Cloud Computing De juridiske aspekter



Relaterede dokumenter
Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

CLOUD KONTRAKTER Databeskyttelsesdagen. 28. januar 2014 Advokat Pia Jee Skou Eilertsen, NOVI Advokater

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

PERSONDATALOVEN OG SUNDHEDSLOVEN

Kontraktbilag 7: Databehandleraftale

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Databehandleraftale. - ApoMail - Apotekets Intranet - ApoTel - ApoWeb og e-port - Office 365. Dato 18/4 2018

Rammeaftalebilag 5 - Databehandleraftale

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Tilladelsen gives på følgende vilkår:

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

(Fremtidens) Regulering af cloud computing

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

Databehandleraftale. om [Indsæt navn på aftale]

BILAG 5 DATABEHANDLERAFTALE

Abonnementsaftale for INNOMATE HR

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

persondataforordningen

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

Bilag 1 Databehandlerinstruks

1) Generelt På baggrund af nuværende aftale gives klinikken adgang til data der forefindes på ClinicCare s servere. Dvs.:

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet):

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Bilag A Databehandleraftale pr

Databehandlerinstruks

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3.1. Aftalen vedrørende Kundens brug af Servicen træder i kraft ved Kundens accept af den, af Penneo, fremsendte ordrebekræftelse.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Samhandelsbetingelser

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandlingsaftale

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

Vejledning til den fællesregionale skabelon Databehandleraftale

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Bilag 7: Aftale om drift

Aftale om anvendelse af e-nettet

Dagsprogram for IT Contract Manager Grundlæggende it-kontraktret Torsdag den 2. marts 2017

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Vilkår for hosting. 6. revision 7. maj CompuSoft A/S Anderupvej Odense N CVR-nr (i det følgende kaldet leverandøren)

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Dokumentation af sikkerhed i forbindelse med databehandling

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Procedure for tilsyn af databehandleraftale

Bilag 7: Aftale om drift

Bilag 2. Salgs- og Leveringsbetingelser

Lever din myndighed op til persondatalovens krav?

Transkript:

Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed PaaS (Platform as a Service) - En platform stilles til rådighed, fx en web-server - Reelt IaaS + systemsoftware SaaS (Software as a Service) - Brugerprogrammel stilles til rådighed - Svarer til ASP - Reelt IaaS + PaaS + Brugerprogrammel Alt sammen via nettet! 2 1

De juridiske udfordringer Aftalerne 3 Standardaftaler De store udbydere Typisk ufravigelige standardaftaler De bliver næppe ændret, fordi en lille dansk kunde ønsker det. Take it or leave it Mindre udbydere Lettere at lave tilpassede aftaler Men strider ofte mod koncept 4 2

Bestemmelser, der skal Kræves samtidig indgåelse af andre aftaler Fx licensaftaler Uheldigt hvis aftaler ikke er samstemte Fx. Aftalen med lev. kan opsiges med 3 mdr. varsel, men licensen kun kan opsiges med 12 mdr. 5 Bestemmelser, der skal Support Telefon, svartider Sprog Tid (dansk tid eller ) Servicemål Oppetider, Reaktionstider, Frister for fejlretning Servicevinduer Hvornår sker der opdatering af software Tvungen eller frivillig? Svarer til almindelig driftsaftale 6 3

Bestemmelser, der skal Sikkerhed Kryptering Transmission og data Log-in Password, digital signatur eller? Sikkerhedsstandarder DS484, ISO 27001 m.fl. Revisionserklæring skal der betales ekstra for denne? 7 Bestemmelser, der skal Data Backup Hvor ofte Hvor opbevares backuppen Recovery Betingelser, frister Alt? eller kan enkelte filer reetableres? Totalt nebrud hvad så? Hvilke formater anvendes I driftsmiljø og på backup 8 4

Bestemmelser, der skal Leverandørens ændringer Ydelsen Vilkårene Priser Ændringer bør altid skulle varsles Skal modsvare opsigelsesvarsel. 9 Bestemmelser, der skal Kundens ændringer Skalerbarhed er væsentligt Op når behovet stiger Ned når behovet bliver mindre Dette glemmes ofte! Varsler 10 5

Bestemmelser, der skal Sanktioner Kundens misligholdelse Kan ydelse standses uden påkrav/varsel? Kan der foretages tilbagehold i data? Leverandøren misligholdelse Hvilken frist til afhjælpning har lev.? Gives afslag i prisen? Kan kunden hæve? (er det praktisk muligt?) Er ophævelse med forkortet varsel en mulighed? Hvilke erstatningsbegrænsninger er der? 11 Bestemmelser, der skal Konkurs Kan kundens data identificeres Ellers kan det blive et problem at få data udleveret! 12 6

Bestemmelser, der skal Erstatning Hvilke begrænsninger er der? Indirekte tab og følgeskader er ofte fraskrevet Hvad med datatab? defineres ofte som indirekte tab Beløbsbegrænsninger 13 Bestemmelser, der skal Ophør Hvordan håndteres ophør? Sendes kundens data, skal kunden selv hente Tilbageholdes data, hvis kunden ikke har betalt hvad ved tvister? Hvornår slettes data hos leverandøren? Ophørsassistance? 14 7

Bestemmelser, der skal Værneting og lovvalg Næsten altid leverandørens hjemland og hjemting En ting er at have en god kontrakt, noget andet er at skulle gøre den gældende i Delaware, USA under californisk lov!!! 15 De juridiske udfordringer Persondata 16 8

Geografi Persondataloven stiller krav ved overførsel til tredjeland Tredjeland er alle lande udenfor EØS 1. Tredjelandet er sikkert, ift. persondata 2. Eller overførsel: 1. Sker iht. udtrykkeligt samtykke 2. Andre særlige situationer i loven 3. Særlig tilladelse fra Datatilsynet 17 Geografi Hvor er dataene i skyen? Løsning kan være begrænsede skyer Fx sky hvor alle servere er placeret indenfor EØS. 18 9

Sikkerhed Svært at styre når alle servere er placeret i skyen. Eksempel: Odense Kommune anmeldelse af brug af Google Apps 19 Odense Kommune Google Apps Følsomme oplysninger krav om digital signatur el. lign. Selv hvis kun alm. oplysninger Så skal sikkerhedsbekendtgørelsen stadig opfyldes. Dvs. Datatilsynet ville have svar på 20 10

Om der var foretaget en risikovurdering og udfaldet af denne, Vurderingen af SAS70 Type II Certification (som er Googles sikkerhedsstandard) hvilken databehandleraftale, der er/vil blive mellem Odense Kommune og Google om der er kontrol med, hvor oplysningerne fysisk befinder sig, Hvis dette er i tredjelande, hvor iagttages kravene til overførsel hvorledes kravet om kassation af anvendte datamedier opfyldes hvorledes det sikres at persondata bliver slettet hos Google efter behandling om behandling af fortrolige personoplysninger er krypteret hvilke procedurer der er for autorisationer hvordan det kontrolleres at kun autoriserede brugere får adgang om adgangskoder sendes via det åbne internet om brugere kan vælge at deres adgangskode huskes hvordan der foretages kontrol med afviste adgangsforsøg hvordan der foretages logning 21 Odense Kommune Google Apps Næppe umuligt at opfylde Men svært særligt i forhold til udbydere af standardløsninger 22 11

En sidste ting! Hvad bruger de ansatte? - DropBox - Evernote - Google tjenester - MobileMe - - Ved de hvad de må og ikke må? 23 Advokat Nis Peter Dall npd@bvhd.dk www.bvhd.dk Tlf. +45 72 24 12 12 Fax +45 72 24 12 13 Thomas Helsteds Vej 18 DK 8660 Skanderborg 24 12

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback