Säkerhetskopiering

Säkerhetskopiering IT avtal

Det är vanligt att i IT-avtal reglera ansvaret för säkerhetskopiering, men vad händer när det inte är tydligt vem som bär ansvaret? Oklara villkor kan leda till längre säljcykler och när incidenten är framme även förlorad data och dyra tvister. För att undvika detta är det centralt att tydligt definiera vem som ansvarar för säkerhetskopieringen för leveransen, leverantören eller beställaren och hur detta ska följas upp. Läs om hur du strukturerar ansvarsfrågan i ditt IT-avtal och undviker fallgropar. Lästid: 12 min

Vad säkerhetskopiering innebär

Säkerhetskopiering, även kallat backup, är processen att skapa kopior av data för att skydda informationen mot förlust, skada eller oavsiktlig radering. Genom att säkerhetskopiera kan du återställa data om den ursprungliga informationen försvinner eller skadas, exempelvis vid hårdvarufel, cyberattacker, mänskliga misstag eller naturkatastrofer.

Säkerhetskopiering kan göras på olika sätt, såsom lokalt på en extern hårddisk eller server, eller via molntjänster där data lagras på fjärrservrar. Målet med säkerhetskopiering är att säkerställa kontinuitet och tillgänglighet av viktig information, både för privatpersoner och företag, samt att uppfylla lagkrav om datalagring och informationssäkerhet.

Man kan göra allt själv, internt inom bolaget, men det kräver ofta stor kunskap, plats för servar och resurser för underhåll etc. Det är alltså vanligt att köpa denna tjänst via avtal med en IT-leverantör som är expert på området. Det finns lite saker du som företagare som funderar på att ingå ett IT-avtal bör tänka på.

Vad återställande av backup innebär

Återställande av backup är processen där data återförs från en säkerhetskopia (backup) till dess ursprungliga system eller en ny plats efter att data förlorats, skadats eller blivit otillgängligt. Det kan ske efter incidenter som dataintrång, systemfel, korruption av filer, oavsiktlig radering eller hårdvarufel.

Syftet med återställandet är att återfå tillgång till viktig information och återställa normal drift så snabbt som möjligt. Processen innefattar att identifiera vilken backup som ska användas, hämta data från backup-lagringsplatsen och överföra den tillbaka till det ursprungliga systemet eller en annan miljö där den behövs. Återställandet kan gälla enskilda filer eller hela system, beroende på vilken typ av data som gått förlorad och hur omfattande säkerhetskopieringen är.

Det finns två centrala begrepp att ta hänsyn till vid återställande av backup:

  • Mål för återställningstid (Recovery Time Objective)(RTO): RTO är ett tidsmål som anger hur mycket tid som kan gå förlorat innan återupptagande av IT-driften om tjänsten skulle ligga nere av en eller annan orsak.
  • Mål för återställningstidpunkt (Recovery Point Objective)(RPO): RPO definierar frekvensen av säkerhetskopior. Den fastställer hur mycket data organisationen kan förlora. En RPO på 24 timmar, innebär att systemet säkerhetskopieras dagligen. Ett lägre RPO ger alltså mindre dataförlust, men kräver mer resurser och lagringskapacitet.

Ansvar för säkerhetskopiering i svenska standardavtal

I svenska IT-avtal placeras ansvaret för backup och återställande oftast genom tydliga avtalsvillkor som specificerar båda parters ansvar, men det kan variera beroende på avtalets karaktär, typ av tjänst och om det rör sig om interna eller externa lösningar.

Som utgångspunkt är det den som lagrar originalinformationen som normalt sett har ett intresse av att säkerhetskopiera och därför också gör det. I många fall anlitas dock en extern part för att utföra säkerhetskopieringen, exempelvis en IT-konsult eller ett IT-företag.

När leverantören ansvarar för säkerhetskopiering / backup

När ett företag outsourcar IT-tjänster, inklusive säkerhetskopiering, till en extern leverantör, brukar leverantören ofta ha ett betydande ansvar för backup-processen. Detta ansvar kan omfatta:

Regelbunden säkerhetskopiering: Leverantören ansvarar för att säkerhetskopiera kundens data med en viss frekvens, vilket ofta regleras med hjälp av begreppen Recovery Point Objective (RPO) (hur ofta säkerhetskopior tas) och Recovery Time Objective (RTO) (hur snabbt återställning ska ske efter en incident).

Lagring och skydd: Leverantören ansvarar också för att säkerhetskopior lagras på ett säkert sätt, ofta på flera geografiska platser eller i ett molnbaserat system, för att undvika förlust av data vid t.ex. brand, översvämning eller systemfel.

Återställning: Vid incidenter ska leverantören kunna återställa data till kundens system inom en avtalad tidsram, vilket kan variera beroende på avtalsvillkoren. Detta kan också inkludera ansvar för att säkerställa att återställningsprocessen fungerar smidigt och att all data är återställd korrekt.

När Beställaren ansvarar för säkerhetskopiering / backup

Även om leverantören ofta ansvarar för den tekniska sidan av säkerhetskopiering, kan kunden också ha vissa åtaganden, exempelvis:

Datautlämning: Kunden ansvarar för att leverantören får tillgång till all relevant data som ska säkerhetskopieras. Om kunden inte ger leverantören fullständig eller korrekt information, kan det leda till ofullständiga säkerhetskopior.

Övervakning av processer: Vissa IT-avtal kan kräva att kunden övervakar att leverantören utför säkerhetskopieringen enligt avtalet. Detta kan inkludera att granska rapporter om backup-status och säkerställa att återställningstester utförs regelbundet.

Ansvar ges ofta i form av exkludering

I många IT-avtal begränsas leverantörens ansvar, särskilt i fall där förlusten av data beror på faktorer utanför leverantörens kontroll. Sådana begränsningar kan innefatta:

Force majeure: Leverantören kan undkomma ansvar för förlorad data i händelse av naturkatastrofer, krig, eller andra situationer som anses vara utanför deras kontroll.

Exkludering av vissa typer av data: Leverantören kan specificera att de inte ansvarar för viss typ av data som kunden ansvarar för att säkerhetskopiera själva, eller att ansvaret är begränsat till specifika datakategorier.

Ansvarsbegränsning i monetära termer: Leverantören kan i avtalet begränsa sitt skadeståndsansvar till ett visst belopp, ofta till kostnaden för tjänsten eller ett annat avtalsenligt fastställt belopp.

Specifika backupklausuler i IT avtal

Svenska IT-avtal kan innehålla detaljerade klausuler om backuphantering, som reglerar:

Backup-frekvens: En tydlig specificering av hur ofta säkerhetskopior ska tas, vilket kan variera beroende på företagets behov och den typ av data som hanteras.

Lagringstid: Avtalet specificerar hur länge säkerhetskopiorna ska lagras innan de raderas eller arkiveras, och hur detta sker i enlighet med GDPR och andra dataskyddsbestämmelser.

Test av återställningsprocesser: Det kan inkludera krav på att leverantören regelbundet utför tester för att säkerställa att säkerhetskopiorna kan återställas korrekt och i tid.

Leverantörens skadeståndsansvar enligt lag

I Sverige regleras konsultuppdrag som IT tjänster av flertalet lagar, däribland Köplagen, Lagen om sysslomanna ansvar m.m. Det betyder att flera olika rättsprinciper som finns i andra lagar tillämpas för att utreda konsultens skydligheter. Som huvudregel krävs det tre moment för att en konsult ska bli skadeståndsskyldig:

  1. Ett klandervärt beteende: Beteendet ska vara oaktsamt, bristande fackmässighet eller i vart fall åsidosätta “sedvanlig” omsorg. Med andra ord, avvika från vad en normalt aktsam konsult hade gjort i den aktuella situationen. Bedömningen beaktar yrkesetiska regler, risken för skada, den sannolika skadans storlek och möjlighet att förutse risken för skada.
  2. Skada. Beställaren måste kunna påvisa att det föreligger en skada och hur stor skadan är.
  3. Orsakssamband. Det måste finnas ett samband mellan skadan och leverantören antingen genom felaktigt utförande, råd, eller lämnad uppgift. Sambandet får inte vara för långsökt.

Vid en ansvarsbedömning beaktas normalt sett vad parterna har kommit överens om i avtalet. Är avtalet inte preciserat kan det därför vara svårt att bedöma ansvarsfördelning när problematik väl uppstår.

Beställaren var ansvarig för att säkerhetskopiera

I ett avgörande från Malmö Tingsrätt (Dom T 11639-13) var det frågan om ett IT-konsultansvar för förlorade säkerhetskopior hade uppkommit konkludent (uppkommit på grund av uteblivande formell överenskommelse). Parterna hade haft en lång affärsrelation och hade avsett huvudsakligen hårdvara för säkerhetskopiering. Avtalet mellan parterna slutade gällade i december 2013. Beställaren ansåg sig ha förvärvat upphovsrätten till programmet, med stöd i en klausul i det ursprungliga avtalet. Beställaren fortsatte att använda programmet fram till 12 januari 2015, då applikationsservern till programmet stänged av. När hårdvaran som utförde säkerhetskopieringen slutade fungera uppstod frågan vem som varit ansvarig.

Beställaren hävdade att det hade rört sig om ett heltäckande konsultansvar med löpande ansvar för IT-företaget. Tingsrätten ansåg att det inte var bevisat att det varit fråga om ett heltäckande konsultansvar. Då ansvaret inte var avtalat, blev exempelvis beloppen på fakturorna tolkningsdata. Tingsrätten slöt sig till att beloppen troligen inte kunde motsvara arvodet för en heltäckande IT-konsulttjänst.

Då det inte var preciserat i avtal, tittade Tingrätten på omkringliggande omständigheter. Då priset som beställaren betalade inte kunde jämföras med marknadsmässigt pris för en heltäckande IT-tjänst uppstod inte ansvar för IT-leverantören.

Leverantören var ansvarig för att säkerhetskopiera

I ett avgörande från Hovrätten i Västra Götaland (Dom T 1657-18, 2019-05-08) var det fråga om ansvar för förlorade säkerhetskopior. Domstolen bedömde skadeståndsansvar vid avtalsbrott. IT-leverantören ansågs ansvarig för underlåtenhet att göra säkerhetskopior och ådömdes att betala 3,5 miljoner kr i skadestånd. Parterna hade haft en långvarig affärsrelation. Käranden hade under flera år använt IT-företagets för bl.a. utökande av serverkapaciteten. Vid dessa tillfällen hade IT-leverantören anslutit de installerade servrarna till ett säkerhetskopieringssystem. Några månader senare installerade IT-företaget en server utan att ansluta den till säkerhetskopieringsssystemet och utan att informera kunden om detta. Datan blev sedan viruskrypterad och omöjlig att återställa.

Installationen utgjorde ett led i leverantörens fortlöpande verksamhet genom att bistå kunden med tjänster och varor på IT-området. Eftersom leverantören, med sin IT-expertis, anlitades för att utföra ett löpande arbete tillfall ett s.k. konsultansvar. Det konsultansvar som leverantören därvid hade sträckte sig alltså längre än vad som normalt förknippas med enbart försäljning eller uthyrning (se Dom T 1657-18 sid. 5).

IT-leverantören hade kännedom om kundens verksamhet och att kunden ditills låtit all information sparas på servern. Leverantören borde, som expert på området, alltså tagit upp säkerhetskopieringsfrågan beträffande den nya enheten i samtal med kunden. Skadestånd utdömdes trots att varken IT-konsultansvar eller säkerhetskopiering var avtalat mellan parterna vid tidpunkten för installationen.

Säkerhetskopiering och GDPR

Säkerhetskopiering av data är inte bara en teknisk nödvändighet, utan också en viktig del av regelefterlevnad enligt GDPR (General Data Protection Regulation). GDPR reglerar hur personuppgifter ska behandlas och skyddas, vilket innebär att företag måste vara särskilt noga med hur de hanterar säkerhetskopior som innehåller dessa uppgifter.

Vad innebär GDPR för säkerhetskopior?

Enligt GDPR måste företag vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive de som lagras i säkerhetskopior. Detta innebär att säkerhetskopiorna måste vara skyddade mot obehörig åtkomst, förlust eller skada genom åtgärder som kryptering och åtkomstkontroller.

En särskild utmaning med säkerhetskopiering i förhållande till GDPR är rätten till radering (”rätten att bli glömd”). Om en individ begär att deras data ska raderas, måste företaget se till att dessa uppgifter även tas bort från säkerhetskopior. Eftersom säkerhetskopior ofta är designade för att inte förändras, kan detta vara svårt att hantera. Därför kan tekniska lösningar, som att säkerställa att känsliga personuppgifter automatiskt raderas från säkerhetskopior efter en viss tid, vara nödvändiga för att uppfylla GDPR:s krav.

En annan aspekt är att dataintrång som påverkar säkerhetskopierade personuppgifter också omfattas av GDPR:s anmälningsplikt. Om ett dataintrång inträffar som påverkar personuppgifter i en säkerhetskopia, måste företaget informera tillsynsmyndigheten, och ibland även de individer vars uppgifter har läckt, inom 72 timmar.

GDPR och molnbaserade säkerhetskopior

Om företag använder molnbaserade säkerhetskopieringslösningar måste de säkerställa att molntjänstleverantören följer GDPR. Detta innebär att data som lagras i molnet måste hållas inom EU eller i länder som har en adekvat nivå av dataskydd, eller att företaget har lämpliga skyddsåtgärder på plats, som standardavtalsklausuler eller bindande företagsregler.

Att säkerställa GDPR-efterlevnad i backuphanteringen är avgörande för att undvika böter och skadeståndskrav, och företag måste ha processer på plats för att hantera både radering och dataintrång i förhållande till säkerhetskopior.

Hur NIS2 påverkar backuphantering

NIS2 kräver att företag vidtar tekniska och organisatoriska åtgärder för att minska risken för säkerhetsincidenter, samt att de kan återställa system och data efter en incident. Säkerhetskopiering är ett av de viktigaste verktygen för att uppfylla dessa krav. Företag som omfattas av NIS2 måste säkerställa att de har en effektiv disaster recovery-plan som inkluderar säkerhetskopiering och återställning av kritiska data.

NIS2 ställer krav på redundanta och geografiskt separerade säkerhetskopior

NIS2 ställer också krav på redundanta säkerhetskopieringssystem, vilket innebär att företag måste ha flera kopior av sina kritiska data på olika platser. Dessa säkerhetskopior måste finnas i geografiskt separerade datacenter för att säkerställa att en fysisk händelse, som en brand eller naturkatastrof, inte kan förstöra alla säkerhetskopior samtidigt.

Detta innebär också att företag måste planera för regelbundna tester av backup och återställning, för att säkerställa att systemen fungerar som de ska och att data kan återställas inom den tidsram som är definierad i företagets återställningsmål (RTO och RPO).

NIS2 incidentrapportering och säkerhetskopiering

Om ett företag drabbas av en säkerhetsincident som påverkar integriteten eller tillgängligheten av säkerhetskopiorna, kräver NIS2 att detta rapporteras till tillsynsmyndigheterna inom en viss tidsram. Detta innebär att företag måste ha en tydlig plan för hur de hanterar och dokumenterar incidenter som kan påverka deras säkerhetskopior, och hur de rapporterar dessa händelser i enlighet med direktivet.

Förberedelser för NIS2 efterlevnad rörande säkerhetskopiering

För att efterleva NIS2:s krav på säkerhetskopiering och incidenthantering bör företag:

• Implementera automatiserade säkerhetskopieringssystem med redundans och geografisk separering.

• Regelbundet testa återställning av säkerhetskopior för att säkerställa att de fungerar korrekt.

• Säkerställa att säkerhetskopior är skyddade genom kryptering och att åtkomst till dem är strikt reglerad.

• Dokumentera och rapportera alla incidenter som kan påverka säkerhetskopiornas integritet eller tillgänglighet till relevanta myndigheter.

Säkerhetskopiering är därmed en kritisk komponent i NIS2-efterlevnad och spelar en avgörande roll för att upprätthålla kontinuitet och informationssäkerhet i företag som bedriver samhällskritiska funktioner.

SaaS escrow innebär en större trygghet för att Beställarens data inte går förlorad

SaaS escrow (Software as a Service escrow) är en typ av juridisk och teknisk avtalslösning som används för att skydda företag som använder molnbaserade tjänster (SaaS) i händelse av att tjänsteleverantören upphör med sin verksamhet, går i konkurs, eller inte längre kan tillhandahålla tjänsten. I detta avtal placeras källkoden, data, eller ibland hela mjukvaruplattformen hos en oberoende tredje part (escrow-agent), som kan överlämna dessa till kunden under specifika villkor. Detta ger kunden tillgång till kritiska resurser om SaaS-leverantören inte längre kan stödja tjänsten.

SaaS escrow och backuphantering är nära relaterade, eftersom båda syftar till att skydda tillgången till data och funktioner som är kritiska för verksamheten. Genom en SaaS escrow kan följande aspekter kopplas till backuphantering:

1. Kontinuitet vid avbrott: Om en SaaS-leverantör inte längre kan erbjuda tjänsten, kan kunden via escrow-arrangemanget få tillgång till nödvändig mjukvara, källkod och dokumentation för att fortsätta sin verksamhet. På samma sätt ger en backup kontinuitet genom att säkerställa att företaget kan återställa data om något går fel.

2. Säkerhet för data: I ett SaaS-scenario är all verksamhet beroende av leverantörens molntjänst. Om leverantören upphör eller får problem, och det inte finns ordentliga backuplösningar, riskeras viktig affärsdata. Genom SaaS escrow säkerställs att data och programvara kan överföras till kunden eller en ny leverantör, som i sin tur kan skapa nya säkerhetskopior.

3. Regelbundna uppdateringar av backup: För att escrow-arrangemanget ska fungera effektivt, krävs att källkod, data och annan relevant information uppdateras regelbundet och synkroniseras med backup-systemet. Detta säkerställer att kunden alltid har tillgång till den senaste versionen av programmet och all kritisk affärsdata.

4. Juridisk säkerhet: SaaS escrow-avtal ger en juridisk grund som säkerställer att kunden har rätt att få tillgång till data och backup i händelse av att SaaS-leverantören inte längre kan tillhandahålla sina tjänster. Det ger extra skydd utöver de vanliga backuplösningarna.

Sammantaget kompletterar SaaS escrow och backuphantering varandra genom att skydda kundens åtkomst till både programvara och data vid avbrott eller oförutsedda händelser, vilket stärker företagets IT-säkerhet och affärskontinuitet.
Vid förhandling och upprättande av ett SaaS escrow-avtal är det viktigt att fokusera på både tillgång till kritisk data och själva mjukvaran, då dessa aspekter är avgörande för att säkerställa affärskontinuitet om leverantören inte längre kan tillhandahålla tjänsten. I ett SaaS-avtal är inte bara källkoden viktig, utan också den data som lagras och hanteras i leverantörens molntjänst, samt den infrastruktur som tjänsten körs på, exempelvis servrar och databaser. Detta skiljer sig från traditionell källkods-escrow, där fokus huvudsakligen ligger på att placera källkoden hos en tredje part för att säkerställa tillgång till den om mjukvaruleverantören går i konkurs eller misslyckas med att stödja produkten.

 

, , ,
  • Share on:

Sofia Edvardsen

Sofia Edvardsen är grundare av den affärsjuridiska byrån Sharp Cookie Advisors och är en erfaren affärsjurist inom internetjuridik och digitala affärer.

Leave a Comment

Your email address will not be published. Required fields are marked *

*