De senaste åren har präglats av många tvära kast i molnfrågan. Trots förra sommarens adekvansbeslut från EU är frågan om amerikanska molntjänster fortfarande glödhet.
GDPR-experten: ”Frågan kommer högre upp på agendan”
Molntjänster
Det kan kännas svårt att navigera i den regulatoriska djungeln som numera omgärdar användningen av molntjänster. Vi har pratat med Arman Borghem på Cleura om marknadstrender, fördelarna med open source-lösningar och framtiden för molnfrågan.
Någonting är fel
Läs vidare – starta din prenumeration
- Tillgång till vår digitala Premium-tjänst om professionell kommunikation.
- Nischade nyhetsbrev för Professional och Contact Center.
- Få tillgång till alla avsnitt i vår utbildnings-tv om Teams-telefoni, SD-Wan och Chattbotar.
- Sex papperstidningar om året med tydligt fokus på Telekom-branschens viktigaste frågor.
– Syftet med ett adekvansbeslut är att skapa en förutsägbarhet så att invånare och organisationer ska veta vad som gäller. Nu har vi ett tredje beslut som jag och många med mig tror kommer att falla inom två-tre år, säger Cleuras Arman Borghem.
Efter att ha jobbat med it-rättsliga frågor på både Skatteverket och Kammarkollegiet tog han i fjol steget över till Cleura.
– Vi växer jättemycket. Det finns en helt annan medvetenhet om möjligheterna och utmaningarna med molntjänster numera. Jag tror det beror på att GDPR har satt sig och att tillsynsmyndigheternas aktivitet har ökat.
– Nu finns det faktiskt flera fall där det blivit ekonomiskt kännbara konsekvenser för företag och organisationer som inte levt upp till regelverken. Det gör att frågan kommer högre upp på agendan.
Så adekvansbeslutet har inte inneburit ett minskat intresse för era tjänster?
– Nej, verkligen inte. Jag tror många är brända av Schrems II och är medvetna om riskerna. Även om du just nu kan överföra personuppgifter till USA så är det inte så mycket som talar för att den här lagstiftningen kommer att hålla vid en prövning.
– Ska du göra en digital satsning av betydelse behöver du naturligtvis tänka långsiktigt och då går det inte att förlita sig på adekvansbeslutet.
I spåren av Schrems-domarna och att vikten av digital suveränitet blivit en större prioritet har molnjättarna vidtagit åtgärder för att mer data ska stanna i EU.
– Det är helt klart så att de amerikanska molnjättarna har börjat anpassa sig, men det återstår att se om det är en marknadsföringsgrej eller om de har löst grundproblemet.
It-juristen säger att de upplägg från molnjättarna han tittat på hittills inte har imponerat.
– Även om du inte har tredjelandsöverföringen så är fortfarande amerikansk lagstiftning extraterritoriell vilket innebär att den amerikanska staten kan nå din data oavsett var din amerikanska molntjänstleverantör hanterar den.
En majoritet av Cleuras kunder återfinns i privat sektor. I synnerhet inom hårt reglerade branscher som bank, vård och försvarssektorn. Arman Borghem tycker sig se ett tydligt uppvaknade från både företag och organisationer i molnfrågan.
– Tidigare har vi haft en situation där det i praktiken inte har blivit några konsekvenser om du bryter mot lagstiftningen på området.Enligt min mening är det som att inte ha någon lagstiftning alls.
– Nu ser vi hur myndigheter som IMY i Sverige får resurstillskott och blir mer och mer aktiva.
Arman Borghem pekar på ett beslut i Danmark där tillsynsmyndigheten slagit ner på 53 kommuner som hanterat skolbarns personuppgifter i Googles tjänster.
– Det är nu 53 danska kommuner som behöver förhålla sig till det här beslutet. Jag tror att många i både privat och offentlig sektor bara kört på med amerikanska molntjänster eftersom alla andra gör det. Men den synen att det går att gömma sig i mängden börjar nu naggas i kanten.
Fakta
Expertens fyra tips för lyckad digitalisering
1) Låt inte räven avgöra vilket hönsnät du köper.
Det kan vara bekvämt med en licenspartner, men intern beställarkompetens är grunden till allt. Här ingår förmågan att upprätthålla och samordna flera insikter: om verksamhetsbehovet och den nytta som ska skapas, marknadens utbud, juridikens möjligheter och råmärken samt i viss mån hur tekniken fungerar. Därtill behövs en förmåga att skärskåda leverantörers besked och löpande säkerställa att leveranser är avtalsenliga.
2) Säkerställ att din verksamhet har en realistisk exitstrategi.
I en jämförelse av digitala lösningar, väg in hur lätt eller svårt lösningarna gör det att migrera till en annan leverantör. Ju viktigare en lösning är för verksamheten, desto viktigare är det att kunna upphandla en alternativ leverantör. Vill du ha en leverantör med långsiktiga incitament att vara tillmötesgående, innovativ och ge konkurrenskraftiga priser – eller en leverantör där du blir inlåst och får svårt att lämna?
3) Värdera leverantörers mognadsgrad inom regelefterlevnad, och hur lätt eller svårt de gör det för din verksamhet att följa regelverken.
Får du tydliga besked inte bara inom informationssäkerhet utan också om hur personuppgifter hanteras? Är avtalsmassan överskådlig och begriplig? Är antalet underbiträden hanterbart? Avgörs tvister i Sverige, enligt svensk rätt?
4) Värdera vilka leverantörer som är ett långsiktigt hållbart val.
Vem har vilja och förmåga att leverera lagliga och lämpliga lösningar inte bara idag utan också om två, fem och femton år? Om din verksamhet är fast hos en tveksam leverantör, hur förbereder ni er för att byta?
När företag och organisationer inledde sina molnresor var lägre kostnader för datahantering en tydlig drivkraft. Riktigt så har det inte blivit. Åtminstone inte för alla.
– De amerikanska jättarna var smarta och erbjöd lösningar med rabatter som löpte i två-tre år. Dessutom är deras tekniklösningar utformade så att du behöver använda bolagets proprietära api:er för att ut max av dem.
– Det får effekten att du bara blir mer och mer inlåst. Både tekniskt och kompetensmässigt, vilket i sin tur ger molnjättarna möjligheten att höja priserna.
Arman Borghem pekar återigen på ett fall i Danmark.
– Jag blev bestört, men inte förvånad när jag såg att Region Köpenhamn nyligen var tvungna att säga upp 150 personer på grund av ökade licenskostnader från bland annat Microsoft.
Vad tror du de här händelserna i Danmark får för effekter?
– Jag tror att insikterna om riskerna med att bli så här inlåsta hos en leverantör kommer att sätta sig. Vi som erbjuder en helt öppen lösning, som du kan få med flera olika leverantörer, har helt andra incitament till att vara tillmötesgående, inte höja priserna för mycket och se till att så att värdet stannar hos kunderna.
It-juristen tycker att kostnaden för att lämna en tjänst bör framgå redan på upphandlingsstadiet.
– I Storbritannien har regeringen tagit fram en vägledning för myndigheterna som fastslår att man redan i den ursprungliga anskaffningen ska väga in exitkostnaden för den lösning som ska upphandlas. Jag tycker det är självklart att man behöver ha ett totalkostnadsperspektiv på sina it-lösningar.
– Särskilt eftersom så många lösningar redan från början är byggda för att vara svåra att lämna. Idag blir det lätt att hög migreringskostnad är något som talar emot att byta till en ny lösning, när det egentligen är något som i en utvärdering borde belasta den gamla befintliga lösningen.
Hur hög är i regel migreringskostnaden för att flytta till era tjänst från någon av de stora leverantörerna?
– Kostnaden beror helt och hållet på hur mycket proprietära api:er man har använt och hur arkitekturen ser ut. Det går alltid att migrera men det är en fråga om hur lång tid det tar och hur jobbigt det blir. Om kalkylen går ihop beror på din tidshorisont. På lite längre sikt kan du alltid räkna hem investeringen.
Under inledningen av 2024 har cybersäkerhet kommit högre upp på agendan hos företag och organisationer. Arman Borghem ger inte särskilt mycket för argumentet att de stora tjänsterna är säkrare på grund av att de har fler anställda som arbetar med säkerhet.
– Vi har säkra molntjänster som är certifierade enligt flera iso-standarder. Dessutom, att du har exempelvis 1000 som jobbar med säkerhet säger ju bara något om vad man har för kostnad för sitt säkerhetsarbete och inte vad man uppnår för resultat.
– Dessutom bör en leverantör med väldigt många kunder rimligen också bli mer attraktiv att angripa.
I oktober 2024 börjar NIS2-direktivet att tillämpas och Cleura spår att effekterna kommer att bli stora.
– Syftet med NIS2 är att minska riskerna på samhällsnivå. Idag har vi en situation där jättemånga verksamheter är beroende av en och samma leverantör. En incident där kan därför få väldigt stora konsekvenser.
– Nu kommer vi att få se ett större fokus på att på hålla koll på sin leverantörskedja. Eftersom flera av de amerikanska molnjättarna tvingar dig att gå med en lång lista av underbiträden, som är underleverantörer till molnleverantören, blir ju din leverantörskedja då väldigt svår att hålla koll på. Det kommer många nu att märka.