Allt fler företag ser nyttan med att använda molntjänster, men det som lät som en enkel och billig lösning kan resultera i ordentliga bekymmer för den som inte ser över avtalet i förväg.
Sammanslutningen Cloud Sweden, som drivs av Dataföreningen, råder kunder att vara kritiska när avtalet ska förhandlas. Gruppen, som bland annat består av jurister och representanter från Stockholms universitet och Myndigheten för samhällsskydd och beredskap, har sammanställt riktlinjer för vad kunden bör tänka på.
Först och främst råder Cloud Sweden kunden att kontrollera molnleverantörens historik och referenser. Kunden bör tänka över hur pass kritisk information som ska läggas i molnet för att utvärdera vilken säkerhetsnivå som krävs.
– Det är viktigt att leverantören har regelbunden säkerhetskopiering, virusskydd, spamfilter och möjlighet till säkerhetsrevision från kund och tredje part, säger Lars Perhard, advokat och medlem i Cloud Sweden.
Kunden kan exempelvis kryptera informationen innan den lagras så att inte ens leverantören kan läsa den.
Eftersom en stor poäng med molntjänster är en låg kostnad, handlar det ofta om kraftigt standardiserade tjänster, vilket kan göra det svårt att förhandla om avtalsvillkoren. Cloud Sweden råder ändå kunderna att försöka.
De som hanterar personuppgifter måste följa personuppgiftslagens bestämmelser om hur information får flyttas utanför EU. Lars Perhard tipsar om att förhandla sig till att persondata som läggs i molnet inte överförs till servrar utanför EU.
Kunden bör också kolla upp vad leverantören får och inte får göra med informationen.
– En del leverantörer vill analysera informationen för att till exempel hitta kundbeteenden och skicka riktad marknadsföring. Det kan vara oerhört känsligt, säger Lars Perhard.
Tjänstens tillgänglighetsgrad bör regleras. Påföljder när det avtalade inte följs kan vara skadestånd eller prissänkning. Samma sak gäller för förlust och förvanskning av data.
En poäng med molntjänster är att kunna slippa tänka på licenser och andra rättighetsfrågor, men Cloud Sweden råder ändå kunden att kolla upp om leverantören kan garantera att den har de rättigheter som krävs för den aktuella tjänsten.
Till sist gäller det att bestämma vad som gäller om kunden vill sluta använda tjänsten. Dels att leverantören är behjälplig om användaren vill flytta data till en annan tjänst eller till egna servrar, dels kan det vara en bra idé att bestämma i vilket format data ska levereras.
1 Säkerhet: Gör en analys av hur kritisk informationen som ska läggas i molnet är och anpassa säkerhetsnivån efter det. Utvärdera leverantören (regelbunden säkerhetskopiering, virusskydd, återläsbarhetskontroll, spamfilter).
2 Personuppgifter: De kunder som hanterar personuppgifter i molnet måste ta ställning till var och av vem de behandlas – särskilt om de överförs utanför EU.
3 Sekretess: Kunden äger sin information utan inskränkning och den ska hållas åtskild från andra kunders data.
4 Servicenivåer: Tänk över hur hög tillgänglighet till tjänsten som krävs och vilka påföljder (viten, prisreduktion) som ska tillämpas om nivåerna inte nås.
5 Ansvar: Skriv in i avtalet vad som händer vid avtalsbrott och särskilt vid förlust och förvanskning av data, haverier och stopp i produktionen (prisreduktion, skadestånd).
6 Avveckling, migrering och exit: Den som vill avsluta ett avtal måste få tillbaka informationen snabbt och i ett läsbart skick. Leverantören ska även åta sig att hjälpa till vid en flytt av informationen.
7 Licensiering och immateriella rättigheter: Se bland annat till att leverantören garanterar att den har de rättigheter som krävs för att kunden ska kunna använda tjänsten utan att göra någon form av immaterialrättsligt intrång.
8 Avstängning: Leverantören får inte godtyckligt stänga tjänsten. Avtalet måste i detalj ange under vilka förutsättningar det får ske.
9 Flexibilitet: Tjänsten ska vara skalbar, men kolla även hur flexibel den är i övrigt och om det exempelvis går att köpa tilläggstjänster.
10 Avrop: När strukturen väl är på plats kan det gå enkelt att köpa till funktioner. Var medveten om risken för att anställda okontrollerat handlar i molnet.
11 Tvistelösning: Bestäm vilket lands lag som ska tillämpas. Om en tvist trots allt uppstår kan en skiljeklausul vara lämplig. Stockholms Handelskammares skiljedomsinstitut tillhandahåller modellklausuler för förfarandet.
Källa: Lars Perhard, Cloud Sweden
