Transcript Juridikens betydelse när det oväntade händer

Juridikens betydelse när det oväntade händer
Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå
Juridikens betydelse när det oväntade
händer…
Informationsläckage
Intrång
Dataförlust
System ”ligger nere”
Bristande tillgänglighet
Oväntade fel i tjänst eller system
Cyberattacker
2
Riskhantering
• Interna åtgärdsplaner, riskanalyser, rutiner, disaster recovery,
säkerhets- och backupslösningar
• Försäkringsskydd
• Avtal - vältra över risken på en utomstående
→ Ha en kombination av ovan!
3
Avtal - en försäkring mot
katastrofer
• För att kunna utnyttja en leverantörs
försäkringsskydd krävs grund i avtal
• Avtal med vem?
4
Avtal med vem – vem kan göras ansvarig?
• Open source community
• Partner
• Leverantör/Licensgivare
• Underleverantörer
• Om ingen extern kan göras ansvarig → Interna lösningar och
avsättningar för risk blir viktigare
5
Partner
Leverantör
Avtal
Kund
Open source
community
6
Partnerns ansvar?
Ekonomisk situation?
Partner
Leverantör
Avtal
Kund
Open source
community
Klarar avtalspartnerns ekonomi åtagandena?
Försäkringsskydd?
7
Balansen i ett avtal
Lågt pris
Nytta
Ansvar
Risk
8
9
Balansen i ett avtal
10
Hur prioritera i ett avtal?
Sannolikhet för
incident?
Vad kostar en incident
(jfr prisbesparing)?
Vilken risk är vi beredda
att ta?
Vilket ansvar ska vi ta?
Hur allvarlig
blir skadan?
11
Vad innebär ansvaret i praktiken?
12
Ansvar i avtal
Klassiska påföljder:
Skadestånd
Viten
Åtgärda fel/Buggrättning
13
Ansvar i avtal
Vad •Läs
avtalar
avtalsförslag!
ni om?
Klassiska påföljder:
Skadestånd
Viten
Åtgärda fel/Buggrättning
14
Ansvarsbegränsningar
• Gränsen för vad leverantören
ansvarar för
• Räkna på vad det blir –
matcha mot
försäkringsskyddet!
• Behöver vi kräva större eller
mindre ansvar? Är vi beredda
att betala för det?
15
Exempel på begränsningar
Ur IT&Telekomföretagens standardavtal för drift m.m.
IT-Infrastrukturtjänster version 2014 (ersätter gamla IT-Drift)
16
Exempel på begränsningar
Ur IT&Telekomföretagens standardavtal för drift m.m.
IT-Infrastrukturtjänster version 2014 (f.d. IT-Drift)
Indirekt • Förlorad vinst
Utebliven
vinst eller
Produktionsbortfall
skada indirekt
förlust:
• Badwillskada
ersätts • Svårförutsebara följder av
avtalsbrott
sällan
17
Exempel på begränsningar
Ur IT&Telekomföretagens standardavtal för drift m.m.
IT-Infrastrukturtjänster version 2014 (f.d. IT-Drift)
18
Tillgänglighet - SLA
• Risk för ett avbrott?
• Vad kostar ett avbrott er?
• Vilka behov har ni?
• Hur sker mätning?
• Reglera vite/påföljd – räkna på
utfall för olika exempel
19
20
97 % på ett år är
nästan 11 dagar, men
21 timmar på en
månad
21
Vem ansvarar för en cyberattack?
Skriv in i avtalet hur ni
vill ha det!
22
Ansvar i avtal
– alternativ?
Klassiska påföljder:
Skadestånd
Viten
Åtgärda fel/Buggrättning
Disaster recovery
Aktivt åtagande att återställa
Andra typer av påföljder där kund
och leverantör arbetar
tillsammans för att minska skada
23
Ansvar i avtal
– alternativ?
Fundera över
alternativa
Skadestånd
Viten
påföljder
Åtgärda fel/Buggrättning
– Vilka åtgärder
skulle
Disaster recovery
hjälpaAktivter?
åtagande att återställa
Klassiska påföljder:
Andra typer av påföljder där kund
och leverantör arbetar
tillsammans för att minska skada
24
Dokumentation
• Kan du visa vad du förlorar?
• Innan det oväntade händer: Säkerställ att ni kan bevisa vad ni
avtalat om (vad som lagrats, graden av säkerhetskopiering, etc.)
• Om det oväntade händer: Dokumentera och logga allt arbete ni
gör och kräv att era samarbetspartners gör det samma!
25
Att förbereda sig för det oväntade: Slutsats
• Vem är avtalspart? Finns
försäkringar?
• Väg risk mot nytta och förtjänst
– Var tydlig i avtalen!
• Gör en legal riskanalys
– Förutse olika scenarier – vad kan vi få
ut/ansvara för under avtalet?
– Vilket ansvar kan vi acceptera/kräva?
– Vilken assistens behöver vi vid en incident?
26
Kontakt
Agnes Andersson Hammarstrand
Advokat, Senior Associate
T: +46 31 701 1718
M: +46 730 83 50 70
E: [email protected]
IT_advokaten på twitter