Skytjenester er nyttige. Det kommer stadig nye tjenester som gjør livet enklere for norske virksomheter. Tjenestene brukes ved lagring av data og sikkerhetskopiering, ved streaming av multimedia, for epost – og mange andre formål. En av de store fordelene ved skytjenester er at datakraft kan tilpasses kapasitetsbehov: Virksomheten trenger bare betale for kapasiteten den faktisk bruker.

Men virksomhetene støter fort på rettslige problemer når de tar i bruk skytjenester. Flere regelverk, blant annet personvernreglene, kommer inn i bildet og må tas i betraktning fra tjenester vurderes og etterhvert implementeres.

Regjeringen har anerkjent at det rettslige bildet er i overkant komplekst for norske virksomheter. I regi av Kommunal- og moderniseringsdepartementet er det satt ned en interdepartemental arbeidsgruppe med ett formål: Å kartlegge juridiske hindringer for bruk av skytjenester som norske virksomheter må navigere ut ifra. Håpet er at arbeidet etterhvert skal bidra til å legge til rette for sikker og forutsigbar bruk av skytjenester innenfor rammene av norsk lov. Det er et stykke igjen til vi er der.

Arbeidsgruppen kom akkurat med sin rapport. De konstaterer at det særlig er tre typer data som det stilles spesielle krav til behandlingen av, og som derfor i praksis er utfordrende å legge i skyen: Finansielle data, arkivdata fra offentlige virksomheter og sist, men ikke minst; personopplysninger.

For virksomhetene er det komplisert å måtte forholde seg til dels overlappende regelverk for dataene som skal legges i skyen. Ikke bare regelverket, men også tilsynspraksis varierer, og er endatil på noen punkter motstridende. For en virksomhet som for eksempel både har finansielle data og personopplysninger, må man fort belage seg på at Finanstilsynet og Datatilsynet har ulike vurderinger. Dermed stiller de også i praksis forskjellige krav til bruk av skytjenester.

Regjeringens arbeidsgruppe ser at dette er uheldig og tar til orde for å harmonisere tilsynspraksis når det gjelder data lagret i skytjenester. Det er på høy tid.

Så hva kan virksomheter som ønsker å ta i bruk skytjenester gjøre for å unngå å snuble?

Første skritt er å få oversikt over hva slags data de har og hvilke data det er aktuelt å legge i skyen. Når dette er klart, må skyløsningen under lupen. Virksomheten må gjøre sårbarhets- og risikovurderinger – hva kan gå galt, og hvilke konsekvenser kan det få om noe skulle gå galt – og ut ifra det avklare om sikkerheten er god nok.

Fra et personvernperspektiv byr krav om oversikt over hvor data lagres og restriksjoner for sending av personopplysninger ut av EU/EØS ofte på problemer. Dette må virksomheten ta høyde for i vurderingen av skytjenesten.

Det er videre en forutsetning at virksomheten har regulert behandlingen av personopplysninger i en avtale med skyleverandøren, og at virksomheten kan dokumentere både vurderinger og sikkerhetstiltak er kommet på plass.

Virksomhetene må nok belage seg både på lovgivning som ikke er à jour med behovene deres og kryssende tilsynspraksis enda en stund. Inntil videre gjelder det å navigere rundt de juridiske snubletrådene etter beste evne.

Advokat Ingvild Næss, advokatfirmaet Thommessen. Næss leder advokatfirmaet Thommessens faggruppe for teknologi, telekom og personvern

Les hele avisen(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.