Datalovgivningen overtrædes hver dag. Få ti gode råd til din cloudaftale

1. 10 gode råd
Cloud - sikkerhed

2. Introduktion
Hvem er jeg?
- Advokat, partner i Plesner
- Specialist i persondatabeskyttelse, 10+ års erfaring, leder af Danmarks
største team med i alt 4 dedikerede specialister
Hvorfor dagens emne?
- Det er vigtigt af kommercielle grunde
- Krav under persondataloven
- Der kommer en Persondataforordning (formentlig) fra 1. januar 2018
- Bøder op til 5% af global omsætning eller 100 mio. Euro!
13. marts 20152

3. 1 Skriftlig aftale
• Der er krav om indgåelse af en skriftlig aftale ved brug af datacentre
• Skal indeholde en række bestemmelser, bl.a. vedrørende
• Hvad må datacentret bruge data til
• Hvor længe gælder aftalen
• Overholdelse af compliancekrav og sikkerhedskrav
• Opfølgning og auditering
• Underleverandører
Og meget mere.
Husk at læse den, inden du indgår en cloud aftale!
13. marts 20153

4. 2 Er der styr på compliance og sikkerhed?
• Man kan ikke vurdere om man kan/må bruge en databehandler, uden at kende
kravene til sit eget niveau
• Derfor: Er der styr på din egen forretning? Start med at se på din egen
risikovurdering:
• Complianceprogram: F.eks. oplysningspligt, behandlingsgrundlag, indsigtsret og
slettefrister
• Sikkerhedsprogram: Ekstern sikkerhed, intern sikkerhed (f.eks. rollestyring)
• Særlige vilkår stillet af Datatilsynet i en tilladelse, eller af andre myndigheder!
• Der er pligt til at foretage en vurdering af compliance og sikkerhed ved brug af cloud
INDEN man begynder at bruge tjenesten
• Benchmark mod kundens eget program/niveau!
• Adgang til de nødvendige oplysninger?
• Pligt til at overholde danske krav, selv om man bruger en databehandler uden for
Danmark
• I øvrigt også pligt for databehandleren til at overholde sikkerhedskrav i sit
hjemland
13. marts 20154

5. 3 Cloud er dødt
Også kendt som: Hvor er mine data?
• Krav om, at kunden har mulighed for at kende den præcise beliggenhed af
datacentre inden aftaleindgåelse – og hvordan kan kunden gennemføre en
risikovurdering uden at havde disse oplysninger?
• Ok med en dynamisk kontrakt, hvor kunden får oplyst beliggenhed for
datacentre ved aftaleindgåelsen, sammen med en mekanisme i kontrakten,
hvor kunden gives et rimeligt varsel om nye datacentre (sammen med en
mulighed for at udtræde af kontrakten)
• Et servicecenter er også et datacenter! Læseadgang svarer til opbevaring
• Krav om, at kunden altid har adgang til den præcise adresse for alle
datacentre
13. marts 20155

6. 4 Er der ret til at bruge underleverandører?
• Krav om, at kunden ved og godkender brugen af underleverandører (i det
mindste, at det kan ske)
• Hvis generelt samtykke, som ikke kan tilbagekaldes, krav om mekanisme i
kontrakten, hvor kunden gives et rimeligt varsel om nye underleverandører
(sammen med en mulighed for at udtræde af kontrakten)
• Underleverandøren skal leve op til alle de formelle krav. Krav om, at
kunden har de påkrævede juridiske rettigheder også over for
underleverandøren.
• Kunden skal have ret til at modtage en kopi af den formelle del af aftalen
mellem leverandør og underleverandør, sådan at kunden kan kontrollere
ovenstående
• Pas på underleverandører uden for Danmark
13. marts 20156

7. 5 Forlader dine data EU/EØS?
• Overførsel til lande uden for EU/EØS (3L) kræver et særligt
grundlag
• Både relevant for datacentre og servicecentre
• Kun få sikre 3L
• Safe Harbor (lidt endnu?)
• Binding Corporate Rules for processors
• Model Clause contracts (pas på, hvem der bliver parter til aftalen)
• Overvej om der er anmeldelsespligt til Datatilsynet
13. marts 20157

8. 6 Opfølgning
Krav om, at kunden løbende følger op på aftalen, både ift compliance
og sikkerhed
• Husk, hvad benchmark var! Hvis det ændrer sig – og det bør det gøre - så ændrer
kravene til leverandøren sig også.
• I praksis ved at leverandøren indhenter erklæringer en gang årligt
• Men kontrakten skal give kunden ret til at sende egne eksperter ind på datacentre
• Krav om pligt for leverandøren til at stille alle relevante oplysninger til rådighed for
kunden, sådan at kunden kan overholde sine forpligtelser
• Gælder tilsvarende for underleverandører!
13. marts 20158

9. 7 Andre myndighedskrav
• Anmeldelse af databehandler, hvis man har en tilladelse fra
Datatilsynet
• Må data forlade Danmark?
• Krigsreglen for offentlige dataansvarlige
• Særregler for private, f.eks. om opbevaring af regnskabsoplysninger
• Kan leverandøren slette data, hvis kunden beder om det?
• Lyder simpelt, men det er det ikke!
13. marts 20159

10. 8 Er der tale om en koncern?
Pas på, hvis der er tale om brug af cloud, initieret af et moderselskab, men
reelt på vegne af hele koncernen, som kan bruge tjenesten
• Tendens til at glemme, at danske og udenlandske datterselskaber kan være
underlagt andre krav end dem, som gælder for moderselskabet
 Tilbage til punkt 2, 5 og 7, denne gang for hvert enkelt selskab
• Husk interne aftaler (Intra-Group Agreement)
 Tilbage til punkt 1
13. marts 201510

11. 9 For ikke at nævne…
ALLE de andre forhold
• Tekniske forhold
• Forhandling af kontrakten, hvis den ellers er til forhandling…
• Service levels
• Ophørsassistance
• Hvad gør du, hvis udbyderen går konkurs?
• Dansk IT / Danske IT Advokater har udgivet: Vejledning om juridiske,
kommercielle og tekniske forhold i aftaler om Cloud Computing
• http://dit.dk/Om_DIT/Organisation/~/media/Files/Publikationer/Gratis_pu
blikationer/CloudComputing_vejledning_final.ashx
13. marts 201511

12. 10 Det sidste gode råd er derfor
Tal med din advokat
Cloud er nemt af mange grunde
- men de samme grunde gør det juridisk og teknisk meget mere komplekst
end jeres egen server i kælderen
13. marts 201512

13. Læs mere
Datatilsynet
Microsoft 365 afgørelsen
http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behandling-af-
personoplysninger-i-cloud-loesningen-office-365/
Artikel 29 Gruppen
Opinion 05/2012 on Cloud Computing (WP 196)
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012/wp196_en.pdf
13. marts 201513

14. Spørgsmål?
PLESNER
Advokat, partner Michael Hopp
mho@plesner.com
Tlf. 29993014
13. marts 201514