Skyreisen

Mulighetsanalyse

En mulighetsanalyse er nyttig for å identifisere hvilke områder det er størst gevinster å hente ved å gå ut i skyen. Mulighetsanalysen vil også kunne avdekke eventuelle juridiske rammer eller føringer som kan legge begrensninger på hva slags skytjenester det kan være aktuelt å anskaffe.

Regelverk som gjelder for skytjenester

Ved anskaffelse av skytjenester er det viktig å vurdere hvilken informasjon som skal lagres og behandles utenfor din egen kontroll. For enkelte typer informasjon gjelder spesielle regler.

Arkivverdig materiale

Alle offentlige organer (statlige, fylkeskommunale eller kommunale virksomheter) skal i henhold til arkivloven ha arkiv. Som hovedregel skal alle dokumenter som saksbehandles eller har verdi som dokumentasjon journalføres og arkiveres.

I henhold til dagens regelverk kan ikke arkiv føres ut av landet. Dette har skapt mye usikkerhet knyttet til bruk av skytjenester for offentlige fagsystemer og kontorstøttesystemer, fordi slike systemer genererer dokumenter som vil falle inn under arkivloven. Lagring av offentlig arkiv i skytjenester har så langt blitt definert som å føre arkiv ut av landet.

Arkivverket har uttalt at bruk av tjenester som ikke innebærer en permanent lagring av dokumentasjonen utenfor Norge vil være greit i henhold til regelverket. Bruk av utenlandske skytjenester for kontorstøtte, kommunikasjon og samhandling som behandler arkivmateriale er ikke i strid med arkivloven så lenge arkivmaterialet lagres fortløpende på en server i Norge.

Regelverket er heller ikke til hinder for lagring av kopier i utlandet, så lenge det fullstendige arkivet er lagret i Norge.

Arkivloven er under revisjon. Da arkivlovutvalget leverte sin utredning, NOU 2019:9 Fra kalveskinn til datasjø, anbefalte utvalget at det åpnes for å lagre digitale arkiv utenfor Norge. Foreløpig er dette ikke skjedd.

Husk at et arkiv kan inneholde mye ulik informasjon. Dersom arkivet ditt inneholder skjermingsverdig informasjon eller personopplysninger, så gjelder reglene i sikkerhetsloven og personopplysningsloven også for arkivet.

Regnskap og bokføring

Virksomheter som fører regnskap etter regnskapsloven, samt kommuner og fylkeskommuner må følge bokføringslovens krav til oppbevaring av regnskapsdata.

Bokføringsloven med forskrifter stiller krav om at bokføringsdata skal lagres i land innenfor EØS-området, som er nærmere angitt i en egen forskrift. I dag omfatter denne Danmark, Finland, Sverige og Island. Dette er land skattemyndighetene har egne avtaler med, slik at de kan få tilgang til dataene, dersom de trenger det. 

Det er ikke ulovlig å sende bokføringsinformasjon ut av landet, eller å lagre og behandle slik informasjon i utlandet. Kravet er da at det tas en kopi av regnskapet etter avslutning av regnskapsåret (innen en måned etter fastsetting av årsregnskapet og senest innen 7 måneder etter regnskapsårets slutt) og at denne kopien lagres i Norge eller i et av de landene som er oppgitt i forskriften. 

Dersom bokføringsinformasjonen oppbevares utenfor Norge, skal det sendes melding til Skatteetaten om dette.

Det er også mulig å søke Skatteetaten om dispensasjon fra regelen. Du finner mer informasjon om dette på Skatteetatens nettsider.

Personopplysninger og helseinformasjon

Dersom skytjenesten du vurderer skal lagre eller behandle personopplysninger, gjelder det egne krav om hvor og hvordan data kan lagres og behandles. 

Personvernregelverket (personopplysningsloven og personvernforordningen (GDPR – General Data Protection Regulation)) gjelder for alle som behandler personopplysninger, og det er ingen spesielle regler for skytjenester. Reglene vil imidlertid være spesielt relevante for skytjenester, ettersom bruk av skytjenester innebærer utstrakt behandling av data generelt og personopplysninger spesielt.

I tillegg er skytjenester globale i sin natur, og derfor kan personopplysninger bli overført til land utenfor EØS-området.

Personopplysninger «kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene».  Alle land innenfor EØS-området er underlagt GDPR, og tilfredsstiller derfor strenge krav for behandling av personopplysninger. Land utenfor EØS-området tilfredsstiller ikke nødvendigvis de samme standardene.

Hvis en skyleverandør kan garantere lagring og behandling innenfor EØS-området, og ellers tilfredsstiller kravene som stilles til en databehandler, kan du bruke leverandørens tjenester.

Det er også flere andre land som er godkjent av EU som trygge mottakerstater for personopplysninger.

Det er i tillegg mulig å inngå en avtale med databehandleren (skyleverandøren) gjennom EUs personvernbestemmelser (Standard Contractual Clauses eller SCCs). Mange av de store skyleverandørene bruker allerede disse kontraktene. Hvis man skal overføre personopplysninger til land utenfor EØS-området på grunnlag av EUs standardbestemmelser ved bruk av skytjenesten, må man gjennomføre en særskilt risikovurdering. Det europeiske personvernrådet og Datatilsynet har utvikle en metodikk for å gjennomføre vurderingene.

Årsaken er at standardavtalene ikke nødvendigvis beskytter de overførte personopplysningene godt nok, slik at man må implementere flere beskyttelsestiltak. Det er også en reell risiko for at man ikke klarer å skape et godt nok beskyttelsesnivå, som betyr at man i utgangspunktet ikke kan ta i bruk skytjenesten.

Helseinformasjon kan anses som personopplysninger, og i så fall gjelder personvernregelverket også ved behandling av helseinformasjon. Helsesektoren har videre utarbeidet en egen norm for informasjonssikkerhet som heter Normen. Normen vil være særlig relevant i forbindelse med de krav som gjelder informasjonssikkerhet i GDPR.

Sikkerhetsgradert og skjermingsverdig informasjon

Det er bare en veldig liten andel av den informasjonen det offentlige behandler som er gradert eller skjermingsverdig, men det gjelder spesielle krav for slik informasjon. Anskaffelser som innebærer at leverandør kan få tilgang til denne type informasjon kaller vi sikkerhetsgraderte anskaffelser.

Hva er mulighetsanalyse

En mulighetsanalyse (Cloud Readiness Assessment) kan være en måte å konkretisere hvilke områder som det kan være mest aktuelt å flytte ut i skyen. Analysen kan hjelpe virksomhet med å:

  • Oppdage: Identifisere tjenester som er aktuelle for endring og modernisering.
  • Kvalifisere: Avgjøre hvilke tjenester man ønsker å ta med i prosessen for endring og modernisering.
  • Analysere: Samle nødvendig informasjon for å kunne ta en endelig beslutning for de ulike endrings- og moderniseringsalternativene. Noen systemer vil man typisk modernisere, mens andre systemer vil man slutte å bruke.
  • Utføre: Basert på analysen vil man beslutte å gjennomføre moderniseringen eller ikke. Hvis man beslutter å modernisere systemer, lager man en moderniseringsplan.

Ta utgangspunkt i skystrategien du har utarbeidet og sett av god tid til å arbeide med denne analysen.

Innholdet i mulighetsanalysen

Sammendrag for ledelsen

Lag et kortfattet sammendrag slik at ledelse og andre lesere forstår innholdet uten å måtte lese hele dokumentet.

Forslag til innhold:

  • Bakgrunn for dokumentet
  • Kort beskrivelse av de funn som er gjort i modenhetsanalysen
  • Anbefaling for modernisering
Teknisk kartlegging (Oppdage - Kvalifisere - Analysere - Utføre)

Virksomheten bør ta stilling til tekniske forhold i arbeidet med foranalysen. Det betyr at de minst bør:

  • Oppdage: Definere potensielle tjenester som er aktuelle for modernisering.
  • Kvalifisere: Strukturere IT porteføljen og avgjøre hvilke tjenester man ønsker å ha med i den videre prosessen.
  • Analysere: Samle nødvendig informasjon for å kunne ta en endelig beslutning for ulike moderniseringsalternativer.
  • Utføre: Lage en moderniseringsplan.
Sourcingstrategi

Virksomheten bør forankre arbeidet med foranalysen i deres eksisterende sourcingstrategi. Dette omfatter for eksempel:

  • Kartlegge innleie av kompetanse/behov for å bygge egen kompetanse
  • Konsekvensvurdere leverandør- og teknologivalg
  • Konkurransestrategi

Les mer om sourcingstrategi på anskaffelser.no.

Finansielle rammer

Foranalysen bør også omfatte et kapittel om finansielle rammer. Det må spesielt merkes at bruk av skytjenester som regel innebærer kostnader i større grad kommer fra driftsutgifter (OPEX), heller enn kapitalutgifter (CAPEX) . Det betyr at virksomhetene minst bør:

  • Utarbeide kost-nytte modell
  • Utrede finansiering av skyreisen
  • Budsjettere for skytjenester
Verdi- og risikovurdering

Som en del av arbeidet med å beslutte moderniseringsplanen bør det gjøres verdi- og risikovurderinger. Risiko er for eksempel med på å avgjøre hvilke systemer man ønsker å modernisere og hvilke man ønsker å slutte å bruke.

Det anbefales å ta hensyn til risiko som ble identifisert i skystrategien, men denne risikovurderingen vil være mer konkret ettersom den handler om spesifikke deler av IT-porteføljen eller konkrete systemer/arbeidsprosesser. Eksempler på hva verdi- og risikovurderingen kan inneholde:

  • Utredning av konsekvenser av behandling av personopplysninger
  • Geografisk og fysisk lokalisering av utstyr og driftspersonale
  • Etterlevelse av lover og regler
  • Nye prosesser, involverte mennesker og partnere
  • SLA-endringer
Organisatorisk modenhet

Kartlegging av modenhet i virksomheten. Aktiviteter som kan gjennomføres er:

  • Kompetanse og ressurser
  • Kartlegge kompetanse og behov for kompetanseheving
  • Definere framtidig organisasjonsmodell basert på ambisjonsnivået
  • Kartlegge og planlegge tilpasning av operasjonelle IKT-prosesser og -verktøy
Plan for anskaffelse

Basert på den foreslåtte moderniseringsplanen som har kommet frem i modenhetsanalysen skal det utarbeides en anskaffelsesplan.

Oppdatert: 15. desember 2021

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord