EUs retningslinjer om SLA i nettskyen

De publiserte retningslinjene er en del av EUs standardiseringsarbeid for den europeiske nettskyen. Retningslinjene ble utarbeidet av en gruppe hvor blant annet forskjellige it-selskaper og telekomselskaper var representert.

Deltakerne var hovedsakelig store nettskyaktører som Amazon, Google, IBM og Microsoft samt aktører som Accenture og PWC samt en del mindre aktører.

Dokumentet er relativt kortfattet og leservennlig. Alle som skal lansere eller ta i bruk skytjenester, bør ta seg tid til å lese dokumentet fordi det inneholder mange gode poenger.

Retningslinjene angir først en presentasjon av overordnede prinsipper for standardisering av avtaler om tjenestenivå. Standardene skal være teknologinøytrale og skal kunne brukes uansett om leverandøren bruker virtualisering eller ikke, uavhengig av hva slags programvare brukes for nettskytjenester.

Tilsvarende må ikke standardene forutsette en gitt forretningsmodell. Noen leverandører vil legge opp til løpende abonnementsavtaler, mens andre kan være avhengig av langvarige forretningsrelasjoner.

Det som er viktig er at det presiseres at det skal være klare og utvetydige definisjoner av tjenestenivåparametere og ikke minst - tjenestenivåparametere som er sammenliknbare. Noe av dette kan virke selvfølgelig, men det er praktisk at retningslinjene har et sett av forslag til forskjellige tjenestenivåparametere på forskjellige områder, for eksempel innenfor tilgjengelighet og sikkerhet.

Det er også særlig interessant å se at det også foreslås tjenestenivåparametre for personvern. I alt er det elleve prinsipper som bør overholdes. Det siste prinsippet gleder spesielt oss ikt-advokater: Prinsippet angir at kvalifiserte advokater skal ta seg av selve avtaleskrivingen.

Retningslinjene har et eget kapittel med definisjoner som skal være i overensstemmelse med den nylig publiserte ISO-standarden ISO/IEC 17788. Det er mange gode definisjoner og vi regner med at disse har stor bruksverdi for norske kontrakter. Blant annet er både tilgjengelighet og responstid definert på en hensiktsmessig måte.

Definisjonen av data er imidlertid ikke så god og kan virke overflødig. De klassiske begreper innenfor personvernretten – slike som behandlingsansvarlig, databehandler, personopplysninger, datasubjekt, behandling av personopplysninger er også tatt med og har gjengs definisjon.

Til slutt kommer fire kapitler som tar for seg konkrete mål for forskjellige tjenestenivåparametere. Foruten definisjonene, vil disse kapitlene i retningslinjene være de som trolig kommer til å ha mest praktisk nytte. For eksempel gis det beskrivelse av mulige parametere for å regulere SLA for tilgjengelighet, responstid, kapasitet, pålitelighet.

For kundene vil verdien av nettskyen ligge i de data som kundene lagrer og bearbeider i skyen. Derfor er krav til datahåndtering, sikkerhetskopiering, mulighet til å hente ut data ved opphør av avtalen meget viktige og sentrale forhold i retningslinjene.

Hvis de data som oppbevares i nettskyen direkte eller indirekte kan knyttes til fysiske personer, så vil som kjent reglene om personvern slå inn for hvordan nettskyen settes opp og hvilke avtaler som må inngås.

Retningslinjene gir derfor veiledning til hvilke praktiske parametere som kan benyttes for å beskrive SLA knyttet til personvern. I lys av de nye EU-reglene om personvern, vil det måtte komme et mye større fokus på at denne type forhold avtalereguleres i mer detaljert form enn hva som er vanlig nå.

Det gjenstår å se om retningslinjene vil bidra til å gi klarere og mer standardiserte avtaler om tjenestenivå. Her må kundene – brukere av nettskytjenestene – komme inn i større grad.

Eva Jarbekk, advokat/partner, og Kirill Miazine, senioradvokat, Føyen advokatfirma.