presse prisen i bund. Man kan derfor muligvis antage, at de fleste drifts- og serviceringsopgaver foregår automatisk, og at der derfor er langt færre mennesker, der kommer i forbindelse med data end i traditionelle decentrale datacentre. Generel datasikkerhed Et andet aspekt er den generelle datasikkerhed angående virus, hackere osv. Flere af de gennemgåede love nævner, at data skal håndteres sikkert uden yderligere specifikationer af, hvad sikkert er. Hvis Cloud computing fortsætter den nuværende vækst i de følgende år, kan det føre til store centrale datacentre, som alle vil indeholde værdifulde data og måske derfor i større omfang vil være udsat for fokuserede hackerangreb. En leverandør kunne på den anden side argumentere for, at større datacentre i langt højere grad vil kunne gardere sig imod disse angreb, da sikkerheden overlades til dedikerede eksperter og ikke den enkelte it-ansvarlige i den pågældende institution. Kryptering Kryptering af data kan være en vej til at sikre, at data ikke ender i de forkerte hænder. Mange data krypteres allerede i dag, men det er mest i forbindelse med lagring og dataoverførsel (for eksempel når data sendes over internettet). Der er enkelte softwareapplikationer, hvor data krypteres i selve softwaren og derfor også er beskyttet under selve databehandlingen og ikke blot under lagring og overførsler, men det er ikke det generelle billede. Det kræver meget computerkraft at bevare krypteringen under databehandlingen, og som det er i dag, sænker det hastigheden af processen væsentligt. En anden overvejelse er, at hvis krypteret data kommer i hænderne på de forkerte, er det blot et spørgsmål om tid, før koden til krypteringen knækkes. Ved avanceret kryptering kan man dog overveje om data, i løbet af den tid dekrypteringen tager, når at blive forældet og derfor ikke er følsomme længere. Det er i forlængelse af disse overvejelser et åbent spørgsmål om datakryptering er løsningen til at sikre data i Cloud en. En anden måde at sikre, at data er ubrugelige i de forkerte hænder, kunne være via dataspredning. Dvs. at data spredes i en masse små bidder, så den enkelte datastump ikke giver nogen mening i sig selv og derfor ikke udgør en sikkerhedsrisiko. Først når datastumperne samles af en algoritme eller nøgle hos sagsbehandleren, bliver data til brugbar information. Derved ville aspektet om permanent sletning heller ikke være så stort et problem. Service Level Agreements (SLA) Sikkerheden kan i et vist omfang imødekommes igennem kontrakter og SLA er, som inkluderer krav om overholdelse af databehandleraftaler og sikkerhedsstandarder, som for eksempel DS484. Mange af disse vejledninger og standarder er udarbejdet inden Cloud computing var aktuelt, og de bør derfor opdateres, så de også tager hensyn til de specielle forhold, som Cloud computing rejser. Det er derfor vigtigt med nye retningslinjer for, hvad disse databehandlerkontrakter skal indeholde. Derudover skal kunderne have nogle reelle muligheder for at sikre, at kontrakterne overholdes. Certificering Cloud computing er stadig et meget nyt fænomen. I takt med at teknologien og markedet udvikler sig, vil der formodentlig også opstå lovgivning og standarder, der imødegår problemerne. For eksempel kan man sagtens forestille sig en 26

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

10 gode grunde. - derfor skal du vælge Office365

10 gode grunde. - derfor skal du vælge Office365 10 gode grunde - derfor skal du vælge Office365 1. Bedre samarbejde på tværs af lokationer En stor del af arbejdsstyrken tilbringer i dag langt mere tid væk fra deres kontor end hidtil. Dine ansatte kan

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7 2011 Indhold Hosted løsning... 3 Hosted produkter... 4 Dedikeret server hosting... 5 Virtuel server hosting... 6 Shared Office hosting... 7 Exchange hosting... 8 Remote Backup... 9 Hosted løsning Hosting

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Digitalisér.dk s migration til skyen

Digitalisér.dk s migration til skyen Digitalisér.dk s migration til skyen Martin Høegh Mortensen (IT- og Telestyrelsen), Heinrich Clausen (selvstændig konsulent) Agenda De indledende øvelser Migration Eftertanke og konklusion 1 De indledende

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

as a Service Dynamisk infrastruktur

as a Service Dynamisk infrastruktur Dynamisk infrastruktur Vi bygger dynamisk infrastruktur...... og holder den kørende Om jeres it-infrastruktur fungerer optimalt, er i bund og grund et spørgsmål om kapacitet. Og så er det et spørgsmål

Læs mere

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet): 978-87-92572-47-9 2 > Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon:

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Produktbeskrivelse for

Produktbeskrivelse for Produktbeskrivelse for Service til opfølgning på behandlingsrelationer NSP Opsamling Tjenesteudbyder Opfølgning Notifikation Side 1 af 7 Version Dato Ansvarlig Kommentarer 1.0 22-12-2011 JRI Final review

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Copyright SaaS-it Consult 2011. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Copyright SaaS-it Consult 2011. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13. september, 2011 Cloud Computing & SaaS Hvor er vi på vej hen? Agenda Definitioner The SaaS-it Evolution

Læs mere

GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING

GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING Cookieinformationsløsningen opsættes af Sitemorse Danmark til kunden. Service og sikkerhed Oppetid Sitemorse hoster løsningen samt relaterede komponenter og indhold

Læs mere

Al opstart er svært lad os hjælpe dig

Al opstart er svært lad os hjælpe dig Al opstart er svært lad os hjælpe dig Vi kan gøre din hverdag nemmere At vælge det rigtige kan være svært lad os hjælpe dig frem til dine mål og behov. I denne brochure finder du de produkter vi har. Vi

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Offentlige virksomheder i forandring. It og kommunikation til fremtidens udfordringer i staten

Offentlige virksomheder i forandring. It og kommunikation til fremtidens udfordringer i staten Offentlige virksomheder i forandring It og kommunikation til fremtidens udfordringer i staten Skab fremtidens offentlige sektor med it Den offentlige sektor møder benhårde krav. Medarbejdere kræver fleksibilitet,

Læs mere

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING

Sagsnr. 26250-0 NOTAT OM DATABEHANDLING Sagsnr. 26250-0 NOTAT OM DATABEHANDLING INDHOLDSFORTEGNELSE 1. Beskrivelse af problemstillingen... 3 2. Overladelse af persondata... 3 2.1. Behandlingshjemmel... 3 2.2. Dataansvar... 4 2.3. Databehandlerinstruks...

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Notat Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing Indholdsfortegnelse: 1. Indledning...2 2. Definition af cloud computing og eksempler herpå...3 3. Sikkerhed i cloud

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Mere end flådestyring

Mere end flådestyring www.toyota-forklifts.dk TOYOTA I_SITE Mere end flådestyring Hvordan kan jeg reducere omkostninger i forbindelse med skader? Hvad er min optimale flådestørrelse? Hvordan kan jeg øge min udnyttelsesgrad?

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995) Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen I dag Persondataloven (fra 2000) Baseret på persondatadirektivet (fra 1995) Forskelle i implementering

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger. Februar 2016

MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger. Februar 2016 MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger Februar 2016 Introduktion I løbet af de sidste par år er en voksende del af virksomhedsinformation flyttet til skyen. Løsninger

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt

Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt Bilag 1 Vurdering af økonomiske konsekvenser af beslutningsforslag B 103 1. Indhold i beslutningsforslag B 103 Det overordnede

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

UDSNIT 8. februar 2008

UDSNIT 8. februar 2008 UDSNIT 8. februar 2008 Dette udsnit indeholder indeholder en introduktion til hvad begrebet brugerstyring dækker over Kolofon: OIO Referencemodel for tværgående brugerstyring Dette baggrundsdokument kan

Læs mere

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur Cloud i brug Migrering af Digitalisér.dk til cloud computing infrastruktur 02 Indhold > Executive Summary............................................................... 03 Digitaliser.dk.....................................................................

Læs mere

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation) Erhvervs- og Vækstministeriet Slotsholmsgade 10-12 1216 København K Sendt til: om2@evm.dk Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

Punkt 9 - bilag 3. Vejledning vedr. brug af Cisco Jabber

Punkt 9 - bilag 3. Vejledning vedr. brug af Cisco Jabber Punkt 9 - bilag 3 vedr. brug af Cisco Jabber Region Sjælland 2014 INDHOLD 1. Organisation & Ansvar 2. Juridiske aspekter 3. Generel brug af Cisco Jabber Tilgængelighed Chat Skærmdeling Videosamtale Virtuelle

Læs mere

Application Management Service

Application Management Service Application Management Service I dette Whitepaper vil vi beskrive nogle af vores erfaringer med Application Management. De fleste virksomheder har på et tidspunkt lavet, eller fået lavet, en mindre applikation,

Læs mere

ansvarlighed ipvision samler al din kommunikation i én integreret løsning info hosted pbx mobiltelefoni fibernetværk ip-telefoni internet sikkerhed

ansvarlighed ipvision samler al din kommunikation i én integreret løsning info hosted pbx mobiltelefoni fibernetværk ip-telefoni internet sikkerhed visamlertrådene ipvision samler al din kommunikation i én integreret løsning ansvarlighed én leverandør, der samler trådene og skaber synergi De fleste ved, at der kan være meget at spare ved at samle

Læs mere

Konference om Cloud Computing 18. maj 2011. Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD

Konference om Cloud Computing 18. maj 2011. Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD Konference om Cloud Computing 18. maj 2011 Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD POC, hvad er det? En søgning på internettet viser, at de fleste sites

Læs mere

SystemGruppen KOMPETENCE OG SERVICE

SystemGruppen KOMPETENCE OG SERVICE SystemGruppen KOMPETENCE OG SERVICE Velkommen til System Gruppen Hos SystemGruppen sætter vi meget stor pris på vores kunder. Vi vil gerne sørge for, at du føler dig kompetent serviceret og godt hjulpet.

Læs mere

Vejledning til skabelonen Databehandleraftale_feb2015

Vejledning til skabelonen Databehandleraftale_feb2015 Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Vejledning til skabelonen Databehandleraftale_feb2015 Skabelonen Databehandleraftale_feb2015

Læs mere

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER Ikrafttrædelsesdato: 1/1/2013 Nærværende Politik for beskyttelse af personlige oplysninger forklarer, hvordan vi håndterer de personlige oplysninger, som

Læs mere

NetNordic 365. Dine netværks- og integrationsløsninger i trygge hænder C L O U D D R I F T SUPPORT KONSULENT

NetNordic 365. Dine netværks- og integrationsløsninger i trygge hænder C L O U D D R I F T SUPPORT KONSULENT 365 Dine netværks- og integrationsløsninger i trygge hænder C L O U D D R I F T SUPPORT KONSULENT At være kundens «Best Companion» forpligter Det indebærer blandt andet at vi tilbyder «best-of-breed» løsninger

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

DeIC strategi 2014-2018

DeIC strategi 2014-2018 DeIC strategi 2014-2018 DeIC Danish e-infrastructure Cooperation blev etableret i 2012 med henblik på at sikre den bedst mulige nationale ressourceudnyttelse på e-infrastrukturområdet. DeICs mandat er

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Business case. for. implementering af InCare på plejecenter med 40 beboere

Business case. for. implementering af InCare på plejecenter med 40 beboere Dato: 2012 J.nr.: xx Business case for implementering af InCare på plejecenter med 40 beboere Version: 3.2 2/11 Indholdsfortegnelse 1. Ledelsesresume... 3 2. Løsningsbeskrivelse... 4 Projektets navn eller

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg BPO og IT-outsourcing Ved persondataspecialist Charlotte Bagger Tranberg Hvad er outsourcing? Definition: Outsourcing er defineret som hel eller delvis udflytning af forretningsaktiviteter (kerne- eller

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Når økonomioutsourcing er den rigtige løsning

Når økonomioutsourcing er den rigtige løsning Når økonomioutsourcing er den rigtige løsning Overvejer I at oursource hele eller dele af jeres økonomifunktion? Dette whitepaper er udarbejdet, så I har et bedre beslutningsgrundlag at handle ud fra.

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not To Cloud or Not To Cloud or not Myndigheder og virksomheders valg af cloud computing Bjørn Borre, Chefkonsulent IT-Branchen, bjb@itb.dk Mobil 27522524 1 Om IT-Branchen Om Bjørn Borre 300 it-virksomheder.

Læs mere