Avtalefasen

Ingress: 
Avtalefasen er perioden når universitetet eller høyskolen har bestemt seg for å anvende en skytjeneste, men før tjenesten er tatt i bruk.
Brødtekst: 

I denne fasen skal universitetet eller høyskolen utføre tre viktige arbeidsoppgaver:

  1. Databehandleravtaler – sørge for at det inngås avtale med leverandøren om håndtering av personopplysninger i skytjenesten. Avtalen skal sette klare rammer for leverandørens databehandlingsoppdrag.

  2. Dataoverføringsavtaler – sørge for at det inngås en dataoverføringsavtale med leverandøren dersom skytjenesten overfører personopplysninger til land utenfor EU/EØS. Det samme gjelder dersom det overføres personopplysninger til amerikanske selskaper som ikke har sluttet seg til dataoverføringsordningen mellom EU og USA («EU-US Privacy Shield»).

  3. Andre lovpålagte avtaler – sørge for at det inngås andre lovpålagte avtaler med leverandøren dersom økonomisystemer settes ut til skydrift.

Om det er nok å inngå en databehandleravtale med leverandøren eller om det også er nødvendig å inngå en egne dataoverføringsavtale, avhenger altså av datalokasjon: hvilke land har leverandøren (eller eventuelle underleverandører) tenkt å overføre opplysningene til?

Tjenesteinformasjon og avtaler

Leverandører av skytjenester har ofte egne informasjonssider på internett hvor det opplyses om tjenestenes egenskaper. Institusjonen bør være oppmerksom på at tjenesteinformasjonen ikke alltid stemmer overens med innholdet i avtalene for tjenestene.

I tjenesteinformasjonen på internett kan det for eksempel fremgå at institusjonens opplysninger vil bli overført til og lagret i datasentre i bestemte europeiske byer. Av databehandleravtalen kan det imidlertid fremgå at leverandøren forbeholder seg retten til å overføre opplysningene til andre datalokasjoner dersom det er hensiktsmessig. I slike tilfeller vil det være bestemmelsene i databehandleravtalen som gjelder.

Institusjonen bør sjekke at det er samsvar mellom det som sies på leverandørens informasjonssider og det som sies i databehandleravtalen for skytjenesten.

Andre avtaler

Det er vanlig at det inngås andre avtaler mellom institusjonen og leverandører av skytjenester enn de som er nevnt her. Dette kan for eksempel være rent kommersielle avtaler, tjenestenivåavtaler (SLA) eller vilkår for akseptabel bruk.

Universitetet eller høyskolen bør sørge for at egne brukere (studenter, ansatte, osv.) blir informert om hvilke vilkår som gjelder for akseptabel bruk av skytjenester.