Cloud med omtanke! 10 gode råd

Relaterede dokumenter
Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret

Cloud tjekliste. - din sikre vej ud i skyen. En samling operationelle tjeklister, der tager højde for, at dit it-arbejde foregår i en ny verden:

Kontrakt om IT-infrastruktur-services 2017

Persondataretligt Forum

Hvordan kommer mit selskab i gang med arbejdet vedr. persondata. Dansk Fjernvarme

Cloud Computing De juridiske aspekter

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

3 Omfattede typer af personoplysninger og kategorier af registrerede

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DATABEHANDLERAFTALE [LEVERANDØR]

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

Cloud Computing kontrakter. Vejledning om juridiske, kommercielle og tekniske forhold i aftaler om Cloud Computing

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

Persondata Loyalitetsprogrammer. V/Advokat Michael Hopp

! Databehandleraftale

Denne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig.

Databeskyttelsespolitik for Code of Care

Behandling af personoplysninger

Kontraktbilag 3. Databehandleraftale

Databehandlingsaftale

Persondataretlige aspekter ved cloud computing

Databehandleraftale e-studio.dk Side 1 af 6

Sletteregler. v/rami Chr. Sørensen

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Lever din myndighed op til persondatalovens krav?

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

BILAG 14: DATABEHANDLERAFTALE

1 Afgørelse fra Datatilsynet vedrørende sletning af profil og indlæg på et debatforum

Sikkerhed i cloud computing

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

PRIVATLIVSPOLITIK BRYD TAVSHEDEN. Denne privatlivspolitik forklarer, hvordan Bryd Tavsheden (''vi'' eller ''os'') behandler dine personoplysninger.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Per Løkken, Partner. CAMPUS November 2018

Persondatapolitik for

Databeskyttelsesdagen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

PERSONDATAREGLERNE I STORE TRÆK

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

PARSEPORT DATABEHANDLERAFTALE

Persondatapolitik for. Toftlund Fjernvarme A.m.b.a. Toftlund Fjernvarme A.m.b.a

Vejledning og tjekliste til indgåelse af databehandleraftaler

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Cloud Computing kontrakter. Vejledning om juridiske, kommercielle og tekniske forhold i aftaler om Cloud Computing

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATAPOLITIK (EKSTERN)

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

KERTEMINDE FORSYNING - VARME A/S Kohaven Kerteminde CVR-nr Kundeservice:

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

Privatlivspolitik Nuværende og tidligere kunder hos VandCenter Syd as

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

DATABEHANDLERAFTALE. indgået mellem. [Kunde] (den Dataansvarlige ) Sandgrav Solutions ApS CVR: Granbakken 53.

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Privatlivspolitik for Falck Healthcare A/S

Procedure for tilsyn af databehandleraftale

Persondataerklæring for servicebooker.dk:

Databehandler aftale Bilag til Aftale om MemberLink

Indhold: 1 Multimediebeskatning. 2 Invitation til Plesner-seminar om multimediebeskatning - Lovændringer og praktiske konsekvenser af de nye regler

DENNE INFORMATION ER TIL KUNDER. Behandling af personoplysninger hos Sct. Jørgensbjerg Dyreklinik. 1. Indledende bemærkninger

Behandling af personoplysninger hos Ringsted Dyreklinik, Vestervej 36, 4100 Ringsted

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Kontaktoplysninger LiebhaverSkovfogeden er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.

Personoplysninger. Jens Hørlück

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Denne privatlivspolitik beskriver hvordan Vatech 2000 (herefter vi, vores eller os ) behandler personoplysninger om dig.

personoplysninger er: Galerie Mikael Andersen 1260 København K CVR: personoplysninger?

Personoplysninger om kunder og forretningsforbindelser

Nuværende og tidligere kunder hos Vand og Affald i Svendborg.

Alle er til enhver tid velkommen til at rette henvendelse til vores kontaktperson omkring behandling af egne personoplysninger.

Databehandleraftale (v.1.1)

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om nuværende og tidligere kunder samt mulige kommende kunder.

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER

Persondatapolitik for Metropark ApS

Hillerød Spildevand A/S

(Fremtidens) Regulering af cloud computing

Behandling af personoplysninger hos Popermo Forsikring G/S

[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.

Generel Databehandleraftale for administrationer under Naver Ejendomsadministration ApS

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Kontraktbilag 8. It-sikkerhed og compliance

Rammeaftalebilag 5 - Databehandleraftale

Transkript:

Cloud med omtanke! 10 gode råd

Oversigt Cloud med omtanke har mange vinkler Risiko 360 - og afdækning i aftalen Særlig fokus på persondataretlige krav 2 17. september 2015

Agenda - Risikoafdækning 1 Vejledningen om Cloud Computing Kontrakter 2 Indledende selvevaluering af behov og risici 3 Cloudkontrakten som omdrejningspunkt 4 Vurdering af cloudkontrakten i et risikoperspektiv 5 Implementeringsrisikoen 6 Produktrisikoen 7 Leverancerisikoen 8 Compliancerisikoen 12 Skriftlig aftale 13 Er der styr på compliance og sikkerhed 14 Cloud er dødt 15 Er der ret til at bruge underleverandører? 16 Forlader dine data EU/EØS? 17 Opfølgning 18 Andre myndighedskrav 19 Er der tale om en koncern 20 Det sidste gode råd 9 Modpartsrisikoen 10 Exit-risikoen 11 Kontraktscoring 3 17. september 2015

1 Vejledningen om cloudkontrakter Danske IT-advokater og Dansk IT har udgivet vejledning om Cloud Computing kontrakter i september 2014 Formålet med vejledningen er at give Kunden en forholdsvis let og overskuelig vejledning i forhold til de spørgsmål, der bør stilles, og overvejelser, der bør gøres, før Kunden går ind i en løsning baseret på cloud computing ("Cloudløsningen") Det særlige ved cloud computing er, at juridiske, kommercielle og tekniske forhold vanskeligt kan skilles ad Om en konkret Cloudløsning er det rette valg for Kunden, afhænger derfor ikke blot af en teknisk vurdering af Cloudløsningen, men også af juridiske, finansielle og strategiske overvejelser 4 17. september 2015

2 Indledende selvevaluering af behov og risici For at Kunden kan forholde sig til det samlede billede af fordele og ulemper ved anvendelse af en Cloudløsning, bør Kunden i forhold til den Cloudløsning, som Kunden overvejer at tage i anvendelse, som minimum stille spørgsmål vedrørende: Formål Understøttelse af forretningen Krav til serviceniveau IT-arkitektur og integration Økonomisk kalkule Sikkerhed og compliance Exit Det afgørende er, at Kunden i sin tilgang får stillet de rigtige spørgsmål i rette tid, således at det undgås, at der enten ikke investeres unødig tid og ressourcer i undersøgelse af en Cloudløsning, som alligevel ikke vil opfylde Kundens behov 5 17. september 2015

3 Cloudkontrakten som omdrejningspunkt Det første, man bør undersøge, er, om Kontrakten kan gøres til genstand for forhandling, eller om Kunden er nødt til at tage Kontrakten, som den er Hvis Kontrakten ikke kan forhandles, må Kunden vurdere, om det tilbudte produkt udover at leve op til Kundens tekniske krav også lever op til de krav, som Kunden har stillet i forhold til risici, og til de juridiske krav til Kontraktens indhold En sådan vurdering kan enten føre til, at Kunden skal afstå fra at indgå Kontrakten, fordi risikoen er for stor/manglende compliance, eller at risikoen er håndterbar sammenholdt med investeringens størrelse og betydningen af de involverede data 6 17. september 2015

4 Vurdering af cloudkontrakten i et risikoperspektiv En måde at forholde sig til om en cloudkontrakt bør indgås er at vurdere den i et risikoperspektiv Generelt vil vurdering af følgende seks risici være de centrale: 1. Implementeringsrisikoen 2. Produktrisikoen 3. Leverancerisikoen 4. Compliancerisikoen 5. Modpartsrisikoen 6. Exit-risikoen 7 17. september 2015

5 Implementeringsrisikoen De fleste Kunder (om ikke alle) er opmærksomme på, at traditionelle IT-løsninger skal implementeres for at kunne anvendes i virksomheden. Det samme gælder Cloudløsninger. Understøtter Cloudløsningen de processer, som Kunden ønsker løst? Kan et "gap" håndteres? Hvordan sikres integrationer? Hvordan håndteres ansvarsfordelingen ved implementering (implementeringsrisikoen)? Kan Kunden komme ud af cloudkontrakten, hvis implementeringen mislykkes (udtrædelsesret)? 8 17. september 2015

6 Produktrisikoen Hvad er produktet, hvordan udvikles det, og forbliver produktet det samme? Er produktets funktionalitet "baselined" i cloudkontrakten? Hvad er med, og hvad er tilkøb? Nyudvikling; Er det et selvstændigt modul eller udvidelse af den bestående løsning? Roadmap; Er det tilgængeligt, ligger det fast, hvem bestemmer? Kundens deltagelse i Leverandørens udviklingsfora Fortrolighed og "competitive edge" 9 17. september 2015

6 Produktrisikoen Ændringer: Da det, som Kunden typisk køber, er adgangen til en standardløsning, er spørgsmålet om ændringer væsentligt. Grundlæggende kan spørgsmålet deles op i to: 1. I hvilket omfang kan jeg som Kunde kræve ændringer, og 2. i hvilket omfang skal jeg som Kunde tåle ændringer Mange Kontrakter med Leverandører er meget åbne på dette punkt, og giver Leverandøren adgang til at foretage ændringer med kort varsel eller af og til uden varsel. Kunden bør derfor nøje overveje, i hvilket omfang ændringer i Cloudløsningen vil kunne få indflydelse på andre af Kundens applikationer og systemer, og om selve Cloudløsningen er så vigtig for Kunden, at Kunden ligefrem skal kunne modsætte sig ændringer i Cloudløsningen 10 17. september 2015

7 Leverancerisikoen Garantier Servicemål/SLA Servicemål opstiller et mål ("target") for ydelsen Servicemål skal være operationelle (hvad måles og hvordan måles der?) Er SLA til forhandling? Ofte er det ikke muligt (og ej heller ønskeligt at ændre på servicemål og målemetoder), men.. Konsekvenserne af manglende overholdelse kan i et vist omfang godt adresseres individuelt Priser og fiksering af disse er et centralt emne, som også bør tænkes ind 11 17. september 2015

7 Leverancerisikoen Undersøg nøje hvilke servicemål (om nogen) der garanteres for Cloudløsningen i forhold til oppetid, tilgængelighed og svartid, og hvordan performance defineres og måles Bed om oplysninger om Leverandørens historiske performance Hvis de juridiske konsekvenser er begrænsede og/eller ikke kan forhandles, må Kunden forlade sig på Leverandørens historik, afprøve Cloudløsningen indtil Kunden føler sig tilstrækkelig komfortabel med den og i øvrigt sikre sig, at en exit kan foretages sikkert, hurtigt og effektivt uden væsentlige omkostninger 12 17. september 2015

7 Leverancerisikoen Ofte forekommende problemstillinger Kunden kan ikke kontrollere om serviceniveau er overholdt (manglende rapportering) Strid om hvorvidt manglende opfyldelse skyldes kundens, leverandørens eller tredjemands forhold SLA'er er (objektivt set) opfyldt, men kunden er utilfreds SLA'er er ikke opfyldt, men kunden er utilfreds med godtgørelse/afhjælpning 13 17. september 2015

8 Compliancerisikoen Hvordan sikres det at Cloudløsningen og Kundens brug af den overholder lovgivningen? Typisk vil der være dels særlovgivnng (sektorspecifik) og dels generel lovgivning, som Kunden skal forholde sig til Persondatalovgivningen er ofte central og udstikker rammerne for det sikkerhedsniveau, der skal eller bør lægges 14 17. september 2015

9 Modpartsrisikoen Hvordan er Kunden stillet, hvis Leverandøren går konkurs eller adgangen til Cloudløsningen på anden vis ophører? Er Leverandøren afhængig af underleverandører? Back up og adgang til data "Escrow" af Cloudløsninger; Hvordan, hvornår og af hvem? "Escape pod" et eksempel på en løsning 15 17. september 2015

10 Exit-risikoen Lock in (låsningseffekter) (teknologi og konkurrencebilledet) Har leverandøren eksempler på vellykkede exits? Hvordan og hvor hurtigt vil det kunne ske (proces og plan)? Ret til forlængelse og levering af ydelser indtil overdragelse/insourcing? Krav om leverandørens medvirken ved ophør Behandling af data efter Kontrakten er udløbet 16 17. september 2015

11 Kontraktscoring Kontraktscoring (1-5 med 1 som det laveste og 5 som det højeste) Risici Leverandør 1 Leverandør 2 1. Implementeringsriskoen 2. Produktrisikoen 3. Leverancerisikoen 4. Compliancerisikoen 5. Modpartsrisikoen 6. Exit-risikoen 17 17. september 2015

Persondataret i skyen

12 Skriftlig aftale Der er krav om indgåelse af en skriftlig aftale ved brug af cloudleverandører Skal indeholde en række bestemmelser, bl.a. vedrørende Hvad må datacentret bruges data til Hvor længe gælder aftalen Overholdelse af compliancekrav og sikkerhedskrav Opfølgning og auditering Underleverandører Og meget mere. Husk at læse den, inden du indgår en cloudaftale! 19 17. september 2015

13 Er der styr på compliance og sikkerhed? Man kan ikke vurdere, om man kan/må bruge en databehandler, uden at kende sine egne risici og dermed kravene til sit eget sikkerhedsniveau Derfor: Er der styr på din egen forretning? Start med at se på din egen risikovurdering: Complianceprogram: F.eks. oplysningspligt, behandlingsgrundlag, indsigtsret og slettefrister Sikkerhedsprogram: Ekstern sikkerhed, intern sikkerhed (f.eks. rollestyring) Særlige vilkår stillet af Datatilsynet i en tilladelse, eller af andre myndigheder! Der er pligt til at foretage en vurdering af compliance og sikkerhed ved brug af cloud, INDEN man begynder at bruge tjenesten Benchmark mod dit eget program/niveau! Adgang til de nødvendige oplysninger? Pligt til at overholde danske krav, selv om man bruger en databehandler uden for Danmark I øvrigt også pligt for databehandleren til at overholde sikkerhedskrav i sit hjemland 20 17. september 2015

14 Cloud er dødt Også kendt som: Hvor er mine data? Krav om, at kunden har mulighed for at kende den præcise beliggenhed af datacentre inden aftaleindgåelse og hvordan kan kunden gennemføre en risikovurdering uden at have disse oplysninger? Ok med en dynamisk kontrakt, hvor kunden får oplyst beliggenhed for datacentre ved aftaleindgåelsen, sammen med en mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye datacentre (sammen med en mulighed for at udtræde af kontrakten) Et servicecenter er også et datacenter! Læseadgang svarer til opbevaring Krav om, at kunden altid har adgang til den præcise adresse for alle datacentre 21 17. september 2015

15 Er der ret til at bruge underleverandører? Krav om, at kunden ved- og godkender brugen af underleverandører (i det mindste, at det kan ske) Hvis generelt samtykke, som ikke kan tilbagekaldes, krav om mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye underleverandører (sammen med en mulighed for at udtræde af kontrakten) Underleverandøren skal leve op til alle de formelle krav. Krav om, at kunden har de påkrævede juridiske rettigheder også over for underleverandøren Kunden skal have ret til at modtage en kopi af den formelle del af aftalen mellem leverandør og underleverandør, sådan at kunden kan kontrollere ovenstående Pas på underleverandører uden for Danmark 22 17. september 2015

16 Forlader dine data EU/EØS? Overførsel til lande uden for EU/EØS (3L) kræver et særligt grundlag Både relevant for datacentre og servicecentre Kun få sikre 3L Safe Harbor (lidt endnu?) Binding Corporate Rules for processors Model Clause contracts (pas på, hvem der bliver parter til aftalen) Må man redigere model clauses? Overvej om der er anmeldelsespligt til Datatilsynet 23 17. september 2015

17 Opfølgning Krav om, at kunden løbende følger op på aftalen, både ift compliance og sikkerhed Husk, hvad benchmark var! Hvis det ændrer sig og det bør det gøre - så ændrer kravene til leverandøren sig også I praksis ved at leverandøren indhenter erklæringer en gang årligt Men kontrakten skal give kunden ret til at sende egne eksperter ind på datacentre Krav om pligt for leverandøren til at stille alle relevante oplysninger til rådighed for kunden, sådan at kunden kan overholde sine forpligtelser Pligt for leverandøren til at samarbejde med tilsynsmyndighederne Gælder tilsvarende for underleverandører! 24 17. september 2015

18 Andre myndighedskrav Anmeldelse af databehandler, hvis man har en tilladelse fra Datatilsynet Må data forlade Danmark? Krigsreglen for offentlige dataansvarlige Særregler for private, f.eks. om opbevaring af regnskabsoplysninger Kan leverandøren slette data, hvis kunden beder om det? Lyder simpelt, men det er det ikke! 25 17. september 2015

19 Er der tale om en koncern? Pas på, hvis der er tale om brug af cloud, initieret af et moderselskab, men reelt på vegne af hele koncernen, som kan bruge tjenesten Tendens til at glemme, at danske og udenlandske datterselskaber kan være underlagt andre krav end dem, som gælder for moderselskabet Tilbage til punkt 2, 5 og 7, denne gang for hvert enkelt selskab Husk interne aftaler (Intra-Group Agreement) Tilbage til punkt 1 26 17. september 2015

20 Det sidste gode råd er derfor Tal med din advokat Cloud er nemt af mange grunde men de samme grunde gør det juridisk og teknisk meget mere komplekst end jeres egen server i kælderen 27 17. september 2015

Persondataretligt Forum Et netværk for personer med særlig interesse inden for databeskyttelse/ datasikkerhed mv. Aktuelle og generelle seminarer udbydes løbende 6 årlige nyhedsbreve om alt hvad der rører sig inden for persondatabeskyttelse De fleste arrangementer er gratis Læs mere og meld dig ind på www.plesner.com/pdforum 28 17. september 2015

Vores team Michael Hopp Advokat, partner Persondata IP-ret Legal Risk Management It og telekommunikation Media, entertainment og sportsret T: +45 36 94 13 06 M: +45 29 99 30 14 mho@plesner.com Niels Chr. Ellegaard Advokat, partner Corporate/Commercial Dispute Resolution Energiret Financial services It og telekommunikation Offentlig sektor Outsourcing Selskabsret T: +45 36 94 12 68 M: +45 29 99 30 71 nce@plesner.com Henrik Bechgaard Advokat It og telekommunikation Corporate/Commercial Automotive Energiret Selskabsret T: +45 36 94 12 47 M: +45 30 93XXX hbd@plesner.com Christian Wiese Svanberg Advokat Persondata It og telekommunikation Offentlig sektor T: +45 36 94 11 96 M: +45 30 93 71 10 cws@plesner.com 29 17. september 2015

Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback