Dette bør du vite om nettsky-juss

Dette bør du vite om nettsky-juss

KRONIKK: Personvern, kontrakter og andre juridiske utfordringer.

Cloud Computing må antas å være nær toppen av "hype"-kurven. Noen vil si at dette er keiserens nye klær, og at det bare er en ny betegnelse på leveranseformer og tjenester som har vært markedsført og solgt siden 1970-tallet.

Noen sider ved leveransene har imidlertid definitivt skiftet karakter. Kjennetegn ved Cloud Computing er at skalerbare og svært kraftige tjenester (plattform, lagring og/eller applikasjoner) leveres som en tjeneste over internett, oftest basert på et web-grensesnitt. En stor fordel er at kunden som bruker slipper å investere i infrastruktur og programvare, men kan betale etter forbruk etter hvert som behovet oppstår, og kan skalere raskt opp og ned etter behov.

Leverandørene er gjerne store flernasjonale selskap med betydelig virksomhet i mange land på flere kontinenter (Amazon, Microsoft, Salesforce, Google og så videre), med svært begrenset vilje - og kanskje også evne - til å forhandle og inngå individuelle avtaler med sine kunder.

Bruk av Cloud Computing som tjenesteplattform for bedrifter og offentlig forvaltning reiser en rekke juridiske problemstillinger som må håndteres. Lovgivningen er "konservativ" i den forstand at det tar lang tid å vedta nye lover og tilpasse gamle i forhold til samfunnsutviklingen. Det er imidlertid ikke slik at nye former for leveranse av databehandlingstjenester forgår i lovtomme rom, selv om lovgivningen ikke er tilpasset og kan passe dårlig. De lover vi faktisk til enhver tid har, benyttes på det som skjer, selv om lovene måtte passe dårlig.

De juridiske problemstillingene kan overordnet deles inn i regulatorisk juridiske problemstillinger, og kontraktsmessige problemstillinger. De kontraktsmessige lar jeg ligge i denne omgang, selv om de er problematiske nok.

Personopplysningsloven

Det finnes en rekke regulatoriske krav i lovgivningen som gjelder næringslivets oppbevaring og sikring og av data. Dette gjelder for eksempel Personopplysningsloven, Bokføringsloven med krav til oppbevaring og tilgjengelighet av regnskapsbilag, Ikt-forskriften med krav vedrørende utkontraktering og dokumentasjon, Helseregisterlovgivningen og så videre. Tilsvarende krav til oppbevaring og sikring av data gjelder også innenfor offentlig forvaltning.

Et eksempel på lovgivning som må hensyntas, og som kan være problematisk i forhold til bruk av Cloud-tjenester, er Personopplysningsloven. Loven opererer med "databehandlingsansvarlig" (den som samler inn og behandler personopplysninger for et nærmere angitt formål) og "databehandler" (den som behandler data på oppdrag fra den databehandlingsanvarlige).

Etter Personopplysningsloven er det et krav at det skal foreligge en skriftlig "databehandleravtale" mellom databehandlingsansvarlig og databehandler. Hvis det er flere ledd (underleverandører av databehandlingstjenester), skal slik avtale omfatte alle ut til siste ledd i kjeden. Dette følger av Personopplysningsloven § 15, som lyder:

"En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.

Kartlegging

I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13. "

Som det fremgår av andre ledd i bestemmelsen over, skal det fremgå av databehandleravtalen at databehandleren plikter å gjennomføre sikringstiltak som angitt i Personopplysningsloven § 13. Loven inneholder også en rekke andre bestemmelser som må hensyntas ved behandling av personopplysninger ved bruk av Cloud-tjenester.

Lovgivningens krav til oppbevaring av data varierer, er kompliserte og svært fragmentariske. Det finnes ingen helhetlig oversikt over slike krav.

Dersom Cloud tjenester skal bli den leveranseplattformen mange drømmer om, kan det være grunn til å begynne med en kartlegging av hvilke grenser lovgivningen setter, slik at bruk av Cloud kan avpasses, og eventuelt slik at lovgivningen på forsvarlig vis kan tilpasses denne leveranseplattformen.