Hvor i all verden?

KOMMENTAR: Skytjenester og offshoring gjør at norske data stadig oftere vil bli lagret utenfor Norge. Spiller det noen rolle når vi kan nå dem på sekundet gjennom internettet? Åjada, her er det mange hensyn som skal veies mot hverandre. Stikkordet er kontrollert risiko.

Publisert Sist oppdatert

Gartner skiller mellom fire varianter av plassering. Den første er fysisk plassering, det vil si i hvilket land data skal lagres og driften foregå. Teknisk sett blir dette stadig mer irrelevant. Men det er mye lettere å ha kontroll med data hvis de er lagret og driftet i kundens hjemland. Ikke slik at man fra dag til dag kan stikke innom for å sjekke og klappe litt på boksene, men i risikable situasjoner kan det være nyttig å ha dem i nærheten. Kunden kjenner de hjemlige forholdene mye bedre og får vite raskere hvis det står dårlig til med tjenesteyteren. Det gjelder å handle kjapt før stor skade skjer. Selvfølgelig kan man få til det samme i utlandet, men det er vanskeligere og koster mer. Kanskje ligger det også litt følelser her.

Den neste er den juridiske plasseringen. Data er arvesølvet, blir de gjort utilgjengelig for en periode kan det være livsfarlig for bedriften. Og fordi data er så viktig, kan de tas i beslag hvis det oppstår uenighet om f.eks betaling. Ihvertfall kan leverandøren true med det. Derfor må jurisdiksjonen være krystallklar: Hvilken nasjons lovgivning og domstoler skal gjelde? Er det der kunden holder til? Er det der leverandøren har sitt hovedsete?

Situasjonen kan bli enda mer innfløkt: En norsk kunde kan f.eks. inngå avtale med en leverandør som har hovedsete i USA og bruker en indisk driftsleverandør. Det vil si at fysisk sett er data lagret i India, men juridisk sett er det enten Norge eller USA som gjelder. Dette må være avklart i kontrakten mellom partene. En norsk kunde vil selvfølgelig helst velge norsk lovgivning og norske domstoler, mens globale leverandører ofte har et annet syn. De har kunder i mange land og kan ikke forventes å forholde seg til mange med ulik rettspraksis.

Hvis de data det er snakk om er sensitive persondata om ansatte, kunder, pasienter og lignende, må det tas hensyn til de reguleringer som gjelder. EU er i ferd med å utarbeide en europeisk forordning for personvern, men den ligger et stykke unna. Dessuten vil det ta lang tid før den er implementert i de enkelte land og de enkelte kontrakter. For øvrig: Amerikansk tenkning og praksis på dette området er forskjellig fra den europeiske. Amerikanerne har alltid prioritert behovet til de kommersielle aktørene høyere.

Den tredje plasseringen er den politiske. I land med stor politisk turbulens, vekslende regimer og utbredt korrupsjon kan det være risikabelt og upopulært å plassere data. Akkurat i disse dager er Ukraina et godt eksempel – ingen kan si i dag hvor dén historien vil ende og derfor kan landet ikke tiltrekke seg ny business. En tommelfingerregel er at land der kostnadsnivået er attraktivt vil risikonivået være mindre attraktivt.

En annen side av politisk plassering av arbeidsoppgaver og data har med arbeidsplasser å gjøre. Utkontraktering til andre land betyr å flytte arbeidsplasser herfra og dit, og det grenser fort inn mot politikk. De som er imot utkontrakteringen får et ekstra kort på hånden hvis landet, dit oppgavene skal flyttes, ikke er helt spiselig, rent politisk.

Fysisk, juridisk og politisk plassering vil veie litt mindre hvis kunden er i stand til å holde stålkontroll med den logiske plasseringen. Her er spørsmålet: Hvem har tilgang til data? La oss tenke oss en norsk bedrift som inngår avtale med et irsk datterselskap av en amerikansk skytjenesteleverandør, vel vitende om at leverandøren bruker et indisk selskap for reservekopiering og oppbevaring av data. Her er altså fire land involvert. Juridisk plassering vil være Irland, politisk USA og fysisk India. Hvor blir det av Norge opp i dette?

Norge kan være den logiske plasseringen hvis all data, uansett om de er under transport eller lagret, blir forsvarlig kryptert og krypteringsnøklene håndteres utelukkende av kundens norske organisasjon. Bare kundens personale vil da kunne lese eller endre data. Fornuftige tilgangsregler vil selvfølgelig gjelde. Det indiske datasenteret vil arbeide med servere, datalagre og kommunikasjonslinjer, men ikke med datainnhold.

Det finnes fremdeles ingen gratis lunsj. En slik løsning vil øke kostnadene og temmelig sikkert skape visse forsinkelser. Likevel kan den vise seg å være den beste i en stadig mer kompleks, global verden.

hidas@online.no