Skjær i sjøen for cloud computing

Skjær i sjøen for cloud computing

JUSS OG IT: Mange er ikke klar over risikoene til lagring i skyen.

Cloud computing har etter hvert blitt et etablert trendord, som blant annet brukes i forbindelse med lagring av informasjon. Til tross for den svevende ordlyden, er lagringen svært håndfast, noe folk flest i bransjen er klar over. Vi snakker lagring på godt gammeldags "jern".

Mange av fordelene knyttet til cloud computing er kjente. Lagringskapasiteten kan blant annet raskt og enkelt utvides eller innskrenkes. Vi tror risikoen knyttet til slik lagring imidlertid er mindre kjent. Det er viktig at kunden vurderer - og begrenser - risikoen før vedkommende velger lagring i skyen.

Personopplysninger

Dagens cloud computing-løsninger er normalt slik at en ikke har kontroll på hvor opplysningene lagres. Selskapene som tilbyr tjenestene lagrer ofte opplysningene hos en tredjepart, for eksempel hos Amazon.com, som er en av de største tilbydere av slik lagring. Dersom kunden ikke vet hos hvem eller hvor opplysningene lagres, kan kunden heller ikke være sikker på om uvedkommende/uønskede får tilgang eller om informasjonen benyttes til andre formål. De økonomiske konsekvensene kan kunden sikre seg mot gjennom en god avtale. Selve bruddet vil det ikke alltid være like lett å sikre seg mot. Problemet gjelder i og for seg for all lagring hos tredjepart, men problemet kan være større dersom kunden ikke vet hvor informasjonen fysisk lagres.

Kunden må også sikre at slik lagring ikke medfører brudd på regler og prosedyrer for lagring som er fastsatt i det norske lovverk. Dette kan være bokføringsreglenes krav om at informasjon skal lagres i Norge, krav i ikt-forskriften eller det kan være personvernrelaterte lovkrav.

Et eksempel på sistenevnte er de særskilte prosedyrene som norske virksomheter må følge ved overføring av personopplysninger til land utenfor EU/EØS-området etter personopplysningsloven. Disse reglene gjelder gjennom EUs personverndirektiv for hele EU.

Alvorlige følger

Behov for sikkerhet og reglene om overføring av personopplysninger til andre land, er antakelig grunnen til at noen leverandører forsikrer om at opplysningene lagres innenfor et nærmere bestemt område, som for eksempel Europa. Uansett vil en slik forsikring gjøre overholdelsen av regelverket enklere for kunden.

Dersom kunden lagrer personopplysninger utenfor EU/EØS-området, og Datatilsynet finner at kunden ikke har hatt tilstrekkelig kontroll eller ikke har fulgt prosedyrene, vil dette kunne få alvorlige følger for omdømmet til virksomheten gjennom negativ mediaomtale. Datatilsynet vil også kunne ilegge vedkommende virksomhet gebyr for brudd på regelverket på over 700.000 kroner.

Arve Føyen og Frode Bergland Bjørnstad, Føyen advokatfirma