Cloud-computing – hvad går det ud på, og hvad er faldgruberne?

Skrevet af

jesper langemark Module
Jesper Langemark

Partner
Danmark

Som partner i vores internationale Tech & Comms-sektorgruppe i Danmark har jeg stor erfaring og ekspertise inden for de juridiske konsekvenser af teknologi og datadrevet innovation. Jeg leverer juridisk rådgivning til it-virksomheder om en bred vifte af it-relaterede spørgsmål samt vedrørende IP- og databeskyttelsesaspekterne af nye disruptive teknologier.

I anledning af Bird & Bird og Computerworlds cloud-konference den 24. november 2021 (link kan findes her) vil vi i en artikelserie på 3 behandle de typiske problemstillinger, der knytter sig til anvendelse af cloud-baserede løsninger. Dette er den første artikel i denne artikelserie.

I disse tider overgår virksomheder og det offentlige i stigende grad til cloud-baserede løsninger, hvilket der er god fornuft i. Det er fleksibelt, ofte billigere end on-premise løsninger, kunderne får adgang til den nyeste og bedste teknologi og it-afdelingen kan reduceres eller eventuelt helt nedlægges.

En undersøgelse fra 2020 foretaget af Dansk IT spåede, at 2/3 af al offentlig digital infrastruktur vil være baseret på cloud i 2023 (modsat kun 1/3 i 2020). Udviklingen går derfor stærkt.

I denne artikel går vi i dybden med, hvad cloud er, og hvilke typiske faldgruber man som kunde skal være opmærksom på ved anvendelse heraf.

Hvad er cloud?

Der findes ikke én klar definition af cloud, men generelt kan man sige, at cloud-løsninger er kendetegnet ved, at de

  • er standardiserede
  • leveres fra leverandørens datacentre via internettet, dvs. uden krav om installation
  • er abonnementsbaserede, dvs. man ”lejer” løsningen frem for at ”købe” den
  • er skalerbare, dvs. kan skaleres op eller ned efter kundens behov

Når kunden anvender cloud, overlader kunden overordnet kontrollen til leverandøren og bliver en del af et standardiseret leveranceset-up med en række andre kunder.

Bagsiden af medaljen er, at man som kunde kan ende som en lille spiller i et stort hele, hvor det typisk er besværligt (læs: umuligt) at ændre på standardløsningen og dens vilkår. Kunden må derfor i højere grad end ved traditionelle it-løsninger acceptere leverandørens løsning og vilkår.

De forskellige typer af cloud

Cloud-løsninger inddeles normalt i tre kategorier:

  1. Software as a Service (SaaS): Leverandøren stiller en tjeneste til rådighed i form af applikationer via internettet, som leverandøren hoster, driver og vedligeholder.
  2. Platform as a Service (PaaS): Leverandøren stiller en platform, f.eks. serverkapacitet med styresystem og basissoftware, til rådighed via internettet. Kunden kan herefter selv installere egen software på platformen.
  3. Infrastructure as a Service (IaaS): Leverandøren stiller infrastruktur, f.eks. en “rå” serverkapacitet, til rådighed for kunden via internettet. Kunden kan herefter selv installere styresystem og anden basissoftware på infrastrukturen.

De forskellige typer af løsninger giver forskellige muligheder for, hvor meget kontrol en kunde kan opnå med løsningen; en IaaS-løsning vil f.eks. give en større grad af kontrol og frihed end en SaaS-løsning, da kunden selv kan installere de styresystemer og applikationer, der skal anvendes ovenpå infrastrukturen.

Private cloud vs. Public cloud

Når man har lagt sig fast på, hvilken type cloud der er brug for, skal man vælge, hvem der skal være ansvarlig for denne cloud.

Der skelnes i den forbindelse mellem forskellige typer af clouds:

  • Public cloud, der er karakteriseret ved, at der er tale om en alment tilgængelig standard-løsning, der stilles til rådighed for kunderne via udbyderens forskellige datacentre, såkaldt "multi-tenancy". Eksempler herpå er Azure og AWS.
  • Private cloud, der er ikke er alment tilgængelig. En private cloud hostes på et privat og lukket netværk, som fysisk befinder sig i hosting-leverandørens datacenter ("single-tenancy").
  • Hybrid cloud: En hybrid cloud-løsning kombinerer en on-premise løsning (dvs. hos kunden selv) og en cloud-løsning. Kunden kan fx placere mere kritiske data on-premise og mindre kritiske data i en cloud-løsning. 

Typiske faldgruber ved overgang til cloud

Spørgsmålet er ikke, hvorvidt man som virksomhed eller offentlighed myndighed overgår til cloud, men derimod hvornår og i hvilket omfang.

For med undtagelse af få tilfælde vil de fleste offentlige myndigheder og virksomheder inden for de næste par år overgå til cloud. Fordelene opvejer typisk ulemperne, og cloud kommer (og udvikles) i så mange afskygninger, at det kun er et spørgsmål om tid, før der er tilpas mange cloud-løsninger til at opfylde de fleste kunders behov. Hertil kommer, at leverandørerne gradvist lukker for sine gamle on-premise løsninger, som derfor om kort tid ikke findes på leverandørernes hylder.

Men – som historien har vist lidt for mange gange – er it-projekter (selvom de er cloud) ofte mere komplekse, koster flere penge og tager længere tid end forventet. Der er i den forbindelse en række typiske faldgruber, man som kunde skal være opmærksom på, når man vil overgå til cloud.

Disse kan overordnet inddeles i tre kategorier:

  1. forretningsmæssige risici, fx
    • om standardløsningen kan løse det nuværende og fremtidige behov (typisk få tilpasningsmuligheder når kunden først er migreret til cloud-verdenen), herunder leverandørens mulighed for at ændre standardproduktet under kontraktens levetid (kunderne får sjældent vetorettigheder);
    • risiko for vendor lock-in, hvor en kunde ender med at være låst til en leverandør, fx fordi et (gen)udbud af ydelserne teknisk er for omkostningstungt eller besværligt, eller fordi det er vanskeligt at konvertere data til en ny løsning;
    • om prismekanismen er tilstrækkelig transparent til, at man som kunde ikke ender med at betale mere end forventet; og
    • manglende (eller utilstrækkelig) integration til kundens øvrige it-systemer.
  2. kontraktmæssige risici, fx
    • utilstrækkelige eller uklare servicemål; 
    • meget leverandørvenlige ansvarsbegrænsninger;
    • uklar håndtering af persondata (særligt i lyset af Schrems II-dommen, som vi gennemgår i artikel 3);
    • sikkerhed på leverandørens betingelser (sjældent mulighed for faktisk at inspicere faciliteterne, men alene adgang til standardrapporter);
    • kun en begrænset brugsret til tjenesterne, der ophører med kontrakten; og
    • uklart ansvarssnit mellem leverandøren og øvrige leverandører (hvor kunden risikerer at ende mellem to stole).
  3. projektmæssige risici, fx
    • tilkoblingen til cloud-tjenesten (”implementeringen”) planlægges ikke ordentligt med faste milepæle, acceptkriterier mv.;
    • utilstrækkelig datamigrering (man tilkobles et system, der endnu ikke reelt kan fungere i kundens forretning);
    • udfordringer med integrationer til andre systemer
    • manglende intern træning hos medarbejderen i de nye tjenester (der muligvis ikke er så ”plug-and-play” som forventet).

Faldgruberne ovenfor kan tage pusten fra mange, hvilket selvfølgelig ikke er hensigten. Der kan nemlig være lige så mange risici forbundet med at implementere som at fortsætte med en (utilstrækkelig) traditionel it-løsning.

Det afgørende er, at man som kunde ikke blot hopper med på cloud-bølgen, men kritisk forholder sig til sine behov og markedets muligheder for at opfylde disse. Faldgruberne kan nemlig overvindes. Hvordan fortæller vi om i artikel 2. 

Seneste nyheder

Vis mere
NIS 2 sikkerhedskrav

Hvad indebærer det nye danske NIS 2 lovforslag – webinar forklarer de centrale juridiske krav

okt 02 2024

Læs mere
NIS 2 sikkerhedskrav

NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?

sep 10 2024

Læs mere

Principiel dom om fortolkning af ansvarsbegrænsningsklausul

aug 09 2024

Læs mere