Værd at vide om cloud kontrakter

2016-03-22

Hybride cloud-miljøer bliver i større omfang mere standardiserede – men hvordan påvirker det virksomheders evne til at beskytte personlige data og hvordan sikrer man sit dataflow? Cloud computing kontrakter er ofte ”light” med standardiserede betingelser, der tilbyder begrænset eller ingen muligheder for ­ændringer. Få her et indblik i ”next-generation” hybride cloud-miljøer og hvordan det vil ændre best practice for kontrakter. Bliv også opdateret på seneste aftaler om beskyttelse af personlig data ved overførsel til USA.

Typiske standardkontrakter ­efterlader en residual risiko

Ifølge Gartner udarbejdes en væsentlig andel (36%) af cloud services på en standardiseret ’light’ kontrakt. Det kan skyldes flere ting, men der peges på to primære årsager:

  • Slutbrugere køber servicen direkte
  • De store producenter er dominerende på cloud markedet

Når man etablerer cloud services direkte hos producenterne er der ingen eller lille mulighed for tilpasning i kontrakter, hvilket resulterer i en residual risiko. Derfor skal man som virksomhed nøje overveje hvilken data eller drift, man placerer i en cloud og hvilken risiko man vil acceptere. Residual risikoen er prisen man betaler for at anvende standardi­serede commodity services, som cloud markedet i større grad udvikler sig til, når man sammenligner med traditionelle ”managed IT services”. Det kan være katastrofalt, hvis man som ­virksomhed ikke har forholdt sig til den risiko en kontrakt kan give og hvis terms & ­conditions ikke er fair – specielt hvis man placerer forretningskritisk data.

Eksempelvis forbeholder nogle producenter sig retten til dels at ændre i servicen og dels, at opsige samarbejdet med meget kort varsel. Det kan give udfordringer hvis man er afhængig af sammenstykningen af servicen som ændres, og hvis man ikke kan gennemføre en transition/transformation til et nyt miljø inden for en kort frist.

Cloud brokers

Den store stigning der ses i markedet for brokers, gør cloud computing lettere tilgængelig for virksomheder. Brokers er mere fleksible i leverancemodeller og i kontrakter, hvor der i højere grad kan tages højde for den enkelte, dog således at man stadig køber sig ind i stordriftsfordele. Brokers kan mindske risici ved fx at levere en mere struktureret governance og service delivery management på toppen af de standardiserede cloud services. Herudover kan en broker også bedre assistere en virksomhed til at kunne gennemføre en mere effektiv transition i forbindelse med exit.

Brokers kan sammensætte forskellige services i et hybrid-miljø, hvor man som virksomhed kan udnytte forskellige services hos én og samme leverandør. Det betyder samtidig, at du som virksomhed kan placere din data og drift hvor det giver bedst mening, alt efter hvor kritisk det er. Hybride miljøer understøtter muligheden for fleksibilitet, kost effektivitet og innovation.

Den kommende Persondata­forordning og overførsel af data til USA

Persondataforordningen har fået ”management attention” hos mange virksomheder og flere er allerede i gang med at forberede sig. Bøder i størrelsesordenen af 4% af en virksomheds årlige koncernomsætning eller 20.000.000 kr. for ikke at have styr på behandling af persondata gør det helt naturligt, at der er et øget fokus på en virksomheds compliance. Det bliver derfor mere og mere afgørende, at man som virksomhed er bevidst om hvor og hvordan man placerer sin data og drift. Den nye Persondataforordning ser lige nu ud til at træde i kraft i starten af 2018.

Efter Safe-Harbor blev underkendt d. 6 oktober 2015 af EU-Domstolen (der har sikret, at data kunne flyde frit mellem EU og USA), har der ikke været en aftale mellem EU og USA om hvordan US virksomheder må behandle data fra EU.

EU-US Privacy Shield blev i starten af februar i år indgået mellem EU og USA. Det er en ny aftale, som skal erstatte Safe-Harbor, hvilket igen gør det muligt at overføre data til USA. Man skal derfor som virksomhed være bevidst om, hvilken data man har outsourcet, som genererer datastrømme til USA og generelt uden for EU.

Er cloud producenter stadig i kontrol?

Den store stigning i markedet for brokers har ændret måden hvorpå man som virksomhed kan udnytte cloud services. Men hvordan kan man som virksomhed sikre sin compliance ift. gældende og kommende persondatalovgivning? Overvej disse faktorer:

  • Forretningsmodellerne for ­infrastruktur løsninger as-a-service ændrer sig og bliver mere og mere ­standardiserede
  • Cloud brokers har etableret sin ­relevans på markedet ved at være mere fleksible i deres sammen­sætning af services og kontrakter
  • Stigningen i cloud brokers modner markedet for cloud og sikrer en stadig stigende adoption og gør hybride-miljøer mere tilgængelig for ­virksomheder
  • Cloud brokers giver større fleksibilitet og sikkerhed på databehandling og -flow
  • Cloud brokers giver mulighed for at kontrahere med en lokal partner, der har mulighed for at sætte sig ind i virksomhedens behov

Key takings

Hvad skal man som virksomhed fokusere på nu og frem til den kommende persondataforordning?

Først og fremmest skal man gøre sig bevidst, hvilke data og hvilken drift man ønsker at placere i en cloud med alle de muligheder det giver. Herunder om man med fordel kan gøre brug af hybride it-løsninger. Dernæst skal man allerede nu overveje hvordan man er compliant med gældende lovgivning. Eksempelvis om man har styr på sine datastrømme, klassificering af data og en vurdering af om de nødvendige databehandleraftaler er på plads. Til sidst skal man nøje overveje hvilke residuale risici man kan acceptere ved en cloud kontrakt, ­sammenlignet med en traditionel ”­managed IT services” kontrakt.