(Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk
Digitaliseringsstyrelsen og cloud computing Hvorfor interesserer Digitaliseringsstyrelsen sig for cloud computing? Potentiale for private og offentlige myndigheder Fjerne barrierer og hindringer for anvendelse af cloud computing Vi bruger selv cloud - Nemhandel
Cloud Computing Hvad er cloud computing i et juridisk perspektiv? Kendt teknologi Ny forretningsmodel Samme grundlæggende jura
Juridiske opmærksomhedsområder Persondataregulering Anden lovgivning Kontraktuelle forhold
Persondata Regulering Lov om behandling af personoplysninger Sikkerhedsbekendtgørelsen For offentlige myndigheder Datatilsynet anvender gerne bekendtgørelsens principper på private anmeldelser
Hvornår anvendes persondataloven? Ved behandling af persondata Persondata er enhver form for information om en identificeret eller identificerbar fysisk person Følsomme oplysninger CPR-numre Postadresser/e-mailadresser Ip-adresser Alt hvad er der potentielt kan identificere en person. Kryptering og vaskede data mv.? Kun hvis data ikke kan dekrypteres eller på anden måde gøres personhenførbare igen.
Hvornår anvendes persondataloven? Ved behandling af persondata Behandling er enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Indsamling, samkøring overførsel, registrering, videregivelse, systematisering, brug/udnyttelse, opbevaring eller sletning.
Digitaliseringsstyrelsens erfaringer Problemområder i forhold til persondataloven Henvisning til relevant dansk lovgivning Instrukskrav Fysisk placering af data Adgang til inspektion/revision Underdatabehandlere
Nære fremtid Initiativer på persondataområdet Rådgivning til offentlige myndigheder som ønsker at anvende cloud computing Arbejdsgruppe om love og regler der unødigt vanskeliggør cloud computing. Internordisk samarbejde via Nordisk Ministerråd om fordelene ved cloud computing Rapport:http://www.norden.org/da/publikationer/pub likationer/2011-566 EU-Kommissionen forventes at lancere en strategi for cloud computing i 2012.
Initiativer på persondataområdet Længere sigte Ny EU-forordning om beskyttelse af persondata Totalharmonisering De registreredes rettigheder Øgede krav til samtykke Fokus på overførsel af persondata til 3. lande Hårde straffe for overtrædelse af regelsættet Forventes tidligst vedtaget 2015-2016
Bogføringsloven Anden lovgivning Mindstekrav til erhvervsdrivendes bogføring 5 års betryggende opbevaring af regnskabsmateriale Udgangspunkt Alt regnskabsmateriale skal opbevares i Danmark Ikke forbud mod samtidig opbevaring i udlandet I praksis er seneste måneds bogføring undtaget Mulighed for dispensation
Anden lovgivning Regnskabsloven og arkivloven Kun relevant for offentlige myndigheder
Kontraktuelle punkter 1 Udgangspunkt: Aftalefrihed med PDL s begrænsninger Almindelige kontraktretlige principper Forhandling med leverandører Søg professionel hjælp!
Kontraktuelle punkter 2 Persondataretlige forhold Behandles der persondata under kontrakten? Service Level Agreements Stabilitetshensyn Kontrolmekanisme Oppetider, svartider, fejlretning og bod.
Kontraktuelle punkter 3 Datahåndtering Datatyper Ejerskab af data Overdragelse og destruktion af data Exit-strategi Sikkerhedskopi hos kunden Sletning ved kontraktophør Sletning på andre tidspunkter
Kontraktuelle punkter 4 Datahåndtering (fortsat) Uvedkommendes adgang til data Underretning? Bod/erstatning Placering af data I forhold til persondataloven Mulighed for tvangsfuldbyrdelse 3. mands anmodninger om adgang til data Domstole, politi, efterretningstjenester, rettighedshavere, datatilsyn m.v.
Kontraktuelle punkter 5 Revision/certifikater Hvem skal have adgang til revision (kunde, revisor, datatilsyn)? Hvor ofte? Hvilken revisionsstandard Katastrofeberedskab Hvordan håndterer leverandøren udefrakommende og uforudsete omstændigheder, som fører til datatab? Hvordan genskabes data
Kontraktuelle punkter 6 Leverandørspecifikke forhold Omkostninger Fremadrettet regulering af prisen (tid/skalering) Funktionalitet frem for bestemt program/mærke I relation til omkostninger ved teknologispring Leverandørens fremtidige selskabsretlige forhold Orienterinng Fortsættelse af aftalen
Cloud computing og de juridiske rammer Meget mere information IT- og Telestyrelsens vejledning om lovgivningskrav og kontraktmæssige forhold i forbindelse med brug af cloud computing Findes på digitaliser.dk http://digitaliser.dk/resource/2274097
MERE INFORMATION Jacob Voetmann javoe@digst.dk Tlf. 72 31 91 74 Se mere på: http://digitaliser.dk/group/375255