Nettskyen er i ferd med å bevege seg fra fjern til nær framtid. På IT-tinget 2009 i forrige uke gikk advokat Ståle Hagen fra Simonsen Advokatfirma gjennom en del av de juridiske utfordringene som bruken av nettskyen stiller.
Nettskyen – «cloud computing» – er en måte å skaffe seg IT-ressurser og tjenester på, uten å investere i egen infrastruktur, serverpark eller applikasjoner. Brukeren er selvbetjent: Trenger man mer eller mindre av noe, justerer man det selv, og man betaler kun for det man faktisk bruker. Fra et teknisk synspunkt er det fascinerende at man ikke vet hvor i verden dataene lagres eller applikasjonen kjøres.
Ifølge Hagen er norsk juss ikke like føyelig som teknologien i så henseende.
Personopplysningsloven stiller krav til hvor data lagres.
– Ifølge loven kan ikke personopplysninger overføres til utlandet uten samtykke fra den det gjelder. Samtykke er trolig ikke tilstrekkelig dersom det er uklart hvor i verden dataene er lagret, sier Hagen.
Manglende kjennskap til hvor data lagres kan også være i strid med lover og regler for bokføring og regnskap, der det stilles krav til oppbevaring og tilgang til regnskapsopplysninger.
Hagen er opptatt av at nettskyleverandører kan ha avtaler seg i mellom, slik at de kan avlaste hverandre etter behov. Det innebærer at data plutselig kan flyttes rundt omkring.
– I slike tilfeller må man kunne svare på blant annet hvordan dataene overføres, om det er noen form for kryptering, og hvordan data sikres mot innsyn både under flytting og på det nye stedet.
Uansett hvor dataene lagres, anbefaler Hagen å avtalefeste spilleregler for tilgang og rettigheter til data og metadata.
– Man har krav på at data sikres mot innsyn fra uvedkommende. Men kan man følge data gjennom hele nettskyen? Det er viktig å ha klart for seg at det alltid er en risiko for tap og sammenblandning når flere aktører kjøper nettskytjenester fra samme leverandør. Konfidensialitet må kontraktsreguleres. Samtidig må man stille seg spørsmålet om hvordan man kan verifisere dette når data befinner seg i nettskyen. Hvem skal garantere for konfidensialitet? Vil leverandøren man har avtale med, ta på seg ansvaret for hvordan underleverandørene ter seg?
Uklare ansvarsforhold mellom samarbeidende nettskyleverandører er et moment Hagen tror kan begrense den ellers ideelle «cloud»-verdenen.
– Kontrakter bør omfatte forhold rundt tjenestenivå, altså SLA («service level agreement»). Det kan regulere implementering, tilgang til datakraft og lagringskapasitet, samt responstid, reparasjonstid, tilgjengelighet, oppetid og så videre. Man kan spørre seg om det i det hele tatt er forsvarlig av en leverandør å garantere oppetid i skyen? Det kan være veldig tøft for en leverandør som ikke har kontroll over helheten.
Muligheten for endringer i leverandørkonstellasjonen kan gjøre det umulig å garantere at strenge krav vil ble etterkommet. Det kan få følger for garantinivået i avtalen, og for hvor interessant nettskytjenester faktisk blir.
En annen kilde til mulige problemer, er hva som skjer når man ønsker å avslutte avtalen med nettskyleverandøren. Hagen anbefaler at vilkår og regler for både ordinært opphør og opphør ved mislighold nedfelles i selve avtalen.
– Man må sikre seg rett til å bytte leverandør, og til at leverandøren skal bistå ved en avvikling av forholdet. Man skal være sikker på at man får med seg alle egne data og metadata, og at leverandøren sletter sine kopier når overføringen er gjort. Opererer man i utlandet, må man være klar over at det er odde systemer der ute i forhold til hva man er vant med hjemme, og at ting som er selvsagte i Norge, ikke er det selv i andre europeiske land.
Les også:
- [04.02.2010] Billige svensker angriper Norges nettsky
- [08.12.2009] Gratis rammeverk for å vurdere IT-risiko
- [26.11.2009] EU tilbyr bedrifter paraply i nettskyen
- [03.11.2009] Slik blir nettskyen gull verdt
- [30.09.2009] Nettskyen betyr dramatisk rolleendring