Cloud: Klare regler for "skyen"
F&P mener, at adgangen til Cloud-teknologi er et væsentligt rammevilkår for den videre digitale udvikling i Danmark og Europa. Vi arbejder for, at cloud-reguleringen er tidssvarende og gør det muligt at håndtere risikoniveau, kontrol og tilsyn med cloud-udbydere.
Adgangen til cloudservices er et konkurrenceparameter
Dansk erhvervsliv – og forsikrings- og pensionsbranchen - er afhængige af en digital infrastruktur, der kan skaleres for effektivt at kunne udnytte de nye teknologiske muligheder ved bl.a. kunstig intelligens og analyse af store mængder data. Brug af cloudservices er derfor et afgørende konkurrenceparameter, da teknologien bl.a. giver mulighed for mere fleksible og skalerbare it-ressourcer, stordriftsfordele, sikkerhed og mere operationel effektivitet.
Cloudservices er en fælles betegnelse for en række netbaserede løsninger, der normalt har været tilgængelige via virksomhedens egne servere, men nu kan placeres i ”skyen” hos en cloudservice-udbyder og skaleres efter behov og forbrug.
Servicen tilbydes af store globale udbydere, der håndterer kundernes data på tværs af geografiske lokationer - potentielt over hele verden. Det betyder, at der er behov for klare regulatoriske rammer og behov for bedre redskaber til kontraktuelt at kunne håndtere det fælles ansvar, der eksisterer mellem alle cloudservice-udbydere og virksomheder, der anvender cloudservices.
Udfordringer og barrierer ved cloud outsourcing
Cloud outsourcing er altså et væsentligt rammevilkår for den digitale omstilling, som forsikrings- og pensionsbranchen gennemgår i disse år, men den rummer også en række udfordringer: Databeskyttelse, datalokation, kontrol med leverandører, aftalevilkår med de globale leverandører af cloud-tjenester. Der er også en koncentrationsrisiko. Hvis mange selskaber anvender den samme leverandør, så bliver leverandøren ’single point of failure’.
De nuværende outsourcing-regler tager ikke tilstrækkelig højde for cloudservices. Og der er en række andre problemer, som endnu ikke er løst i forhold til de store cloud-leverandører på markedet - der for de flestes vedkommende er globale spillere. Fx kan cloud-leverandørerne ikke garantere, at data udelukkende håndteres i EU/EØS.
På EU-niveau har man fået øjnene op for, at cloud outsourcing er en forudsætning for den infrastruktur, der skal understøtte mere effektiv anvendelse af data og kunstig intelligens. Derfor er det vigtigt at få adresseret barrierer for, at virksomhederne kan udnytte teknologien fuldt ud. Rent sikkerhedsmæssigt er der også fremadrettet stort fokus på brug af cloud-leverandører, og den kommende regulering i Digital Operational Resilience Act (DORA) stiller større krav til styring af risici i forbindelse med brug af tredjepartsleverandører
F&P arbejder for bedre rammevilkår for brug af cloudservices
F&P ønsker mere funktionelle lovgivningsmæssige rammer for branchens anvendelse af cloudservices. Særligt i forbindelse med den kommende regulering af tredjepartsleverandører under DORA. Rammerne skal i højere grand understøtte branchens muligheder for at udnytte digitale gevinster.
F&P foreslår derfor, at man fra dansk side anbefaler Kommissionen et eftersyn. Der bør kigges på, om cloud-reguleringen er tidssvarende, eller om der er behov for tilpasning i lyset af de udfordringer, der eksisterer på markedet i dag. Dette kan fx ske i forbindelse med Kommissionens arbejde med at udarbejde en konsolideret ”cloud rule book”, som en del af en europæisk strategi for data.
Derudover har F&P fokus på Kommissionens arbejde med at udarbejde standardkontraktvilkår for cloud outsourcing. Det vil styrke branchens muligheder i dialogen med de store internationale cloudservice-udbydere, og give branchen bedre mulighed for at efterleve kravene til cloud outsourcing.
Vil du vide mere?
Kontakt vores ekspert inden for digitaliseringspolitik
Sigrid Floor Toft
Underdirektør, cand.jur.