Cloud med omtanke! 10 gode råd
Oversigt Cloud med omtanke har mange vinkler Risiko 360 - og afdækning i aftalen Særlig fokus på persondataretlige krav 2 17. september 2015
Agenda - Risikoafdækning 1 Vejledningen om Cloud Computing Kontrakter 2 Indledende selvevaluering af behov og risici 3 Cloudkontrakten som omdrejningspunkt 4 Vurdering af cloudkontrakten i et risikoperspektiv 5 Implementeringsrisikoen 6 Produktrisikoen 7 Leverancerisikoen 8 Compliancerisikoen 12 Skriftlig aftale 13 Er der styr på compliance og sikkerhed 14 Cloud er dødt 15 Er der ret til at bruge underleverandører? 16 Forlader dine data EU/EØS? 17 Opfølgning 18 Andre myndighedskrav 19 Er der tale om en koncern 20 Det sidste gode råd 9 Modpartsrisikoen 10 Exit-risikoen 11 Kontraktscoring 3 17. september 2015
1 Vejledningen om cloudkontrakter Danske IT-advokater og Dansk IT har udgivet vejledning om Cloud Computing kontrakter i september 2014 Formålet med vejledningen er at give Kunden en forholdsvis let og overskuelig vejledning i forhold til de spørgsmål, der bør stilles, og overvejelser, der bør gøres, før Kunden går ind i en løsning baseret på cloud computing ("Cloudløsningen") Det særlige ved cloud computing er, at juridiske, kommercielle og tekniske forhold vanskeligt kan skilles ad Om en konkret Cloudløsning er det rette valg for Kunden, afhænger derfor ikke blot af en teknisk vurdering af Cloudløsningen, men også af juridiske, finansielle og strategiske overvejelser 4 17. september 2015
2 Indledende selvevaluering af behov og risici For at Kunden kan forholde sig til det samlede billede af fordele og ulemper ved anvendelse af en Cloudløsning, bør Kunden i forhold til den Cloudløsning, som Kunden overvejer at tage i anvendelse, som minimum stille spørgsmål vedrørende: Formål Understøttelse af forretningen Krav til serviceniveau IT-arkitektur og integration Økonomisk kalkule Sikkerhed og compliance Exit Det afgørende er, at Kunden i sin tilgang får stillet de rigtige spørgsmål i rette tid, således at det undgås, at der enten ikke investeres unødig tid og ressourcer i undersøgelse af en Cloudløsning, som alligevel ikke vil opfylde Kundens behov 5 17. september 2015
3 Cloudkontrakten som omdrejningspunkt Det første, man bør undersøge, er, om Kontrakten kan gøres til genstand for forhandling, eller om Kunden er nødt til at tage Kontrakten, som den er Hvis Kontrakten ikke kan forhandles, må Kunden vurdere, om det tilbudte produkt udover at leve op til Kundens tekniske krav også lever op til de krav, som Kunden har stillet i forhold til risici, og til de juridiske krav til Kontraktens indhold En sådan vurdering kan enten føre til, at Kunden skal afstå fra at indgå Kontrakten, fordi risikoen er for stor/manglende compliance, eller at risikoen er håndterbar sammenholdt med investeringens størrelse og betydningen af de involverede data 6 17. september 2015
4 Vurdering af cloudkontrakten i et risikoperspektiv En måde at forholde sig til om en cloudkontrakt bør indgås er at vurdere den i et risikoperspektiv Generelt vil vurdering af følgende seks risici være de centrale: 1. Implementeringsrisikoen 2. Produktrisikoen 3. Leverancerisikoen 4. Compliancerisikoen 5. Modpartsrisikoen 6. Exit-risikoen 7 17. september 2015
5 Implementeringsrisikoen De fleste Kunder (om ikke alle) er opmærksomme på, at traditionelle IT-løsninger skal implementeres for at kunne anvendes i virksomheden. Det samme gælder Cloudløsninger. Understøtter Cloudløsningen de processer, som Kunden ønsker løst? Kan et "gap" håndteres? Hvordan sikres integrationer? Hvordan håndteres ansvarsfordelingen ved implementering (implementeringsrisikoen)? Kan Kunden komme ud af cloudkontrakten, hvis implementeringen mislykkes (udtrædelsesret)? 8 17. september 2015
6 Produktrisikoen Hvad er produktet, hvordan udvikles det, og forbliver produktet det samme? Er produktets funktionalitet "baselined" i cloudkontrakten? Hvad er med, og hvad er tilkøb? Nyudvikling; Er det et selvstændigt modul eller udvidelse af den bestående løsning? Roadmap; Er det tilgængeligt, ligger det fast, hvem bestemmer? Kundens deltagelse i Leverandørens udviklingsfora Fortrolighed og "competitive edge" 9 17. september 2015
6 Produktrisikoen Ændringer: Da det, som Kunden typisk køber, er adgangen til en standardløsning, er spørgsmålet om ændringer væsentligt. Grundlæggende kan spørgsmålet deles op i to: 1. I hvilket omfang kan jeg som Kunde kræve ændringer, og 2. i hvilket omfang skal jeg som Kunde tåle ændringer Mange Kontrakter med Leverandører er meget åbne på dette punkt, og giver Leverandøren adgang til at foretage ændringer med kort varsel eller af og til uden varsel. Kunden bør derfor nøje overveje, i hvilket omfang ændringer i Cloudløsningen vil kunne få indflydelse på andre af Kundens applikationer og systemer, og om selve Cloudløsningen er så vigtig for Kunden, at Kunden ligefrem skal kunne modsætte sig ændringer i Cloudløsningen 10 17. september 2015
7 Leverancerisikoen Garantier Servicemål/SLA Servicemål opstiller et mål ("target") for ydelsen Servicemål skal være operationelle (hvad måles og hvordan måles der?) Er SLA til forhandling? Ofte er det ikke muligt (og ej heller ønskeligt at ændre på servicemål og målemetoder), men.. Konsekvenserne af manglende overholdelse kan i et vist omfang godt adresseres individuelt Priser og fiksering af disse er et centralt emne, som også bør tænkes ind 11 17. september 2015
7 Leverancerisikoen Undersøg nøje hvilke servicemål (om nogen) der garanteres for Cloudløsningen i forhold til oppetid, tilgængelighed og svartid, og hvordan performance defineres og måles Bed om oplysninger om Leverandørens historiske performance Hvis de juridiske konsekvenser er begrænsede og/eller ikke kan forhandles, må Kunden forlade sig på Leverandørens historik, afprøve Cloudløsningen indtil Kunden føler sig tilstrækkelig komfortabel med den og i øvrigt sikre sig, at en exit kan foretages sikkert, hurtigt og effektivt uden væsentlige omkostninger 12 17. september 2015
7 Leverancerisikoen Ofte forekommende problemstillinger Kunden kan ikke kontrollere om serviceniveau er overholdt (manglende rapportering) Strid om hvorvidt manglende opfyldelse skyldes kundens, leverandørens eller tredjemands forhold SLA'er er (objektivt set) opfyldt, men kunden er utilfreds SLA'er er ikke opfyldt, men kunden er utilfreds med godtgørelse/afhjælpning 13 17. september 2015
8 Compliancerisikoen Hvordan sikres det at Cloudløsningen og Kundens brug af den overholder lovgivningen? Typisk vil der være dels særlovgivnng (sektorspecifik) og dels generel lovgivning, som Kunden skal forholde sig til Persondatalovgivningen er ofte central og udstikker rammerne for det sikkerhedsniveau, der skal eller bør lægges 14 17. september 2015
9 Modpartsrisikoen Hvordan er Kunden stillet, hvis Leverandøren går konkurs eller adgangen til Cloudløsningen på anden vis ophører? Er Leverandøren afhængig af underleverandører? Back up og adgang til data "Escrow" af Cloudløsninger; Hvordan, hvornår og af hvem? "Escape pod" et eksempel på en løsning 15 17. september 2015
10 Exit-risikoen Lock in (låsningseffekter) (teknologi og konkurrencebilledet) Har leverandøren eksempler på vellykkede exits? Hvordan og hvor hurtigt vil det kunne ske (proces og plan)? Ret til forlængelse og levering af ydelser indtil overdragelse/insourcing? Krav om leverandørens medvirken ved ophør Behandling af data efter Kontrakten er udløbet 16 17. september 2015
11 Kontraktscoring Kontraktscoring (1-5 med 1 som det laveste og 5 som det højeste) Risici Leverandør 1 Leverandør 2 1. Implementeringsriskoen 2. Produktrisikoen 3. Leverancerisikoen 4. Compliancerisikoen 5. Modpartsrisikoen 6. Exit-risikoen 17 17. september 2015
Persondataret i skyen
12 Skriftlig aftale Der er krav om indgåelse af en skriftlig aftale ved brug af cloudleverandører Skal indeholde en række bestemmelser, bl.a. vedrørende Hvad må datacentret bruges data til Hvor længe gælder aftalen Overholdelse af compliancekrav og sikkerhedskrav Opfølgning og auditering Underleverandører Og meget mere. Husk at læse den, inden du indgår en cloudaftale! 19 17. september 2015
13 Er der styr på compliance og sikkerhed? Man kan ikke vurdere, om man kan/må bruge en databehandler, uden at kende sine egne risici og dermed kravene til sit eget sikkerhedsniveau Derfor: Er der styr på din egen forretning? Start med at se på din egen risikovurdering: Complianceprogram: F.eks. oplysningspligt, behandlingsgrundlag, indsigtsret og slettefrister Sikkerhedsprogram: Ekstern sikkerhed, intern sikkerhed (f.eks. rollestyring) Særlige vilkår stillet af Datatilsynet i en tilladelse, eller af andre myndigheder! Der er pligt til at foretage en vurdering af compliance og sikkerhed ved brug af cloud, INDEN man begynder at bruge tjenesten Benchmark mod dit eget program/niveau! Adgang til de nødvendige oplysninger? Pligt til at overholde danske krav, selv om man bruger en databehandler uden for Danmark I øvrigt også pligt for databehandleren til at overholde sikkerhedskrav i sit hjemland 20 17. september 2015
14 Cloud er dødt Også kendt som: Hvor er mine data? Krav om, at kunden har mulighed for at kende den præcise beliggenhed af datacentre inden aftaleindgåelse og hvordan kan kunden gennemføre en risikovurdering uden at have disse oplysninger? Ok med en dynamisk kontrakt, hvor kunden får oplyst beliggenhed for datacentre ved aftaleindgåelsen, sammen med en mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye datacentre (sammen med en mulighed for at udtræde af kontrakten) Et servicecenter er også et datacenter! Læseadgang svarer til opbevaring Krav om, at kunden altid har adgang til den præcise adresse for alle datacentre 21 17. september 2015
15 Er der ret til at bruge underleverandører? Krav om, at kunden ved- og godkender brugen af underleverandører (i det mindste, at det kan ske) Hvis generelt samtykke, som ikke kan tilbagekaldes, krav om mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye underleverandører (sammen med en mulighed for at udtræde af kontrakten) Underleverandøren skal leve op til alle de formelle krav. Krav om, at kunden har de påkrævede juridiske rettigheder også over for underleverandøren Kunden skal have ret til at modtage en kopi af den formelle del af aftalen mellem leverandør og underleverandør, sådan at kunden kan kontrollere ovenstående Pas på underleverandører uden for Danmark 22 17. september 2015
16 Forlader dine data EU/EØS? Overførsel til lande uden for EU/EØS (3L) kræver et særligt grundlag Både relevant for datacentre og servicecentre Kun få sikre 3L Safe Harbor (lidt endnu?) Binding Corporate Rules for processors Model Clause contracts (pas på, hvem der bliver parter til aftalen) Må man redigere model clauses? Overvej om der er anmeldelsespligt til Datatilsynet 23 17. september 2015
17 Opfølgning Krav om, at kunden løbende følger op på aftalen, både ift compliance og sikkerhed Husk, hvad benchmark var! Hvis det ændrer sig og det bør det gøre - så ændrer kravene til leverandøren sig også I praksis ved at leverandøren indhenter erklæringer en gang årligt Men kontrakten skal give kunden ret til at sende egne eksperter ind på datacentre Krav om pligt for leverandøren til at stille alle relevante oplysninger til rådighed for kunden, sådan at kunden kan overholde sine forpligtelser Pligt for leverandøren til at samarbejde med tilsynsmyndighederne Gælder tilsvarende for underleverandører! 24 17. september 2015
18 Andre myndighedskrav Anmeldelse af databehandler, hvis man har en tilladelse fra Datatilsynet Må data forlade Danmark? Krigsreglen for offentlige dataansvarlige Særregler for private, f.eks. om opbevaring af regnskabsoplysninger Kan leverandøren slette data, hvis kunden beder om det? Lyder simpelt, men det er det ikke! 25 17. september 2015
19 Er der tale om en koncern? Pas på, hvis der er tale om brug af cloud, initieret af et moderselskab, men reelt på vegne af hele koncernen, som kan bruge tjenesten Tendens til at glemme, at danske og udenlandske datterselskaber kan være underlagt andre krav end dem, som gælder for moderselskabet Tilbage til punkt 2, 5 og 7, denne gang for hvert enkelt selskab Husk interne aftaler (Intra-Group Agreement) Tilbage til punkt 1 26 17. september 2015
20 Det sidste gode råd er derfor Tal med din advokat Cloud er nemt af mange grunde men de samme grunde gør det juridisk og teknisk meget mere komplekst end jeres egen server i kælderen 27 17. september 2015
Persondataretligt Forum Et netværk for personer med særlig interesse inden for databeskyttelse/ datasikkerhed mv. Aktuelle og generelle seminarer udbydes løbende 6 årlige nyhedsbreve om alt hvad der rører sig inden for persondatabeskyttelse De fleste arrangementer er gratis Læs mere og meld dig ind på www.plesner.com/pdforum 28 17. september 2015
Vores team Michael Hopp Advokat, partner Persondata IP-ret Legal Risk Management It og telekommunikation Media, entertainment og sportsret T: +45 36 94 13 06 M: +45 29 99 30 14 mho@plesner.com Niels Chr. Ellegaard Advokat, partner Corporate/Commercial Dispute Resolution Energiret Financial services It og telekommunikation Offentlig sektor Outsourcing Selskabsret T: +45 36 94 12 68 M: +45 29 99 30 71 nce@plesner.com Henrik Bechgaard Advokat It og telekommunikation Corporate/Commercial Automotive Energiret Selskabsret T: +45 36 94 12 47 M: +45 30 93XXX hbd@plesner.com Christian Wiese Svanberg Advokat Persondata It og telekommunikation Offentlig sektor T: +45 36 94 11 96 M: +45 30 93 71 10 cws@plesner.com 29 17. september 2015
Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.