Sådan undgår du jura-faldgruberne i cloud computing

Lavere omkostninger og mindre besvær kan for mange firmaer være resultatet af at udskifte serverrummet i kælderen med en løsning i skyen, hvor en leverandør sørger for al hardwaren.

Men at flytte virksomhedens it-drift ud i en fjern sky kan vise sig at give store problemer den dag, det brænder på, hvis ikke kunden har været omhyggelig og fået sikret en god og klar aftale fra starten af.

På et seminar om sikkerhed i skyen, som Symantec var vært for tirsdag, fremlagde it-advokaten Jesper Langemark fra firmaet Bender von Haller Dragsted gode råd om kontrakter og konkurser.

»Det er ligesom en flyvetur - det er starten og landingen, der er svær,« sagde han.

Stil masser af krav

Første trin er at få overblik over data og applikationer og vurdere, hvor kritiske de er for firmaet. Hvilken betydning har det for eksempel, hvis CRM-systemet er nede i tre timer? Det gør det nemmere at stille de rigtige krav i kontrakten med cloud-leverandøren.

»Man skal stille krav om, hvilken performance, man kan forvente, selvom det kan være vanskeligt. Og der skal være sanktioner ved nedetid,« sagde Jesper Langemark.

Et vigtigt punkt er priserne, for tit afregnes ydelsen i skyen på en anden måde, end man er vant til. For eksempel ud fra hvor meget processorkraft, der bliver brugt.

»Det kan være meget svært at gennemskue en prismodel i skyen, så det er vigtigt at få helt styr på priserne. Kontrakten skal som minimum beskytte mod vilkårlige prisstigninger,« sagde han.

Et krav kunne således være, at priserne ikke må stige mere end den almindelige prisudvikling i samfundet.

Derudover anbefalede advokaten, at man også i kontrakten beskriver i detaljer, hvordan man som kunde kan få sine data ud igen, hvis det skulle være nødvendigt en dag.

»Man skal have aftalt hvilket format, man kan få sine data i, og hvor hurtigt, det skal ske,« sagde han.

Det lyder måske i sig selv som en forsikring mod, at firmaet indstiller en service, men her skal man være mere mistænksom, mente advokaten. Går en leverandør konkurs, er der normalt ingen hjælp at hente, uanset hvad kontrakten siger.

»Vil man gå med livrem og seler, kan man vælge at have en ekstern backup hos en anden leverandør. Ikke bare af data, men en fuldt installeret, varm backup, som man kan skifte over til i løbet af få timer,« foreslog Jesper Langemark.

Pas på med personoplysninger

Også persondataloven indeholder faldgruber, som det er nødvendigt at være opmærksom på, når et firma sender data ud i skyen. Loven gælder nemlig også private firmaer og regulerer alle data, der kan knyttes til en bestemt person.

»Det er nok et bredere begreb, end de fleste tror. For eksempel er email-adresser og IP-numre også beskyttede, og et CRM-system rummer i høj grad også personoplysninger,« forklarede Jesper Langemark.

Har man den slags data liggende om andre, skal man melde sig som databehandler hos Datatilsynet, og det er der mange firmaer, der ikke gør, lød det.

Når så dataene sendes ud i skyen til en leverandør, lyder kravet fra loven, at dataene kun må cirkulere inden for EU eller såkaldte 'sikre tredjelande', hvilket for eksempel ikke omfatter USA. I kontrakten med leverandøren skal der således stå, at data ikke må sendes ud af EU, og ikke overlades til andre firmaer eller behandles uden kundens instruks.

Der findes dog undtagelser, hvor firmaer i USA kan bruges, hvis de har fået stemplet Safe Harbour. Det har alle de store leverandører, som for eksmpel Amazon og Salesforce, og de har også styr på at overholde resten af EU-lovgivningen, lød forklaringen fra advokaten.