OUTSOURCING AF IT-DRIFT – HÅNDTERING AF DATASIKKERHED IT-SIKKERHED – HVORDAN HÅNDTERES DET I UDBUD OG I KONTRAKTEN?

Thomas Grønkær, Specialistadvokat & Certificeret IT-advokat Hans Abildstrøm, Partner & Certificeret IT-advokat

7. oktober 2014

side 2

HÅNDTERING AF KRAV TIL SIKKERHED VED IT-UDBUD

side 3

› Applikation (f.eks. SaaS) › ERP, ESDH, GIS, mv.

› Middleware (f.eks. PaaS) › SQL server › SharePoint › Exchange

› Operativsystem (f.eks. IaaS) › Windows › Linux

› Hypervisor, VMs (f.eks. IaaS) › VMware › XenServer

› Hardware › Servere › Storage › Netværk

BESKRIVELSE AF LEVERANCEN

› Servicemål & Vedligeholdelsesbilag • Driftseffektivitet / tilgængelighed

• Svartider

• Reaktionstider

• Mangelafhjælpning

• Servicevinduer

• Versioner & releases

• Forebyggende vedligehold

• Fejlrettelser

• Rapportering

D

rift

Sup

po

rt &

ved

ligeh

old

side 4

− Fokus i udbudsgrundlaget:

− Afgrænsning af driftsleverancen – Hvad udbydes?

− Klart beskrevne organisatoriske snitflader – Hvem har ansvar for hvad?

− Krav til vedligeholdelse og support – Hvornår skal der reageres på systemfejl?

− Krav til tilgængelighed af systemet (Servicemål)

− Krav til sikkerhed både i kravspecifikationen og i kontrakten

UDBUDSGRUNDLAG

side 5

− Krav om ISO27001-certificering (eller tilsvarende niveau)

− Overholdelse af sikkerhedspolitikker vedtaget af myndigheden

− Krav om indgåelse af databehandleraftale

− Dokumentation af fysisk sikkerhed hos leverandøren

− Beskrivelse af den organisatoriske sikkerhed hos leverandøren

(Kilde: Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift, August 2014, udgivet af Digitaliseringsstyrelsen, CFCS og FE)

SIKKERHEDSKRAV I UDBUDSMATERIALET

side 6

− Minimumskrav til udvælgelse af tilbudsgivere i udbuddet

− Referencer og økonomi

− Overordnet beskrivelse af ansøgers organisation og kompetencer

− Dokumentation af ISO-certificeringer, mv.

− Evaluerings- og tildelingsmodel

− Mindstekrav

− Prioriterede krav

− Krav

UDVÆLGELSES- OG EVALUERINGSKRITERIER

side 7

− Tildelingskriterium:

− Det økonomisk mest fordelagtige tilbud

− Underkriterier:

− Pris

− Kvalitet

− Levering

− Sikkerhed

− Vægtningen (%) af underkriteriet ”sikkerhed” afhænger af, hvor kritiske oplysningerne er, som skal håndteres i systemet!

TILDELING AF KONTRAKT (EKSEMPEL)

side 8

− Underkriterium 1 – Pris Ved opgørelsen af den samlede vægtede kontraktsum i en samlet 4-årig kontraktperiode indgår:

− (i) den månedlige serviceafgift ganget med 48, tillagt en evt. engangsudgift for tilslutning til Servicen;

− (ii) at der aftages (X) timer til IT-projektleder, (X) timer til IT-specialist, samt (X) timer til IT-arkitekt,

− (iii) samt en samlet pris for optioner.

− Underkriterium 2 – Kvalitet Dette kriterium vurderes på baggrund af opfyldelse af krav i kravspecifikationen til:

− Serviceleverancen

− De arkitekturmæssige og driftsmæssige rammer

− Tekniske krav

− Underkriterium 3 – Levering Under dette underkriterium indgår en vurdering af tilbudsgivers plan for:

− Installation, opsætning og konfiguration af den tilbudte service

− Migrering og flytning af data, applikationer og integrationer til ny IT-infrastruktur

Desuden indgår de tilbudte medarbejders kompetencer (cv’er), i form af erfaringer, uddannelse, og certificeringer

− Underkriterium 4 – Sikkerhed Under dette underkriterium vurdering leverandørens beskrivelse af håndteringen af sikkerhed i løsningen:

− Fysisk adgang til data, herunder procedurer for certificering af medarbejder + afgrænsning af adgang til datasystemer

− Overvågning og logning, herunder mulighed for kunden til at følge og vurdere sikkerhedsniveauet

− Processer for bruger- og rettighedsstyring + kontrol

UNDERKRITERIER (EKSEMPEL)

side 9

− Krav om dokumentation samt test af sikkerhedsniveau ved gennemførelse af Overtagelsesprøven.

− Eksempel:

− ”Kunden har et overordnet krav om, at de systemer hos kunden som driftes af eksterne leverandører skal opfylde de sikkerhedsmæssige krav, retningslinier og politikker, som er vedtaget hos kunden. Leverandøren skal senest i forbindelse med gennemførelse af Overtagelsesprøven, sandsynliggøre at Systemet opfylder de i kontrakten samt i kontraktens bilag angivne krav til sikkerhed”

− Herefter øbende test af sikkerhedsniveau efter overtagelse af Systemet

− Krav til vedligeholdelse og videreudvikling af Systemet, således at det forebygges at systemet driftes på ”legacy-platform”

OPFØLGNING PÅ LEVERANCEN

side 10

HÅNDTERING AF KRAV TIL SIKKERHED I IT-KONTRAKTEN

side 11

Outsourcing er i sin enkelhed at overføre varetagelse af en opgave/dele af en opgave til et andet firma. Det omfatter således ikke indkøb af varer eller tjenester.

”Sikkerhed ved it-outsourcing”, Dansk IT, november 2012

OUTSOURCING – DEFINITION

side 12

− Ved fuld outsourcing ligger ejerskab af både datacenter, udstyr, software og driftspersonale hos Leverandøren, og ydelsen er – set fra Kundens side – en ren service

− Mange andre varianter forekommer, f.eks. drift af Kundens egen platform i Leverandørens datacenter

− Traditionel outsourcing være en direkte sammenhæng mellem den leverede service og det udstyr, som servicen leveres fra, og den pågældende virksomhed. Og Kundens data vil kunne lokaliseres til bestemte fysiske enheder

− Cloud computing dækker over services på flere abstraktionsniveauer. − Virtuelle services, der oftest understøtter mange kunder på én gang - kun

adskilt i det virtuelle lag

− Ingen sammenhæng mellem fysisk udstyr og den leverede service, og data kan ikke allokeres til bestemte fysiske enheder

GRADER AF OUTSOURCING

side 13

− K01, K02 og K03

− MEN: Disse er grundlæggende systemleveranceaftaler; de egner sig IKKE til den situation, hvor hovedydelsen er drift

− SKI-kontrakter

− Andre standardkontrakter

− Der findes ikke i Danmark en bredt etableret standardaftale for outsourcing af it-drift

− Vigtige principper for brug af standardkontrakter:

− Tag udgangspunkt i en skabelon, som er egnet i forhold til de grundlæggende parametre (tid/pris/ydelse og proces)

− Den valgte skabelon er kun et udgangspunkt. Der er næsten altid behov for at tilpasse den, så den passer til den konkrete leverance

STANDARDKONTRAKTER

side 14

Kunden skal sikre, at Leverandøren

− Har passende processer for bruger-/rettighedsstyring og fører den nødvendige løbende kontrol.

− Begrænser medarbejderes adgang til data og systemer til, hvad der er behov for, og i øvrigt vurderer behovet for sikkerhedsgodkendelse af medarbejdere.

− Har passende logisk og fysisk opdeling af systemer, og regler for hvilke typer datatrafik som tillades mellem delene.

− Har effektive sikkerhedsprocesser, som sikrer, at Kunden har overblik og løbende kan vurdere sikkerhedsniveauet.

− Løbende gennemfører test af det etablerede sikkerhedsniveau.

SIKKERHEDSMÆSSIGE KRAV TIL LEVERANDØREN

side 15

− Leverandøren udsættes for pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data

− Krav til Leverandørens sikkerhedsmæssige styring og forankring i ledelsen, f.eks. gennem ISO27001-certificering

− Hvordan sikrer Leverandøren Kundens data i forhold til tilgængelighed, fortrolighed og integritet?

− Er Kunden er sikret adgang til de data, der lagres hos Leverandøren?

EKSEMPLER PÅ SIKKERHEDSFORHOLD (1/3)

side 16

− Sikring af Kundens adgang til egne data – både under normal drift, men også i forhold til driftsstop, misligholdelse, opsigelse, konkurs mv?

− Leverandørens forpligtigelse til at dokumentere og rapportere på væsentlige sikkerhedsbrud og krav om relevant opfølgning på disse

− Leverandørens forpligtelser i tilfælde af uvedkommendes adgang til data (eksempelvis i form af en pligt til straks at orientere Kunden)

− Øjeblikkelig orientering af Kunden, såfremt myndigheder, herunder regeringer og domstole, ønsker adgang til data hos Leverandøren

EKSEMPLER PÅ SIKKERHEDSFORHOLD (2/3)

side 17

− Kundens (evt. via en uafhængig revisor) adgang til at foretage en passende inspektion "on site" i forhold til Leverandørens håndtering af data. Alternativt at Leverandøren via en uafhængig revisor redegør for, hvorledes Leverandørens infrastruktur, herunder sikkerhedsspecifikationer, håndteres

− Løbende opdatering af systemer og til passende logning af datatrafik?

− Gennemførelse af øvelser og etablering af beredskab

EKSEMPLER PÅ SIKKERHEDSFORHOLD (3/3)

side 18

− Det er nødvendigt for Kunden at afklare alle krav i kontrakten vedrørende sikkerhedsleverancer, således at der er klarhed over, hvilke leverancer Leverandøren forventes at levere til Kunden.

− Dette kan eksempelvis angå (SLA-)krav til

− håndtering og rapportering på sikkerhedshændelser,

− Sikkerhedstests – hyppighed, afprøvning og rapportering,

− Beredskabstest – hyppighed, afprøvning og rapportering.

SPECIFIKKE SIKKERHEDSKRAV I SLA’EN

side 19

Eksempler på risikofaktorer, der skal beskrives og vurderes:

− Risikoen for lock-in (til systemer eller dataformater)

− Risikoen for mangelfuld sikkerhedsmæssig håndtering af data i forbindelse med kontraktophør, Leverandørenes konkurs eller andet pludseligt ophør.

− Risikoen for datalækage, overdragelse til kreditor, mangelfuld sletning

− Risikoen for, at data håndteres under anden jurisdiktion end forudsat i kontrakten

− Risikoen for manglende adgang til systemer/data, herunder tab af krypteringsnøgle

SALG ELLER OPHØR AF LEVERANDØRENS VIRKSOMHED

side 20

− Fastlæg en exit strategi.

− Kontrakten bør præcisere, hvorledes Kunden får adgang til egne data, f.eks. i tilfælde af leverandørskift eller i tilfælde af, at kontrakten ophæves.

− Overdragelse af sådanne data kan f.eks. ske ved, at der gives en fuldstændig backup af Kundens data, der er placeret på Leverandørens servere. Løbende back-up anbefales.

− Kunden bør orienteres, såfremt Leverandøren bliver opkøbt eller underlagt andre selskabsretlige konstruktioner, og den nye ejer bør være forpligtet til at fortsætte kontrakten (Change of Control).

SALG ELLER OPHØR AF LEVERANDØRENS VIRKSOMHED

side 21

− Kontrakten indeholder typisk ansvarsbegrænsninger, som i meget væsentligt grad begrænser Leverandørens ansvar for ydelsen.

− Ansvarsbegrænsningerne er forskellige for de enkelte Leverandører, men har typisk følgende indhold:

− Kunden kan ikke kræve erstatning for indirekte tab, som normalt defineres som driftstab, tabt fortjeneste, tab af goodwill og lignende

− Det samlede erstatningsansvar er beløbsmaksimeret svarende til den faktiske betaling eller betaling for en nærmere bestemt periode (12 måneders vederlag)

− Typisk vil det være anført, at begrænsningerne ikke gælder ved grov uagtsomhed eller forsæt fra Leverandørens side

− Bod – kræver ikke dokumentation af tab (ses meget sjældent)

ERSTATNINGSANSVAR OG ANSVARSBEGRÆNSNINGER

side 22

− Kunden bør gennemgå og afdække ansvarsbegrænsningerne og foretage en risikovurdering

− hvordan ville Kunden være stillet, hvis Kunden selv havde drevet løsningen, sammenholdt med hvis løsningen drives af Leverandøren.

− Kunden bør derefter vurdere,

− om Leverandørens beredskab er passende i forhold til den risiko, Kunden ønsker at løbe, og

− om prisen for ydelsen for Kunden afspejler det forhold, at Kunden ikke får dækning for de risici, som Kunden løber ved at tage løsningen i anvendelse.

ERSTATNINGSANSVAR OG ANSVARSBEGRÆNSNINGER

side 23

Hans Abildstrøm er partner i Hortens afdeling for immaterialret og teknologi.

Han er specialiseret inden for it og telekommunikation, og har rådgivet om alle aspekter af telekommunikationsområdet, herunder etablering og udrulning af netværk, regulatoriske forhold, aftaler om salg og udleje af fiberkabler, tjenesteudbyderaftaler, markedsføring og slutbrugeraftaler.

Han har omfattende erfaring med rådgivning om forhold vedrørende it med fokus på det aftaleretlige og selskabsretlige område.

Hans Abildstrøm er en erfaren procesadvokat og har desuden ført flere voldgiftssager mellem internationale parter.

Hans Abildstrøm

Partner

Specialer It-ret & telekommunikation Media & entertainment Markedsføring, e-handel & betalingstjenester Retssager Omtale Legal 500 - Telecoms, Media & entertainment og Intellectual Property

Dir: +45 3334 4182 Mob: +45 5234 4182 E-mail: ha@horten.dk

Certificeret IT-advokat, 2010 Horten, partner, 2003 Global Crossing (Level3), 2001 Møderet for landsret, 1994 Advokatbeskikkelse, 1992 Cand.jur., Københavns Universitet, 1988

PROFIL | HANS ABILDSTRØM

side 24

Thomas Grønkær rådgiver virksomheder, kommuner og offentlige myndigheder om udbudsret. Han har beskæftiget sig med udbud siden 2003 og har praktisk erfaring fra både ordregiver- og tilbudsgiversiden. Han har i en længere årrække beskæftiget sig med udbud i den offentlige sektor og har endvidere erfaring som projektleder og juridisk rådgiver ved gennemførelse af nationale udbud. Thomas Grønkjær har særlig ekspertise inden for it-kontrakter, som blandt andet bygger på deltagelse i udbud af større teknologi- og it-anskaffelser i staten samt juridisk rådgivning vedrørende anskaffelse af et større sags- og dokumenthåndteringssystem i en offentlig styrelse.

Thomas Grønkær

Advokat

Specialer EU-ret & menneskerettigheder It-ret & telekommunikation Udbudsret Omtaler Legal 500 - EU & Competition

Dir: +45 3334 4255 Mob: +45 5234 4255 E-mail: tgr@horten.dk

Certificeret IT-advokat, 2014 Advokatbeskikkelse, 2011 Advokatfuldmægtig, Horten, 2011 Chefkonsulent/Advokatfuldmægtig, Rambøll Management A/S, 2009-2011 Specialkonsulent, Lægemiddelstyrelsen, Direktionssekretær, 2008-2009 Projektleder, Finansministeriet, 2005 Fuldmægtig/Specialkonsulent, Finansministeriet, 2003-2008 EU-fuldmægtig, Udenrigsministeriet, 2002-2003 Cand.jur., Aarhus Universitet, 2001

PROFIL | THOMAS GRØNKÆR

Horten Advokatpartnerselskab Philip Heymans Allé 7 DK-2900 Hellerup, Copenhagen Tel. 3334 4000 Fax 3334 4001 info@horten.dk horten.dk