ݺߣ

ݺߣShare a Scribd company logo

Juridik i molnet sigma setterwalls

Download as PPTX, PDF
Sigma IT Management
Sigma IT Management

Presentation av Göte Berntsson (Sigma) och Fredrik Roos (Setterwalls) vid inpirationsdagen "Att sätta affärer i rörelse" 2012-05-11

1 of 12
Downloaded 12 times
Juridik i molnet Göte Berntsson, Sigma Fredrik Roos, Setterwalls
Juridiska risker och orosmoln eller nya möjligheter…? Rättsliga hinder? PUL en stoppkloss Förlust av data Säkerhet Tillgänglighet? Exit? Förlorad kontroll Kan vi använda molntjänster? 2
Juridiska hinder för molntjänster? • Tro inte på generella hinder! – Gör en bedömning i varje fall – Problemen är i många fall möjliga att lösa • En bedömning av möjligheterna och riskerna måste göras i relation till – Den enskilda molntjänsten – Er verksamhet – Typen av data – Det enskilda avtalet (och eventuell möjlighet att ändra villkor) 3
Lagring av data – vilken lag? • Lag i det land där data lagras kan gälla – T.ex. USA: Patriot Act – Kan innebära behov av krav på var data får lagras • För svenska företag gäller även svensk lag för verksamheten – Personuppgiftslagen – Svenska lagen gäller svenska företag även om data lagras utomlands 4
Personuppgiftslagen (”PUL”) • Syfte att skydda personlig integritet, personliga uppgifter • Inget förbud i sig enligt PUL att använda sig av molntjänster – Men kraven kan i praktiken hindra användning av vissa tjänster, beroende på dess innehåll och villkor • Kunden har ansvaret för ”sina” uppgifter – ”Personuppgiftsansvarig” – Leverantören är ”personuppgiftsbiträde” 5
Rättsliga hinder? • Juridiska krav för att använda molntjänster – Personuppgiftslagen måste följas – Speciella krav för vissa företag eller myndigheter, t.ex. säkerhetskrav, sekretesskrav och börskrav • Mycket kan lösas genom rätt avtal – Problem: Standardiserade avtal – US ”take it or leave it” approach 6
Krav på personuppgiftsbiträdesavtal • PUL ställer krav på ett skriftligt avtal mellan a) Kunden (normalt ”personuppgiftsansvarige”) b) Alla bolag som hanterar uppgifter (”personuppgiftsbiträden”) • Avtalet ska ha visst innehåll, men kan vara en punkt i villkor • Datainspektionen har nu godkänt fullmakt – med rätt skrivning i avtal kan leverantören anlita underleverantör 7
Risk och sårbarhetsanalys enligt PUL • Gör en bedömning utifrån egna verksamhetskraven: – Möjligt att anlita molnleverantören utifrån egna verksamhetskrav? – Vilka säkerhetsnivåer är lämpliga? – Vilka åtgärder krävs för att använda molntjänst? • Överväg behov av åtgärder/krav på leverantör – Krav på autentisering, behörighetsstyrning och kontroll, rutiner för säkerhetskopiering, skydd mot obehörig åtkomst, etc. – Krav på loggar så att missbruk kan utredas – Gallring av uppgifter som inte behövs 8
Molnavtal • Molntjänst – En annan typ av leverans – En annan typ av avtal • Vilka krav har ni som kund? – Kunden bör - som vid alla avtal – överväga om avtalsvillkoren och leverantörens ansvar är tillräckligt för de egna kraven • Vilka risker är ni beredda att ta för aktuell data? • Ansvarsbegränsningar
Andra frågor • Granskning – möjlighet att göra audit – Krav enligt PuL • Rätt tillgång till rätt tjänst? – Antal användare – Rätt typ av tjänst • Rätt till data och vidareutvecklingar • Tillgänglighet – Ställ samma krav som vid traditionell IT-leverans 10
Smidig exit eller risk för inlåsning? • Planera för framtida byte av leverantör • Krav på att överlämna data? – Överlämnas i ”elektroniskt skick enligt kundens instruktioner” – Format? Tekniska hinder? • Assistans från leverantören • Krav på att radera eller anonymisera data 11
Sammanfattning • Ett stort problem är otydliga avtal – Genom rätt skrivningar kan många problem lösas • Väg fördelar med tjänst mot eventuella juridiska risker, jämför med dagens situation • Det finns få hinder för molntjänster i sig, men ibland måste kunden ställa krav som vissa leverantörer inte vill acceptera 12

More Related Content

Juridik i molnet sigma setterwalls

  • 1. Juridik i molnet Göte Berntsson, Sigma Fredrik Roos, Setterwalls
  • 2. Juridiska risker och orosmoln eller nya möjligheter…? Rättsliga hinder? PUL en stoppkloss Förlust av data Säkerhet Tillgänglighet? Exit? Förlorad kontroll Kan vi använda molntjänster? 2
  • 3. Juridiska hinder för molntjänster? • Tro inte på generella hinder! – Gör en bedömning i varje fall – Problemen är i många fall möjliga att lösa • En bedömning av möjligheterna och riskerna måste göras i relation till – Den enskilda molntjänsten – Er verksamhet – Typen av data – Det enskilda avtalet (och eventuell möjlighet att ändra villkor) 3
  • 4. Lagring av data – vilken lag? • Lag i det land där data lagras kan gälla – T.ex. USA: Patriot Act – Kan innebära behov av krav på var data får lagras • För svenska företag gäller även svensk lag för verksamheten – Personuppgiftslagen – Svenska lagen gäller svenska företag även om data lagras utomlands 4
  • 5. Personuppgiftslagen (”PUL”) • Syfte att skydda personlig integritet, personliga uppgifter • Inget förbud i sig enligt PUL att använda sig av molntjänster – Men kraven kan i praktiken hindra användning av vissa tjänster, beroende på dess innehåll och villkor • Kunden har ansvaret för ”sina” uppgifter – ”Personuppgiftsansvarig” – Leverantören är ”personuppgiftsbiträde” 5
  • 6. Rättsliga hinder? • Juridiska krav för att använda molntjänster – Personuppgiftslagen måste följas – Speciella krav för vissa företag eller myndigheter, t.ex. säkerhetskrav, sekretesskrav och börskrav • Mycket kan lösas genom rätt avtal – Problem: Standardiserade avtal – US ”take it or leave it” approach 6
  • 7. Krav på personuppgiftsbiträdesavtal • PUL ställer krav på ett skriftligt avtal mellan a) Kunden (normalt ”personuppgiftsansvarige”) b) Alla bolag som hanterar uppgifter (”personuppgiftsbiträden”) • Avtalet ska ha visst innehåll, men kan vara en punkt i villkor • Datainspektionen har nu godkänt fullmakt – med rätt skrivning i avtal kan leverantören anlita underleverantör 7
  • 8. Risk och sårbarhetsanalys enligt PUL • Gör en bedömning utifrån egna verksamhetskraven: – Möjligt att anlita molnleverantören utifrån egna verksamhetskrav? – Vilka säkerhetsnivåer är lämpliga? – Vilka åtgärder krävs för att använda molntjänst? • Överväg behov av åtgärder/krav på leverantör – Krav på autentisering, behörighetsstyrning och kontroll, rutiner för säkerhetskopiering, skydd mot obehörig åtkomst, etc. – Krav på loggar så att missbruk kan utredas – Gallring av uppgifter som inte behövs 8
  • 9. Molnavtal • Molntjänst – En annan typ av leverans – En annan typ av avtal • Vilka krav har ni som kund? – Kunden bör - som vid alla avtal – överväga om avtalsvillkoren och leverantörens ansvar är tillräckligt för de egna kraven • Vilka risker är ni beredda att ta för aktuell data? • Ansvarsbegränsningar
  • 10. Andra frågor • Granskning – möjlighet att göra audit – Krav enligt PuL • Rätt tillgång till rätt tjänst? – Antal användare – Rätt typ av tjänst • Rätt till data och vidareutvecklingar • Tillgänglighet – Ställ samma krav som vid traditionell IT-leverans 10
  • 11. Smidig exit eller risk för inlåsning? • Planera för framtida byte av leverantör • Krav på att överlämna data? – Överlämnas i ”elektroniskt skick enligt kundens instruktioner” – Format? Tekniska hinder? • Assistans från leverantören • Krav på att radera eller anonymisera data 11
  • 12. Sammanfattning • Ett stort problem är otydliga avtal – Genom rätt skrivningar kan många problem lösas • Väg fördelar med tjänst mot eventuella juridiska risker, jämför med dagens situation • Det finns få hinder för molntjänster i sig, men ibland måste kunden ställa krav som vissa leverantörer inte vill acceptera 12