2
> Publikationen er gratis. Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Publikationen kan hentes på: digitaliser.dk ISBN (internet): 978-87-92572-47-9 Telefon: 3545 0000 Fax: 3545 0010
> Cloud computing og de juridiske rammer - En vejledning om lovgivningskrav og kontraktmæssige forhold i forbindelse med cloud computing IT- & Telestyrelsen Maj 2011 (Opdateret februar 2012) 4
Indhold > 1. Indledning 6 2. Persondataloven og sikkerhedsbekendtgørelsen 7 2.1 Ingen behandling af personoplysninger 7 2.2 Behandling af personoplysninger 8 2.2.1 Hjemmel til behandling af personoplysninger 8 2.3 Den dataansvarliges overladelse af personoplysninger til en databehandler (cloudleverandør) 9 2.3.1 Persondatalovens sikkerhedskrav 9 2.3.2 Databehandleraftale 11 2.3.3 Cloudleverandør uden for EU, herunder særlige regler, når data sendes uden for EU 11 2.3.4 Anmeldelsespligt 13 2.4 "Særlige kritiske" oplysninger 13 3. Øvrig relevant lovgivning 15 3.1 Bogføringsloven 15 3.2 Regnskabsloven 16 3.3 Arkivloven 16 4. Kontraktuelle punkter 18 4.1 Forhold af betydning for håndtering af persondataretlige problemstillinger 18 4.2 Forhold af betydning for cloudløsninger 19 4.2.1 Service Level Agreements (SLA) 19 4.2.2 Datahåndtering 19 4.2.3 Audits/certifikater 21 4.2.4 "Katastrofeberedskab" 21 4.2.5 Leverandørspecifikke forhold 21 4.3 Almindelige kontraktuelle forhold 21 4.3.1 Indledende bestemmelser 22 4.3.2 Konkretisering af ydelsen, der skal leveres 22 4.3.3 Levering af ydelsen 23 4.3.4 Samarbejdsorganisation 23 4.3.5 Økonomi 23 4.3.6 Garanti 23 4.3.7 Underleverandører 24 4.3.8 Misligholdelse 24 4.3.9 Force majeure 24 4.3.10 Overdragelse 24 4.3.11 Varighed og ophør 24 4.3.12 Tavshedspligt 24 4.3.13 Tvistigheder og fortolkning 24 4.3.14 Lovvalg 25
1. Indledning Cloud computing forventes i fremtiden at blive mere og mere udbredt. IT- og Telestyrelsen har derfor, i samarbejde med kammeradvokaten, udarbejdet denne vejledning med henblik på at gennemgå emner, som både kunden (eksempelvis en offentlig myndighed) og leverandøren af cloudløsningen bør overveje og være opmærksomme på i forbindelse med indgåelse af en kontrakt om cloud computing. Da personoplysninger i langt de fleste tilfælde vil indgå i de data, som skal håndteres i forbindelse med en cloudløsning, har IT- og Telestyrelsen i vejledningen valgt at fremhæve en række forhold af persondataretlig karakter. Bemærkningerne herom er anført i afsnit 2 nedenfor. I relation til afsnit 2 nedenfor bemærkes i øvrigt, at det er væsentligt, at kunden har fokus på, hvilke oplysninger der overdrages til leverandøren i forbindelse med cloudløsningen. Persondataloven sætter grænser for, hvilke oplysninger der frit kan overdrages til en leverandør i forbindelse med en cloudløsning, ligesom persondataloven og den tilhørende sikkerhedsbekendtgørelse indeholder regler for, om der skal indhentes forudgående udtalelse eller tilladelse fra Datatilsynet til den ønskede konstruktion. Kunden er derfor nødsaget til inden kontraktindgåelse at have gjort sig nøje overvejelser om, hvilke oplysninger der ønskes håndteret af cloudleverandøren, således at der ikke opstår en situation, der må anses for at være i strid med den danske persondatalov eller den tilhørende sikkerhedsbekendtgørelse. Datatilsynets bemærkninger for så vidt angår fremstillingen af forhold af persondataretlig karakter er indarbejdet i vejledningen. I afsnit 3 gives en kort fremstilling af øvrig relevant lovgivning, der i nogle tilfælde kan have betydning for cloud computing. I afsnit 4 gives en oversigt over en række af de kontraktuelle forhold, der kan være relevante at regulere i den konkrete kontrakt med en cloudleverandør. Afsnittet er delt op i kontraktuelle forhold af betydning for håndtering af persondataloven, konkrete kontraktuelle forhold af betydning for en cloudløsning og forhold af mere generel kontraktuel betydning. Det anbefales, at vejledningen læses i sin helhed. Vejledningen henvender sig både til offentlige myndigheder og private virksomheder. 6
2. Persondataloven og sikkerhedsbekendtgørelsen > Persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer) regulerer behandling af personoplysninger. Begrebet personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person, jf. lovens 3, nr. 1. Omfattet af begrebet personoplysninger er oplysninger, som kan henføres til en fysisk person, også selv om dette vil forudsætte et kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Det er uden betydning, hvorvidt identifikationsoplysningerne er alment kendte eller umiddelbart tilgængelige. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Som eksempel kan en e-mail-adresse eller en IP-adresse være personhenførbare oplysninger og dermed omfattet af persondataloven, da det vil være muligt at koble IP-adressen med en konkret computer og dennes indehaver. En e-mail behøver således ikke indeholde modtagerens navn eller postadresse for at være personhenførbar i persondatalovens forstand. Persondataloven vedrører - med enkelte undtagelser - alene oplysninger om fysiske personer og ikke oplysninger om juridiske personer. Persondataloven omfatter behandling af oplysninger hos både offentlige myndigheder og i den private sektor. Der gælder derfor efter loven i høj grad de samme regler, uanset om en behandling af personoplysninger finder sted i den offentlige eller private sektor. I medfør af persondataloven er der udstedt forskellige bekendtgørelser. Det gælder bl.a. med hensyn til kravene til datasikkerhed. Her er der fastsat nærmere regler for den offentlige forvaltning i sikkerhedsbekendtgørelsen. 1 Bekendtgørelsen gælder for enhver behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Bekendtgørelsen fastlægger de tekniske og organisatoriske sikkerhedsforanstaltninger, der som minimum skal træffes i den offentlige forvaltning af hensyn til behandlingssikkerheden (datasikkerheden). Den i afsnit 2 anførte gennemgang er ikke udtømmende, og kunden må i ethvert tilfælde foretage en vurdering af, hvorvidt persondataloven overholdes, herunder eventuelt søge bistand hos Datatilsynet. 2.1 Ingen behandling af personoplysninger Såfremt en kunde ønsker at indgå en kontrakt om en cloudløsning, i hvilken forbindelse der ikke sker en behandling af personoplysninger, indeholder persondataloven som udgangspunkt ikke begrænsninger for, hvorledes der kan ske udveksling og overdragelse af sådanne oplysninger til en cloudleverandør. I disse 1 Bkg. nr. 528 af 15. juni 2000 som ændret ved bkg. nr. 201 af 22. marts 2001 7
situationer er der derfor ikke behov for i kontrakten at indsætte særlige vilkår, der tager højde for reglerne i persondataloven. Det kan f.eks. være en cloudløsning til driften af eksempelvis en statistikapplikation, som ikke indeholder personoplysninger. I en sådan situation er der ikke begrænsninger for kunden i relation til indgåelse af kontrakt med cloudleverandøren, uanset om denne er beliggende i Danmark, et andet EU-land eller et tredjeland (hvorved forstås lande uden for EU/EØS). 2.2 Behandling af personoplysninger Når personoplysninger behandles, skal persondatalovens regler herom iagttages. Ved "behandling" forstås i persondatalovens forstand, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for", jf. 3, nr. 2. Behandlingsbegrebet dækker over enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, opbevaring, ændring, søgning, transmission, overladelse, videregivelse, sammenstilling, samkøring, blokering, sletning eller tilintetgørelse. 2.2.1 Hjemmel til behandling af personoplysninger Uanset hvilken form for løsning personoplysninger håndteres i, skal man være opmærksom på bestemmelserne i lovgivningen om behandling af personoplysninger. Både persondataloven og særregler i anden lovgivning sætter grænser for, hvilke oplysninger der må indgå, og hvad de må bruges til herunder f.eks. hvornår oplysninger må videregives. Personoplysninger kan opdeles i: Almindelige, ikke-følsomme oplysninger (lovens 6). Følsomme personoplysninger ( 7 - eksempelvis oplysninger om race, politisk baggrund, religiøs overbevisning mv.). Andre typer af følsomme personoplysninger ( 8 - eksempelvis oplysninger om strafbare forhold, væsentlige sociale problemer mv.). Hvorvidt der er hjemmel til en given behandling af personoplysninger afgøres ud fra bl.a. behandlingens formål og oplysningens karakter af henholdsvis 6-, 7- eller 8-oplysning. Al behandling af personoplysninger skal også altid opfylde grundbetingelserne i lovens 5 om god databehandlingsskik og kravene om, at behandlingen skal ske til udtrykkeligt angivne og saglige formål mv. Der stilles endvidere krav om, at de oplysninger, som behandles, skal være relevante og tilstrækkelige. Behandling skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Endelig må oplysningerne ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der 8
> er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles jf. lovens 5, stk. 3-5. 2.3 Den dataansvarliges overladelse af personoplysninger til en databehandler (cloudleverandør) Persondataloven definerer i 3, nr. 4 og 5, begreberne den dataansvarlige og databehandleren. En cloudleverandør vil oftest alene være databehandler. Den dataansvarlige er den, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger, mens databehandleren behandler personoplysninger på den dataansvarliges vegne. Den dataansvarlige har det umiddelbare ansvar for behandling af personoplysningerne og dispositionsretten over oplysningerne. Det kan således være en databehandler, der udfører selve den praktiske behandling af personoplysninger på vegne af den dataansvarlige. Den dataansvarlige afgør, om det bør overlades til en databehandler at behandle personoplysninger på den dataansvarliges vegne. Den dataansvarlige er ansvarlig for, at loven overholdes - også for de oplysninger, som behandles hos databehandleren. 2.3.1 Persondatalovens sikkerhedskrav Der er en række forhold, som man skal være opmærksom på uafhængigt af, om oplysninger overlades til en cloudleverandør i Danmark, et andet EU-land eller et tredjeland. Det er den dataansvarlige myndighed, der har ansvaret for, at persondataloven og sikkerhedsbekendtgørelsens regler iagttages hos databehandleren. Sikkerhedsbekendtgørelsens regler gælder for behandling af personoplysninger i den offentlige forvaltning. Sikkerhedskrav i den private sektor For den private sektor er der ligeledes hjemmel til at udstede en bekendtgørelse om sikkerhedskravene, men hjemlen er ikke udnyttet i praksis. Derimod har Datatilsynet i konkrete sager udnyttet lovens bestemmelser om, at tilsynet kan fastsætte vilkår i forbindelse med tilladelser til at fastsætte nærmere vilkår om bl.a. sikkerhedsforanstaltninger. Datatilsynet har desuden i forskellige sammenhænge anbefalet, at private virksomheder i videst muligt omfang tilrettelægger sikkerhedsforanstaltninger i overensstemmelse med sikkerhedsbekendtgørelsen, som ellers er rettet mod offentlige dataansvarlige. Datatilsynet har i øvrigt fastsat en række krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet for den private sektor. Disse kan læses på Datatilsynets hjemmeside: http://www.datatilsynet.dk/erhverv/internettet/ 9
Den dataansvarlige skal lave en samlet risikovurdering af, om en given løsning leverer et passende sikkerhedsniveau. Risikovurderingen kan foretages ud fra en standard for informationssikkerhed f.eks. ISO/IEC 27001 eller DS 484, som er den fællesstatslige standard for informationssikkerhed. Begge indeholder eksempler på, hvilke elementer der kan indgå i en risikovurdering. Når der er tale om en cloudløsning, kan man i øvrigt finde inspiration til risikovurderingen i ENISA s 2 publikation Cloud computing Benefits, risks and recommandations for information security (se tjeklisten på side 71-82 i rapporten.): http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment. I alle tilfælde skal den dataansvarlige sikre sig, at databehandlingen hos databehandleren lever op til de danske sikkerhedskrav, der nærmere er fastsat i persondatalovens 41-42 og i sikkerhedsbekendtgørelsen. Disse krav vil blive beskrevet i det følgende. Sikkerhedskravene går først og fremmest ud på, at både offentlige og private dataansvarlige og databehandlere skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. 41, stk. 3. Dette er for så vidt angår behandling af personoplysninger for offentlige myndigheder nærmere uddybet i den såkaldte sikkerhedsbekendtgørelse (bekendtgørelse nr. 528 af 15. juni 2000 som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) og sikkerhedsvejledningen (Datatilsynets vejledning nr. 37 af 2. april 2001). Ifølge sikkerhedsbekendtgørelsen har Datatilsynet endvidere mulighed for at komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger. Sikkerhedsbekendtgørelsen og sikkerhedsvejledningen, hvortil der i følgende henvises, beskriver og uddyber de tekniske og organisatoriske sikkerhedsforanstaltninger, som skal træffes i den offentlige forvaltning af hensyn til datasikkerheden på baggrund af de overordnede regler for sikkerhedsforanstaltninger i lovens 41-42. De krav, som følger af sikkerhedsbekendtgørelsen, skal som minimum iagttages. Hertil kommer, at sikkerheden skal afspejle, at behandlingen af personoplysninger i en cloudløsning sker via internettet, hvilket skærper kravene til datasikkerheden. Persondataloven, sikkerhedsbekendtgørelsen og sikkerhedsvejledningen beskriver en række sikkerhedskrav, der skal overholdes ved behandling af personoplysninger i den offentlige forvaltning. Nedenfor listes nogle af de sikkerhedskrav, der er særligt 2 European Network and Information Security Agency 10
> relevante for cloudløsninger. Det bemærkes, at nedenstående liste ikke er udtømmende, men blot fremhæver nogle af de gældende krav i hovedtræk: Personoplysninger skal slettes efter endt behandling. Det skal ved kassation eller videresalg af anvendte datamedier sikres, at uvedkommende ikke får adgang til personoplysninger. Der skal ved transmission af oplysninger over det åbne internet som minimum foretages kryptering. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal sikres i fornødent omfang, f.eks. ved anvendelse af to-faktor-autentifikation. Det skal sikres, at kun autoriserede brugere kan få adgang. Der skal føres kontrol med afviste adgangsforsøg. Sikkerhedsbekendtgørelsens 19 om logning skal iagttages. Såfremt der er tale om en databehandler i andre EU-lande end Danmark, skal databehandleren desuden leve op til de sikkerhedskrav, som stilles i det pågældende EU-land, jf. persondatalovens 42, stk. 2, 3. pkt. 2.3.2 Databehandleraftale Når en dataansvarlig overlader oplysninger til en databehandler, skal den dataansvarlige aktivt sikre sig, at databehandleren iagttager fornøden datasikkerhed. Der er bl.a. krav om, at der indgås en skriftlig aftale (en databehandleraftale) mellem den dataansvarlige og databehandleren om en sådan overladelse af personoplysninger, jf. persondatalovens 42, stk. 2, 1. pkt. samt sikkerhedsbekendtgørelsens 7. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige. Det skal herudover fremgå af aftalen, at databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. I det omfang den dataansvarlige er en offentlig myndighed, skal databehandleraftalen sikre, at sikkerhedsbekendtgørelsens regler iagttages af databehandleren. 2.3.3 Cloudleverandør uden for EU, herunder særlige regler, når data sendes uden for EU Persondatalovens 27 regulerer, hvornår der må overlades oplysninger til modtagere, f.eks. databehandlere, i et tredjeland (lande uden for EU/EØS). Generelt gælder, at når der efter 27 må overføres personoplysninger til tredjelande, skal persondatalovens øvrige regler stadig overholdes, jf. lovens 27, stk. 5. I forbindelse med brug af en cloudleverandør uden for EU vil følgende løsninger kunne anvendes ved overførsel af oplysninger til tredjelande: A. Overførsel til sikkert tredjeland. B. Safe Harbor-ordningen. C. Kommissionens standardkontrakt om overførsel af oplysninger til tredjeland. 11
A. Overførsel til sikkert tredjeland Det fremgår af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Kommissionen har vurderet, at følgende tredjelande pr. 15. juni 2010 generelt enten via lovgivning eller via andre foranstaltninger sikrer et tilstrækkeligt beskyttelsesniveau: Schweiz, Canada (i begrænset omfang), Argentina, Guernsey, USA (i begrænset omfang), Isle of Man, Jersey, Færøerne, Andorra og Israel. Fortegnelsen over generelt godkendte lande findes på Datatilsynets hjemmeside. Overførsel af oplysninger til cloudleverandører i disse lande kan derfor ske i medfør af persondatalovens 27, stk. 1. En sådan overførsel kræver dog ligeledes i visse tilfælde, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. B. Safe Harbor-ordningen Som nævnt ovenfor må der kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. persondatalovens 27, stk. 1. EU Kommissionen har besluttet, at amerikanske virksomheder, som har tilsluttet sig den såkaldte Safe Harbor-ordning, formodes at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til disse virksomheder. Overførsel af personoplysninger til sådanne virksomheder vil derfor kunne ske i medfør af persondatalovens 27, stk. 1. En sådan overførsel kræver dog i visse tilfælde, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. C. EU Kommissionens standardkontrakt om overførsel til tredjeland I de tilfælde, hvor tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau (og hvor de opregnede undtagelser i persondatalovens 27, stk. 3, ikke giver mulighed for overførsel), kan Datatilsynet give tilladelse til, at der overføres oplysninger til tredjelandet. Denne tilladelse betinges af, at den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Dette fremgår af persondatalovens 27, stk. 4. Kommissionen har fundet, at kravet i 27, stk. 4, om fornødne garantier for tilstrækkelig beskyttelse af de registreredes rettigheder ved overførsel af personoplysninger til tredjelande kan fremgå af visse standardkontraktbestemmelser. Såfremt den dataansvarlige indgår en aftale med en cloudleverandør baseret på Kommissionens standardkontraktbestemmelser, vil der kunne gives tilladelse til overførsel af oplysninger til denne cloudleverandør. Standardkontraktbestemmelserne giver i øvrigt mulighed for, at der kun skal indhentes én tilladelse til overførsel af oplysninger til en databehandler i et tredjeland, selv om databehandleren benytter underdatabehandlere, der også er etableret i tredjelande. Hvis databehandleren er etableret i EU og benytter underdatabehandlere i et tredjeland, kan overførsel af oplysninger bl.a. ske, hvis: 12
> Den dataansvarlige i EU indgår en aftale baseret på Kommissionens standardkontrakt direkte med underdatabehandlerne i tredjelandet, eller Den dataansvarlige giver databehandleren i EU et klart mandat til at indgå aftaler med underdatabehandlerne i den dataansvarliges navn og på dennes vegne. Kommissionens standardkontrakt er tilgængelig via følgende link på Kommissionens hjemmeside: http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm. Der henvises i øvrigt til informationsteksten på Datatilsynets hjemmeside vedrørende overførsel af oplysninger til tredjelande. 2.3.4 Anmeldelsespligt Persondataloven indeholder en hovedregel om, at der skal foretages anmeldelse til Datatilsynet, inden behandling af personoplysninger iværksættes. I forbindelse med anmeldelsen skal Datatilsynet i flere tilfælde først og fremmest, når der behandles oplysninger omfattet af lovens 7 og 8 afgive en tilladelse eller udtalelse inden iværksættelse af behandlingen. Dette gælder både i cloudsammenhæng og i alle andre tilfælde, hvor der behandles personoplysninger. I de fleste tilfælde vil offentlige myndigheder og private virksomheder allerede have anmeldt, at de behandler personoplysninger til Datatilsynet. Hvis der ændres i den itarkitektur, der ligger til grund for løsningen, eksempelvis ved at elementer af itsystemet bliver cloudbaserede, vil det derfor ikke altid være nødvendigt at foretage en ny anmeldelse af, at der behandles personoplysninger. I nogle tilfælde vil der derimod blot være behov for at ajourføre den allerede gældende anmeldelse. Det er i første omgang den dataansvarlige selv, der må vurdere - eksempelvis ved overgang til cloud computing - om den tidligere anmeldelse fortsat er tilstrækkelig, eller om den ændrer karakter i en sådan grad, at der er behov for en ny anmeldelse eller en ajourføring af den gældende anmeldelse. Der henvises til persondatalovens kapitel 12 ( 43-47) og Datatilsynets vejledning nr. 125 af 10. juli 2000 for de nærmere regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning og til lovens kapitel 13 ( 48-51) for de nærmere regler om anmeldelse af behandlinger, der foretages for en privat dataansvarlig. Reglerne kan findes på Datatilsynets hjemmeside, jf. www.datatilsynet.dk. Der gøres endvidere opmærksom på, at overførsler af personoplysninger til tredjelande i visse tilfælde kræver, at der indhentes en tilladelse fra Datatilsynet, jf. persondatalovens 50, stk. 2. Anmeldelsespligten påhviler den dataansvarlige også selv om behandlingen af personoplysninger er overladt til en databehandler i henhold til en databehandleraftale. 2.4 "Særlige kritiske" oplysninger I det tilfælde, at den dataansvarlige som offentlig myndighed behandler oplysninger, der er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der 13
muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende, jf. persondatalovens 41, stk. 4. Bestemmelsen vedrører primært oplysninger indeholdt i registre, som måtte være af særlig interesse for fremmede magter til eksempelvis at finde specialuddannede personer eller særligt materiel såsom køretøjer mv., der kan være til nytte for den fremmede magt i tilfælde af eksempelvis besættelse, Denne regel den såkaldte "krigsregel" indebærer, at oplysninger fra f.eks. Det Centrale Personregister (CPR-registeret), centrale skattesystemer og andre udvalgte specialregistre som udgangspunkt ikke vil kunne overlades til en databehandler i et andet land end Danmark. Hvorvidt den dataansvarlige myndighed i givet fald vil komme til at overlade oplysninger omfattet af persondatalovens 41, stk. 4, til en cloudleverandør, må bero på en konkret vurdering, som den dataansvarlige i første omgang skal foretage. Er den dataansvarlige i tvivl, kan der eventuelt rettes henvendelse til Datatilsynet. 14
3. Øvrig relevant lovgivning > I dette afsnit gennemgås, hvilken øvrig lovgivning det i nogle tilfælde kan være relevant at iagttage i forbindelse med cloud computing 3.1 Bogføringsloven Bogføringsloven 3 regulerer de fælles mindstekrav til erhversdrivende virksomheders bogføring. I henhold til bogføringslovens 10 skal regnskabsmateriale opbevares på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Dette indebærer, at regnskabsmaterialet i hele opbevaringsperioden i rimeligt omfang skal være beskyttet mod tyveri, brand eller anden tilsigtet eller utilsigtet ødelæggelse eller bortskaffelse. Opbevares materialet elektronisk, skal der løbende tages backup af materialet, og backup-kopien skal kontrolleres for læsbarhed. Udgangspunktet i bogføringslovens 12 er, at alt regnskabsmateriale skal opbevares i Danmark eller de nordiske lande 4. Dette gælder uanset om regnskabsmaterialet opbevares i papirform eller i elektronisk form. Det betyder, at hvis en erhvervsdrivende opbevarer sit regnskabsmateriale, eller dele heraf i udlandet, f.eks. på en server, der fysisk er placeret uden for Danmark, skal der tillige opbevares en fuldstændig kopi af materialet i Danmark. Det er ikke tilstrækkeligt, at der blot er onlineadgang til den udenlandske server, hvorpå regnskabsmaterialet er opbevaret. Hvis regnskabsmateriale opbevares på en server i udlandet (eksempelvis via en cloudtjeneste), er det derfor nødvendigt at downloade en kopi af materialet elektronisk eller sørge for at der foreligger en papirbaseret kopi. Den elektroniske kopi skal placeres på en server i Danmark og kunne fremfindes, læses og udskrives uden bearbejdning. Ifølge bogføringslovens regler vil det være tilstrækkeligt, at foretage denne kopiering (elektronisk eller til papir) på månedlig basis. Reglerne om at regnskabsmateriale som udgangspunkt skal opbevares i Danmark er bl.a. begrundet i hensynet til, at offentlige myndigheder skal kunne udføre deres opgaver. Opbevaringskravene skal således medvirke til at sikre, at f.eks. SKAT og SØK uden hindringer kan få adgang til regnskabsmateriale i forbindelse med gennemførslen af en kontrol eller en efterforskning. Erhvervsstyrelsen kan efter forudgående ansøgning dispensere fra ovenstående krav om at regnskabsmaterialet skal opbevares i Danmark. Styrelsen har på baggrund af de ovenstående hensyn hidtil kun i ganske særlige tilfælde og med en række tilknyttede vilkår givet dispensation til at regnskabsmateriale udelukkende opbevares i udlandet. For så vidt angår bilagsmateriale kan der dog ikke gives dispensation til at dette udelukkende opbevares i udlandet. Regnskabsmateriale kan altid frit opbevares i udlandet, såfremt der tillige findes en fuldstændig kopi af regnskabsmaterialet i Danmark, evt. i elektronisk form. 3 Lovbekendtgørelse nr. 648 af 15. juni 2006. 4 Bekendtgørelse nr. 250 af 23. marts 2006 om opbevaring af regnskabsmateriale i udlandet. 15
3.2 Regnskabsloven Det statslige regnskabsvæsen er reguleret via henholdsvis regnskabsloven 5 og regnskabsbekendtgørelsen 6. På samme vis som for erhvervsdrivende virksomheder skal regnskabsmateriale for statsinstitutioner opbevares af institutionen på betryggende vis i 5 år fra udgangen af vedkommende regnskabsår, med mindre en længere frist fremgår af andre bestemmelser. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale, jf. 44 i regnskabsbekendtgørelsen. Udgangspunktet i regnskabslovens 45 er, at regnskabsmateriale skal opbevares i Danmark. Dette gælder både fysiske bilag og elektroniske data. Denne regel betyder ligesom ved bogføringsloven ovenfor, at regnskabsmaterialet kan opbevares på en server i udlandet, såfremt der som minimum hver måned downloades en fuldstændig kopi af materialet, som placeres på en server i Danmark eller i papirbaseret form. Økonomistyrelsen vil umiddelbart kunne yde dispensation fra bestemmelserne i 45 for institutioner, der har behov for opbevaring af regnskabsmateriale i Norden (Finland, Island, Norge og Sverige). 3.3 Arkivloven Arkivloven 7 og de underliggende regelsæt vedrører offentlige myndigheders arkivalier. Arkivloven er kun relevant i cloudsammenhæng, hvis en myndighed vælger at opbevare eller drive sit sagsbehandlingssystem ved hjælp af en cloudløsning. Er dette imidlertid tilfældet, skal myndigheden iagttage arkivlovens regler. Statens arkiver overtager ansvaret for de enkelte arkivaliers bevaring, når disse afleveres til Statens arkiver jf. 8, stk. 3. Indtil dette sker, skal myndighederne drage omsorg for varetagelse af arkivmæssige hensyn, herunder at arkivalier opbevares på betryggende måde jf. 8, stk. 1. Desuden skal myndighederne efter 8, stk. 2, drage omsorg for, at arkivalier, der er lagret på et elektroniske medium, bevares således, at de kan afleveres til offentlige arkiver. De nærmere regler om arkivmæssige hensyn (jf. 8, stk. 1) om behandling, bevaring og kassation af statslige myndigheders arkivalier findes i arkivbekendtgørelsen 8. 5 Lov nr. 131 af 28. marts 1984 om statens regnskabsvæsen m.v. 6 Bekendtgørelse nr. 70 af 27. januar 2011. 7 LBK nr. 1035 af 21. august 2007 8 Bek nr. 591 af 26. marts 2003 om offentlige arkivalier og om offentlige arkivers virksomhed 16
> 17
4. Kontraktuelle punkter I de følgende afsnit er angivet en række kontraktuelle forhold, som bør overvejes i forbindelse med indgåelse af en kontrakt om levering af cloudtjenesteydelser. Dette afsnit indeholder ikke en "facitliste" over, hvilke forhold der skal inddrages i den konkrete kontrakt, ligesom afsnittet ikke indeholder forslag til, hvorledes den konkrete kontrakt skal formuleres. De anførte punkter er derimod anført med det formål at få parterne til at overveje og sikre, at der hverken i forbindelse med kontraktens indgåelse eller i kontraktens løbetid opstår situationer, der må anses for at stride mod bl.a. persondataloven. Visse af forholdene er af særlig betydning for håndtering af de persondataretlige problemstillinger (afsnit 3.1), ligesom en række af de beskrevne forhold er af mere cloudspecifik relevans (afsnit 3.2). Endelig indeholder afsnit 3.3 en beskrivelse af nogle forhold af mere almindelig kontraktuel betydning. Det anbefales, at samtlige de omtalte kontraktuelle forhold gennemgås og overvejes nærmere af både kunden og leverandør i forbindelse med indgåelse af kontrakten om cloudløsningen. Det skal dog bemærkes, at mange cloududbydere benytter standardkontrakter, og det vil dermed ikke nødvendigvis være muligt at ændre kontrakten. I så fald bør det vurderes, om kontrakten er acceptabel for kunden. 4.1 Forhold af betydning for håndtering af persondataretlige problemstillinger Med henvisning til afsnit 2 ovenfor er der nedenfor angivet en række forhold af persondataretlig karakter, der bør overvejes nærmere og reguleres i forbindelse med indgåelse af kontrakt om en cloudløsning: Er der taget stilling til, om der i forbindelse med kontraktens gennemførelse behandles oplysninger, der er omfattet af persondataloven eller ej? Er der i kontrakten anført en generel stillingtagen til, hvorledes persondataloven, herunder eventuelt sikkerhedsbekendtgørelsen overholdes i forbindelse med kontraktens gennemførelse, herunder hvorledes forpligtelserne i den relation er fordelt mellem parterne? Er det i forbindelse med kontraktindgåelse overvejet - og eventuelt konkretiseret - hvilke personoplysninger der er omfattet af løsningsmodellen, og hvilke regler i persondataloven, der giver hjemmel til behandling af de konkrete oplysninger? Hvor behandles oplysningerne? o Er der i kontrakten taget højde for, om behandlingen sker i andre lande end i Danmark? o Sker behandlingen alene i Danmark, et EU/EØS-land eller et såkaldt sikkert tredjeland? o Sker behandlingen i tredjelande? Er der taget højde for de sikkerhedsmæssige krav, der fremgår af persondatalovens 41 og 42 og sikkerhedsbekendtgørelsen? 18
> Er der i kontrakten taget højde for eventuel anmeldelse til eller udtalelse/tilladelse fra Datatilsynet som betingelse for kontraktens ikrafttræden? Er der foretaget en risikovurdering? Gælder der i henhold til leverandørens hjemland særlige regler for leverandørens behandling af oplysninger? Er der udarbejdet en instruks (en databehandleraftale) for leverandørens håndtering af oplysningerne, der klart begrænser leverandørens handlemuligheder til at angå kundens formål, jf. afsnit 2.3.1 ovenfor? 4.2 Forhold af betydning for cloudløsninger I dette afsnit er beskrevet en række forhold, der anses for at have særlig relevans for kontrakter om cloud computing. Listen af forhold er ikke udtømmende, men udtryk for, hvilke forhold der anbefales overvejet nærmere af kunden og leverandøren i forbindelse med indgåelse af den konkrete kontrakt. 4.2.1 Service Level Agreements (SLA) Er der i kontrakten - eller i et bilag hertil - taget stilling til: o Systemets oppetid. o Systemets svartider. Det fysiske og tekniske grundlag, måling af oppetid og svartid skal måles på, herunder definitioner af baggrundsbelastning og "sædvanlig brug" på testtidspunktet, målemetoder osv. o Leverandørens fejlretning, herunder inden for hvilket tidsrum fejlretningen skal være foretaget. Det bør specificeres i kontrakten, hvorledes leverandøren agter at foretage den fornødne fejlretning, således at der gives kunden mulighed for at kontrollere, om fremgangsmåden overholdes, og om fejlretningen foretages inden for det lovede tidsrum. Eventuel fastsættelse af bod som følge af manglende overholdelse af SLAkrav. Definitioner vil kunne have stor betydning for vurderingen af, om SLA-kravene er overholdt. Derfor anbefales det, at relevante definitioner er anført. Det bemærkes, at parametrene i SLA'en vil kunne have betydning for eventuel bodsfastsættelse, ligesom strenge SLA-krav vil kunne fordyre kontrakten. Derfor anbefales det, at der foretages en nøgtern vurdering fra kundens side i relation til, hvilke behov der reelt er i relation til de opstillede SLA-krav for at minimere omkostningerne. 4.2.2 Datahåndtering Er der i kontrakten taget stilling til følgende forhold: o "Data" bør defineres i kontrakten, herunder hvis der skelnes mellem data i form af personoplysninger og andre typer af data. 19
Ejerskab til data: o Det er vigtigt, at det konkretiseres, hvem der har ejerskab til de data, der er og bliver en del af aftalen mellem parterne. Overdragelse og destruktion af data: o Det er vigtigt, at det præciseres i kontrakten, hvorledes kunden får adgang til de data, som tilhører kunden, f.eks. i tilfælde af leverandørskift eller i tilfælde af, at kontrakten ophæves. Overdragelse af sådanne data kan f.eks. ske ved, at der gives en fuldstændig back-up af kundens data, der er placeret på leverandørens servere. o Det bør i den forbindelse overvejes, om der løbende - fx med passende interval - bør foretages en fuldstændig back-up, som tilsendes kunden, således at den seneste back-up som minimum er umiddelbart tilgængelig med henblik på opretholdelse af kundens "virksomhed"/myndighedsopgaver selv i tilfælde, hvor leverandøren går konkurs eller i øvrigt - berettiget eller uberettiget - nægter at udlevere data. o I samme forbindelse bør der indsættes en bestemmelse i kontrakten om, at leverandørens eventuelle kopier af kundens data skal destrueres, når kontrakten ophører. o Endelig bør det overvejes, om kunden kan have behov for at sikre sletning på andre tidspunkter end ved kontraktens ophør, i givet fald bør det fremgå af kontrakten. Uvedkommendes adgang til data: o Det anbefales, at det i aftalen præciseres, hvorledes leverandøren skal agere i tilfælde af uvedkommendes uhjemlede adgang til dataene, eksempelvis i form af en pligt til straks at orientere kunden, redegørelse for den konstaterede adgang til dataene eller lignende. o Ligeledes anbefales det, at der indsættes en bestemmelse om, at leverandøren skal holde kunden skadesløs i tilfælde af uvedkommendes adgang til data, herunder ved betaling af de erstatningskrav og andre krav, kunden måtte komme ud for som følge af bruddet på fortrolighedspligten. Placering af data: o Jf. afsnit 2 ovenfor og jf. afsnit 3.1 ovenfor kan det være af stor betydning for kundens retlige forpligtelser i relation til persondataloven, at det præciseres, hvor data placeres geografisk. Det anbefales derfor, at dette forhold håndteres kontraktuelt. I den forbindelse bør der indsættes en bestemmelse, der omhandler leverandørens indhentelse af samtykke fra kunden i tilfælde af, at data flyttes ud af nogle nærmere bestemte geografiske områder, eksempelvis til ikke-sikre tredjelande. Anmodninger om adgang til data, herunder personoplysninger, fra offentlige myndigheder, der ikke er part i kontrakten: 20
> o Såfremt myndigheder, herunder regeringer og domstole, ønsker adgang til data hos leverandøren, der tilhører kunden, anbefales det, at der indsættes en bestemmelse om, at kunden straks skal orienteres herom. Bestemmelsen bør desuden indeholde en forpligtelse for leverandøren til at samarbejde med kunden i relation til den videre håndtering af begæringen for derved om muligt lovligt at begrænse følgevirkningerne heraf. 4.2.3 Audits/certifikater Det kan med fordel anføres i kontrakten, at kunden (eller en uafhængig revisor) skal have adgang til eksempelvis en gang årligt at foretage en inspektion "on site" i forhold til leverandørens håndtering af data. Alternativt bør der indsættes en bestemmelse om, at leverandøren skal redegøre for, hvorledes leverandørens infrastruktur, herunder sikkerhedsspecifikationer, håndteres. Der vil oftest kunne redegøres for disse forhold via en uafhængig revisor. 4.2.4 "Katastrofeberedskab" I tilfælde af, at leverandøren udsættes for pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data, anbefales det, at der i kontrakten anføres en plan for, hvorledes en sådan situation håndteres af leverandøren, herunder hvorledes tab af data i givet fald genskabes. 4.2.5 Leverandørspecifikke forhold Det anbefales, at der i kontrakten ikke alene er fokus på opstartsomkostningerne, men også på, hvorledes prisen for ydelsen reguleres fremadrettet. Det bør således præciseres, hvordan prisen reguleres, ikke alene som følge af kontraktens løbetid, men også i tilfælde af eskalering af ydelsens omfang. Formålet hermed er, at kundens omkostninger ikke stiger eksplosivt som følge af yderligere behov, der ikke indledningsvis var taget stilling til fra kundens side. Det anbefales, at kunden beskriver de funktionaliteter, der ønskes, snarere end det beskrives, hvilke programmer, herunder mærker, der ønskes anvendt ved imødekommelse af den konkrete funktionalitet. Formålet hermed er at stille leverandøren mere frit ved fremtidige teknologispring, således at omkostningerne kan holdes nede. I tilfælde af, at leverandøren bliver opkøbt eller underlagt andre selskabsretlige konstruktioner end de på aftaleindgåelsestidspunktet gældende, kan det være relevant for kunden at blive orienteret herom, ligesom det i øvrigt kan være relevant for kunden, at den nye ejer fortsætter aftalen. Dette bør derfor håndteres i kontrakten. 4.3 Almindelige kontraktuelle forhold Dette afsnit er opbygget således, at de enkelte punkter er anført i den rækkefølge, som en kontrakt typisk er opbygget efter. Dette er naturligvis ikke til hinder for, at den konkrete kontrakt, som kunden påtænker at indgå, kan være opbygget på en anden måde, ligesom visse af punkterne kan være irrelevante for den kontrakt, der påtænkes indgået. 21
En række af de i afsnit 3.1 og 3.2 anførte forhold er ligeledes inddraget i punkterne anført i dette afsnit. Formålet hermed er at give en kronologisk og sammenhængende oversigt over samtlige af de forhold, der bør overvejes og håndteres kontraktuelt ved indgåelse af en aftale om cloud computing. Det anbefales, at de anførte punkter læses i nær sammenhæng med de øvrige afsnit i vejledningen med henblik på at sikre overensstemmelse med de persondataretlige regler på området og for at sikre, at mere cloudspecifikke forhold er inddraget i kontrakten. Oversigt: 3.3.1: Indledende bestemmelser 3.3.2: Konkretisering af ydelsen, der skal leveres 3.3.3: Levering af ydelsen 3.3.4: Samarbejdsorganisation 3.3.5: Økonomi 3.3.6: Garanti 3.3.7: Underleverandører 3.3.8: Misligholdelse 3.3.9: Force Majeure 3.3.10: Overdragelse 3.3.11: Varighed og ophør 3.3.12: Tavshedspligt 3.3.13: Tvistigheder og fortolkning 3.3.14: Lovvalg 4.3.1 Indledende bestemmelser Indeholder kontrakten samtlige relevante definitioner (eksempelvis: "dag", "kalenderdag", relevante tekniske begreber mv., jf. i øvrigt afsnit 3.1 og 3.2)?. Er kontraktens baggrund og formål beskrevet (eksempelvis: hvad ønskes opnået med kontrakten)? 4.3.2 Konkretisering af ydelsen, der skal leveres Er det præciseret i detaljer, hvad der skal leveres af leverandøren, eventuelt i et bilag? o Indeholder kontrakten bestemmelser om servicemål, jf. afsnit 3.2? o Indeholder kontrakten bestemmelser, der regulerer spørgsmål om dokumentation for, at ydelsen leveres i overensstemmelse med de stillede krav og behov? o Indeholder kontrakten bestemmelser, der regulerer spørgsmålet om eksempelvis serveres placering, jf. afsnit 3.1 og 3.2? o Indeholder kontrakten bestemmelser om, at kunden skal godkende eller orienteres om ændring af eksempelvis serveres placering, jf. afsnit 3.2? Indeholder kontrakten bestemmelser, der regulerer den nærmere adgang til data, jf. afsnit 3.2? 22
> o o o Indeholder kontrakten bestemmelser om, hvorledes leverandøren sikrer kundens data? Indeholder kontrakten bestemmelser om, hvorledes kunden er sikret adgang til de data, der lagres hos leverandøren? Indeholder kontrakten bestemmelser om, hvorledes kundens adgang til kundens data sikres - både under normal drift, men også i forhold til driftsstop, misligholdelse, opsigelse, konkurs mv.? Er der stillet krav til leverandørens vedligeholdelse af ydelsen? o Indeholder kontrakten bestemmelser om, hvorledes ydelsen eller dele heraf vedligeholdes? Er der stillet krav til leverandørens medvirken ved implementering og tilslutning af løsningsmodellen? o Såfremt kunden har underliggende institutioner/afdelinger, er det da reguleret i kontrakten, om leverandøren skal sikre eller medvirke til implementeringen af løsningen hos disse institutioner/afdelinger? o Er kundens it-miljø tilstrækkeligt beskrevet til, at leverandøren kan opfylde de krav, der er stillet af kunden i forhold til den konkrete ydelse? 4.3.3 Levering af ydelsen Er leveringsstedet reguleret i kontrakten? Indeholder kontrakten bestemmelser om, hvornår levering anses for sket, f.eks. efter en af kunden godkendt test af løsningen? Indeholder kontrakten bestemmelser om leverings- og tidsplan? 4.3.4 Samarbejdsorganisation Er det reguleret i kontrakten, hvorledes kunde og leverandør samarbejder med henblik på at få gennemført kontrakten, eksempelvis månedlige møder? o Indeholder kontrakten bestemmelser om, hvem der skal deltage i samarbejdsorganisationen? o Er kundes deltagelse i forbindelse med leveringen af ydelsen reguleret i kontrakten, eksempelvis i relation til at stille oplysninger, lokaliteter mv. til rådighed for leverandøren i forbindelse med leverandørens opfyldelse af forpligtelserne? 4.3.5 Økonomi Indeholder kontrakten bestemmelser, der regulerer betaling for den leverede ydelse, herunder priser og betalingsbetingelser? 4.3.6 Garanti Er der indsat bestemmelser i kontrakten, der regulerer leverandørens garantiforpligtelser? o Er det i givet fald specifikt anført, hvilke forhold der garanteres af leverandøren, eksempelvis sikkerhedskrav, dokumentationskrav, servicemål mv., jf. afsnit 3.2? 23
4.3.7 Underleverandører Er der i kontrakten taget stilling til leverandørens anvendelse af underleverandører, herunder hvorvidt leverandøren hæfter for underleverandørens ydelser? 4.3.8 Misligholdelse Indeholder kontrakten bestemmelser om, hvorledes mangler ved ydelsen skal håndteres? o Er der mulighed for afhjælpning fra leverandørens side? o o Er der mulighed for forholdsmæssigt afslag for kunden? Kan kunden ophæve kontrakten? Er det anført, hvad der bl.a. vil blive anset for væsentlig misligholdelse med mulig ophævelse til følge? Er betaling af erstatning og/eller bod i tilfælde af mangler reguleret? Indeholder kontrakten bestemmelser om ansvarsfraskrivelser eller ansvarsbegrænsninger? Indeholder kontrakten bestemmelser om forsinkelse ved levering af ydelsen? o Er der indsat bestemmelse om bod i tilfælde af forsinkelse, herunder manglende iagttagelse af servicemål, jf. afsnit 3.2? 4.3.9 Force majeure Indeholder kontrakten en force majeure-klausul? 4.3.10 Overdragelse Er der i kontrakten taget stilling til, om det er muligt for kunden og/eller leverandøren at overdrage visse eller alle rettigheder og forpligtelser til andre? o Er der i givet fald angivet en godkendelses- eller orienteringsprocedure? 4.3.11 Varighed og ophør Er kontraktens løbetid reguleret, herunder hvornår kontrakten ophører? Er det reguleret, hvilke forpligtelser leverandøren har i forbindelse med kontraktens ophør, f.eks. overdragelse af data mv., jf. afsnit 3.2? 4.3.12 Tavshedspligt Indeholder kontrakten regulering af henholdsvis kundens og leverandørens tavshedspligt? Er der taget stilling til, om særlige sikkerhedsgodkendelser af leverandøren er nødvendige for indgåelse af kontrakten? 4.3.13 Tvistigheder og fortolkning Er der i kontrakten taget stilling til, hvorledes kontrakten skal fortolkes, herunder om kontrakten har forrang for bilagene til kontrakten? Er der i kontrakten taget stilling til, hvordan eventuelle tvistigheder skal håndteres, herunder om tvisten skal afgøres af domstolene eller voldgift? 24
> o o Er der i kontrakten taget stilling til, om og hvordan tvister skal forsøges løst af parterne forinden anvendelse af domstolene eller voldgift? I tilfælde af, at voldgift ønskes anvendt i tilfælde af en tvist, er der da taget stilling til, efter hvilke voldgiftsregler tvisten skal afgøres? 4.3.14 Lovvalg Er der i kontrakten taget stilling til, hvilket retsgrundlag kontrakten skal reguleres efter? 25
<