SlideShare uma empresa Scribd logo

Software as a service og andre skytjenester - oversikt og sjekkliste

Kristian Foss
Kristian Foss

Juridisk, teknisk og kommersiell sjekkliste for inngåelse av skytjenester, IaaS, PaaS og lignende tjenester. Legal, technical and commercial chechlist for contracting for cloud services, IaaS, PaaS and similar services.

Direito
1 de 23
Baixar para ler offline
Software as a service og andre skytjenester Innovasjonsarkitekt Frank Lexberg Advokat Kristian Foss Det årlige IKT-rettskurset 2016, Juristenes utdanningssenter Sandefjord, 4. mars 2016
Skytjenester i dag og i morgen Dagens prioriteter: Enkle løsninger, og de første seriøse steg… Trender og skytjenester om noen år: Komplekse integrerte løsninger, AI/analyse, IOT….kjerneløsninger... Dagens kunder som leverndører av SaaS til sine kunder….
Involverte ved innkjøp av skytjenester Data Forretn.enhet Konsepteier It - innkjøp kontrakt JuridiskIt- sikkerhet Risiko- analyse
SaaS-model fra bank IT anskaffelser Drift Termi- nering Forr. enh. Hendelse Bruker admin. overvåking Risikovurdering Incident Uautorisert bruk Rapport Kontrakt prosjekt Skykonsepteier Juridisk Sikkerhetsansvarlig Risiko ansvarlig Tar avgjørelser basert på:  Vedtatte retningslinjer  Kategorisering av informasjon  Sjekklister
Livsløp skytjenester og SaaS Risikoanalyse Leverandør- analyse Juridisk analyse Sikkerhet Analyse/tiltak Drift/guides Overvåkning Kontrakt
Oversikt sjekklister 1.Premissavklaringer 2. Personvernkrav 3. Informasjonssikkerhet 4. Implementasjon og drift 5. Beredskap og katastrofe 6. Vurdering leverandørkandidater 7. Forhandling av avtale 8. Samarbeidsforhold 9. Risikoreduserende tiltak 10. Oppfølging 11. Exit
Premissavklaringer ❏Hvilke krav gjelder kunden og bransjen? ❏Juridiske - krav informasjonssikkerhet ❏Personvernkrav ❏Virksomhetskrav generelt ❏Tekniske ❏Kommersielle ❏Emosjonelle ❏Hvilke mål har virksomheten? ❏Internasjonale ambisjoner? ❏Rask vekst? ❏Dataintensiv?
Personvernkrav ❏ Informasjonssikker (pol. § 13)? ❏ Grunnkrav oppfylt (pol. § 11)? ❏ Samtykke på plass? ❏ Innenfor formålet? ❏ Eksport persondata ut av EØS? ❏ EUs standardkontrakt? ❏ Hvitliste? ❏ Privacy shield? ❏ Sensitive data? ❏ Melding- eller konsesjonskrav? ❏ Kryptering? ❏ Innebygget personvern?
Informasjonssikkerhet ❏Risiko = Sannsynlighet x konsekvens ❏Kriminell attraktivitet? ❏Autentisering ❏Tilgangsstyring ❏Kontoadministrasjon ❏Logging ❏Kommunikasjon ❏Datatap ❏Lagring ❏Leverandørsamarbeid
Implementasjon og drift ❏ Får kunden implementasjonsbistand? ❏ Konfigureringsbistand? ❏ Krav ved migrasjon av gamle systemer? ❏ Behov opplæring? ❏ Prøve og akseptanseperiode? ❏ Integrasjon egne systemer? ❏ Muligheter for audits og overvåking under drift? ❏ Kostnader ovennevnte?
Beredskap og katastrofe ❏Hvilke systemer har leverandøren? ❏Hvilke systemer kan du etablere? ❏Speiling annet datasenter mulig? ❏Risiko konkurs - forskjell stor og liten? ❏Escrow relevant?
Vurdering leverandørkandidater ❏Risikovurdering ❏ Infrastruktur og underleverandører? ❏ Se eget punkt om informasjonssikkerhet ❏Referanser? ❏Sikkerhetssertifiseringer? ❏Stabilitet? ❏Åpne standarder? ❏Revisjon ❏ Tredjepart? ❏ Tilgang egen revisor? ❏Pris og prisstruktur?
Forhandling av avtale  Rett forhandlingsspor?  Mentale utgangspunkter  Plassering risiko  Ansvar og mellomrisiko  Villig etterleve lovkrav?  Avtaleplikt vs. løfter  Gir garanti geo-plassering?
Eksempel AWS-vilkår - geoplassering AWS Customer Agreement “We will not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities.” AWS Enterprise Agreement “AWS will not [...] (b) move Customer Content from the AWS regions Selected by Customer [...] except [...] as necessary to maintain [or provide] the Service Offerings, [....] comply with the law or [...] order of agovernmental or regulartory body (such as a subpoena or cort order).”
Samarbeidsforhold ❏Tilgang til ledelsen hos leverandør? ❏Selvbetjeningsverktøy? ❏SLA og bot? ❏Fakturering? ❏Rapportering av tjenestenivå og annet? ❏Referanser?
Risikoreduserende tiltak ❏Forsikring ❏Teknisk backup ❏ Speiling data ❏ Parallelt driftsmiljø ❏ Plassering ❏Utprøving ❏Gradvis overgang ❏Ulike leverandører ❏Hybridløsning
Risikoreduserende tiltak (II) ❏Portabilitet ❏Data ❏Løsning ❏Revisjon ❏Overvåking ❏Kortvarig lagring ❏Behandle ansatte godt
Oppfølging ❏ Mot avtale ❏ Jevnlig kontakt leverandør ❏ Følge med på info og endringsvarsler ❏ Teste backup og speiling ❏ Vurder forsikringsdekningen løpende
Exit ❏Bistandsplikt ved avslutning? ❏Lesbart dataformat eksport? ❏Varslingsfrist tjenesteopphør? ❏Konfigurasjonsinformasjon? ❏Datamodell?
Spørsmål?
Aktuelle lenker CSA Alliance: Gir god forståelse av områder som kan være problematiske ved bruk av skytjenester. https://downloads.cloudsecurityalliance.org/initiatives/pla/Priva cy_Level_Agreement_Outline.pdf https://cloudsecurityalliance.org/group/security-guidance/
Takk for oss! Kristian Foss Frank Lexberg

Recomendados

Knit for charity now
Knit for charity nowKnit for charity now
Knit for charity nowLIsapen9
 
Children charities
Children charitiesChildren charities
Children charitiesLIsapen9
 
Eur usd 12-julio-2013
Eur usd 12-julio-2013Eur usd 12-julio-2013
Eur usd 12-julio-2013Gloria Velasco
 
Manual OpenOffice impress
Manual OpenOffice impressManual OpenOffice impress
Manual OpenOffice impresscristinatesti
 
Vic McGill Refence Letter
Vic McGill Refence LetterVic McGill Refence Letter
Vic McGill Refence LetterVon Ketelsen
 
Presentación padres
Presentación padresPresentación padres
Presentación padresAllbeertoo
 
Premiee hats for charity
Premiee hats for charityPremiee hats for charity
Premiee hats for charityLIsapen9
 
Child charities
Child charitiesChild charities
Child charitiesLIsapen9
 

Recomendados

Knit for charity now
Knit for charity nowKnit for charity now
Knit for charity nowLIsapen9
 
Children charities
Children charitiesChildren charities
Children charitiesLIsapen9
 
Eur usd 12-julio-2013
Eur usd 12-julio-2013Eur usd 12-julio-2013
Eur usd 12-julio-2013Gloria Velasco
 
Manual OpenOffice impress
Manual OpenOffice impressManual OpenOffice impress
Manual OpenOffice impresscristinatesti
 
Vic McGill Refence Letter
Vic McGill Refence LetterVic McGill Refence Letter
Vic McGill Refence LetterVon Ketelsen
 
Presentación padres
Presentación padresPresentación padres
Presentación padresAllbeertoo
 
Premiee hats for charity
Premiee hats for charityPremiee hats for charity
Premiee hats for charityLIsapen9
 
Child charities
Child charitiesChild charities
Child charitiesLIsapen9
 
Rescue rabbits for adoption
Rescue rabbits for adoptionRescue rabbits for adoption
Rescue rabbits for adoptionLIsapen9
 
Roger Olson Reference Letter
Roger Olson Reference LetterRoger Olson Reference Letter
Roger Olson Reference LetterVon Ketelsen
 
Jose segura
Jose seguraJose segura
Jose segurajosesegurasalazar
 
Ddddddd
DddddddDdddddd
Dddddddkadiha
 
Sentir A Vida
Sentir A VidaSentir A Vida
Sentir A Vidaguest889e888c
 
Rock your profile
Rock your profileRock your profile
Rock your profileKarine Valgalier
 
Bertolt brecht antologia poética
Bertolt brecht antologia poéticaBertolt brecht antologia poética
Bertolt brecht antologia poéticaSecretaria de Estado da Educação - SEE
 
Rahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, SeksRahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, SeksAkademi Seks
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterLYNX advokatfirma DA
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterLYNX advokatfirma DA
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bjørn Sloth
 
IT-tjenester som strøm i veggen
IT-tjenester som strøm i veggenIT-tjenester som strøm i veggen
IT-tjenester som strøm i veggenErgoGroup
 
Altoros Norge Executive Summary
Altoros Norge Executive SummaryAltoros Norge Executive Summary
Altoros Norge Executive Summaryolgakov
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksAtle Frydenlund
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Anskaffelser Og Kontraktshåndtering
Anskaffelser Og KontraktshåndteringAnskaffelser Og Kontraktshåndtering
Anskaffelser Og KontraktshåndteringSoftware Innovation
 

Mais conteúdo relacionado

Destaque

Rescue rabbits for adoption
Rescue rabbits for adoptionRescue rabbits for adoption
Rescue rabbits for adoptionLIsapen9
 
Roger Olson Reference Letter
Roger Olson Reference LetterRoger Olson Reference Letter
Roger Olson Reference LetterVon Ketelsen
 
Ddddddd
DddddddDdddddd
Dddddddkadiha
 
Rahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, SeksRahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, SeksAkademi Seks
 

Destaque (8)

Rescue rabbits for adoption
Rescue rabbits for adoptionRescue rabbits for adoption
Rescue rabbits for adoption
 
Roger Olson Reference Letter
Roger Olson Reference LetterRoger Olson Reference Letter
Roger Olson Reference Letter
 
Jose segura
Jose seguraJose segura
Jose segura
 
Ddddddd
DddddddDdddddd
Ddddddd
 
Sentir A Vida
Sentir A VidaSentir A Vida
Sentir A Vida
 
Rock your profile
Rock your profileRock your profile
Rock your profile
 
Bertolt brecht antologia poética
Bertolt brecht antologia poéticaBertolt brecht antologia poética
Bertolt brecht antologia poética
 
Rahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, SeksRahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
Rahsia Nikmat Jimak, Senggama, Persetubuhan, Seks
 

Semelhante a Software as a service og andre skytjenester - oversikt og sjekkliste

Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterLYNX advokatfirma DA
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterLYNX advokatfirma DA
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bjørn Sloth
 
IT-tjenester som strøm i veggen
IT-tjenester som strøm i veggenIT-tjenester som strøm i veggen
IT-tjenester som strøm i veggenErgoGroup
 
Altoros Norge Executive Summary
Altoros Norge Executive SummaryAltoros Norge Executive Summary
Altoros Norge Executive Summaryolgakov
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksAtle Frydenlund
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterKjell Steffner
 
Anskaffelser Og Kontraktshåndtering
Anskaffelser Og KontraktshåndteringAnskaffelser Og Kontraktshåndtering
Anskaffelser Og KontraktshåndteringSoftware Innovation
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccJon Solheim
 
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...Bent J. Syversen
 
Hvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningHvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningOdd Inge Bjørdal
 
Presentasjon Ikt Tjenester As
Presentasjon Ikt Tjenester AsPresentasjon Ikt Tjenester As
Presentasjon Ikt Tjenester Asikt
 

Semelhante a Software as a service og andre skytjenester - oversikt og sjekkliste (20)

Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekter
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekter
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjon
 
Legal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakterLegal risk management: Hvordan styre risiko i kontrakter
Legal risk management: Hvordan styre risiko i kontrakter
 
Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakter
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17Bits psd2 presentation mobilepulse 30 aug 17
Bits psd2 presentation mobilepulse 30 aug 17
 
IT-tjenester som strøm i veggen
IT-tjenester som strøm i veggenIT-tjenester som strøm i veggen
IT-tjenester som strøm i veggen
 
Altoros Norge Executive Summary
Altoros Norge Executive SummaryAltoros Norge Executive Summary
Altoros Norge Executive Summary
 
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iksMellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
Mellomvare og integrasjon en innføring i bruk av biz talk hos ikt agder iks
 
Inngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakterInngåelse og oppfølging av it kontrakter
Inngåelse og oppfølging av it kontrakter
 
Anskaffelser Og Kontraktshåndtering
Anskaffelser Og KontraktshåndteringAnskaffelser Og Kontraktshåndtering
Anskaffelser Og Kontraktshåndtering
 
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
 
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...
Valg av standardavtaler innen IKT - oversikt over avtalene og hvilke passer t...
 
Hvordan Lykkes Med Overvåkning
Hvordan Lykkes Med OvervåkningHvordan Lykkes Med Overvåkning
Hvordan Lykkes Med Overvåkning
 
Om Redq
Om RedqOm Redq
Om Redq
 
Presentasjon Ikt Tjenester As
Presentasjon Ikt Tjenester AsPresentasjon Ikt Tjenester As
Presentasjon Ikt Tjenester As
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 

Mais de Kristian Foss

Bull Cyber Security beredskap hos Arctic Insurance
Bull Cyber Security beredskap hos Arctic InsuranceBull Cyber Security beredskap hos Arctic Insurance
Bull Cyber Security beredskap hos Arctic InsuranceKristian Foss
 
Hvordan usikre ting internett kan ramme deg
Hvordan usikre ting internett kan ramme deg Hvordan usikre ting internett kan ramme deg
Hvordan usikre ting internett kan ramme deg Kristian Foss
 
A new dawn of product liability IoT
A new dawn of product liability IoTA new dawn of product liability IoT
A new dawn of product liability IoTKristian Foss
 
Dataangrep - personlig ansvar for manglende datasikkerhet
Dataangrep - personlig ansvar for manglende datasikkerhetDataangrep - personlig ansvar for manglende datasikkerhet
Dataangrep - personlig ansvar for manglende datasikkerhetKristian Foss
 
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmålHvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmålKristian Foss
 
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETINNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETKristian Foss
 
State of the GDPR in Norway
State of the GDPR in NorwayState of the GDPR in Norway
State of the GDPR in NorwayKristian Foss
 
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Kristian Foss
 
Contracts 2.0 simple, visual and understandable
Contracts 2.0 simple, visual and understandableContracts 2.0 simple, visual and understandable
Contracts 2.0 simple, visual and understandableKristian Foss
 
Personvern for ledere og styrer 12. sept. 2017
Personvern for ledere og styrer 12. sept. 2017 Personvern for ledere og styrer 12. sept. 2017
Personvern for ledere og styrer 12. sept. 2017 Kristian Foss
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Kristian Foss
 
A practical approach to the internet of things by Kristian Foss
A practical approach to the internet of things by Kristian FossA practical approach to the internet of things by Kristian Foss
A practical approach to the internet of things by Kristian FossKristian Foss
 
Oversikt over nyheter i EUs nye personvernforording
Oversikt over nyheter i EUs nye personvernforording Oversikt over nyheter i EUs nye personvernforording
Oversikt over nyheter i EUs nye personvernforording Kristian Foss
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
Eksport av persondata (juridisk oversikt)
Eksport av persondata (juridisk oversikt)Eksport av persondata (juridisk oversikt)
Eksport av persondata (juridisk oversikt)Kristian Foss
 
Ansvar manglende datasikkerhet (juridisk oversikt)
Ansvar manglende datasikkerhet (juridisk oversikt)Ansvar manglende datasikkerhet (juridisk oversikt)
Ansvar manglende datasikkerhet (juridisk oversikt)Kristian Foss
 
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...Kristian Foss
 
Internet of things kristian foss slide share feb 2015
Internet of things kristian foss slide share feb 2015Internet of things kristian foss slide share feb 2015
Internet of things kristian foss slide share feb 2015Kristian Foss
 

Mais de Kristian Foss (19)

Bull Cyber Security beredskap hos Arctic Insurance
Bull Cyber Security beredskap hos Arctic InsuranceBull Cyber Security beredskap hos Arctic Insurance
Bull Cyber Security beredskap hos Arctic Insurance
 
Hvordan usikre ting internett kan ramme deg
Hvordan usikre ting internett kan ramme deg Hvordan usikre ting internett kan ramme deg
Hvordan usikre ting internett kan ramme deg
 
A new dawn of product liability IoT
A new dawn of product liability IoTA new dawn of product liability IoT
A new dawn of product liability IoT
 
Dataangrep - personlig ansvar for manglende datasikkerhet
Dataangrep - personlig ansvar for manglende datasikkerhetDataangrep - personlig ansvar for manglende datasikkerhet
Dataangrep - personlig ansvar for manglende datasikkerhet
 
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmålHvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
 
Tingens internett
Tingens internett Tingens internett
Tingens internett
 
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKETINNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
INNFØRINGSKURS I IT-RETT OG DET LOKALE STAMMESPRÅKET
 
State of the GDPR in Norway
State of the GDPR in NorwayState of the GDPR in Norway
State of the GDPR in Norway
 
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
 
Contracts 2.0 simple, visual and understandable
Contracts 2.0 simple, visual and understandableContracts 2.0 simple, visual and understandable
Contracts 2.0 simple, visual and understandable
 
Personvern for ledere og styrer 12. sept. 2017
Personvern for ledere og styrer 12. sept. 2017 Personvern for ledere og styrer 12. sept. 2017
Personvern for ledere og styrer 12. sept. 2017
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
 
A practical approach to the internet of things by Kristian Foss
A practical approach to the internet of things by Kristian FossA practical approach to the internet of things by Kristian Foss
A practical approach to the internet of things by Kristian Foss
 
Oversikt over nyheter i EUs nye personvernforording
Oversikt over nyheter i EUs nye personvernforording Oversikt over nyheter i EUs nye personvernforording
Oversikt over nyheter i EUs nye personvernforording
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen?
 
Eksport av persondata (juridisk oversikt)
Eksport av persondata (juridisk oversikt)Eksport av persondata (juridisk oversikt)
Eksport av persondata (juridisk oversikt)
 
Ansvar manglende datasikkerhet (juridisk oversikt)
Ansvar manglende datasikkerhet (juridisk oversikt)Ansvar manglende datasikkerhet (juridisk oversikt)
Ansvar manglende datasikkerhet (juridisk oversikt)
 
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...
Tingenes internett presentasjon Juristenes utdanningssenter 11. mars 2015 (pr...
 
Internet of things kristian foss slide share feb 2015
Internet of things kristian foss slide share feb 2015Internet of things kristian foss slide share feb 2015
Internet of things kristian foss slide share feb 2015
 

Software as a service og andre skytjenester - oversikt og sjekkliste

  • 1.
  • 2. Software as a service og andre skytjenester Innovasjonsarkitekt Frank Lexberg Advokat Kristian Foss Det årlige IKT-rettskurset 2016, Juristenes utdanningssenter Sandefjord, 4. mars 2016
  • 3. Skytjenester i dag og i morgen Dagens prioriteter: Enkle løsninger, og de første seriøse steg… Trender og skytjenester om noen år: Komplekse integrerte løsninger, AI/analyse, IOT….kjerneløsninger... Dagens kunder som leverndører av SaaS til sine kunder….
  • 4. Involverte ved innkjøp av skytjenester Data Forretn.enhet Konsepteier It - innkjøp kontrakt JuridiskIt- sikkerhet Risiko- analyse
  • 5. SaaS-model fra bank IT anskaffelser Drift Termi- nering Forr. enh. Hendelse Bruker admin. overvåking Risikovurdering Incident Uautorisert bruk Rapport Kontrakt prosjekt Skykonsepteier Juridisk Sikkerhetsansvarlig Risiko ansvarlig Tar avgjørelser basert på:  Vedtatte retningslinjer  Kategorisering av informasjon  Sjekklister
  • 6. Livsløp skytjenester og SaaS Risikoanalyse Leverandør- analyse Juridisk analyse Sikkerhet Analyse/tiltak Drift/guides Overvåkning Kontrakt
  • 7. Oversikt sjekklister 1.Premissavklaringer 2. Personvernkrav 3. Informasjonssikkerhet 4. Implementasjon og drift 5. Beredskap og katastrofe 6. Vurdering leverandørkandidater 7. Forhandling av avtale 8. Samarbeidsforhold 9. Risikoreduserende tiltak 10. Oppfølging 11. Exit
  • 8. Premissavklaringer ❏Hvilke krav gjelder kunden og bransjen? ❏Juridiske - krav informasjonssikkerhet ❏Personvernkrav ❏Virksomhetskrav generelt ❏Tekniske ❏Kommersielle ❏Emosjonelle ❏Hvilke mål har virksomheten? ❏Internasjonale ambisjoner? ❏Rask vekst? ❏Dataintensiv?
  • 9. Personvernkrav ❏ Informasjonssikker (pol. § 13)? ❏ Grunnkrav oppfylt (pol. § 11)? ❏ Samtykke på plass? ❏ Innenfor formålet? ❏ Eksport persondata ut av EØS? ❏ EUs standardkontrakt? ❏ Hvitliste? ❏ Privacy shield? ❏ Sensitive data? ❏ Melding- eller konsesjonskrav? ❏ Kryptering? ❏ Innebygget personvern?
  • 10. Informasjonssikkerhet ❏Risiko = Sannsynlighet x konsekvens ❏Kriminell attraktivitet? ❏Autentisering ❏Tilgangsstyring ❏Kontoadministrasjon ❏Logging ❏Kommunikasjon ❏Datatap ❏Lagring ❏Leverandørsamarbeid
  • 11. Implementasjon og drift ❏ Får kunden implementasjonsbistand? ❏ Konfigureringsbistand? ❏ Krav ved migrasjon av gamle systemer? ❏ Behov opplæring? ❏ Prøve og akseptanseperiode? ❏ Integrasjon egne systemer? ❏ Muligheter for audits og overvåking under drift? ❏ Kostnader ovennevnte?
  • 12. Beredskap og katastrofe ❏Hvilke systemer har leverandøren? ❏Hvilke systemer kan du etablere? ❏Speiling annet datasenter mulig? ❏Risiko konkurs - forskjell stor og liten? ❏Escrow relevant?
  • 13. Vurdering leverandørkandidater ❏Risikovurdering ❏ Infrastruktur og underleverandører? ❏ Se eget punkt om informasjonssikkerhet ❏Referanser? ❏Sikkerhetssertifiseringer? ❏Stabilitet? ❏Åpne standarder? ❏Revisjon ❏ Tredjepart? ❏ Tilgang egen revisor? ❏Pris og prisstruktur?
  • 14. Forhandling av avtale  Rett forhandlingsspor?  Mentale utgangspunkter  Plassering risiko  Ansvar og mellomrisiko  Villig etterleve lovkrav?  Avtaleplikt vs. løfter  Gir garanti geo-plassering?
  • 15. Eksempel AWS-vilkår - geoplassering AWS Customer Agreement “We will not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities.” AWS Enterprise Agreement “AWS will not [...] (b) move Customer Content from the AWS regions Selected by Customer [...] except [...] as necessary to maintain [or provide] the Service Offerings, [....] comply with the law or [...] order of agovernmental or regulartory body (such as a subpoena or cort order).”
  • 16. Samarbeidsforhold ❏Tilgang til ledelsen hos leverandør? ❏Selvbetjeningsverktøy? ❏SLA og bot? ❏Fakturering? ❏Rapportering av tjenestenivå og annet? ❏Referanser?
  • 17. Risikoreduserende tiltak ❏Forsikring ❏Teknisk backup ❏ Speiling data ❏ Parallelt driftsmiljø ❏ Plassering ❏Utprøving ❏Gradvis overgang ❏Ulike leverandører ❏Hybridløsning
  • 19. Oppfølging ❏ Mot avtale ❏ Jevnlig kontakt leverandør ❏ Følge med på info og endringsvarsler ❏ Teste backup og speiling ❏ Vurder forsikringsdekningen løpende
  • 20. Exit ❏Bistandsplikt ved avslutning? ❏Lesbart dataformat eksport? ❏Varslingsfrist tjenesteopphør? ❏Konfigurasjonsinformasjon? ❏Datamodell?
  • 22. Aktuelle lenker CSA Alliance: Gir god forståelse av områder som kan være problematiske ved bruk av skytjenester. https://downloads.cloudsecurityalliance.org/initiatives/pla/Priva cy_Level_Agreement_Outline.pdf https://cloudsecurityalliance.org/group/security-guidance/
  • 23. Takk for oss! Kristian Foss Frank Lexberg