Baggrund og Problem
Problem
En ”cloudservice” er en service leveret ved hjælp af cloudcomputing. Dvs. en model, der tillader let tilgængelig on demand netværksadgang til en fælles pulje af konfigurerbare computerressourcer, som hurtigt kan leveres og idriftsættes med et minimum af administration eller interaktion med leverandøren. Servicen kan leveres enten som, public, private, hybrid, shared eller community cloud.
Adgang til en digital cloud infrastruktur, er en forudsætning for, at virksomhederne kan udnytte potentialet ved kunstig intelligens og analyse af store mængder data. Derfor er cloud teknologi et væsentligt rammevilkår for den videre digitale udvikling i Danmark og Europa. Regelsættet på fx det finansielle område er omfattende og kompliceret og kan være en hæmsko for de finansielle virksomheder i forhold til kunne anvende cloud services.
Derudover er markedet for public cloud services pt. domineret af en række ikke-europæiske selskaber, der i høj grad selv dikterer kravene for adgang til og brug af deres ydelser via deres standardbetingelser. Det vil sige, at kunden, som stadig har ansvaret for den outsourcede ydelse, kan have vanskeligt ved at sikre sig compliance med de nuværende regler. Dette kan bla. afhjælpes ved at udvikle standard kontraktvilkår, som de ikke-europæiske cloud service udbydere også er forpligtede til at følge, så der skabes ens konkurrencevilkår på markedet for cloud services.
Derudover er følgende problemstillinger endnu ikke fuldt adresseret:
- Kravene om inspektion og revision af cloududbyderen er vanskelige at leve op til i dag og bør tilpasses Herunder kravene om fysisk inspektion og revision, som i et moderne datacenter giver begrænset mening qua allerede gældende revisionserklæringer og certificeringer.
- Kravene til godkendelse af/information om nye underleverandører er vanskelige at leve op til, fordi dette harmonerer dårligt med eksisterende cloudforretningsmodeller.
Derfor kan Kommissionen med fordel igangsætte et eftersyn af, om cloud reguleringen gør det muligt at håndtere de eksisterende problemstillinger for alle typer cloud services på det europæiske marked i forbindelse med udarbejdelsen af den foreslåede ”Cloud rulebook” i 2022.
Det er en del af EU-Kommissionens ”A European strategy for data” at sikre virksomhederne adgang til konkurrencedygtige, sikre og fair europæiske cloud services. Kommissionen lægger op til at samle et rammeværk omkring al regulering af cloud services i en ”cloud rulebook” senest i Q2 2022.
Berørt EU-regulering
GDPR har relevans for det samlede erhvervsliv. Derudover er bla. EBA’s guidelines for outsourcing og kravene til outsourcing i Solvens II-forordningen, Solvens II-direktivet relevante for den finansielle sektor.
Kommissionen har som en del af sin Fintech plan igangsat et arbejde med at udvikle fælles standardkontraktsvilkår til cloud udbydere, for at sikre europæiske virksomheder et bedre forhandlingsudgangspunkt, når de indgår i forhandlinger med de store cloud udbydere. Dette arbejde forventes færdiggjort i 2020.
Derudover har EIOPA netop vedtaget nye retningslinjer for cloud outsourcing for forsikrings- og pensionsbranchen, som træder i kraft den 1. januar 2021.
Berørt dansk lovgivning
Lov om finansiel virksomhed og outsourcing bekendtgørelsen.
Begrundelse
Dansk erhvervsliv er afhængig af en digital infrastruktur, der kan skaleres, for at kunne udnytte de nye teknologiske muligheder ved bla. kunstig intelligens og analyse af store mængder data. Det betyder, at der er behov for klare regulatoriske rammer og behov for bedre redskaber til kontraktuelt at kunne håndtere det fælles ansvar der eksisterer mellem alle cloud service udbydere og virksomheder, der anvender cloud services.
Forventede konsekvenser for erhvervslivet
Der er risiko for at rigide regler for anvendelse af cloud services og vanskeligheder med at finde leverandører, der er villige til at efterleve kravene i fx den finansielle lovgivning, vil medføre at dansk erhvervsliv ikke får udnyttet potentialet i teknologien omkring cloud services og kunstig intelligens.
Det vil i sidste ende risikere at forringe dansk erhvervslivs konkurrenceevne og produktivitetsudvikling betydeligt.
Anbefaling
Det anbefales, at der fra dansk side arbejdes for et eftersyn af cloud reguleringen i forbindelse med udarbejdelsen af den kommende cloud rule book, for at sikre at reguleringen skaber de bedst mulige vilkår for erhvervslivets anvendelse af teknologien. Derudover foreslås det, at regeringen støtter op om, at der sammen med erhvervslivet udarbejdes best practices for fx tilsyn med cloud services og exitstrategier for at styrke branchens anvendelse af teknologien.
Regeringens svar
Svar til Regelforum
Regeringen tiltræder anbefalingen om et eftersyn af cloudregulering i forbindelse med Kommissionens kommende cloudregelsæt med henblik på at skabe klarhed over reglerne for brug af cloud samt krav til udbydere, underleverandører og brugere af cloudløsninger.