Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Cloud-computing – hvad går det ud på, og hvad er faldgruberne?

Bird & Bird
09/11/2021
Cloud-computing – hvad går det ud på, og hvad er faldgruberne?
Bird & Bird logo
I anledning af Bird & Bird og Computerworlds cloud-konference den 24. november 2021 vil vi i en artikelserie på 3 behandle de typiske problemstillinger, der knytter sig til anvendelse af cloud-baserede løsninger. Dette er den første artikel i denne artikelserie.

I disse tider overgår virksomheder og det offentlige i stigende grad til cloud-baserede løsninger, hvilket der er god fornuft i. Det er fleksibelt, ofte billigere end on-premise løsninger, kunderne får adgang til den nyeste og bedste teknologi og it-afdelingen kan reduceres eller eventuelt helt nedlægges.


En undersøgelse fra 2020 foretaget af Dansk IT spåede, at 2/3 af al offentlig digital infrastruktur vil være baseret på cloud i 2023 (modsat kun 1/3 i 2020). Udviklingen går derfor stærkt.


I denne artikel går vi i dybden med, hvad cloud er, og hvilke typiske faldgruber man som kunde skal være opmærksom på ved anvendelse heraf.


Hvad er cloud?

Der findes ikke én klar definition af cloud, men generelt kan man sige, at cloud-løsninger er kendetegnet ved, at de


  • er standardiserede
  • leveres fra leverandørens datacentre via internettet, dvs. uden krav om installation
  • er abonnementsbaserede, dvs. man ”lejer” løsningen frem for at ”købe” den
  • er skalerbare, dvs. kan skaleres op eller ned efter kundens behov

Når kunden anvender cloud, overlader kunden overordnet kontrollen til leverandøren og bliver en del af et standardiseret leveranceset-up med en række andre kunder.


Bagsiden af medaljen er, at man som kunde kan ende som en lille spiller i et stort hele, hvor det typisk er besværligt (læs: umuligt) at ændre på standardløsningen og dens vilkår. Kunden må derfor i højere grad end ved traditionelle it-løsninger acceptere leverandørens løsning og vilkår.


De forskellige typer af cloud

Cloud-løsninger inddeles normalt i tre kategorier:


  • Software as a Service (SaaS): Leverandøren stiller en tjeneste til rådighed i form af applikationer via internettet, som leverandøren hoster, driver og vedligeholder.
  • Platform as a Service (PaaS): Leverandøren stiller en platform, f.eks. serverkapacitet med styresystem og basissoftware, til rådighed via internettet. Kunden kan herefter selv installere egen software på platformen.
  • Infrastructure as a Service (IaaS): Leverandøren stiller infrastruktur, f.eks. en “rå” serverkapacitet, til rådighed for kunden via internettet. Kunden kan herefter selv installere styresystem og anden basissoftware på infrastrukturen.

De forskellige typer af løsninger giver forskellige muligheder for, hvor meget kontrol en kunde kan opnå med løsningen; en IaaS-løsning vil f.eks. give en større grad af kontrol og frihed end en SaaS-løsning, da kunden selv kan installere de styresystemer og applikationer, der skal anvendes ovenpå infrastrukturen.


Private cloud vs. Public cloud

Når man har lagt sig fast på, hvilken type cloud der er brug for, skal man vælge, hvem der skal være ansvarlig for denne cloud.


Der skelnes i den forbindelse mellem forskellige typer af clouds:


  • Public cloud, der er karakteriseret ved, at der er tale om en alment tilgængelig standard-løsning, der stilles til rådighed for kunderne via udbyderens forskellige datacentre, såkaldt "multi-tenancy". Eksempler herpå er Azure og AWS.
  • Private cloud, der er ikke er alment tilgængelig. En private cloud hostes på et privat og lukket netværk, som fysisk befinder sig i hosting-leverandørens datacenter ("single-tenancy").
  • Hybrid cloud: En hybrid cloud-løsning kombinerer en on-premise løsning (dvs. hos kunden selv) og en cloud-løsning. Kunden kan fx placere mere kritiske data on-premise og mindre kritiske data i en cloud-løsning.

Typiske faldgruber ved overgang til cloud

Spørgsmålet er ikke, hvorvidt man som virksomhed eller offentlighed myndighed overgår til cloud, men derimod hvornår og i hvilket omfang.


For med undtagelse af få tilfælde vil de fleste offentlige myndigheder og virksomheder inden for de næste par år overgå til cloud. Fordelene opvejer typisk ulemperne, og cloud kommer (og udvikles) i så mange afskygninger, at det kun er et spørgsmål om tid, før der er tilpas mange cloud-løsninger til at opfylde de fleste kunders behov. Hertil kommer, at leverandørerne gradvist lukker for sine gamle on-premise løsninger, som derfor om kort tid ikke findes på leverandørernes hylder.


Men – som historien har vist lidt for mange gange – er it-projekter (selvom de er cloud) ofte mere komplekse, koster flere penge og tager længere tid end forventet. Der er i den forbindelse en række typiske faldgruber, man som kunde skal være opmærksom på, når man vil overgå til cloud.


Disse kan overordnet inddeles i tre kategorier:


1) Forretningsmæssige risici, fx

  • om standardløsningen kan løse det nuværende og fremtidige behov (typisk få tilpasningsmuligheder når kunden først er migreret til cloud-verdenen), herunder leverandørens mulighed for at ændre standardproduktet under kontraktens levetid (kunderne får sjældent vetorettigheder);
  • risiko for vendor lock-in, hvor en kunde ender med at være låst til en leverandør, fx fordi et (gen)udbud af ydelserne teknisk er for omkostningstungt eller besværligt, eller fordi det er vanskeligt at konvertere data til en ny løsning;
  • om prismekanismen er tilstrækkelig transparent til, at man som kunde ikke ender med at betale mere end forventet; og
  • manglende (eller utilstrækkelig) integration til kundens øvrige it-systemer.

   

2) Kontraktmæssige risici, fx

  • utilstrækkelige eller uklare servicemål;
  • meget leverandørvenlige ansvarsbegrænsninger;
  • uklar håndtering af persondata (særligt i lyset af Schrems II-dommen, som vi gennemgår i artikel 3);
  • sikkerhed på leverandørens betingelser (sjældent mulighed for faktisk at inspicere faciliteterne, men alene adgang til standardrapporter);
  • kun en begrænset brugsret til tjenesterne, der ophører med kontrakten; og
  • uklart ansvarssnit mellem leverandøren og øvrige leverandører (hvor kunden risikerer at ende mellem to stole).

   

3) projektmæssige risici, fx

  • tilkoblingen til cloud-tjenesten (”implementeringen”) planlægges ikke ordentligt med faste milepæle, acceptkriterier mv.;
  • utilstrækkelig datamigrering (man tilkobles et system, der endnu ikke reelt kan fungere i kundens forretning);
  • udfordringer med integrationer til andre systemer
  • manglende intern træning hos medarbejderen i de nye tjenester (der muligvis ikke er så ”plug-and-play” som forventet).

Faldgruberne ovenfor kan tage pusten fra mange, hvilket selvfølgelig ikke er hensigten. Der kan nemlig være lige så mange risici forbundet med at implementere som at fortsætte med en (utilstrækkelig) traditionel it-løsning.


Det afgørende er, at man som kunde ikke blot hopper med på cloud-bølgen, men kritisk forholder sig til sine behov og markedets muligheder for at opfylde disse. Faldgruberne kan nemlig overvindes. Hvordan fortæller vi om i artikel 2.


Link til Bird og Computerworlds cloud-konference den 24. november 2021

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted