Digital virksomhet

IT er ikke lenger bare støttesystemer i virksomheten. Stadig flere virksomheter gjør det meste av sin kundedialog og sin produksjon gjennom IT-systemer. I Bouvet er vi mange rådgivere som hjelper kunder med å få virksomhet og systemer til å spille sammen. I denne bloggen deler vi tankene våre om dette.

Et varsku om flytting av data til skytjenester

Verden er ikke alltid så enkel som skyleverandørene vil ha det til. Og samtidig som KMD oppfordrer til økende bruk av skytjenester, kan mangelfulle forberedelser føre til harde økonomiske sanksjoner. 

At bruken av skytjenester er på opptur, merker vi av hvor ofte vi må realitetsorientere (de potensielle) kundene til skyleverandørene. Og vi føler oss litt som «Tante Sofie» når noen enkle spørsmål avdekker at de må ta et par runder til.

Det er IKKE greit å planlegge med å ha data i skyen uten videre – heller ikke i europeiske skyer – uansett om leverandøren tilbyr en standard kontrakt. KMD har i den siste cloud-strategien (link) også opplyst om dette. I strategien oppfordres det til økende bruk av cloud. KMD oppgir også hvilke tiltak de pålegger DIFI å utføre for å kunne tilrettelegge lovverket bedre. På tross av god vilje, er altså regelverket helt identisk med slik det var før rapporten. Samtidig kommer EUs nye personverforordning (GDPR) allerede i mai 2018, med sin presisering av ansvarligheten for hvor aktører lagrer data. – og kraftige økonomiske sanksjoner, særlig for brudd på disse reglene.

 

scalesVi har altså politisk vilje på en side, og harde internasjonale realiteter på den andre

 

Utfordringene med amerikanske skyleverandører

USA befinner seg på utsiden av EUs liste over helt godkjente land. Det spiller ingen rolle om serveren står i EU/EØS hvis de som vedlikeholder basene sitter i USA eller Asia – det er også regnet som en overføring. I tillegg er kundene ofte indirekte kunder av skyleverandørene  Hvis man selv er direkte avtalepart med skyleverandøren, er det lettere enn om det er en tredjepart i mellom. Det er det ofte, og da er det vanskeligere (dog sjelden umulig) å få til et lovlig opplegg. Poenget er at skyleverandøren som regel bare gir rettigheter til sin direkte avtalepart. Da får leverandørens kunde (og sluttbrukeren) et problem med å overholde sine rettigheter.

Det er ikke så merkelig om mange synes at fordelene oppveier for usikkerheten rundt jussen, og dermed havner i gråsoner. Så her kommer vårt lille varsku: Konsekvensen av feil valg av databehandler kan bli vesentlig under det nye lovverket som gjelder fra 2018.

gdpr

I EUs nye personvernforordning er tilgang til data likestilt med databehandling, altså kan en servicetekniker som logger seg på fra USA gjøre at skyleverandøren er “i breach”.

Det er ikke alltid at det hjelper om man har en modellavtale (EUs standard for databehanderavtaler) med leverandøren. Om avtalen gjelder sensitive data, krever den at den registrerte personen informeres om hva som skjer. Og det er jo ikke alltid praktisk…

emoticon_confusedDet er mange “hvis” som må klaffe samtidig dersom det skal være helt greit å legge sensitive data ut i en sky i EØS i dag. Og dialogen må løftes til ledelsen og styrerommet, da de økonomiske konsekvensene kan bli betydelige.

Vi er smertelig klar over at norske firmaer og offentlige myndigheter har store muligheter til innsparinger ved å ta i bruke de innovative teknologiene til de amerikanske skyleverandørene.

Samtidig må vi ikke gå beina av oss i teknologibegeistring. Vil ditt firma eller institusjon risikere å ikke følge lovverket når konsekvensene blir såpass brutale allerede i 2018?

Noe av denne problemstillingen kan løses om flere internasjonale aktører gjør som Microsoft i Tyskland: Tilbyr lokale aktører å drifte sin teknologi i lokalt eide datasentre – uten mulighet til overføring til USA. Da kan norske myndigheter og næringsliv få ta del i produktiviteten som skya tilbyr. Inntil da må alle gjøre grundig forarbeid, og sørge for at de kan tåle en inspeksjon etter innføringen av GDPR i 2018. Noe annet kan fort bli dyrt og skape negativ publisitet.

Til høsten kommer vi med en veileder for hvordan du kan gå frem på en trygg måte. Vi kommer også til å holde en serie foredrag om temaet. Følg med på denne bloggen.

Denne artikkelen har også blitt postet på nettsiden til Føyen-Torkildsen: Link

Eva Jarbekk
Partner, Føyen-Torkildsen Advokatfirma. Eva er tidligere formann i personvernnemnda, og er blant annet medlem av forsvarsdeparementets utvalg for vurdering av digitalt grenseforsvar. Spesialist innen personvern, IT-kontrakter og EUs nye personvernforordning. Twitter: @evajarbekk

Simen Sommerfeldt, CTO for Bouvet Øst
Rådgiver med teknologibakgrunn. Grunnlegger av bevegelsen "Lær Kidsa Koding!". Har siden 2014 spesielt fokusert på EUs nye personvernforordning, tingenes internett og semantisk integrasjon. Twitter/Insta: @sisomm

3 kommentarer om “Et varsku om flytting av data til skytjenester

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Getting a yes, from anyone!

10 principles of Ethical influence Ever had a brilliant idea that wasn’t heard?   Most of us have at some..

Samhandling: Mer enn SharePoint

For tilhengere og brukere av Microsofts verktøy, har samhandling de siste årene nærmest vært synonymt med SharePoint. Sannheten er at..

Digitalisation is not a IT project

Something is happening in the executive management teams these days, they are looking to re-invent their business models using information..

Det vanskelige samtykket

Alle snakker om det, mange gjør noe med det og noen vil alltid prøve snarveier. Men ærlighet vil, som alltid, vare..

Den selvkjørende bilen kommer fort

Jeg er på den 23. verdenskongressen for intelligente transportsystemer. Alle snakker om selvkjørende biler, busser og tog. På demonstrasjonsområdene står..

Tenkehatten Plato

Slå på kreativiteten, folkens!

Her forleden hadde vi besøk av hjerneforsker Balder Onarheim fra Danmarks tekniske universitet. Han hadde med seg en tenkehatt med..

Hva ser du?

Kvalitative undersøkelser gir et annet perspektiv enn kvantitative. Ofte avsløres unike bruksmåter og uregelmessigheter. Ser du litt nøyere etter, kan..

Hva skjer på intranett-fronten?

Dette spørsmålet stilte jeg mine flinke kolleger på vårt intranett, og her er svarene jeg fikk: Flere spesialiserte applikasjoner For..

IT years are like dogs years

One of the characteristics of the IT industry is that time works differently for us. This is challenging and fun,..

OFFF da: Barcelona 2016 del 2

Konferansetid er tid for inspirasjon og faglig påfyll, men kanskje vel så mye handler det om forbrødring med gode kolleger…

OFFF Barcelona 2016 del 1

Europas mest inspirerende konferanse innen digitale medier, OFFF,  leverte varene. Over tre innlegg skal Jonas Laberg og jeg forsøke å gjenskape stemningen. Hvem..

Kundeopplevelse og energityver

Arbeid med kundeopplevelse ligner mer på maraton enn på en 100-meter – det trengs stamina for å oppnå resultater. Likevel..

Digital virksomhet

IT er ikke lenger bare støttesystemer i virksomheten. Stadig flere virksomheter gjør det meste av sin kundedialog og sin produksjon gjennom IT-systemer. I Bouvet er vi mange rådgivere som hjelper kunder med å få virksomhet og systemer til å spille sammen. I denne bloggen deler vi tankene våre om dette.