Migrering til skyen gir oss en rekke nye juridiske aspekter å ta hensyn til. Og det blir ekstra mye å holde orden på i hybridmiljøer som omfatter flere leverandører. Å bruke standardavtaler er en god start. Advokat Lars Folkvard Giske forteller om spørsmålene bedrifter må ta stilling til, men som mange glemmer.
IT-juss kan være komplisert, også når det er snakk om tradisjonelle teknologiske løsninger. Når det dreier seg om offentlige skytjenester, dukker det opp flere nye aspekter som kundene bør ta hensyn til. Og i hybridmiljøer med innslag av både offentlige og private skyer, samt kanskje også tradisjonelle IT-løsninger, blir det enda mer å holde orden på.
– Det er mange ulike aspekter, og alle er like vanskelige for kunder som ikke har juridisk kompetanse. Likevel er det min erfaring at svært få skyavtaler i Norge gjennomgås av jurister, sier Lars Folkvard Giske, advokat og partner i Føyen Torkildsen, med IT-juss som spesialitet.
Før vi begynner å ramse opp alle de ulike juridiske aspektene ved skytjenester, har Lars Folkvard Giske noen generelle tips om ting som skykunder ofte glemmer:
– Det er utrolig hva en kunde kan få gjennomslag for i forhandlinger om skytjenester, forteller Lars Folkvard Giske, med unntak for kanskje de to til tre største IaaS/PaaS leverandørene.
I praksis tar mange kunder i Norge utgangspunkt i statens standardavtaler, primært SSA-D og SSA-L, men vi ser de fleste kombinasjoner. Det gjelder både offentlig sektor og private bedrifter. I hvor stor grad man tilpasser standardavtalene, varierer. Nylig har SSA-Sky blitt lansert og det blir spennende hvordan den tas imot i markedet.
Når det gjelder lover, har mange kontroll på personvernforordningen (GDPR), men glemmer andre bransjespesifikke lover og regler som de må ta hensyn til.
Lars Folkvard Giske, advokat og partner i Føyen Torkildsen.
I det store og hele er det egentlig ganske krevende å være kunde og anskaffe skytjenester. En særlig utfordring er store komplekse avtalevilkår som ikke er veldig lett å lese eller forstå uten å ha jobbet mye med slike avtaler.
Det er ikke alltid lett å være systemintegrator/forhandler av tredjeparts skytjenester heller. De får ofte i oppgave å sette sammen teknologiløsninger fra ulike leverandører – av både skytjenester og mer tradisjonelle IT-løsninger som maskinvare. Utfordringen er dels at de internasjonale skyleverandørene har relativt komplekse forhandleravtaler som systemintegratoren må overholde, og uansett så får ikke systemintegratoren normalt noe «back to back» mot skyleverandør for eventuelle forpliktelser som kundene måtte stille. Og da blir utfordringen stor, og mellomrisikoen ukontrollerbar når Kundene ofte baserer seg på standardavtaler som dels pålegger systemintegratoren ansvar for feil i standard skytjenester, et ansvar for å sørge for at standard skytjenester ikke endrer seg slik at kundens krav ikke lengre oppfylles i avtaleperioden, og i noen standardavtaler (som Dataforeningens skytjenesteavtale) så blir ikke kundene engang bundet fullt og helt av skytjenesteleverandørens standardvilkår. Dette selv om systemintegrator gjennom sin forhandleravtale normalt er pålagt å speile vilkårene 100%.
– I praksis er det ikke gunstig at en systemintegrator tar ansvar for leverandørfeil, men en del mindre systemintegratorer gjør det likevel, sier Lars Folkvard Giske.
At systemintegratorer har avtalefestet ansvar for ting de ganske enkelt ikke har kontroll på, kan selvsagt medføre problemer for kunden hvis noe går galt. For å unngå at slike situasjoner oppstår, bør begge parter søke å inngå avtaler hvor risiko og balanse speiler hva den enkelte part har kontroll over.
Hva bør man altså tenke på når man skal kjøpe skytjenester? Mange ting er åpenbare, for eksempel å finne ut hvor data lagres, og hvorvidt lover og regler som gjelder for den enkelte kunde kan etterleves ved bruk av skytjenestene.
– Hvilke land det er gunstig å kjøpe skytjenester fra, er ofte et politisk spørsmål, sier Lars Folkvard Giske.
Han understreker hvor viktig det er å analysere hvordan avtalevilkårene påvirker IT-driften, og ikke bare godta vilkårene som om de var hugget i stein. Det er for eksempel risikofylt å måtte akseptere vilkår som innebærer rett for skyleverandøren å fjerne tilgang til kritiske eller viktige løsninger fra en dag til neste. Så les for all del gjennom standardvilkårene som gjelder for skytjenestene, og prøv å forstå og få oversikt over hvilke rettigheter og plikter som gjelder for deg. Om du som kunde for eksempel ikke allerede har satt deg godt inn i for eksempel Acceptable Use Policy, eksportkontroll reglene use restrictions og lisensmetrikker i tillegg til prisbestemmelsene, så er det på tide!
Kan en kunde håndtere alle juridiske spørsmål om skytjenester på egen hånd?
– Ja, hvis man har ansatte med riktig kompetanse. Men det er en omfattende jobb med komplekse avtaler bestående av mange vedlegg og referanser. Det er vanskelig å komme frem til smarte løsninger uten å få hjelp av en erfaren person, sier Lars Folkvard Giske.
Her er ofte størrelsen på kundebedriften, eller kundeorganisasjonen, en viktig faktor. Sannsynligheten er større for at en stor bedrift har den nødvendige kompetansen. Ellers er det mye det samme bedriftene må tenke på.
HPE GreenLake gir deg fordelene med skyen som er skreddersydd for dine behov. Les mer her.
HPE i Norge er et selskap som ofte må håndtere juridiske spørsmål i forbindelse med skytjenester, både på egne vegne og for å hjelpe kunder.
– Mange kunder bruker avtaler basert på statens standardavtaler, og vi har i tillegg egne tjenestespesifikke avtaler. Men vi er fleksible fra prosjekt til prosjekt når det gjelder kontraktuelle vilkår, og vi tar utgangspunkt i kundenes ønsker og utfordringer, sier forretningsutvikler Olav Linnestad Aasrum hos HPE i Norge.
Man må være bevisst på at en transformasjon til skytjenester vil endre hele driftsmodellen for IT leveranser og tilhørende prosesser, ofte i stor grad.
Olav Aasrum, HPE.
Han understreker at HPE ikke blander seg inn i avtaler mellom en kunde og en offentlig skyleverandør som for eksempel Amazon eller Microsoft.
– Den løsningen vi implementerer hos en kunde, skal fungere, men vi kan ikke påvirke kontraktuelle vilkår kunden har til andre leverandører. Derfor er det viktig at kunden innhenter kunnskap og kompetanse fra ulike hold før en avtale signeres, forklarer Aasrum.
Hans oppfatning av situasjonen i Norge er at mange selskap ikke er helt klare for overgangen til skytjenester, men likevel tar steget uten å ha tilstrekkelig oversikt over rettigheter og plikter..
– Man må være bevisst på at en transformasjon til skytjenester vil endre hele driftsmodellen for IT leveranser og tilhørende prosesser, ofte i stor grad, avslutter Olav Aasrum.