Qbranch genomför just nu en seminarieturné om juridiken och säkerheten för molntjänster. Med oss har vi experter från Advokatfirman Lindahl, Microsoft och Qbranch. Nedan kan du ta del av experttalarnas tankar om företag och organisationers största utmaningar kring juridik- och säkerhet i molnet samt viktiga saker att tänka på när det kommer till att lägga IT-tjänster i molnet.
David Frydlinger, Jurist, Advokatfirman Lindahl
1. Vad ser du är de största utmaningarna kring juridiken- och säkerheten i molnet?
En av de saker som lockar med molntjänster är enkelheten. Det ofta enkelt att komma igång, att avsluta, enkelt att förstå vad man betalar för osv. Eftersom det finns mycket begränsat utrymme att förhandla molntjänstavtalet så kan detta också upplevas som enkelt. Det ligger dock en fara i denna upplevda enkelhet. Inte sällan innebär användande av molntjänster att kontroll över viktig data och information lämnas över till molntjänstleverantören. Tillgängligheten till denna data, säkerhetsnivån med vilken den skyddas, möjligheten att få tillbaks den vid avtalets slut och andra liknande frågor kan ha stor betydelse för företagets förmåga att bedriva sin verksamhet. De största utmaningarna ligger därför i allmänhet inte i juridik- och säkerhetsfrågan som sådan, eftersom de flesta har möjlighet att på ett eller annat sätt använda molntjänster inom lagens ramar. Den största utmaningen ligger i att göra en gedigen due diligence av molntjänsten, molntjänstleverantören och de så kritiska avtalsvillkoren och ställa tuffa frågor för att utröna om den aktuella tjänsten uppfyller de egna kraven.
2. Vilka tre saker om molntjänster tycker du deltagarna ska ta med sig ifrån vårt seminarium?
Gör en noggrann analys inför valet mellan egenproducerad IT, outsourcad IT eller IT genom molntjänst avseende ditt företags data, applikationer m.m.
Gör en noggrann due diligence avseende tjänst, leverantör och avtal innan beslut om användande av en molntjänst fattas.
Om personuppgifter ska behandlas genom molntjänsten, se då till att genomföra den risk- och sårbarhetsanalys som Datainspektionen kräver samt att personppgiftsbiträdesavtalet uppfyller kraven enligt personuppgiftslagen.
Magnus Wästfjärd, Risk Manager, Qbranch
1. Vad ser du är de största utmaningarna kring juridiken- och säkerheten i molnet?
För mig är vi förbi ”ja” eller ”nej” till molnet, utan att hitta fungerande helhet, lex ingen kedja är starkare än varje länk. Här finns inga patentlösningar. Utan helheten bygger på fundamenta så som en tydlig vision/mål, ett bra avtal med en eller flera seriösa leverantörer samt avslutningsvis samverkan mellan parterna över tiden. Vi lever ju i en föränderlig värld som bra går fortare. Dialog och ständiga förbättringar blir aldrig omodernt.
2. Vilka tre saker tycker du deltagarna ska ta med sig ifrån vårt seminarium?
1. Tiden och lösningarna är mogen och här för att stanna.
Därmed inte sagt att alla alternativ är lika bra, eller att allt lämpar sig för molnet. Jag rekommenderar alltid att börja hemma, dvs hitta drivkrafterna och identifiera vilken typ av tjänst el. information som lämpar sig bäst. Med detta kristallklart blir arbetet med val av leverantörer betydligt enklare. Tyvärr är det ännu svårt att jämföra alternativen och på förhand beräkna alla kostnader. Här kan det vara klokt att ta hjälp av experter och rådgivare för att säkra att ”business caset” håller.
2. Börja smått och med det enkla.
I press och frågor till oss som hybrid-leverantör kommer många frågor om integritet och framför allt PuL. Mycket relevanta frågor, men sannolikt inte för allt som potentiellt kan/bör ligga i en molntjänst. Valet kanske främst handlar om ”vad som inte skall ligga i molnet” i första hand. Utifrån detta kan man sedan titta på ex volymer av data som är relativt statiskt. Här kan moln-tjänster ge nya förutsättningar att designa lösningar och sänka kostnader. Vidare finns det nu också mycket goda förutsättningar för att disaster recovery alternativ utan skyhöga kostnader.
3. Utbilda dig och din organisation.
Utvecklingen fortsätter att gå rasande fort. Att bara hålla sig up-to-date kräver sin insats. Om man har gjort första valen enl punkt ett ovan, så är bördan mindre. Men vad som är mest intressant med dagens moln-tjänster är inte bara att hitta billigare, snabbare alternativ till gamla lösningar, utan möjligheten att designa helt nytt, speciellt om man tänker hybrid.
Utöver kunskap i tekniken behöver du och din organisation fortsatt hålla sig ajour med den legala utvecklingen. Ramarna är satta, men det finns mycket kvar som behöver och kommer att sättas.
Avslutningsvis behöver det interna arbete med löpande risk- och sårbarhetsanalyserna fortsätta. Information är levande och förändling, behovet skydd växlar och alla lösningar har ett bäst-före-datum.