Publikationen kan hentes på Digitalisér.dk: Cloud computing i den offentlige sektor - et diskussionsoplæg

Størrelse: px
Starte visningen fra side:

Download "Publikationen kan hentes på Digitalisér.dk: http://digitaliser.dk/group/375255. Cloud computing i den offentlige sektor - et diskussionsoplæg"

Transkript

1

2 Cloud computing i den offentlige sektor - et diskussionsoplæg Udarbejdet af: IT- & Telestyrelsen Kontoret for IT-infrastruktur og implementering Publikationen kan hentes på Digitalisér.dk: IT- & Telestyrelsen Holsteinsgade København Ø Telefon: Fax:

3 Cloud computing i den offentlige sektor - et diskussionsoplæg IT- og Telestyrelsen & KL juli 2009

4 4 >

5 Indhold > Indhold 5 Indledning 6 Hvorfor er det interessant at se på Cloud computing? 6 Oversigt 7 Opsummering 9 Hvad er Cloud computing? 10 Definition 10 Fordelene ved Cloud computing 12 Tekniske udfordringer i forbindelse med at skifte til Cloud computing 14 Interne Clouds og virtualisering 15 Økonomiske betragtninger 17 Plads 17 Energi 17 Drift og servicering 17 Besparelser afhænger af loadsituationen 18 Datasikkerhed og juridiske krav vedrørende data 20 Særlige sikkerhedsmæssige forhold vedrørende Cloud computing 20 Juridisk grundlag 21 Perspektivering af de sikkerhedsmæssige og juridiske rammer 24 Områder vi kan blive klogere på 28 Umiddelbare anbefalinger 30 Referencer og yderligere information 32 5

6 Indledning > I den seneste tid har Cloud computing været et af de mest omtalte emner i it debatten. Private virksomheder påpeger de besparelser, der er vundet ved at skifte over til Cloudleverandører, samtidig med at debattører råber vagt i gevær overfor informationssikkerheden i de nye Clouds. Skal den offentlige sektor hoppe med på vognen og skifte over til Cloudløsninger, og hvilke fordele og problematikker kan der være forbundet med det? Dette er et oplæg til diskussion af Cloud computing i den offentlige sektor, udarbejdet i samarbejde imellem KL og IT- og Telestyrelsens Kontor for IT-infrastruktur og implementering. Med dette oplæg vil vi løst skitsere de overordnede rammer for Cloud computing i den offentlige sektor og dermed invitere til en bred debat om muligheder og udfordringer ved anvendelse af Cloud computing offentlige it-løsninger. Målet er at lave vidensdeling samt skabe dialog imellem offentlige myndigheder, leverandører, borgere og alle andre relevante interessenter. Hvorfor er det interessant at se på Cloud computing? Cloud computing er it-produkter der, i stedet for at blive solgt som et produkt som køberen derefter ejer, bliver udbudt som en service via en abonnementsordning leveret via internettet. Det kan være software som for eksempel , hvor man, i stedet for at have Outlook liggende på computeren, benytter for eksempel gmail eller hotmail direkte på nettet. Men det kan også være i form af serverkapacitet, der leverer computerkraft og lagerplads over nettet, så alle ressourcer bliver leveret fra en ekstern udbyder over nettet og ikke fra computeren på kontoret eller serverrummet i kælderen. I de senere år har der været øget debat omkring effektiviteten af it-afdelingerne i virksomheder og offentlige institutioner. It-afdelingerne vokser, og udgifterne stiger. Samtidig kan mange kommuner specielt efter den nye kommunalreform mærke pres på budgetterne, og den offentlige sektor er ofte i mediernes søgelys, når der sker forringelser af ydelserne til borgerne. Arbejdsstyrken i det offentlige falder, og det bliver sværere at finde kompetencer til at realisere målet om, at Danmark skal være en af de førende it-nationer 1. Derfor bliver det endnu mere vitalt at kunne udnytte de eksisterende it-kompetencer i det offentlige optimalt. Måske kan Cloud computing, hvor it-ydelser købes som en service, være med til at lette nogle af problemerne med at skaffe kompetenceressourcer til den offentlige it-administration? Nogle af it-drifts og - support opgaverne, der i dag varetages af den interne it-afdeling, kan i tilfælde af en Cloudløsning outsources til danske eller globale leverandører. En sådan løsning kan i teorien spare både hænder og driftsomkostninger. Samtidig tilbyder Cloud computing fleksible løsninger, som potentielt kan: mindske hardware overkapacitet, give bedre håndtering af spidsbelastningsperioder, samt automatisk opdatere til nyeste software og hardware teknologi. Cloud computing er derfor et meget interessant emne at undersøge for det offentliges fremtidige itforretningsmodel, herunder hvorledes anvendelse kan ske uden at kompromittere sikkerheden. 1 For yderligere information se CIO s vision om Danmark som digitalt skabersamfund, som kan findes på DetDigitaleSkabersamfund.pdf 6

7 Oversigt Dette diskussionspapir er et oplæg til en yderligere analyse og diskussion af de muligheder og problematikker, der ligger i at benytte Cloud computing i den offentlige sektor. Cloud computing rejser mange spørgsmål, specielt sikkerhedsmæssige og juridiske, som vil blive diskuteret som en hjælp til at udpege de områder, hvor der kan være forhindringer, eller som kræver dybere undersøgelser. Det er vigtigt, at vi i denne indledende debat sætter forbeholdene op imod de potentielle muligheder, der ligger i at følge erhvervslivets eksempel og benytte Cloud computing i den offentlige sektor. Diskussionspapiret er rettet specielt imod offentlige myndigheder, både beslutningstagere og it-ansvarlige, så alle relevante parter aktiveres i debatten. Efter denne korte indledning vil vi > introducere Cloud computing og hvordan begrebet defineres i dette diskussionspapir, > gennemgå nogle af de økonomiske aspekter, der er forbundet med Cloud computing, > perspektivere de sikkerhedsmæssige og juridiske rammer, der kan komme i spil, hvis Cloud computing benyttes til at håndtere offentlige data, > opridse hvilke områder der har brug for yderligere undersøgelser, og som derfor efter sommerferien løbende vil blive taget op på Digitalisér.dk, samt > slutte af med nogle korte anbefalinger om områder, hvor vi mener at offentlige myndigheder allerede i dag uden den store risiko kan bevæge sig mod en udnyttelse af Cloud computing Vi håber at læseren vil tage opfordringen til diskussion op og efterfølgende aktivt deltage i debatten i gruppen Cloud computing i det offentlige på Digitalisér.dk. 7

8 8 >

9 Opsummering > > Computerkraft leveret som en ydelse (Utility computing) åbner mulighed for hurtig op- og nedskalering, som er en fordel, hvis der er store udsving i ressourcebehovet, ved udviklingsprojekter som hurtigt skal startes op og som måske har en begrænset tidsramme, eller hvis man ved projektets opstart har svært ved at estimere det fremtidige ressourcebehov. Offentlige myndigheder kan allerede i dag med fordel undersøge mulighederne for at benytte utility computing, for eksempel til at drive hjemmesider som ikke indeholder følsomme data. Dette vil give konkrete erfaringer med at benytte Cloud computing uden at datasikkerheden kompromitteres. > I forbindelse med initiativet Offentlige data i spil er det oplagt at benytte Cloudbaseret lagring til offentlige data, da det er væsentligt lettere at gøre data tilgængelige for virksomheder og andre offentlige myndigheder, hvis de allerede ligger i Cloud en. > Ved at benytte Software as a Service (SaaS) produkter kan der skæres ned på omkostninger i forbindelse med drift og service i form af softwareopdateringer, installeringer og patching. Det er dog væsentligt at overveje, om SaaS løsningen kan levere den nødvendig funktionalitet, hvilke integrationer som kan blive påvirket ved et skift til SaaS, hvordan data migrationen skal foregå, og vigtigst om sikkerheden er tilstrækkelig. Der er brug for flere konkrete økonomiske analyser af forskellige Cloudbrugsscenarier, der kan perspektivere omkostningerne i forhold til traditionelle leverancer. > Grøn it er på regeringens dagsorden og Cloud computing kan være et skridt på vejen, via de energibesparelser, det kan føre med sig at konsolidere og virtualisere offentlige institutioners servere i centrale datacentre. > En Cloudløsning er afhængig af netforbindelsen imellem leverandør og bruger. Det er derfor essentielt at båndbredden er tilstrækkelig, så brugeren får uhindret adgang til ydelsen der leveres. Samtidig skal leverandøren garantere en oppetid, som modsvarer brugerens behov. Det skal vurderes, om der skal være mulighed for offline brug af ydelsen. > Der er mange juridiske hensyn at varetage, hvis en cloudløsning omhandler behandlingen af persondata eller andre følsomme data. Specielt angående den fortsatte kontrol over data og i forbindelse med databehandlere udenfor Danmarks grænser. Datatilsynet skal derfor tages med på råd inden løsninger, som potentielt skal håndtere følsomme data, udvikles og tages i brug. > Sikkerhedsmæssigt er det vigtigt at lave en grundig risikovurdering af den specifikke Cloudløsning. Det skal overvejes om de eksisterende skabeloner og standarder for risikovurdering af informationssikkerheden skal opdateres til at imødekomme de nye problematikker, der kan opstå i forbindelse med Cloud computing. 9

10 Hvad er Cloud computing? > Internationalt har Cloud computing i stigende grad vist sig som et nyt buzzword for effektivisering og outsourcing af it-ydelser til eksterne leverandører. Leverandørerne kan levere varen til en lavere pris ved at benytte sig af stordriftsfordele. Også den offentlige sektor har flere steder vist interesse for fænomenet, både nationalt og internationalt. For eksempel benytter Københavns Kommune en Cloudleverandør, Amazon Web Services (fremover blot benævnt Amazon), til at hoste deres webbaserede World Climate Community, som er oprettet i forbindelse med klimatopmødet i november. Ved at benytte Amazon til hosting af hjemmesiden skal Københavns Kommune ikke selv investere i serverkapacitet men benytter i stedet Amazons Cloudinfrastruktur. Digital Britain I juni udgav den britiske regering en rapport, der satte fokus på Storbritanniens digitale fremtid 2. Denne rapport nævner flere steder nødvendige tiltag omkring bredbånds- og mobilnetværk for at fremme bl.a. Cloud computing. Storbritannien har iværksat en grundig strategisk analyse af potentialet for at oprette en Government Cloud dvs. en intern Cloud for hele den offentlige sektor i Storbritannien. Definition Der er mange forskellige forklaringer på, hvad Cloud computing er, og der findes stadig ikke en entydig definition. I dette diskussionspapir vil vi, inspireret af Berkeleys definition, definere Cloud computing således: Definition af Cloud computing 3 : Cloud computing dækker både løsninger (services) tilgængelige via internettet, såvel som den hardware og software der er i datacentrene, og som leverer de nævnte services. Løsningerne er i sig selv kendt som Software as a Service (SaaS). Ovennævnte hardware og software, lokaliseret i datacentre vil vi kalde en Cloud. En Cloud, der gøres tilgængelig for alle interesserede via betaling for aktuelt forbrug, kaldes en kommerciel Cloud; Ydelsen, der sælges er Utility Computing. Udtrykket intern Cloud anvendes om interne datacentre for en virksomhed eller anden organisation, som ikke er tilgængelige for offentligheden. Cloud computing er således summen af SaaS og Utility Computing, men inkluderer ikke interne Clouds. 2 Hele rapporten Digital Britain udgivet den 16. juni 2009 kan findes på 3 Definitionen er inspireret af Above the Clouds: A Berkeley View of Cloud Computing, som findes på 10

11 Da meget af dialogen om Cloud computing foregår på engelsk, vil vi nævne at kommerciel Cloud på engelsk benævnes Public Cloud, mens intern Cloud på engelsk benævnes Private Cloud. Definitionen af Cloud computing i dette dokument er rettet imod offentlige myndigheder og deres udnyttelse af Cloud computing produkter. Cloud computing defineres i andre sammenhænge som havende tre lag: > Infrastrucuture as a Service (IaaS) - svarende til Utility computing i vores definition > Platform as a Service (PaaS) > Software as a Service (SaaS) - som også anvendes i vores definition Figur 1 illustrerer sammenhængen mellem de tre lag. Figur 1: Illustration af Cloud computing og de overordnede typer services der udbydes. Kommuner og andre offentlige myndigheder er som oftest aftagere af Cloudprodukter og ikke producenter af disse. Vi har derfor valgt ikke at tage Platform as a Service (PaaS) med i vores definition, da denne service hovedsagligt retter sig imod udviklere, der for eksempel producerer SaaS produkter. 11

12 Fordelene ved Cloud computing Det er ikke et nyt tiltag at udlicitere it-services til underleverandører, som så leverer en ydelse over nettet. Det sker allerede i nogen grad; for eksempel med ASP løsninger 4 som skolernes intranet, SkoleIntra, eller med centrale datacentre. Forskellen er, at det nu er blevet relevant i langt højere grad, da netværk og båndbredde er ved at være oppe på en kapacitet, hvor det reelt er en mulighed at få alle sine services som en netbaseret ressource. Fleksibilitet og skalering Blandt fordelene ved at benytte Cloud computing er, at det skaber fleksibilitet; det er lettere og hurtigere for brugeren eller organisationen at tilpasse sig til nye behov der opstår eller krav som konstant svinger, hvis man benytter en Cloudservice. Man kan bedre skalere op og ned, når ens behov ændres og der, måske for en begrænset periode, er brug for større kapacitet. Man kan samtidig minimere ressourcespild fra serverkapacitet, software eller andet, som sjældent eller aldrig benyttes. Det er blandt andet denne fleksibilitet, der gør Cloud computing interessant. Uden selv at skulle investere i hardware kan man, ifølge leverandørerne, på relativt kort tid have computerkraft til rådighed, som modsvarer det behov, man står med lige nu. Måske kunne der være endnu større gevinster at hente, hvis ikke kun enkeltstående projekter blev flyttet til cloud en, men også hele infrastrukturer. Sådan et tiltag vil kræve grundige overvejelser, specielt angående sikkerhed, som det er vigtigt at undersøge grundigt, inden et eventuelt projekt realiseres. I teorien er det med Cloud computing lettere at skifte leverandør, da man ikke, på samme måde som i dag, er bundet af dyre investeringer. I realiteten er det endnu ikke helt tilfældet for alle Cloudservices, da der stadig mangler eksistens og anvendelse af åbne standarder, der ville kunne muliggøre et problemfrit leverandørskifte. Drift og service besparelser Ved at benytte Cloudressourcer udliciteres al driften forbundet med services hentet i Cloud en, til leverandøren. Drift og servicering er ofte en væsentlig omkostning for en organisation eller kommune, og mange mindre organisationer kan have besvær med at tiltrække de nødvendige kompetencer og ressourcer til selv at vedligeholde en effektiv it-drift. Leverandørerne af SaaS løsninger fortæller, at man ved at skifte til SaaS kan lette itafdelingens opgaver i forbindelse med bl.a. installering af software, løbende softwareopdatering, samt installering og vedligeholdelse af patches. Ifølge Kommunernes Landsforening har it-afdelingerne i kommunerne mange omkostninger alene med vedligeholdelsen af de basale kontorprogrammer (såsom , kalender, skriveprogram). Hvis en SaaS leverandør kan overtage nogle af disse opgaver, vil en SaaS løsning spare både tid og ressourcer. Igen er der dog mange andre aspekter, der også skal tages i betragtning, for eksempel om de udbudte SaaS programmer kan levere de nødvendige funktionaliteter. Omvendt kan en mulighed for at anvende SaaS begrænset funktionalitet måske give anledning til overvejelser om, hvorvidt særlige funktionsmæssige behov er "need to have" eller mere "nice to have. 4 ASP står for Application Service Provider. Leverandøren af ASP-løsningen står for driften af denne. 12

13 Internt hostet i forhold til Google Apps Analysefirmaet Forrester har i januar 2009 udgivet en rapport, som sammenligner udgifterne ved traditionel intern hosting med Cloudbaserede 5 løsninger, deriblandt Google Apps. Resultatet af analysen kan ses i tabellen nedenfor. Omkostningerne afhænger selvfølgelig af antallet af medarbejdere i den givne virksomhed det viste eksempel er for en amerikansk virksomhed med konti. Totale omkostninger pr. bruger pr. måned Internt hostet Google Apps $ 25,18 $ 8,47 Analysen kan ikke direkte overføres til danske forhold, da den bygger på amerikanske tal, men resultatet er alligevel tankevækkende. Derudover er der selvfølgelig mange andre aspekter at overveje, inden man skifter til Google Apps, såsom sikkerhedsforanstaltninger og om funktionaliteten lever op til de krav, man har til en service osv. Besparelser på hardwareressourcer Også computerressourcer i form af serverkapacitet er en væsentlig udgift for en kommune eller organisation. For at være forberedt på eventuelle spidsbelastningsperioder, for eksempel ved lønudbetalinger eller andre periodemæssige aktiviteter, kører de fleste datacentre til dagligt med en væsentlig overkapacitet. Denne overkapacitet kan mindskes, hvis der indgås en fleksibel abonnementsordning med en IaaS leverandør, da der derved kun betales for det reelle forbrug. Dette forklares yderligere i afsnittet Økonomiske betragtninger. Grøn it Et andet interessant aspekt af Cloud computing er Grøn it. Grøn it er kommet på regeringens dagsorden, idet det vurderes, at it alene står for 2 % af verdens samlede CO 2 -udledning 6. Ved at centralisere datacentrene spares energi, og derved også CO 2, igennem bedre udnyttelse af serverkapaciteten 7. Der vil formodentlig også være større incitament for en privat leverandør med en større samlet volumen i at investere i den mest effektive og ressourcebesparende hardwareteknologi. 5 Se Forresterrapporten Should Your Live in the Cloud? A Comparative Cost Analysis af Ted Schadler, tilgængelig på 6 Se Handlingsplan for grøn it i Danmark udgivet af IT- og Telestyrelsen i 2008, tilgængelig på 7 Se for eksempel Forrester analytikeren Christopher Mines blog på 13

14 Tekniske udfordringer i forbindelse med at skifte til Cloud computing Fordelene ved at benytte Cloud computing skal selvfølgelig opvejes imod de eventuelle forhindringer, der kan være ved forbundet med at benytte en Cloudløsning. De væsentligste forhindringer er forbundet med sikring af data, hvilket vil blive taget op i afsnittet Datasikkerhed og juridiske krav vedrørende data. Derudover kan der også være visse tekniske udfordringer forbundet med at overgå til et Cloudprodukt. Disse udfordringer afhænger bl.a. af den teknologiske udvikling (Cloud computing er stadig et relativt nyt begreb, som først er blevet en reel mulighed med de seneste års udvikling på netværkssiden) samt det konkrete produkts modenhed. Adgang til data At benytte en Cloudløsning kræver selvfølgelig en netforbindelse, der kan håndtere den pågældende datatrafik, så data og applikationer er tilgængelige for brugeren i det omfang, det er nødvendigt. Senest har der i medierne kørt en sag om de dårlige netforbindelser, som skolelærerne må døje med i forbindelse med undervisningen og opkobling til SkoleIntra, det landsdækkende skolenetværk. Det kan både være netforbindelserne eller programmets opbygning, der skaber forsinkelserne, men i bund og grund er det essentielt for brugeren, at der er den oppetid og hastighed, som er defineret som minimumskrav i den aftalte Service Level Agreement (SLA), der igen baserer sig på grundig risikovurdering. Hvis serverne, som opbevarer dine data eller udbyder en applikation, rent fysisk er lokaliseret på den anden side af jordkloden, vil der være forsinkelser i reaktionerne, når brugeren anmoder om en handling, dvs. bruger programmet eller henter/gemmer data. Større leverandører imødekommer dette ved at have datacentre spredt i hele verden, så hele deres marked er dækket ind. På nuværende tidspunkt er de fleste nye Cloud computing tiltag lokaliseret i USA og ikke i Europa. Datamigrering En af fordelen ved Cloud computing er den fleksibilitet, som den kan medføre. Men der mangler standarder, som gør det muligt for kunderne frit at skifte imellem leverandørerne. Det er derfor i teorien muligt at skifte leverandør med øjebliks varsel, men i praksis er processerne langt mere komplicerede. Som teknologien udvikler sig, vil der formodentlig opstå standarder igennem krav fra markedet og lovgivende institutioner, eller ved at en af de større udbyderes standarder vinder indpas på større dele af markedet. Integrationer I det offentlige benyttes både standardprogrammer (for eksempel Microsoft Office) samt fagspecifikke programmer (som for eksempel ESDH systemer), som er udviklet eller tilpasset en specifik funktion og/eller institution. Selvom langt størstedelen af de programmer, der benyttes, er standardprogrammer, udgør fagsystemerne stadig en vital del, som den enkelte offentlige institution kan være meget afhængig af. Der er ofte integrationer imellem programmerne; standardprogrammer er for det meste fra producentens side udviklet til at kunne spille sammen med andre store standardprogrammer, men specielt fagsystemer er ofte designet til at passe til et specifikt standardprogram. Dette gør, at det kan være en omfangsrig opgave at skifte selv standardprogrammerne, da de fagspecifikke programmer derved skal tilpasse de nye programmer. Samtidig er det vigtigt at tage brugertilpasning med i overvejelserne, 14

15 inden der skiftes til en ny software, som brugerne ikke kender, og derfor skal til at sætte sig ind i. Interne Clouds og virtualisering En måde hvorpå en organisation kan benytte sig af Cloud computing, men stadig opretholde fuld kontrol over sine systemer, er ved at oprette en intern Cloud. Interne Clouds fungerer ligesom offentlige Clouds, men drives internt i organisationen, for eksempel som et centraliseret datacenter. De enkelte afdelinger og medarbejdere har adgang til Cloud en, som styres centralt i virksomheden. Derved opnås en vis fleksibilitet internt i organisationen, samtidig med at data stadig er sikret. Virksomheden skal dog stadig investere i etableringen af infrastrukturen og er afhængig af selv at drive og servicere systemer osv. i Cloud en. Samtidig er interne Clouds stadig begrænset af den samlede kapacitet i organisationen, hvilket nedsætter den fleksibilitet, som Cloud computing ellers giver. Prisudviklingen på computer ressourcer fra 2003 til 2008 I en teknisk rapport fra Berkeley beskrives prisudviklingen på computerressourcer fra 2003 til Resultatet viser en væsentlig reduktion af prisen pr. ressource specielt på CPU og lagerressourcer. Prisen på båndbredde er ikke fulgt med i samme grad som de to andre parametre, på trods af at kapaciteten er forbedret fra 1 til 100 Mbps. $1 kunne i 2003 købe $1 kunne i 2008 købe Udviklingen af pris/ydelse WAN båndbredde/ måned CPU timer Disk plads 1 GB 8 CPU timer 1 GB 2.7 GB 128 CPU timer 10 GB 2.7x 16x 10x Cloududbyderne har udnyttet denne prisudvikling til det yderste gennem stordrift med færre administratorer per server, og placering af datacentrene hvor strøm og køling fås billigst. Mindre datacentre har en relativ større andel af udgifter på områder som personel, strøm og køling, samtidig med at de ikke kan købe ind i samme volumen, som Cloududbyderne. Mindre datacentre har derfor ikke været i stand til at drage nytte af de dramatiske prisfald, der vises i tabellen på samme måde som Cloududbyderne. 8 Eksemplet kommer fra Berkeleyrapporten Above the Clouds: A Berkeley View of Cloud Computing, som er tilgængelig på html 15

16 I medierne høres der om flere forskellige tiltag om at oprette interne Clouds dedikeret til den offentlige sektor, for eksempel har den føderale regering i USA udtalt, at de undersøger mulighederne for at oprette en Government Cloud. Senest har den japanske regering offentliggjort, at de har startet et omfattende projekt, hvor de vil oprette en intern Cloud for hele den Japanske forvaltning for at reducere omkostninger og højne effektiviteten. Virtualisering 9 er det første skridt på vejen for at kunne benytte sig af utility computing, eller IaaS ydelser. Ved at benytte sig af virtualisering deler man sine servere virtuelt i stedet for fysisk, dvs. en fysisk server kan deles op i x antal virtuelle servere, således at software osv., der skal køre på en dedikeret server, ikke længere behøver sin egen fysiske server, men blot en dedikeret virtuel server. Derved udnyttes ressourcerne på de fysiske servere bedre, hvilket også er princippet med utility computing. 9 Virtualisering giver et lag af abstrahering til den konkret anvendte hardware, som gør det nemmere at dele fysiske servere mellem flere applikationer. Samtidig gøres det nemmere at flytte applikationerne da de ikke er bundet til een bestemt leverandørs hardwareplatform. 16

17 Økonomiske betragtninger > Ved at benytte Cloud computing kan der potentielt spares ressourcer på både hardware og software. I realiteten betales der kun for det reelle forbrug og ikke for uudnyttede ressourcer. Ydelserne købes som et abonnement eller efter ren forbrugsafregning, og det er derfor billigere i opstart, da man ikke køber softwaren eller hardwaren, men i stedet abonnerer på en ydelse. Samtidig er man ikke på samme måde bundet af software, som ikke kan udskiftes fordi den repræsenterer en væsentlig investering for organisationen. Man har derfor altid den nyeste version af softwaren og skal ikke gå ind i overvejelser om opdateringer, da dette sker helt automatisk hvad enten man vil det eller ej. Det er dog vigtigt at beregne, hvor mange udgifter der reelt kommer til at være i forbindelse med en SaaS løsning i det lange løb, i forhold til en traditionelt indkøbt software licens. Der er endnu ingen generelle tommelfingerregler for, hvornår SaaS er billigst, og hvornår det bedre kan betale sig selv at investere i softwaren.. Plads For mange institutioner er datacenterplads et reelt problem, og ved at outsource de interne datacentre til eksterne leverandører kan der spares kvadratmetre, da serverrum optager en del plads i virksomheden. Eksempelvis står én region med den udfordring, at pladsen til servere vil være et problem allerede indenfor en overskuelig årrække, på trods af at de har iværksat en omfattende virtualiseringsplan 10. Samtidig er serverrum dyre at indrette med køleanlæg, nødvendig sikring osv. Energi Servere tager også en del energi og ved at samle serverne i datacentre, hvor de udnyttes bedre, spares CO 2. Her er der ikke blot tale om at flytte CO 2 byrden til leverandøren; ved at centralisere igennem datacentre udnyttes kapaciteten bedre og overkapaciteten nedbringes, hvilket sparer ressourcer. En større datacenterudbyder vil, i kraft af den større samlede kapacitet og derved en mere synlig effektiviseringsgevinst, have større incitament i at investere i nyere hardwareteknologi, som er mere energibesparende og effektiv. Drift og servicering Det formodes, at driftsomkostningerne ved servicering og vedligehold kan nedsættes ved at gå over til Cloud computing. Cloudleverandøren kan benytte sig af stordriftsfordele og er ekspert i sit produkt og vil formodentligt ved at centralisere driften kunne administrere de udliciterede opgaver mere effektivt. En anden fordel er, at de interne kompetencer i det offentliges IT-afdelinger udnyttes mere optimalt til mere specialiserede og krævende opgaver i stedet for serviceringsopgaver som opdatering, patching osv. Alle disse overvejelser er dog langt hen af vejen baseret på formodninger, og der er stor debat om, hvorvidt Cloud computing reelt kan betale sig økonomisk og i så fald for hvilke organisationer. Der er derfor brug for flere dybdegående økonomiske analyser og eksempler baseret på reelle erfaringer fra situationer, hvor Cloud computing har været eller bliver benyttet. 10 Fra præsentation af Jan Kold, it-stabsdirektør i Region Hovedstaden, under emnet konsolidering af sundheds it ved arkitektur konferencen 2. april

18 Eksempel: Flytning af Digitalisér.dk og NemHandel til Cloud en IT- og Telestyrelsen er midt i en proces med at flytte driften af domænerne Digitalisér.dk og NemHandel til Cloud en. Forudgående for processen har en analyse estimeret at der være en månedlig besparelse på 71 % ved at skifte fra en traditionel hosting løsning til Amazons AWS løsning. På trods af at der er en del omkostninger ved at skifte hostingløsning, vurderes det at investeringerne vil være tilbagebetalt allerede inden 9 måneder. Den løsning som eksemplet bygger på, er baseret på et relativt konstant loadsituation hvor der kun er små udsving, da ingen af domænerne er udsat for væsentlige spidsbelastningsperioder. Det er væsentligt at nævne at Amazon kun udbyder drift af infrastrukturen. Der er stadig opgaver forbundet med drift af software og applikationer, som skal varetages af IT- og Telestyrelsen selv eller outsources til anden leverandør. Besparelser afhænger af loadsituationen Forbrugsmønsteret er en væsentlig faktor for, om der er besparelser at hente ved at skifte over til utility computing. Specielt ved et svingende forbrug af serverkapacitet er der besparelser at hente. I perioder med lav aktivitet skal man også være forberedt på at kunne håndtere spidsbelastningsperioder, hvilket resulterer i en del overkapacitet, som kun udnyttes i begrænsede perioder. Figur 2 illustrerer tre forskellige loadsituationer og hvor meget overkapacitet, der reelt er til stede i hvert tilfælde. > I situation 1, hvor der er et forholdsvis konstant forbrug, er den uudnyttede serverkapacitet mindre og en løsning hvor der købes en konstant serverkapacitet, er mest hensigtsmæssig. > I situation 2 er forbruget konstant svingende, og det er meget svært at sætte en øvre grænse for serverkapaciteten. Det vil derfor være hensigtsmæssigt med en fleksibel aftale, som hele tiden tilretter sig efter behovet på det givne tidspunkt. En lignende situation er, hvis man har svært ved at estimere, hvor stort behovet bliver i fremtiden. > I situation 3, hvor der er et forholdsvis konstant forbrug med enkelte spidsbelastningsperioder, kan det være en fordel med en løsning, hvor der reserveres en konstant serverkapacitet svarende til det daglige forbrug, samtidig med at en fleksibel aftale indgås for at imødekomme spidsbelastningsperioderne. De fleksible aftaler er dyrere at investere i end aftaler med fast serverkapacitet, og det er derfor en fordel at begrænse indkøbet af den fleksible ydelse. 18

19 Figur 2: Illustration af udnyttelsen af den reelle serverkapacitet ved forskellige typer forbrug. Grafen illustrerer tid i forhold til kapacitet. 19

20 Datasikkerhed og juridiske krav vedrørende data > Udnyttelsen af Cloud computing skal ske sikkerhedsmæssigt forsvarligt og inden for rammerne af gældende lovgivning. Særligt hvis Cloudløsningen omhandler persondata eller andre følsomme data, kan lovgivningen stille krav til, hvordan data skal håndteres. Overordnet handler det om at bevare kontrol over data. I følgende kapitel skitserer vi hvilke områder, der skal overvejes i forbindelse datasikkerhed, og giver et overblik over hvilke love, der er relevante i forbindelse med myndigheders håndtering og lagring af data. Målet er dels at åbne for debat om, hvorledes de lovmæssige krav kan overholdes i forbindelse med Cloud computing, dels at hjælpe projekter, som overvejer at anvende Cloud computing, ved at pege på relevante juridiske krav vedrørende datasikkerhed 11. Den offentlige sektor registrerer og opbevarer en meget stor mængde oplysninger, som især anvendes i forbindelse med den offentlige myndighedsudøvelse. Det er ofte af afgørende betydning, at de relevante og korrekte data er tilgængelige for den rette myndighed på det rette tidspunkt. Hertil kommer, at oplysningerne i nogle tilfælde heller ikke må komme uvedkommende til kundskab. Det er således nødvendigt, at data opbevares tilstrækkeligt sikkert, > af hensyn til den interne administration (for eksempel kalender- og journaloplysninger), > på grund af lovgivningsmæssige krav (for eksempel oplysninger i fagregistre), eller > på grund af oplysningernes fortrolige karakter (for eksempel erhvervshemmeligheder). Nedenfor opridses dels de væsentligste sikkerhedsmæssige udfordringer, dels de væsentligste dele af den regulering, der har indflydelse på Cloud computing med øget fokus på bestemmelser omkring dataopbevaring og processering af tredjeparter og i tredjelande 12 samt andre krav om sikkerhedsforanstaltninger. Efterfølgende vurderes udfordringerne, og der diskuteres forskellige forslag til, hvordan de kan håndteres. Særlige sikkerhedsmæssige forhold vedrørende Cloud computing Der er en række sikkerhedsmæssige aspekter forbundet med implementeringen af Cloud computing; det gælder både for private virksomheder og for offentlige myndigheder. De grundlæggende sikkerhedsaspekter knytter sig til tilgængelighed, integritet, fortrolighed og privatlivets fred. Det vil sige at man som institution skal forholde sig til risikoen for, > at data ikke er tilgængelige på det tidspunkt, hvor man skal bruge dem, eller at de helt forsvinder, > at data bliver manipuleret af uvedkommende, så man ikke længere kan stole på indholdet, 11 Bemærk at vi ikke kommer med håndfaste anbefalinger om, hvorledes data sikres specifikt i forbindelse med Cloud computing, da der endnu mangler tilstrækkeligt med danske erfaringer hertil. 12 Et tredjeland betegner her et land udenfor EU. 20

21 > at virksomhedskritiske data kommer i hænderne på uvedkommende. Her skal der tages højde for udfordringer med hensyn til datas fortrolighed, hvor der kan være krav om særlig håndtering af disse data, eller > at data, som måske hverken er virksomhedskritiske eller personfølsomme, men som kan krænke enkeltpersoners privacy, kommer i hænderne på uvedkommende. Risikovurdering Datasikkerhed er et komplekst begreb, og der er intet system, der er fuldstændigt sikkert. Der vil altid være noget, der kan gå galt, og det er derfor essentielt, at der laves en fyldestgørende risikovurdering inden et Cloudprojekt sættes i søen 13. Man skal, som organisation eller virksomhed, med udgangspunkt i forretningsstrategi og -målsætning gennemføre en omhyggelig risikovurdering, hvor man identificerer og prioriterer alle de særlige risici, som skabes ved Cloud computing. På baggrund af en trusselsvurdering og en sårbarhedsanalyse kan organisationen fastlægge sandsynligheden for, og konsekvenserne af, at en hændelse opstår. Herefter kan organisationen på basis af ovenstående sammenholdt med det aktuelle trusselsbillede og sårbarhedsvurdering af Cloudleverandøren prioritere og fastlægge tiltag og sikringsforanstaltninger, så risikoen er på acceptabelt niveau. Det kan være relevant at vurdere, om en risikoanalyse af en Cloudleverandør er væsentligt anderledes end en risikoanalyse af en traditionel leverandør. Når alle risici vurderes, er det vigtigt at holde det op imod den sikkerhedsrisiko, der allerede er i dag; for eksempel: Er der større risiko for, at uvedkommende hacker sig ind på internetbaserede databaser end på intranet databaser? Juridisk grundlag Persondatabeskyttelsesdirektivet (direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) Persondatadirektivet blev vedtaget den 24. oktober 1995 og har fastlagt de overordnede rammer for den danske persondatalov. Direktivet er udformet for at sikre den enkelte borgers rettigheder i forbindelse med behandlingen af personoplysninger; specielt i form af elektroniske data, men også i et vist omfang ikke-elektroniske data. Direktivet skal også sikre, at strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel. Direktivet varetager således også hensynet til den fri udveksling af personoplysninger EU-landene imellem med henblik på at sikre det indre marked. 13 DS484 foreskriver hvorledes risikoanalyse foretages. Inspiration til en dybdegående risikoanalyse kan findes i en publikation fra den New Zealandske regering: Government Use of Offshore Information and Communication Technologies (ICT) Service Providers Advice on Risk Management, april

22 Safe Harbor I forbindelse med indførslen af EU s persondatadirektiv, oprettede USA i samarbejde med EU en certificeringsordning, kaldet Safe Harbor. Safe Harbor skal sikre, at det er muligt for amerikanske virksomheder at blive godkendt som sikre databehandlere i forhold til EU direktivet. Hvis en virksomhed skriver under på, at de opfylder Safe Harbor principperne og dermed også de krav, som EU-direktivet opstiller, kan de blive Safe Harbor certificeret. Der er dog rejst en del betænkeligheder omkring virkningen af Safe Harbor. Der har blandt andet været udtrykt bekymring i forhold til, at certifikatet administreres via selvjustits, dvs. der er ikke nogen overordnet myndighed, der tjekker, at kravene reelt overholdes. Det er først ved en direkte indberetning af overtrædelser af retningslinjerne, at en undersøgelse kan iværksættes. Det bemærkes i den forbindelse, at der ikke, i de ca. 10 år Safe Harbor ordningen har fungeret, har været gennemført et eneste sagsanlæg omkring brud på Safe Harbor reglementet. Dette på trods af, at undersøgelser viser, at kun 31 % af de certificerede virksomheder, opfylder de mest basale principper i Safe Harbor reglementet 14. Persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplysninger) Persondataloven er den mest relevante i forbindelse med Cloud computing i det offentlige. Persondataloven gennemfører det ovennævnte EU-direktiv i dansk ret og beskriver, hvordan personoplysninger skal håndteres i forhold til blandt andet fortrolighed og datasikkerhed. Loven gælder som udgangspunkt for offentlig virksomhed og til dels for kommercielle virksomheder. Det følger blandt andet af persondataloven, at den, som er ansvarlig for de pågældende data (den dataansvarlige), skal træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige har det overordnede ansvar for sikkerheden også i forbindelse med eventuelle sikkerhedsbrud hos eventuel databehandler, jf. lovens 41 stk. 3. Persondatalovens 41 stk. 3: Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 14 Se analysen The US Safe Harbor - Fact or Fiction? af Chris Connolly fra Galexia, på fact_or_fiction.html#fn1 22

23 Det kan endvidere nævnes, at persondataloven indeholder en bestemmelse om, at oplysninger, der behandles for det offentlige, skal kunne bortskaffes i forbindelse med krig og konflikt, såfremt oplysningerne kan være af speciel interesse for fremmede magter, jf. lovens 41 stk. 4. Persondataloven indeholder særlige regler om overførsel af personoplysninger til tredjelande. EU kommissionen har endvidere udformet en standardkontrakt, som eventuelt kan anvendes i forbindelse med overførsel af personoplysninger til tredjelande. I sådanne tilfælde skal der indhentes tilladelse fra datatilsynet. Persondataloven indeholder andre bestemmelser, som i et eller andet omfang kan tænkes at have betydning for behandling af personoplysninger i Cloudløsninger. Spørgsmål angående loven kan rettes til Datatilsynet, og det anbefales, at Datatilsynet konsulteres, inden eventuelle Cloudløsninger tages i brug. Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) Sikkerhedsbekendtgørelsen er udstedt med hjemmel i persondataloven og er specifikt rettet imod persondata, som behandles af den offentlige forvaltning. Bekendtgørelsen fastsætter en række sikkerhedsmæssige krav til, hvordan persondata skal håndteres. Sikkerhedsbekendtgørelsen foreskriver blandt andet, at kun medarbejdere, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, jf. bekendtgørelsens 11 stk. 1. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver, jf. 11 stk. 3. Sikkerhedsbekendtgørelsen indeholder andre bestemmelser, som i et eller andet omfang kan tænkes at have betydning for behandling af personoplysninger i Cloudløsninger. Det anbefales, at Datatilsynet konsulteres, inden eventuelle Cloudløsninger tages i brug. Andre retsforskrifter som kan have indvirkning på Cloud computing Forvaltningslovens (lovbekendtgørelse nr af 7. december 2007) regler om aktindsigt fordrer, at relevant dokumentation, som er omfattet af aktindsigtsbestemmelserne, skal være tilgængelig for den offentlige forvaltning. Dette medfører i forbindelse med Cloud computing, at man skal sikre, at data ikke forsvinder, så de derved ikke længere er tilgængelige for de relevante parter. Arkivloven (lovbekendtgørelse nr af 21. august 2007) forholder sig ikke udtrykkelig til, hvor og hvordan data skal opbevares, herunder heller ikke om data må håndteres af anden part eller i udlandet. Arkivloven fastslår dog, at data skal arkiveres og håndteres på betryggende måde, jf. lovens 8. Bekendtgørelsen om statens regnskabsvæsen (Bekendtgørelse nr af 19. december 2006) er den mest konkrete med hensyn til hvordan data kan og skal lagres. Den siger direkte, at regnskabsmaterialet skal opbevares her i landet, dog kan materiale fra indeværende og forrige måned opbevares i udlandet, jf. lovens 45. Sikkerhedscirkulæret (Statsministeriets cirkulære nr. 204 af 7. december 2001 om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt) skal også tages i betragtning og omfatter informationer som: Citat fra sikkerhedscirkulæret: Cirkulæret vedrørende 23

24 sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt. Politiets Efterretningstjeneste (PET) skal konsulteres inden eventuelle Cloudløsninger, som kunne tænkes at være omfattet af sikkerhedscirkulæret, tages i brug. Perspektivering af de sikkerhedsmæssige og juridiske rammer Efterfølgende vil vi diskutere de juridiske rammer sammenholdt med andre sikkerhedsmæssige aspekter. Klassificerede data Som udgangspunkt ses der bort fra Cloudløsninger til håndtering af data, som er at betragte som klassificerede i følge Statsministeriets sikkerhedscirkulære. Mængden af klassificerede data formodes at være relativt lille i forhold til den samlede datamængde i den offentlige forvaltning (det anslås, at ca. 5 % af den samlede datamængde i den offentlige forvaltning er klassificeret i forhold til statsministeriets sikkerhedscirkulære), og det er derfor foreløbigt ikke essentielt at få den inkluderet i et eventuelt Cloudprojekt. I den forbindelse bør det dog også overvejes, om eventuelle klassificerede data indgår i en sådan sammenhæng med andre ikke-klassificerede data, at Cloudløsninger for de ikke-klassificerede data reelt ikke er en mulighed. Fysisk placering af data Som nævnt ovenfor er en af udfordringerne ved Cloudløsninger at der, i forbindelse med at have kontrol over sine data, vil være overvejelser om den geografiske placering af data. Udfordringerne knytter sig blandt andet til spørgsmålet om, der er sikkerhed for, at behandlingen af data overholder de nødvendige datasikkerhedsstandarder. Visse Cloudleverandører kan, som det ser ud i dag, umiddelbart ikke leve op til krav om kendt geografisk placering af data. Andre leverandører har imidlertid allerede oprettet dedikerede datacentre i Europa for at imødekomme kravet. Der kan imidlertid også være et behov for at kende den helt præcise placering af data og ikke kun placeringen inden for et større geografisk område, for eksempel inden for EU. Dette skyldes blandt andet, at der muligvis i medfør af for eksempel persondataloven kan være et afledt krav om, at den danske stat og/eller den dataansvarlige skal kunne være i stand til at beslaglægge og slette data, hvis det bliver nødvendigt. Når data lagres og behandles i Cloud en, ved aftageren i dag oftest ikke præcist, hvor og hvordan det foregår. Det kan ske i bidder rundt om i forskellige datacentre og på forskellige servere. Ikke engang databehandleren kan altid med sikkerhed vide, hvor data reelt findes på et givent tidspunkt. Datafordelingen er ofte baseret på komplicerede algoritmer, som hele tiden flytter data til, hvor det er mest hensigtsmæssigt i forhold til den kapacitet, der er til rådighed. Eksempelvis benytter Google en datalagringsmodel, hvor data automatisk processeres og lagres, hvor der er plads på det givne tidspunkt. Data lagres som udgangspunkt i det datacenter, der ligger geografisk tættest på brugeren, men hvis der ikke er ressourcer nok i det pågældende datacenter, benyttes et andet datacenter. Usikkerheden i datalokationen kan skabe problemer, når data skal slettes eller trækkes ud, for eksempel ved leverandørskifte, men også som en del af de daglige rutiner; 24

25 Hvordan kan man være sikker på, at data reelt slettes, og at de ikke stadig ligger i gamle backups eller på spejle rundt om i Cloud en? Nogle af disse aspekter kan formentlig håndteres med tekniske løsninger, men det vil under alle omstændigheder være nødvendigt at regulere forholdet udtrykkeligt i eventuelle kontrakter, der indgås med Cloudleverandører. I denne forbindelse kan der henvises til en sag imellem datatilsynet og ATP, angående outsourcing til en databehandler i Indien 15. Retablering af data Det er vigtigt at være forberedt på nedbrud eller andre hændelser, hvor man potentielt kan miste data. Man skal sikre sig, at der er den nødvendige back-up og spejling, og at den tid det tager at reetablere data er acceptabel i forhold til organisationens fortsatte forretningsgang. Et væsentligt punkt i relation til retablering af data er, at man som organisation skal forholde sig til, hvad der vil ske, hvis Cloudleverandøren går konkurs, fusionerer med andre eller bliver opkøbt af andre. Adgang til data og services skal sikres også under disse omstændigheder. Man bør altså sikre sig, at man altid kan få data ud af Cloud en igen i et læsbart standardformat uanset om man vil insource, eller om man vil outsource til en ny Cloudleverandør. Efterforskning Som tidligere nævnt, skal offentlige myndigheder i forbindelse med en efterforskningssituation have mulighed for at få adgang til og beslaglægge data. Samtidig er der også krav til logning, som kan være mere kompliceret i forbindelse med Cloud computing, da data, og dermed også loggen, kan være spredt over mange forskellige servere i flere forskellige datacentre. Compliance Det er stadig organisationen der i sidste ende er ansvarlig for sikkerheden af egne data og ikke databehandleren. Hvis man benytter en Cloudleverandør, som ikke er dansk, eller som opbevarer data uden for Danmarks grænser, skal man være opmærksom på, at det så ikke er dansk lovgivning, der gælder for vedkommendes behandling af data. Driftsleverandørens adgang til data Som nævnt ovenfor kan der være fastsat krav om personers adgang til data, herunder for eksempel, at kun et begrænset antal medarbejdere i praksis skal have autorisation til oplysninger. Dette gælder både i forhold til sagsmedarbejdere samt teknisk personale. Der synes i den forbindelse i øvrigt ikke at være forskel på traditionelle driftsløsninger hos en ASP leverandør og Cloudleverandører. 15 Afgørelsen kan findes på 25

26 Cloud computing er imidlertid i høj grad muliggjort af konsolidering og automatisering for at kunne presse prisen i bund. Man kan derfor muligvis antage, at de fleste drifts- og serviceringsopgaver foregår automatisk, og at der derfor er langt færre mennesker, der kommer i forbindelse med data end i traditionelle decentrale datacentre. Generel datasikkerhed Et andet aspekt er den generelle datasikkerhed angående virus, hackere osv. Flere af de gennemgåede love nævner, at data skal håndteres sikkert uden yderligere specifikationer af, hvad sikkert er. Hvis Cloud computing fortsætter den nuværende vækst i de følgende år, kan det føre til store centrale datacentre, som alle vil indeholde værdifulde data og måske derfor i større omfang vil være udsat for fokuserede hackerangreb. En leverandør kunne på den anden side argumentere for, at større datacentre i langt højere grad vil kunne gardere sig imod disse angreb, da sikkerheden overlades til dedikerede eksperter og ikke den enkelte it-ansvarlige i den pågældende institution. Kryptering Kryptering af data kan være en vej til at sikre, at data ikke ender i de forkerte hænder. Mange data krypteres allerede i dag, men det er mest i forbindelse med lagring og dataoverførsel (for eksempel når data sendes over internettet). Der er enkelte softwareapplikationer, hvor data krypteres i selve softwaren og derfor også er beskyttet under selve databehandlingen og ikke blot under lagring og overførsler, men det er ikke det generelle billede. Det kræver meget computerkraft at bevare krypteringen under databehandlingen, og som det er i dag, sænker det hastigheden af processen væsentligt. En anden overvejelse er, at hvis krypteret data kommer i hænderne på de forkerte, er det blot et spørgsmål om tid, før koden til krypteringen knækkes. Ved avanceret kryptering kan man dog overveje om data, i løbet af den tid dekrypteringen tager, når at blive forældet og derfor ikke er følsomme længere. Det er i forlængelse af disse overvejelser et åbent spørgsmål om datakryptering er løsningen til at sikre data i Cloud en. En anden måde at sikre, at data er ubrugelige i de forkerte hænder, kunne være via dataspredning. Dvs. at data spredes i en masse små bidder, så den enkelte datastump ikke giver nogen mening i sig selv og derfor ikke udgør en sikkerhedsrisiko. Først når datastumperne samles af en algoritme eller nøgle hos sagsbehandleren, bliver data til brugbar information. Derved ville aspektet om permanent sletning heller ikke være så stort et problem. Service Level Agreements (SLA) Sikkerheden kan i et vist omfang imødekommes igennem kontrakter og SLA er, som inkluderer krav om overholdelse af databehandleraftaler og sikkerhedsstandarder, som for eksempel DS484. Mange af disse vejledninger og standarder er udarbejdet inden Cloud computing var aktuelt, og de bør derfor opdateres, så de også tager hensyn til de specielle forhold, som Cloud computing rejser. Det er derfor vigtigt med nye retningslinjer for, hvad disse databehandlerkontrakter skal indeholde. Derudover skal kunderne have nogle reelle muligheder for at sikre, at kontrakterne overholdes. Certificering Cloud computing er stadig et meget nyt fænomen. I takt med at teknologien og markedet udvikler sig, vil der formodentlig også opstå lovgivning og standarder, der imødegår problemerne. For eksempel kan man sagtens forestille sig en 26

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

! Databehandleraftale

! Databehandleraftale ! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige

Læs mere

KLAR, PARAT, CLOUD? 27. september 2018

KLAR, PARAT, CLOUD? 27. september 2018 KLAR, PARAT, CLOUD? 27. september 2018 CENTRALE BEGREBER OG SERVICES Private cloud on premise Et datacenter hos en leverandør. Eventuelt bundet sammen med et backup datacenter hos den samme leverandør

Læs mere

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7 Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Præsentation af Curanets sikringsmiljø

Præsentation af Curanets sikringsmiljø Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1 DATABEHANDLERAFTALE Aftale omkring behandling af persondata Januar 2018 Version 1.1 Udarbejdet af: Jansson Gruppen A/S på vegne af: Jansson EL A/S, CVR nr.: 73 28 93 19 Jansson Alarm A/S, CVR nr.: 74 78

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren) Databehandleraftale mellem Heyloyalty ApS Jens Baggesens Vej 47 8200 Aarhus N Cvr: 29394458 (i det følgende HL eller databehandleren) og Kunden (i det følgende kunden eller dataansvarlig) [1/5] 1. Baggrund

Læs mere

Bilag A Databehandleraftale pr

Bilag A Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)

Læs mere

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav IT-sikkerhedspolitik Bilag 2 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Tønder Kommune BILAG 10

Tønder Kommune BILAG 10 Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet

Læs mere

10 gode grunde. - derfor skal du vælge Office365

10 gode grunde. - derfor skal du vælge Office365 10 gode grunde - derfor skal du vælge Office365 1. Bedre samarbejde på tværs af lokationer En stor del af arbejdsstyrken tilbringer i dag langt mere tid væk fra deres kontor end hidtil. Dine ansatte kan

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid. Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som

Læs mere

Bilag B Databehandleraftale pr

Bilag B Databehandleraftale pr 1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7 2011 Indhold Hosted løsning... 3 Hosted produkter... 4 Dedikeret server hosting... 5 Virtuel server hosting... 6 Shared Office hosting... 7 Exchange hosting... 8 Remote Backup... 9 Hosted løsning Hosting

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Bilag 1 Databehandlerinstruks

Bilag 1 Databehandlerinstruks Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032

Læs mere

Privatlivspolitik ekstern persondatapolitik

Privatlivspolitik ekstern persondatapolitik Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10

Læs mere

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Aftale omkring behandling af persondata.

Aftale omkring behandling af persondata. Databehandleraftale Aftale omkring behandling af persondata. Aftalen Denne databehandleraftale er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig) og ApS (Databehandler), og er gældende

Læs mere

Digitalisér.dk s migration til skyen

Digitalisér.dk s migration til skyen Digitalisér.dk s migration til skyen Martin Høegh Mortensen (IT- og Telestyrelsen), Heinrich Clausen (selvstændig konsulent) Agenda De indledende øvelser Migration Eftertanke og konklusion 1 De indledende

Læs mere

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE Bilag 14, IT-sikkerhed og databehandleraftale v.1.0 / Option til RM og RN INSTRUKTION TIL LEVERANDØREN VED UDNYTTELSE

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

3 Omfattede typer af personoplysninger og kategorier af registrerede

3 Omfattede typer af personoplysninger og kategorier af registrerede 1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser

Læs mere

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN) DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: By: (i det følgende benævnt KUNDEN) MICO ApS CVR 29220646 Bådehavnsgade 42 2450 København SV (i det følgende benævnt MICO) INDLEDNING Nærværende

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS Side: 1 DATABEHANDLERAFTALE Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS 1. Baggrund 1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland Ilisimatusarfik 11. maj 2016 Privatlivsbeskyttelse og Informationssikkerhed i Grønland Systematisk sikkerhed og digitalt privatliv? Hvad er informationssikkerhed? Adgang/ Tilgængelighed Integritet Fortrolighed

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Databehandleraftale ISS

Databehandleraftale ISS Databehandleraftale ISS Denne aftale ( Aftale ) er indgået den [dato] mellem ISS Facility Services A/S DK14406042 Gyngemose Parkvej 50 2860 Søborg (den Dataansvarlige ) og [indsæt navn på leverandør] [indsæt

Læs mere

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne ) MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv CVR: 34 46 36 89 [Part] [Adresse] [Adresse] CVR-nr.: [XX] (den Dataansvarlige ) og MySolutionSpace ApS Måløv Byvej 229.V. 2760 Måløv Danmark CVR-nr.: 34

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE Version 1.1a DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter

Læs mere

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS I forbindelse med de nationale databeskyttelsesregler for personoplysninger samt Europa- Parlamentets og Europarådets

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn. Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke Herefter benævnt Dataansvarlig Og Leverandør navn Adresse Herefter benævnt Databehandler side 1 af 5 Generelt Databehandleren

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Databehandleraftale INDHOLDSFORTEGNELSE

Databehandleraftale INDHOLDSFORTEGNELSE Databehandleraftale INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL 2. OMFANG 3. VARIGHED 4. DATABEHANDLERNS FORPLIGTELSER 5. DEN DATAANSVARLIGES FORPLIGTELSER 6. UNDERDATABEHANDLERE 7. TREDJELANDE OG INTERNATIONALE

Læs mere

Databehandlingsaftale

Databehandlingsaftale Databehandlingsaftale Dataansvarlig: Kunde lokaliseret inden for EU (den dataansvarlige ) og Databehandler: Europæisk repræsentant Virksomhed: ONE.COM (B-one FZ-LLC) One.com A/S Reg.nr. Reg.nr. 19.958

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

3 Omfattede typer af personoplysninger og kategorier af registrerede

3 Omfattede typer af personoplysninger og kategorier af registrerede 1 Behandlingsformål og behandlingsomfang Denne Databehandleraftale (Databehandleraftalen) er indgået som del af eller under henvisning til, at Parterne har aftalt en eller flere leveringer af it-ydelser

Læs mere

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1 SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne ) Databehandleraftale Denne databehandleraftale er indgået dags dato mellem: klinikforafspaending.easyme.dk (CVR: 30978595) kontakt@klinikforafspaending.dk klinikforafspaending.easyme.dk (herefter kaldet

Læs mere

Databehandleraftale e-studio.dk Side 1 af 6

Databehandleraftale e-studio.dk Side 1 af 6 DATABEHANDLERAFTALE Mellem (herefter benævnt Den dataansvarlige ) Og e-studio ApS Albanivej 74 5792 Årslev CVR. nr.: 37074640 (herefter benævnt Databehandleren ) er der indgået nedenstående databehandleraftale

Læs mere

2. Leverandøren er som databehandler forpligtet til følgende:

2. Leverandøren er som databehandler forpligtet til følgende: DPG DATABEHANDLER AFTALE Timengo DPG A/S Lautrupvang 1 2750 Ballerup Denmark Databehandler aftale Databehandler aftalen omfatter Leverandør rolle som databehandler for kunden. Det skal understreges, at

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Trusselsvurdering Cyberangreb mod leverandører

Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.

Læs mere

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde 1. Gyldighed 1.1 Dette dokument, benævnt Databehandlingsvilkår, beskriver de vilkår Damgaard-Jensen

Læs mere

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Den Dataansvarlige og Databehandleren benævnes herefter samlet Parter og hver for sig Part. DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Jura og brug af testdata med personoplysninger

Jura og brug af testdata med personoplysninger 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/10 Indholdsfortegnelse 1.

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. Aftalens omfang 1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden. 1.2 Personoplysninger, der behandles af Leverandøren,

Læs mere

Digitaliseringsstyrelsens konference 1. marts 2018

Digitaliseringsstyrelsens konference 1. marts 2018 www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning. Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2 3

Læs mere

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede

Læs mere

Sletteregler. v/rami Chr. Sørensen

Sletteregler. v/rami Chr. Sørensen Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9

Produktspecifikationer Virtual Backup Version 1.3. Virtual Backup. Side 1 af 9 Virtual Side 1 af 9 Indhold 1 INTRODUKTION TIL VIRTUAL BACKUP... 3 1.1. VIRTUAL BACKUP... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Forudsætninger for etablering... 5 1.4. KLARMELDINGSDATO...

Læs mere

Kontrakt om IT-infrastruktur-services 2017

Kontrakt om IT-infrastruktur-services 2017 Kontrakt om IT-infrastruktur-services 2017 Sikkerhed og persondata 16. marts 2017 Sikkerhed Hvad siger kontrakten om sikkerhed Leverandøren skal iagttage de sikkerhedsforanstaltninger, der følger af Bilag

Læs mere

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata DATABEHANDLERAFTALE Aftale omkring behandling af persondata Denne databehandleraftale (Aftalen) er er et tillæg til den indga ede samtykke mellem kunden (Dataansvarlig) og GSGroup Esbjerg (Databehandler)

Læs mere

Beredskabsplan for Kolding HF & VUC

Beredskabsplan for Kolding HF & VUC Beredskabsplan for Kolding HF & VUC ved brud på datasikkerheden Indledning Denne beredskabsplan for Kolding HF & VUC fastsætter de nærmere retningslinjer og interne procedurer for Kolding HF & VUC' håndtering

Læs mere

Ny persondataforordning

Ny persondataforordning Ny persondataforordning GUIDE Hvorfor? Ny persondataforordning Den eksisterende persondatalov gennemfører direktiver fra 1995 en tid, som digitaliseringen for længst har overhalet. En ny persondataforordning

Læs mere

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt Parterne og hver for sig Part) DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29

Læs mere