Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed PaaS (Platform as a Service) - En platform stilles til rådighed, fx en web-server - Reelt IaaS + systemsoftware SaaS (Software as a Service) - Brugerprogrammel stilles til rådighed - Svarer til ASP - Reelt IaaS + PaaS + Brugerprogrammel Alt sammen via nettet! 2 1
De juridiske udfordringer Aftalerne 3 Standardaftaler De store udbydere Typisk ufravigelige standardaftaler De bliver næppe ændret, fordi en lille dansk kunde ønsker det. Take it or leave it Mindre udbydere Lettere at lave tilpassede aftaler Men strider ofte mod koncept 4 2
Bestemmelser, der skal Kræves samtidig indgåelse af andre aftaler Fx licensaftaler Uheldigt hvis aftaler ikke er samstemte Fx. Aftalen med lev. kan opsiges med 3 mdr. varsel, men licensen kun kan opsiges med 12 mdr. 5 Bestemmelser, der skal Support Telefon, svartider Sprog Tid (dansk tid eller ) Servicemål Oppetider, Reaktionstider, Frister for fejlretning Servicevinduer Hvornår sker der opdatering af software Tvungen eller frivillig? Svarer til almindelig driftsaftale 6 3
Bestemmelser, der skal Sikkerhed Kryptering Transmission og data Log-in Password, digital signatur eller? Sikkerhedsstandarder DS484, ISO 27001 m.fl. Revisionserklæring skal der betales ekstra for denne? 7 Bestemmelser, der skal Data Backup Hvor ofte Hvor opbevares backuppen Recovery Betingelser, frister Alt? eller kan enkelte filer reetableres? Totalt nebrud hvad så? Hvilke formater anvendes I driftsmiljø og på backup 8 4
Bestemmelser, der skal Leverandørens ændringer Ydelsen Vilkårene Priser Ændringer bør altid skulle varsles Skal modsvare opsigelsesvarsel. 9 Bestemmelser, der skal Kundens ændringer Skalerbarhed er væsentligt Op når behovet stiger Ned når behovet bliver mindre Dette glemmes ofte! Varsler 10 5
Bestemmelser, der skal Sanktioner Kundens misligholdelse Kan ydelse standses uden påkrav/varsel? Kan der foretages tilbagehold i data? Leverandøren misligholdelse Hvilken frist til afhjælpning har lev.? Gives afslag i prisen? Kan kunden hæve? (er det praktisk muligt?) Er ophævelse med forkortet varsel en mulighed? Hvilke erstatningsbegrænsninger er der? 11 Bestemmelser, der skal Konkurs Kan kundens data identificeres Ellers kan det blive et problem at få data udleveret! 12 6
Bestemmelser, der skal Erstatning Hvilke begrænsninger er der? Indirekte tab og følgeskader er ofte fraskrevet Hvad med datatab? defineres ofte som indirekte tab Beløbsbegrænsninger 13 Bestemmelser, der skal Ophør Hvordan håndteres ophør? Sendes kundens data, skal kunden selv hente Tilbageholdes data, hvis kunden ikke har betalt hvad ved tvister? Hvornår slettes data hos leverandøren? Ophørsassistance? 14 7
Bestemmelser, der skal Værneting og lovvalg Næsten altid leverandørens hjemland og hjemting En ting er at have en god kontrakt, noget andet er at skulle gøre den gældende i Delaware, USA under californisk lov!!! 15 De juridiske udfordringer Persondata 16 8
Geografi Persondataloven stiller krav ved overførsel til tredjeland Tredjeland er alle lande udenfor EØS 1. Tredjelandet er sikkert, ift. persondata 2. Eller overførsel: 1. Sker iht. udtrykkeligt samtykke 2. Andre særlige situationer i loven 3. Særlig tilladelse fra Datatilsynet 17 Geografi Hvor er dataene i skyen? Løsning kan være begrænsede skyer Fx sky hvor alle servere er placeret indenfor EØS. 18 9
Sikkerhed Svært at styre når alle servere er placeret i skyen. Eksempel: Odense Kommune anmeldelse af brug af Google Apps 19 Odense Kommune Google Apps Følsomme oplysninger krav om digital signatur el. lign. Selv hvis kun alm. oplysninger Så skal sikkerhedsbekendtgørelsen stadig opfyldes. Dvs. Datatilsynet ville have svar på 20 10
Om der var foretaget en risikovurdering og udfaldet af denne, Vurderingen af SAS70 Type II Certification (som er Googles sikkerhedsstandard) hvilken databehandleraftale, der er/vil blive mellem Odense Kommune og Google om der er kontrol med, hvor oplysningerne fysisk befinder sig, Hvis dette er i tredjelande, hvor iagttages kravene til overførsel hvorledes kravet om kassation af anvendte datamedier opfyldes hvorledes det sikres at persondata bliver slettet hos Google efter behandling om behandling af fortrolige personoplysninger er krypteret hvilke procedurer der er for autorisationer hvordan det kontrolleres at kun autoriserede brugere får adgang om adgangskoder sendes via det åbne internet om brugere kan vælge at deres adgangskode huskes hvordan der foretages kontrol med afviste adgangsforsøg hvordan der foretages logning 21 Odense Kommune Google Apps Næppe umuligt at opfylde Men svært særligt i forhold til udbydere af standardløsninger 22 11
En sidste ting! Hvad bruger de ansatte? - DropBox - Evernote - Google tjenester - MobileMe - - Ved de hvad de må og ikke må? 23 Advokat Nis Peter Dall npd@bvhd.dk www.bvhd.dk Tlf. +45 72 24 12 12 Fax +45 72 24 12 13 Thomas Helsteds Vej 18 DK 8660 Skanderborg 24 12