Jedną z barier rozwoju usług chmurowych, zresztą jak każdych innych outsourcingowych, jest brak zaufania do usługodawcy. Można je jednak zbudować. Najlepiej przejrzystością i wolą współpracy, gdyż wizja optymalizacji i ciekawe referencje nie cementują jeszcze relacji biznesowej.
Analiza GRC
Wybór usługodawcy powinien być przemyślany i zależeć od wielu, obiektywnie ocenianych, czynników. Przeniesienie danych organizacji, w tym nierzadko strategicznych informacji poufnych, nie jest przecież kupnem gadżetu, który nam się podoba.
Czym zatem może kierować się potencjalny klient usługi chmurowej? Oczywiście audytem zwanym analizą GRC. Czyli oceną:
O tym co jest przedmiotem badania w poszczególnych filarach pisałam m.in. tutaj
Analizę GRC przeprowadza się zestawiając organizację potencjalnego dostawcy z wymaganiami własnej. Wymagania te, w znacznej częściej, związane są z realizacją prawnych obowiązków nałożonych przepisami prawa na klientów. W związku z tym dostawca może przewidzieć potencjalny zakres zainteresowania i w sposób odpowiedni zapewnić spójność swoich usług z wymaganiami klienta.
Compliance zacieśnia więzy
Z mojego punktu widzenia jako prawnika zajmującego się świadczeniem usług w odniesieniu do realiów biznesowych przedsiębiorstwa oraz cyberbezpieczeństwa najważniejsze jest podejście kompleksowe stąd nie twierdzę, że pozytywna ocena zgodności jest przepustką do zawarcia umowy. Dla klienta zainteresowanego przejściem do chmury istotne znaczenie ma w takim samym stopniu ład korporacyjny, zarządzanie ryzykiem jak i ocena zgodności.
Punktem wyjściowym przy podejmowaniu decyzji o zawarciu kontraktu dla każdego klienta może być co innego. Dla większości będzie to zapewne bezpieczeństwo. Najważniejsze jest jednak to, ażeby dostawca potrafił dostosować swoje regulacje prawne do wymagań klienta. Na nic zdadzą się wszystkie czynniki, gdy pomiędzy stronami nie dojdzie do podpisania kontraktu.
Bez względu na specyfikę chmury (infrastruktura, platforma, aplikacja) klient zawsze weryfikuje brzmienie trzech rodzajów umów w odniesieniu do własnych wymagań:
Powyższe umowy są standardem jeżeli chodzi o przetwarzanie danych w chmurze przez klientów korporacyjnych (jeżeli oferta kierowana jest do użytkowników prywatnych dostawca powinien skoncentrować się na przejrzystości regulaminu usług oraz polityki prywatności przetwarzania danych).
Chmura sama w sobie jest elastyczna (na tym polega jej fenomen), ale czy warunki umowy zawieranej pomiędzy dostawcą a klientem też są takie? Dostawca powinien rozumieć potrzeby swojego klienta nie tylko od strony technicznej, ale także od strony prawnej i zorganizować swój dział prawny w taki sposób, ażeby transakcja mogła zostać sfinalizowana. Podstawowym kryterium jest oczywiście wybór języka, następnie dostosowanie warunków umowy do wymagań prawnych klienta, które są na niego nałożone na mocy przepisów bądź zobowiązań przez niego podpisanych.
Z moich doświadczeń wynika, że dostawcy często o tym zapominają i oczekują, że klienci przystąpią do podpisania umowy bez negocjacji. Klienci natomiast nie wiedzą tak naprawdę co może być objęte przedmiotem negocjacji i boją się w ogóle do nich przystępować. Jak na ironię chmura jest skalowalna, ale z jakiegoś powodu umowy nie. Moim zdaniem nie prowadzi to do niczego dobrego, a jedynie do tego, że Komisja Europejska narzuci dostawcom określone wzory umów.
Jeśli klient dopytuje się o zmianę warunków umowy – np. modyfikację zapisu, dodanie elementu, bądź zmianę formy elektronicznej na formę pisemną – to ma to swoje uzasadnienie. Klient powinien to robić, gdyż umowa jest jego gwarancją. Nie strona internetowa, nie obietnice tylko właśnie umowa. To rolą dostawcy jako zainteresowanego sprzedażą usługi jest wyjście naprzeciw oczekiwaniom klienta. Rolą prawników jest natomiast wyważenie interesów obu stron.
Bezpieczne i uczciwe warunki umów to takie, które są rzetelnie opisane i zapewniają obu stronom kontraktu właściwe zabezpieczenie na wypadek wystąpienia określonego zdarzenia oraz gwarantują zgodność z regulacjami, do których przestrzegania są zobowiązane obie strony. Dlatego tym bardziej cieszą takie inicjatywy jak harmonizacja prawa ochrony danych osobowych w Unii Europejskiej, która przyczyni się do ujednolicenia niespójnego prawa w UE.
Autor grafiki promującej wpis: Jozef Mak