Artikel top billede

"I sin kontrakt skal man have aftalt, hvor dataene er henne rent fysisk," slår it-advokat Anders Wernblad fast. Ellers risikerer du, at dataene falder i de forkerte hænder.

Sådan undgår du faldgruberne i din SaaS-kontrakt

It-Akademiet: De såkaldte software as a service-ydelser vinder stadig større udbredelse i erhvervslivet, men kendskabet til, hvad kontrakterne bør indeholde, halter, advarer advokat.

It-Akademiet: "Jeg tror ikke, det er af ond vilje, at virksomhederne ignorerer det med småt i kontrakterne. Jeg tror simpelthen ikke, at de er opmærksomme på det. Samtidig er leverandørerne bange for at love kunderne for meget, selvom det rent faktisk kan være en fordel for dem."

Sådan lyder det fra it-advokat og partner Anders Wernblad fra Lett Advokatfirma, når han skal forklare, hvorfor der lander sager på hans bord, der involverer virksomheder, der er kommet i problemer med deres software-as-a-service-leverandør (SaaS). Eller omvendt leverandører, der har brug for rådgivning om, hvordan en SaaS-kontrakt skal se ud.

Umodent marked giver udfordringer

"Markedet er ikke helt modent endnu. Dels på kundesiden, hvor de ikke helt ved, hvad de risikerer ved at lægge data ud i skyen, dels på leverandørsiden, hvor langt de fleste ikke er præcise nok i deres betingelser," siger Anders Wernblad.

Han forklarer, at den kombination betyder, at mange virksomheder - kunder såvel som leverandører - ikke har gjort sig klart, hvad en SaaS-løsning reelt indebærer af forskellige faldgruber.

"Langt de fleste virksomheder er ikke opmærksomme på alt det med småt. De ser på økonomien og de ser på teknikken, men tænker ikke skridtene videre. De fleste mennesker tror på det bedste, når nogen kommer og tilbyder dem en smart løsning, og så bliver man måske forblændet af mulighederne uden at tænke på de mere problematiske sider af sådan et samarbejde.

Leverandørerne er på den anden side ofte bange for, at de påtager sig unødvendige risici ved at love kunderne for meget," siger Anders Wernblad.

Tør du sende kritisk data op i skyen?

Og problematikker er der nok af, når SaaS-kontrakten skal underskrives. Før du fører kuglepennen til den stiplede linje og trykker din leverandør i hånden, er der derfor nogle grundlæggende elementer, du som it-ansvarlig skal have styr på.

Først og fremmest, forklarer Anders Wernblad, skal kunden gøre sig klart, at ens data per definition ryger ud af egne hænder og ud i den så berømte sky. Altså over på leverandørens servere.

Det skal medføre en stribe overvejelser hos it-chefen.

"Jeg mener, at SaaS-løsninger kan være en rigtig god idé - især for små og mellemstore virksomheder. Men man skal gøre sig klart, at hvis man vælger en SaaS-løsning, så ryger ens data ud af huset. Hvis det er e-mails, interne dokumenter, kundelister og så videre, skal man nok spørge sig selv: Tør man at lade den slags data ligge ude af huset?'" siger Anders Wernblad.

"I nogle tilfælde kan det faktisk være det helt rigtige, hvis ens egen sikkerhedshåndtering ikke er tilstrækkelig god. Men det kræver, at leverandøren i det mindste kan dokumentere et bedre sikkerhedsniveau," tilføjer han.

Flere gode råd: Regnskaber og persondata

Regnskaber skal opbevares i Danmark

Anders Wernblad forklarer, at det er populært at lade regnskabssystemer køre som SaaS-løsninger. Gør man det, er der imidlertid en række regler i bogføringsloven, man skal være opmærksom på.

"Regnskabsmateriale skal opbevares i Danmark. Det er ikke kun de fysiske bilag, men i bogføringslovens forstand er det også hele det elektroniske transaktionsspor, som skal være i Danmark," siger han.

"Praksis er meget streng, så man får næppe dispensation til at opbevare sine regnskaber i udlandet."

Persondata skal holdes inden for EU

Overvejer virksomheden at lade kundelister og andre dokumenter med personfølsomme data ryge op i skyen, er det persondataloven, der sætter begrænsningerne.

"Man kan ikke uden videre sende persondata rundt i de forskellige lande. Først og fremmest skal der altid være hjemmel til videregivelse efter persondataloven," siger siger Anders Wernblad og fortsætter:

"Dernæst er sondringen, om vi er inden for EU, eller om vi er udenfor. Er vi udenfor, kan man som hovedregel ikke bare sende persondata ud uden at få samtykke fra den person, hvis data er registreret."

Han forklarer, at det dog er muligt, hvis man er villig til at indgå en standardaftale, der garanterer, at det sikkerhedsniveau, der er hos den pågældende leverandør, er det samme, som det ville være inden for EU.

Flere gode råd: Hvor i alverden er dine data?

Vær sikker på, hvor dine data er fysisk

Problemet består i, at det ikke altid er lige let at finde ud af, hvor en given leverandør rent fysisk opbevarer dine data. Det skal man sikre sig fuld klarhed over, fastslår Anders Wernblad.

"I sin kontrakt skal man have aftalt, hvor dataene er henne rent fysisk, og at de ikke uden videre kan overføres til andre lande. En god tommelfingerregel er, at de skal være inden for EU, medmindre leverandøren kan levere den nødvendige dokumentation for, at det er i orden at placere dem udenfor," siger han.

Er dine data i Kina eller USA eller...?

"Meget ofte aner man ikke, hvor ens data er henne. Det kan godt være, det er Google, der er leverandør, hvor man ved, de har virksomhed i USA, men hvor selve dataene er, ved du ikke altid. De kan være i Kina eller andre steder," siger han.

Og er det tilfældet - at dine data er i Kina - kan der opstå komplikationer.

"Når dine data er i et andet land, så er det det lands persondatalovgivning, der bestemmer - hvis de da overhovedet har en," siger Anders Wernblad og fremhæver som eksempel bankernes elektroniske samarbejdsaftale SWIFT, der opdagede det faktum på den hårde måde.

Du mister kontrol over indholdet

"Swift havde spejlede servere, hvor transaktionerne kørte igennem både EU og USA. Det, der kørte igennem den amerikanske server, var så underlagt amerikanske lovgivning, og det betød, at de amerikanske myndigheder havde adgang til oplysningerne, fordi de havde en bestemmelse i deres lovgivning om, at det kunne de få adgang til," siger han.

"Det er et eksempel på, at når ens data er ude af ens rådighedssfære, så kan det være anden lovgivning, der gælder, og man mister kontrollen over indholdet," siger Anders Wernblad.

Flere gode råd: Hvis leverandøren går i sort

Hvad sker der, hvis leverandøren går i sort?

Før du sætter din signatur på SaaS-kontrakten, bør du også gøre dig klart, hvad der sker, hvis din leverandør går konkurs eller på anden måde lider nedbrud. I værste tilfælde kan du risikere at miste data.

Anders Wernblad forklarer dog, at alene kontrakten ikke er nok ved en eventuel konkurs.

"Du skal sikre dig i kontrakten, at leverandøren har en forpligtelse til at tage backup og kryptere og så videre, men når en virksomhed går konkurs, så lukker den tit fra den ene dag til den anden, og du kan ikke regne med, at du kan få en kopi af dine data," advarer han.

Vælg format, du kan genbruge med ny leverandør

Dernæst, siger han, er det afgørende, at det format, leverandører bruger, kan genanvendes uden hjælp fra den pågældende leverandør i tilfælde af konkurs.

"Det er vigtigt, at det format, dataene køres i, kan føres videre i et andet system, så man reelt kan fortsætte med en anden applikation. Derfor er det nødvendigt at vide, hvor kompliceret det er at overføre data til et andet system. Det er ret vigtigt, for det har lige pludselig betydning for ens forretning, der kan ligge stille i dage, uger, måneder, hvis dataene ikke kan overføres," siger Anders Wernblad.

Lav en samlet risikovurdering

Alt sammen, råder advokaten, skal være en del af en samlet vurdering, som du laver, inden kontrakten med din SaaS-leverandør bliver skrevet under.

"Som kunde skal man lave en risikoprofil, hvor der indgår en behovsanalyse, en sikkerhedsanalyse af persondata og regnskabsdata samt hvilken sikkerhed leverandøren tilbyder. Dernæst skal kunden sikre sig, hvilke garantier han har for oppetider, backup, svartider og den slags. Og til sidst: Hvis jeg vil skifte, hvad har jeg så af muligheder?" siger Anders Wernblad.

Han forklarer, at netop disse spørgsmål imidlertid også giver en eventuel SaaS-leverandør mulighed for at profilere sig og opnå konkurrencemæssige fordele.

"En proaktiv leverandør sørger for, at det i standardkontrakten med kunden er beskrevet, hvordan kunden er sikret i forhold til data, sikkerhed med videre. Har man gjort det, er det et klart signal til kunderne og markedet om, at man er en seriøs leverandør, der er til at stole på. Det er noget, som kan bruges markedsføringsmæssigt," slutter Anders Wernblad.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere