Nummer: 65

ØGET BRUG AF CLOUD SERVICES I ERHVERVSLIVET

Det er positivt, at Kommissionen har sat cloud services på dagsordenen i sin ”strategy for data”, som en forudsætning for den infrastruktur, der skal understøtte mere effektiv anvendelse af data og kunstig intelligens. Kommissionen anerkender endvidere, at der stadig eksisterer en række barrierer på området før virksomhederne til fulde kan udnytte teknologien. Det drejer sig blandt andet om følgende:

  • Der er uklarhed omkring cloud service udbydernes compliance med EU krav om databeskyttelse. Fx kravene til lokation af data (især ift. indenfor/udenfor EU).
  • Kravene om inspektion og revision af cloududbyderen er vanskelige at leve op til i dag.
  • Kravene til godkendelse af/information om nye underleverandører er vanskelige at leve op til, fordi dette harmonerer dårligt med eksisterende cloudforretningsmodeller.

Derfor bør regeringen støtte arbejdet for at sikre gode rammevilkår for anvendelsen af cloud services, for derved at understøtte EU-Kommissionens strategi om øget anvendelse af kunstig intelligens. Det sker bla. ved at udarbejde standardkontraktvilkår for cloud services og derved sikre brugerne bedre mulighed for at efterleve kravene til cloud services. 

Det anbefales derfor, at regeringen foreslår Kommissionen et eftersyn af, om cloud reguleringen er tidssvarende eller der er behov for tilpasning i lyset af de udfordringer, der eksisterer på markedet i dag. Dette kan fx ske i forbindelse med Kommissionens arbejde med at udarbejde en konsolideret ”cloud rulebook”, som en del af den digitale strategi for data. 

Dato:
22. juni 2020
Type af anbefaling:
Tidlig interessevaretagelse i EU
Tema:
Tidlig interessevaretagelse
Ansvarlig ministerium:
Erhvervsministeriet
Status på anbefaling:
Følges
Undertitel TIV 1a

Problem

En ”cloudservice” er en service leveret ved hjælp af cloudcomputing. Dvs. en model, der tillader let tilgængelig on demand netværksadgang til en fælles pulje af konfigurerbare computerressourcer, som hurtigt kan leveres og idriftsættes med et minimum af administration eller interaktion med leverandøren. Servicen kan leveres enten som, public, private, hybrid, shared eller community cloud.

Adgang til en digital cloud infrastruktur, er en forudsætning for, at virksomhederne kan udnytte potentialet ved kunstig intelligens og analyse af store mængder data. Derfor er cloud teknologi et væsentligt rammevilkår for den videre digitale udvikling i Danmark og Europa. Regelsættet på fx det finansielle område er omfattende og kompliceret og kan være en hæmsko for de finansielle virksomheder i forhold til kunne anvende cloud services.

Derudover er markedet for public cloud services pt. domineret af en række ikke-europæiske selskaber, der i høj grad selv dikterer kravene for adgang til og brug af deres ydelser via deres standardbetingelser. Det vil sige, at kunden, som stadig har ansvaret for den outsourcede ydelse, kan have vanskeligt ved at sikre sig compliance med de nuværende regler. Dette kan bla. afhjælpes ved at udvikle standard kontraktvilkår, som de ikke-europæiske cloud service udbydere også er forpligtede til at følge, så der skabes ens konkurrencevilkår på markedet for cloud services. 

Derudover er følgende problemstillinger endnu ikke fuldt adresseret:

  • Kravene om inspektion og revision af cloududbyderen er vanskelige at leve op til i dag og bør tilpasses Herunder kravene om fysisk inspektion og revision, som i et moderne datacenter giver begrænset mening qua allerede gældende revisionserklæringer og certificeringer.
  • Kravene til godkendelse af/information om nye underleverandører er vanskelige at leve op til, fordi dette harmonerer dårligt med eksisterende cloudforretningsmodeller.

Derfor kan Kommissionen med fordel igangsætte et eftersyn af, om cloud reguleringen gør det muligt at håndtere de eksisterende problemstillinger for alle typer cloud services på det europæiske marked i forbindelse med udarbejdelsen af den foreslåede ”Cloud rulebook” i 2022.

Det er en del af EU-Kommissionens  ”A European strategy for data” at sikre virksomhederne adgang til konkurrencedygtige, sikre og fair europæiske cloud services. Kommissionen lægger op til at samle et rammeværk omkring al regulering af cloud services i en ”cloud rulebook” senest i Q2 2022. 

Berørt EU-regulering

GDPR har relevans for det samlede erhvervsliv. Derudover er  bla. EBA’s guidelines for outsourcing og kravene til outsourcing i Solvens II-forordningen, Solvens II-direktivet relevante for den finansielle sektor.

Kommissionen har som en del af sin Fintech plan igangsat et arbejde med at udvikle fælles standardkontraktsvilkår til cloud udbydere, for at sikre europæiske virksomheder et bedre forhandlingsudgangspunkt, når de indgår i forhandlinger med de store cloud udbydere. Dette arbejde forventes færdiggjort i 2020.

Derudover har EIOPA netop vedtaget nye retningslinjer for cloud outsourcing for forsikrings- og pensionsbranchen, som træder i kraft den 1. januar 2021.

Berørt dansk lovgivning

Lov om finansiel virksomhed og outsourcing bekendtgørelsen.

Begrundelse

Dansk erhvervsliv er afhængig af en digital infrastruktur, der kan skaleres, for at kunne udnytte de nye teknologiske muligheder ved bla. kunstig intelligens og analyse af store mængder data. Det betyder, at der er behov for klare regulatoriske rammer og behov for bedre redskaber til kontraktuelt at kunne håndtere det fælles ansvar der eksisterer mellem alle cloud service udbydere og virksomheder, der anvender cloud services.

Forventede konsekvenser for erhvervslivet

Der er risiko for at rigide regler for anvendelse af cloud services og vanskeligheder med at finde leverandører, der er villige til at efterleve kravene i fx den finansielle lovgivning, vil medføre at dansk erhvervsliv ikke får udnyttet potentialet i teknologien omkring cloud services og kunstig intelligens.

Det vil i sidste ende risikere at forringe dansk erhvervslivs konkurrenceevne og produktivitetsudvikling betydeligt.

Det anbefales, at der fra dansk side arbejdes for et eftersyn af cloud reguleringen i forbindelse med udarbejdelsen af den kommende cloud rule book, for at sikre at reguleringen skaber de bedst mulige vilkår for erhvervslivets anvendelse af teknologien. Derudover foreslås det, at regeringen støtter op om, at der sammen med erhvervslivet udarbejdes best practices for fx tilsyn med cloud services og exitstrategier for at styrke branchens anvendelse af teknologien.

Svar til Regelforum

Regeringen tiltræder anbefalingen om et eftersyn af cloudregulering i forbindelse med Kommissionens kommende cloudregelsæt med henblik på at skabe klarhed over reglerne for brug af cloud samt krav til udbydere, underleverandører og brugere af cloudløsninger.