Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.

2,199 views

Published on

Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA. Nettskyen er per definisjon grenseløs, men det er som kjent ikke jussen. Arve Føyen vil snakke litt om noen rammebetingelser som må tas hensyn til ved bruk av tjenester i nettskyen.

Published in: Technology
 • Be the first to comment

 • Be the first to like this

Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.

 1. 1. Nasjonale grenser i Nettskyen? Advokat Arve Føyen FØYEN Advokatfirma DA
 2. 2. Hva er ASP og hva er SaaS ( juridisk )? <ul><li>Fellestrekk: </li></ul><ul><ul><li>Leveranse av en tjeneste </li></ul></ul><ul><ul><li>Programvaren befinner seg hos leverandøren </li></ul></ul><ul><ul><li>Tjenesten omfatter disponering av program som leverandøren har lisens til </li></ul></ul><ul><li>ASP – Application Service Provider </li></ul><ul><ul><li>ASP er levering av tjenester fra et ”datasenter” eiet eller operert av leverandøren mer vekt på ”driftstjenester” </li></ul></ul><ul><ul><li>Mer fokus på drift av applikasjonen enn på innsikt i selve forretningsprosessene mv </li></ul></ul><ul><li>SAAS – Software as a Service omfatter i tillegg </li></ul><ul><ul><li>shared services og derved betydelig reduksjon i kostnader </li></ul></ul><ul><ul><li>mer vekt på genuin kunnskap om tjenestene </li></ul></ul>
 3. 3. ASP/SaaS vs kjøp av programvare <ul><li>Kjøp – kjøp av ”lisens”, ”bruksrett” eller ”disposisjonsrett” (dvs. lisensiering) </li></ul><ul><ul><li>Kunden får disposisjonsrett til selv å ha ett eller flere eksemplar av programmet </li></ul></ul><ul><li>ASP – SaaS </li></ul><ul><ul><li>Leverandøren har lisens til programvare og lisensen omfatter rett til å drive henholdsvis ASP eller SaaS-virksomhet ved hjelp av programvaren </li></ul></ul>
 4. 4. Leverandørens posisjon ASP/SaaS <ul><li>Bindeledd mellom kunde og programvareleverandør </li></ul><ul><ul><li>Ikke love kunden mer enn hva avtalen med programvareleverandøren tillater </li></ul></ul><ul><ul><li>Back-to-back mht. evt. bruksbegrensninger </li></ul></ul><ul><ul><li>Back-to-back mht. evt. krav fra kunden </li></ul></ul><ul><ul><li>Varighet og oppsigelse </li></ul></ul>
 5. 6. Ask Larry: What the hell is Cloud computing Includes everything that we already do ” Includes everything that we already do” ” complete gibberish” ” fashion driven” ” We’ll just change the wording on some of our ads”
 6. 7. Hva er Cloud computing <ul><li>Cloud Computing refererer til både </li></ul><ul><ul><li>Applikasjoner levert som tjenester over Internett </li></ul></ul><ul><ul><li>Tilgang til hardware og system software som tilgjengeliggjøres i datasentrene som leverer slike tjenester </li></ul></ul><ul><ul><li>Tjenestene i seg selv har lenge blitt referert til som Software as a Service (SaaS) </li></ul></ul><ul><ul><li>Datasenter hardware og software blir gjerne referert til som ”a Cloud” </li></ul></ul>
 7. 8. Cloud computing kan fremstå som noe helt nytt <ul><li>Men det betyr ikke at det foregår i lovtomt rom </li></ul><ul><li>Idéen er ikke ny (ASP på slutten av 90-tallet), deretter SaaS </li></ul><ul><ul><li>Nye måter å presentere på </li></ul></ul><ul><ul><li>Ny utbredelse i bruk </li></ul></ul><ul><ul><li>Nye kontraheringsmåter </li></ul></ul><ul><ul><li>Globale tjenester </li></ul></ul><ul><ul><ul><li>Både for bedrifter og forbrukere </li></ul></ul></ul><ul><ul><ul><li>Geografisk uavhengig </li></ul></ul></ul>
 8. 9. Cloud er ikke outsourcing <ul><li>Kontrakter av kortere varighet og uten binding: </li></ul><ul><ul><li>Timer, dager eller uker er gjerne tidshorisonten </li></ul></ul><ul><ul><li>Outsourcing er gjerne fler-årige kontrakter </li></ul></ul><ul><li>Kapasiteter og innhold etter behov: </li></ul><ul><ul><li>Cloud gir nær umiddelbar opp- og nedskaleringsmulighet for ressurser </li></ul></ul><ul><li>Cloud computing krever ikke noen up-front investeringer </li></ul><ul><ul><li>Kapitalkostnader absorberes i det løpende vederlaget </li></ul></ul><ul><li>I den egentlige form for Cloud computing vet ikke kunden hvor applikasjoner og data befinner seg til enhver tid </li></ul>
 9. 10. Sammenlikningen med kraftverk <ul><li>Kraftverk </li></ul><ul><li>Plugg i veggen forbinder deg til </li></ul><ul><ul><li>Infrastruktur (monopolist) </li></ul></ul><ul><ul><li>Selvvalgt kraftprodusent (konkurranse) </li></ul></ul><ul><li>Betal kraft og infrastrukturleie etter forbruk </li></ul><ul><li>Separat avtale med Kraftprodusent </li></ul><ul><li>Cloud </li></ul><ul><li>Plugg i veggen forbinder deg til </li></ul><ul><ul><li>Infrastruktur (konkurranse) </li></ul></ul><ul><ul><li>Selvvalgt leverandør av Cloud tjenester </li></ul></ul><ul><ul><li>Betal infrastruktur-leverandør separat </li></ul></ul><ul><ul><li>Betal applikasjonsbruk, lagring osv separat </li></ul></ul><ul><li>Forskjell: </li></ul><ul><li>Dine data overføres til, blir behandlet og lagret ett eller annet sted i nettskyen </li></ul>
 10. 11. Tjenestetyper <ul><li>Lagring som tjeneste </li></ul><ul><li>Databasehosting som tjeneste </li></ul><ul><li>Informasjon som tjeneste </li></ul><ul><li>Prosessering som tjeneste </li></ul><ul><li>Applikasjon som tjeneste </li></ul><ul><li>Plattform som tjeneste </li></ul><ul><li>Integrasjon som tjeneste </li></ul><ul><li>Sikkerhet som tjeneste </li></ul><ul><li>Styring/ledelse som tjeneste </li></ul><ul><li>Testing som tjeneste </li></ul>
 11. 12. SPONSORER Juridiske hovedpunkter <ul><li>Avgrensning av CC </li></ul><ul><li>Regulatorisk juridiske problemstillinger </li></ul><ul><li>Kontraktsmessige problemstillinger </li></ul><ul><li>Problemstillinger for involverte parter </li></ul>
 12. 13. Avgrensning – hvem er deltakere Cloud leverandør Sluttbruker Leverandør av tjenester til sluttbrukere Avtale Avtale Ikke noe direkte avtaleforhold som kan kreves gjennomført
 13. 14. Regulatoriske problemstillinger - Datasikkerhetskrav <ul><li>Ansvar for datasikkerhet handler om juridiske problemstillinger </li></ul><ul><li>Implementering av datasikkerhet handler mest om teknologiske løsninger </li></ul><ul><li>Dataeier mister den fysiske kontrollen over data </li></ul><ul><ul><li>avhengig av utenforstående og overlater fysisk kontroll </li></ul></ul><ul><ul><li>Uavhengig av egne investeringer i utstyr og i lokaler mv for utstyr </li></ul></ul><ul><li>Data lagres i datasentre med strenge sikringstiltak og høy grad av redundans og driftssikkerhet </li></ul><ul><ul><li>Viktig med avtalemessig sikring av at implementeringen blir tilfredsstillende </li></ul></ul>
 14. 15. Regulatoriske problemstillinger - Personvern og Datasikkerhet <ul><li>Lovgivning stiller krav om oppbevaring og sikring og av data, f. eks </li></ul><ul><ul><li>Sikkerhetsloven </li></ul></ul><ul><ul><li>Personopplysningsloven, </li></ul></ul><ul><ul><li>Bokføringsloven (oppbevaring i Norge) </li></ul></ul><ul><ul><li>IKT-Forskriften (utkontraktering og dokumentasjon) </li></ul></ul><ul><ul><li>Personal opplysninger </li></ul></ul><ul><ul><li>Helsejournaler </li></ul></ul><ul><ul><li>Skatteopplysninger </li></ul></ul><ul><li>Lovgivningens krav til oppbevaring varierer og er kompliserte - fragmentariske </li></ul>
 15. 16. Regulatoriske problemstillinger f.eks: Personopplysningsloven <ul><ul><li>” Behandlingsansvarlig” og ”Databehandler” i Cloud </li></ul></ul><ul><ul><ul><li>Krav om databehandleravtale </li></ul></ul></ul><ul><ul><ul><li>Lovpålagt krav om sikring av data – må følges opp i avtale overfor Cloud leverandøren – Kan ikke fravikes i avtale </li></ul></ul></ul><ul><ul><ul><li>Hvor befinner data seg? </li></ul></ul></ul><ul><ul><ul><li>Overføring av data til utland </li></ul></ul></ul><ul><ul><li>Regler som gir tilgang til data er forskjellige </li></ul></ul><ul><ul><ul><li>FRA-loven i Sverige </li></ul></ul></ul><ul><ul><ul><li>US patriot Act og liknende lovgivning </li></ul></ul></ul><ul><ul><ul><li>Tilgang til elektroniske bevis i tvistesaker (straffesaker og sivile saker) </li></ul></ul></ul>
 16. 17. SPONSORER Noen kontraktsmessige problemstillinger <ul><li>Leveringsansvar og SLA </li></ul><ul><li>Priser og prisingsstruktur </li></ul><ul><li>Sikkerhet og kontroll med data </li></ul><ul><li>Personvern overholdelse av lovgivning </li></ul><ul><li>Lagring – Geografisk </li></ul><ul><li>Grensesnitt og integrasjon med spesialtilpassede systemer mv </li></ul><ul><li>Kontroll og oppfølging – Revisjonsadgang </li></ul><ul><li>Ansvar og ansvarsfraskrivelse </li></ul><ul><li>Lovvalg og jurisdiksjon </li></ul>
 17. 18. Leveringsansvar og SLA <ul><li>Leveransebeskrivelse (vesentlig mislighold av kontrakt) </li></ul><ul><ul><li>Spørsmål om hvordan leveransen er beskrevet og hvor stort avvik som faktisk leveres </li></ul></ul><ul><ul><li>Det gis få eller ingen ”garantier” for kvalitet – tjenestene leveres ”as is” </li></ul></ul><ul><ul><li>Oppetidskrav og skalerbarhet </li></ul></ul><ul><ul><li>Håndtering av oppgraderinger og kostnader ved dette </li></ul></ul><ul><ul><li>Behandlings- og svartider </li></ul></ul><ul><ul><li>Tjenestekontinuitet og flyttbarhet </li></ul></ul>
 18. 19. Priser og prisingsstruktur <ul><li>Er prisangivelsen transparent og slik at man kun betaler for reelt forbruk </li></ul><ul><ul><li>Faktisk lagring utnyttet </li></ul></ul><ul><ul><li>Applikasjoner etter forbruk </li></ul></ul><ul><ul><li>Prosesseringskapasitet etter forbruk </li></ul></ul><ul><ul><li>Oppgraderingskostnader mv </li></ul></ul><ul><ul><li>Oppstart og termineringsavgifter (flytteutgifter) </li></ul></ul><ul><li>Vil leverandøren ha rett til å foreta ensidige prisendringer </li></ul><ul><li>Avgifter – MVA problematikk </li></ul><ul><li>Valuta og valutarisiko </li></ul>
 19. 20. Sikkerhet og kontroll <ul><li>Stor spennvidde – individuelle behov </li></ul><ul><li>Forskjellige typer tjenester, tjenestenivå krav, data og sluttbrukere </li></ul><ul><li>Brukerne må vurdere risiko og stille opp sine kritiske krav før valg av tjeneste </li></ul><ul><li>Valg av tjeneste må gjøres ut fra </li></ul><ul><ul><li>Krav til beskyttelse av aktuelle data </li></ul></ul><ul><ul><li>Hva data og resultater skal benyttes til </li></ul></ul><ul><ul><li>Krav som gjelder oppbevaring og myndighetskontroll </li></ul></ul>
 20. 21. Sikkerhet og kontroll (forts) <ul><li>Fire prinsipp som er viktige for informerte valg: </li></ul><ul><ul><li>Krav til at Cloud leverandør sin arkitektur, infrastruktur og tilhørende sikkerhets kontroller tilfredsstiller anerkjente kriteria, f.eks ISO 27000 </li></ul></ul><ul><ul><li>Robuste tilgangskontroll og autentiseringsløsninger for tilgang til data og systemer </li></ul></ul><ul><ul><li>Tjenestene må være til å stole på over tid, (tilgjengelige og sikre) </li></ul></ul><ul><ul><li>Applikasjoner må på vanlig måte testes grundig før de settes i operativ drift. </li></ul></ul>
 21. 22. Interoperabilitet og flyttbarhet <ul><li>Integrasjon med løsninger som forvaltes og driftes internt </li></ul><ul><li>Grensesnitt for dataflyt til andre løsninger </li></ul><ul><li>Datastrukturer og overførbarhet til andre leverandører (tiltak mot ”innelåsing”) </li></ul><ul><li>Sikkerhet for eiendomsrett til data og datastrukturer </li></ul>
 22. 23. Personvern - overholdelse av lovgivning <ul><li>Avtalen må plassere ansvaret for overholdelse av Personvernlovgivningen riktig </li></ul><ul><li>Det må avtales bruksbegrensninger i avtalen i forhold til krav i lovgivningen - ”databehandleravtale” </li></ul><ul><ul><li>Formål – ikke-bruk av Cloudleverandør </li></ul></ul><ul><ul><li>Geografisk plassering </li></ul></ul><ul><ul><li>Sikring og tilgangskontroll </li></ul></ul><ul><ul><li>Krav til retting, sletting og supplering mv. </li></ul></ul><ul><ul><li>Krav til innsyn fra datasubjekter </li></ul></ul>
 23. 24. Grensesnitt og integrasjon med spesialtilpassede systemer mv <ul><li>Grensesnitt og avtale om standardiserte APIer er viktig </li></ul><ul><li>Fokus i avtalen på </li></ul><ul><ul><li>forutsigbarhet mht grensesnitt, </li></ul></ul><ul><ul><li>varslingstider mv før innføring av endringer vedr Grensesnitt </li></ul></ul>
 24. 25. Kontroll og oppfølging – Revisjonsadgang <ul><li>Dataeier har en klar egeninteresse i å kunne etterprøve at data oppbevares og behandles i henhold til gjeldende krav </li></ul><ul><li>Lovgivningen stille mange krav til dataeier </li></ul><ul><ul><li>Må ha adgang til kontroll, revisjon og innsyn for å forsikre seg om at lovgivningens krav overholdes </li></ul></ul><ul><ul><li>Dataeier må i avtale med Cloud-leverandør sørge for å skaffe seg hjemmel for slik kontroll mv </li></ul></ul>
 25. 26. Mangelfulle kontrakter <ul><li>De vanligste standardkontraktene er utilfredsstillende mht ansvar for </li></ul><ul><ul><li>Kvaliteten på leveransene og kontinuitet og tilgjengelighet på leveransene over tid </li></ul></ul><ul><ul><li>Tilfredsstillende back-up og recovery fra alvorlige hendelser </li></ul></ul><ul><ul><li>Beskrivelse av exit og hvorledes Kunden enkelt skal kunne bytte leverandør av tjenester </li></ul></ul><ul><ul><li>Sikkerhet for lagrede data </li></ul></ul><ul><ul><li>Tilbakelevering av kundenes data ved avslutning av kontraktsforholdet </li></ul></ul><ul><ul><li>Benchmarking </li></ul></ul><ul><ul><li>Endringer i eierskap eller kontroll og styring av leverandøren </li></ul></ul><ul><ul><li>SLA og straffe/belønningssystemer </li></ul></ul><ul><li>Individuelle avtaler bør forhandles, der slike elementer er vektlagt etter behov. </li></ul>
 26. 27. Lovvalg og jurisdiksjon <ul><li>Når avtalen misligholdes </li></ul><ul><ul><li>Hvilket land sin lovgivning gjelder for tolkning og gjennomføring av avtalen </li></ul></ul><ul><ul><li>Hva slags domstol skal benyttes </li></ul></ul><ul><ul><ul><li>Ordinære domstoler eller voldgift </li></ul></ul></ul><ul><ul><li>Hvor (geografisk) skal sak føres </li></ul></ul><ul><li>Vil en dom fra vedkommende land kunne tvangsfullbyrdes der avtalemotparten holder til? </li></ul><ul><ul><li>Finnes avtale (mellom stater) om gjensidig anerkjennelse av dommer i sivile saker? </li></ul></ul><ul><ul><ul><li>Innen Eu/EEA (ikke Lichtenstein) – Luganokonvensjonen </li></ul></ul></ul><ul><ul><ul><li>Ikke med viktige og sentrale land forøvrig </li></ul></ul></ul>
 27. 28. SPONSORER Spørsmål?

×