Teknologi

Skybaserte datatjenester – Hva er risikostyring og juridiske problemer for brukere?


Skytjenester kan være muliggjører for en bedrifts digitale transformasjon. Forståelse av risikoer og juridiske problemstillinger knyttet til bruk av skybaserte datatjenester er imidlertid avgjørende for risikostyring og beskyttelse av en organisasjons data og relaterte åndsverk og for å minimere risikoen for forretningsavbrudd.

Bedrifter bruker i økende grad programvareapplikasjoner og verktøy, datalagring og sikkerhetskopieringstjenester som tilbys som skybasert løsning ved bruk av dataservere plassert i datasentre som eies eller kontrolleres av tredjeparter (“skytjenester”). Gartner anslår at verdensomspennende utgifter til sluttbrukerskytjenester vil øke med rundt 20 prosent i løpet av 2022 til rundt 500 milliarder dollar, med utgifter som forventes å nå 600 milliarder dollar i 2023[i].

Risikabel virksomhet

Selskaper som bruker skytjenester, uten skikkelig due diligence, inkludert juridisk gjennomgang av vilkårene og betingelsene for skytjenesteavtalene og risikostyring, setter potensielt dataene sine og tilhørende åndsverk i fare (“IP”) og forretningsdrift. Det er viktig at virksomheter forstår risikoene og fordelene med skybaserte tjenester og har riktige prosesser og systemer for å håndtere potensielle risikoer.

I noen tilfeller bruker de skybaserte løsningsleverandørene tredjeparts datasentre for å tilby de skybaserte fasilitetene, noe som gir enda et komplikasjonsnivå. I denne situasjonen kan virksomheten ha en kontrakt med skyløsningsleverandøren, men har ingen kontraktsforhold med tredjeparts datasentre som leverer servere og datalagringsfasiliteter. Hvis kontraktsforholdet mellom skyløsningsleverandøren og datasenteret avsluttes, kan det hende at virksomheten ikke kan få tilgang til dataene sine fra datasenteret, spesielt der skyløsningsleverandøren bryter avtalen med datasenteret. Det er viktig at alle tredjeparts datasenteravtaler gjennomgås også, slik at selskapet har rettigheter til tilgang til data som er lagret i et tredjeparts datasenter. Due diligence og risikostyringsprosessen bør utvides til datasentre.

Juridiske og risikostyringsproblemer

De juridiske og risikostyringsproblemene som selskaper må vurdere når de bruker skybaserte programvaretjenester er komplekse[ii] og må vurderes fra sak til sak. Bedrifter som ser på å bruke skybaserte tjenester bør søke juridisk rådgivning som er spesifikk for den skybaserte løsningen de ønsker å bruke og avtalen de foreslår å inngå.

Noen av de juridiske og risikostyringsproblemene som bør vurderes i forhold til skybaserte datatjenester inkluderer:

  1. Driver leverandøren av skytjenesteløsninger fysisk virksomhet i Australia eller utenfor Australia? Hvis skytjenesteleverandøren er en utenlandsk enhet, vil virksomheter måtte vurdere hvordan de kan håndheve rettighetene sine og få tilgang til data og innhold (inkludert IP) der det har vært et databrudd eller manglende overholdelse av skytjenesteavtalen, tjenesten leverandøren blir konkurs eller insolvent eller de ønsker å gå over til en annen leverandør eller bruke en annen programvareapplikasjon.
  2. Hvor er plasseringen av datasenteret hvor virksomhetens data og innhold (inkludert IP) skal behandles, lagres og overføres? Vilkår og betingelser spesifiserer vanligvis ikke den fysiske plasseringen av datasentrene og sikkerhetskopieringsfasiliteter. Imidlertid kan data lagres i en rekke forskjellige land, tilgang til og behandles av flere enheter i forskjellige land, uten at brukerne av skytjenesten vet hvor deres data og innhold (inkludert IP) befinner seg. For eksempel, den elektroniske Dropbox-tjenesteavtalen for bruk av Dropbox-dokumentdelingstjenesten som brukes av mange bedrifter og organisasjoner som inneholder et begrep som sier: Kunden godtar at Dropbox og dets underleverandører kan overføre kundedata til og få tilgang til, bruke og lagre kundedata på andre steder enn kundens land men spesifiserer ikke landene eller plasseringen av datasentrene[iii].
  3. Hva er de juridiske, sikkerhetsmessige og andre risikoene forbundet med at data og innhold (inkludert IP) lagres i datasentre utenfor Australia i land hvis data-, IP- og personvern- og håndhevingslover ikke kan sammenlignes med australske lover?
  4. Hvilke sikkerhetstiltak og kontroller har blitt implementert av leverandøren av skyløsninger?
    • Har skydataleverandøren informasjonssikkerhetsakkreditering som ISO 27001?
    • Bruker skytjenesteleverandøren kryptering for overføring og lagring av data og innhold (inkludert IP)?
    • Bruker skytjenesteleverandøren tilstrekkelige autentiseringsprosedyrer for tilgang til data og innhold (inkludert IP) som er lagret i skyen?
    • Har skytjenesteleverandøren tilstrekkelig sikkerhet og kontroller for å beskytte mot cyber- eller andre hendelser?
    • Segmenterer skytjenesteleverandøren dataene slik at dataene lagres i ulike datasentre?
  5. Blir skytjenesteleverandøren eksternt revidert for overholdelse av sikkerhet og databeskyttelse med jevne mellomrom? I så fall bør en kopi av revisjonsrapportene bes om. Dette vil hjelpe virksomheten med å identifisere potensielle risikoer ved bruk av tjenesten og håndtering av risikoene.
  6. Hvem eier data og innhold (inkludert IP) som lastes opp og/eller genereres ved hjelp av den skybaserte løsningen? Vilkår for skyløsningsavtaler kan inkludere vilkår som gir eierskap til materiale (inkludert IP) generert ved bruk av den skybaserte applikasjonen for å eies helt eller delvis av leverandøren av den skybaserte tjenesten.
  7. Hvilke rettigheter gis skyløsningsleverandøren til å bruke virksomhetenes data og innhold (inkludert IP)? Skyløsningsavtaler kan også inneholde vilkår som gir skyløsningsleverandørene omfattende rettigheter til å bruke, avsløre, kopiere, tilpasse, publisere og overføre virksomhetenes data og innhold (inkludert IP).
  8. Hvilke ordninger må skytjenesteleverandøren (inkludert tredjeparts datasenter) og virksomheter som har til hensikt å bruke skytjenesten håndtere nettverks- og tjenesteravbrudd eller avbrudd? Skytjenesteleverandørene, inkludert tredjeparts datasentre, bør ha alternative midler for å få tilgang til den skybaserte løsningen og dataene i tilfelle en slik hendelse. Data bør også sikkerhetskopieres og tilgjengelig fra alternative steder. Noen skybaserte applikasjoner inkluderer funksjonalitet som gjør det mulig for selskaper å sikkerhetskopiere dataene sine på daglig eller ukentlig basis til sine egne interne servere som de kontrollerer.
  9. Hvilke vilkår finnes i skytjenesteavtalen som omhandler frakobling og overgang til en ny tjenesteleverandør eller alternativt flytting av anlegg i hus, ved oppsigelse av avtalen eller tjenesten? De fleste avtaler gir bedrifter inntil 30 dager til å migrere dataene sine til et annet system, men inneholder ikke tilstrekkelige bestemmelser som krever at skytjenesteleverandøren skal bistå med prosessen. Avtalene spesifiserer heller ikke kostnadene forbundet med utvinning eller gjenoppretting av dataene og migrering til et nytt system. Dette kan være en kostbar prosess. Det har vært rapportert hendelser der selskaper må betale store gebyrer for å få tilgang til dataene deres.
  10. Hva skjer der virksomhetens data (inkludert IP) lagres i et datasenter som er stengt på grunn av rettskjennelse eller myndighetshandling? Hva skjer ved konkurs eller insolvens hos skyløsningsleverandøren? Hvordan skal virksomheten få tilgang til data og verdifull IP? Hvordan skal disse risikoene håndteres slik at det er et minimum av forstyrrelser for virksomheten?

Det er viktig at selskaper har passende risikostyring og redundansplaner på plass, for å få tilgang til verdifulle data og IP og minimere risikoen for forretningsavbrudd. Hvis virksomheten din er helt avhengig av skybaserte løsninger, hvor lenge kan virksomheten din operere uten tilgang til de skybaserte fasilitetene. Altfor ofte bruker enkeltpersoner, bedrifter og organisasjoner skybaserte programvareapplikasjoner og verktøy, godtar online vilkår og betingelser for bruk av skytjenesten uten å først lese vilkårene, og utsetter seg dermed for betydelige juridiske, forretningsmessige og datasikkerhetsrisikoer.