Nettskyen er en noe upresis betegnelse for alt fra dataprosessering og datalagring, til programvare på servere som står i eksterne serverparker tilknyttet den lokale bruker gjennom internett. Vanlige tjenester i nettskyen kategoriseres under følgende hovedkategorier: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS).

Felles for dem alle er at de kan innebære smarte og rimeligere løsninger for å dekke en bedrifts IT-behov. Man skal imidlertid være klar over at nettskyen åpner for en rekke tekniske og juridiske utfordringer. Vi skal i denne artikkelen se kort på noen av de juridiske problemstillinger du bør være klar over, dersom du vurderer å dekke hele eller deler av bedriftens IT-behov gjennom skytjenester.

Personvern

I utgangspunktet lagrer alle virksomheter personopplysninger - det være seg om ansatte, kunder, eller andre. Reglene om personopplysninger forutsetter at personopplysningene er sikret på en betryggende måte, og setter i tillegg en rekke krav til hvordan opplysningene skal behandles. Loven inneholder blant annet strenge regler for hvordan man skal håndtere overføring av personopplysninger til utlandet, og man risikerer gebyr og bøter dersom reglene ikke følges.

En nettskyløsning kan by på utfordringer når det gjelder å etterleve lovens krav til håndtering av personopplysninger. Dette fordi mye av prinsippet i en skyløsning er at dataene skal kunne flyttes om det er teknisk og økonomisk nødvendig. Slik flytting skjer ikke nødvendigvis bare innenfor ett land, men også over landegrenser.

Det kan derfor være vel verdt å undersøke hvor skyleverandøren, og dennes eventuelle underleverandører, tilbyr å lagre dine data. Ulike tilbydere av skyløsninger har for eksempel begynt å tilby territorielt begrensede nettskyer – for eksempel innenfor Norge eller EU. EU har tilsvarende personvernlovgivning som Norge, og personopplysningene vil derfor presumptivt være beskyttet godt nok i en EU-stat.

Mange leverandører av skytjenester benytter servere i USA eller Asia. Lovgivningen der er annerledes enn i Norge og EU – noe som særlig er blitt aktualisert gjennom den senere tids avsløringer om at myndighetene i USA, gjennom antiterrorlovgivningen, har fått tilgang til dataservere med personinformasjon uten rettslige kjennelser siden 2001. Selv innføringen av det omstridte datalagringsdirektivet vil ikke kunne medføre de samme vidtgående fullmakter som amerikanerne har.

I alle tilfeller skal man være klar over at man må benytte særskilte mekanismer for å kunne overføre data til USA og andre stater utenfor EU på lovlig vis. Det krever dermed en del undersøkelser om man vurderer en slik overføring av personopplysninger.

Kontraktsrettslige utfordringer

En avtale med en nettskyleverandør vil på vanlig måte regulere rettigheter og plikter partene i mellom. Her er det særdeles viktig å ha et reflektert forhold til kontraktens innhold. Du bør ikke ukritisk akseptere leverandørens standardbetingelser.

Kontraktsrettslige spørsmål du bør undersøke omfatter blant annet: Hvilke oppetidsgarantier får du fra leverandøren, om noen? Hva skjer hvis oppetidsgarantiene brytes? Hva skjer dersom du taper data som følge av feil på leverandørens side? Vil du kunne kreve erstatning eller andre beføyelser som følge av dette? I det hele tatt; hvordan defineres ”tap av data” i kontrakten?

Andre praktiske spørsmål å undersøke er: Hvor kan du henvende deg for brukerstøtte? Og til hvilke tidspunkter? Hva skjer med nettskyløsningene og det som er avtalt om datasikkerhet hvis tilbyderen blir kjøpt opp av et annet selskap? Eller enda verre; går konkurs? På hvilket grunnlag kan du si opp kontrakten? Og hvordan skal en avslutning av kontrakten håndteres (hvor raskt kan du kreve dine data tilbakelevert/overfør til en annen tilbyder)? Har du mulighet til å kontrollere leverandøren for å se om han faktisk etterlever kontraktens ordlyd?

To spørsmål det er særdeles viktig å kontrollere, er hvilket lands rett som ligger til grunn for kontraktsforståelsen, og om det kan det tas ut søksmål i Norge for å håndheve dine rettigheter etter kontrakten. Din rettighetsposisjon vil raskt kunne være juridisk og rent praktisk svært annerledes enn du trodde om det kreves at du må ta ut søksmål i Bangalore med basis i indisk for å kunne kreve din rett – selv om kontrakten ellers er aldri så god.

Spørsmålene og utfordringene er som vi ser mange, og flere enn de vi har nevnt her. 

Hovedpoenget er å ta seg god tid til å sette seg inn i kontrakten, og sørge for at det er en seriøs leverandør man handler med. Jo mer data du leverer ut, og jo mer virksomhetskritisk og sensitive dataene er, jo sikrere bør du være på at kontrakten hensyntar de største utfordringer ved bruk av nettskytjenester før du signerer. Selv om forhandlingsrommet skulle være begrenset, vil du i alle fall kunne vurdere om du er villig til å påta deg og virksomheten den risiko det vil innebære å sende virksomhetens data opp i skyene.

Konfidensialitet/datakriminalitet

Et tredje aspekt vi kort skal nevne, er utfordringene rundt konfidensialitet og datakriminalitet i nettskyen. Enhver bedrifts mareritt er at virksomhetskritisk data og dokumentasjon havner i gale hender. I en tid hvor datakriminalitet er et stadig økende fenomen, er problemstillingen dessverre mer aktuell enn det som er behagelig å tenke på.

Vår klare anbefaling er at du undersøker nærme hvilke konfidensialitetsklausuler kontrakten din inneholder, og hvordan leverandøren håndterer problematikken overfor sine ansatte. Du bør også sikre deg at færrest mulig har tilgang til dine data, både fysisk og virtuelt. Du bør også kreve å få vite hvilke sikringstiltak leverandøren har mot datainnbrudd.

Oppsummering

Nettskyen er kommet for å bli, og den har mange positive aspekter. Man skal imidlertid være obs på hvilken aktør man inngår kontrakt med, og ikke minst hvilket lands jurisdiksjon disse er underlagt. Som vi har sett, er det særlig det internasjonale aspektet ved nettskyen som skaper mange problemer. Man bør få klarhet i hvor dataene rent fysisk befinner seg, og man bør være ekstremt varsom med å sende virksomhetskritisk data opp i skyen – og aller helst, om mulig, ikke gjøre det. Pass i alle tilfeller på at kontrakten er tilpasset dine behov og ditt behov for sikkerhet omkring dine data.


Tekst: Torstein Arendt og Stian Oddbjørnsen (Kluge Advokatfirma)

Her kan du som entreprenør sende inn spørsmål til advokatfirmaet Kluge og få tips om hvordan du kan løse dine spørsmål på en best mulig måte: http://www.ledernytt.no/advokatspalten-for-entreprenoerer.4838689-173032.html


Les også: Hvordan spore kunder på nett utover bare Google Analytics?