Har du overvejet, hvad der sker med dine data, hvis en IT-leverandør eller en leverandørs underleverandør (hostingleverandør) går konkurs?
Problemstilling
I tilfælde af en IT-leverandørs (herefter ”leverandør”) konkurs eksisterer der en risiko for, at man som dataejer/dataansvarlig (herefter ”dataejer”) ikke kan få tilbageleveret egne data fra leverandøren eller, at tilbagelevering først kan realiseres efter en uacceptabel tidsperiode.
Hvis konsekvensen ved manglende tilgængelighed af data, herunder forretningsdata og personoplysninger, er høj, bør det derfor vurderes, om der skal etableres foranstaltninger, der kan nedbringe sandsynligheden for. At det sker.
Nedenfor følger en gennemgang af de udfordringer, der kan opstå i tilfælde af en leverandørs konkurs samt hvilke foranstaltninger, der kan implementeres for at nedbringe risikoen for at miste data.
Konkurslovens regler[1]
§ 82. ”Hvad der tilhører tredjemand eller af andre grunde ikke kan inddrages i konkursmassen, udleveres til den berettigede.”
– dvs. at en dataejer har ret til at få tilbageleveret data, der tilhører vedkommende.
§ 84. ”Er retten til en genstand i boets besiddelse uvis, råder ejeren ikke over genstanden inden en rimelig tid efter at være opfordret dertil, eller har boet trods rimelige bestræbelser ikke kunnet komme i forbindelse med ejeren, kan genstanden sælges, hvis boet ikke uden uforholdsmæssigt store omkostninger eller ulempe for boets behandling kan vedblive med at sørge for den. Er genstanden udsat for hurtig fordærvelse, bør den sælges. Kan salg ikke finde sted, er boet berettiget til at skaffe genstanden bort. Inden salg eller bortskaffelse bør der så vidt muligt gives underretning til den eller de muligt berettigede.”
– dvs. atgenstanden skal være tilstrækkelig individualiseret for at konkursboet kan udlevere den.
§ 128. ”Skifteretten skal i bekendtgørelsen om konkurs, jf. § 109, opfordre enhver, der har en fordring eller andet krav mod skyldneren, til inden 4 uger at anmelde dette over for kurator. [..]”
– dvs. skifteretten typisk skriver således i dekretet i Statstidende: ”Enhver, der har fordring eller andet krav mod skyldneren, opfordres til inden 4 uger efter denne bekendtgørelse til boets kurator at anmelde sit krav opgjort pr. xx.xx.xxxx. Anmeldelsen bør være vedlagt dokumentation for kravet.”
Konkursbehandlingen i praksis
Indledende betragtning: Kurator kommer ikke af egen drift med harddisken i hånden og tilbageleverer data til dataejeren, medmindre kurator vurderer, at data er tilstrækkelig individualiseret. Det følgende vurderes derfor at være betingelser for, at dataejeren kan få data tilbageleveret efter dialog med kurator.
Krav om anmeldelse
Skifteretten offentliggør konkursdekretet i Statstidende, hvorefter kurator henvender sig til identificerede kreditorer via Digital Post. Kreditor skal herefter anmelde sit krav i konkursboet. Kurator skal med andre ord gøres opmærksom på, at du som dataejer har en tredjemandsret efter § 82. Anmeldelsen skal som udgangspunkt ske inden for en frist på 4 uger fra kurators henvendelse.
Her opstår den første risiko, hvis dataejer ikke når at anmelde sit krav inden for fristen.
Identifikation af tredjemands genstand (i dette tilfælde data)
Det er derefter en betingelse, at kurator kan identificere genstanden, der tilhører tredjemand. Genstanden skal altså være tilstrækkelig individualiseret for at kunne udleveres af konkursboet. Er der tale om en fysisk genstand, kan det f.eks. være, at ejerens navn er påført genstanden, eller at den står i et område, der på en tydelig måde signalerer, at det tilhører tredjemand.
En sådan individualisering af data hos en leverandør, kan ikke forventes uden forudgående aktive skridt, der bevirker, at data let kan identificeres hos den konkursramte leverandør. Det skal i den forbindelse bemærkes, at leverandørens medarbejdere, der har viden om leverandørens tekniske opsætning og datalagringsmetode, ikke kan forventes at deltage ved konkursbehandlingen, da de ikke nødvendigvis kan modtage løn herfor.
Her opstår derfor en anden risiko, hvis data ikke kan identificeres som tilhørende dataejer, og kurator derfor ikke kan udlevere det fra konkursboet.
Udtrækning af data i praksis
Hvis det er muligt at identificere de relevante data, skal data derefter flyttes ud fra leverandørens hostingmiljø og over til et nyt. I den proces er der generelt mange variabler, der kan gøre udtrækning og flytning kompliceret. Det kan i den forbindelse ikke forventes, at konkursboet betaler for de ressourcer, der skal bruges til opgaven, herunder nødvendigt teknisk udstyr samt fagpersoner. Dataejer skal derfor have sådanne ressourcer tilgængelige.
Anvender leverandøren en underleverandør til hosting af data, skal dataejer desuden være opmærksom på, hvor længe hostingleverandøren kan forventes at opbevare data, hvis der ikke bliver betalt for servicen af leverandøren under konkurs.
Klausul om begunstigede tredjemand i databehandleraftale
I tilfælde hvor behandlingen angår personoplysninger, skal der indgås en databehandleraftale. I databehandleraftalen mellem leverandøren (databehandler) og hostingleverandøren (underdatabehandler) kan der indsættes en klausul, der indsætter den dataejer som begunstiget tredjemand i tilfælde af leverandørens konkurs. Datatilsynets standardskabelon til indgåelse af databehandleraftaler[2] har indtil for nylig indeholdt en obligatorisk klausul, der pålagde leverandøren at indgå en sådan klausul med underleverandører. Datatilsynet har dog for nylig valgt at gøre denne klausul valgfri. Det sender således et tydeligt signal om, at klausulen ikke har været og ikke vil blive anvendt i stor stil fremadrettet.
Hvis klausulen eksisterer i databehandleraftalen mellem leverandøren og underleverandøren, har den en vis værdi for dataejer, hvis dataejer når at instruere underleverandøren i at tilbagelevere data, før underleverandøren lukker for levering af sin service til leverandøren, og sælger lagringspladsen videre til en ny kunde.
Det bemærkes, at en databehandleraftale kun angår personoplysninger. Det vil således som det klare udgangspunkt ikke hjælpe i forhold til forretningsdata, medmindre der er overlap.
Under en konkursbehandling opstår der en tilstand af ”det vilde vesten”, da der skal ske mange handlinger og transaktioner i løbet af kort tid. Der er sandsynligvis en lang række af kreditorer, der presser på for at få deres krav opfyldt. Der eksisterer derfor en betydelig risiko for, at dataejers rettigheder efter konkursloven, risikerer at blive illusoriske.
NIS 2, DORA, GDPR, generel Informationssikkerhed
Ovenstående er relevant for efterlevelse af hhv. NIS 2[3], DORA[4] og GDPR[5], ligesom det er relevant i forbindelse med generel informationssikkerhed.
En risikovurdering af en aktivitet, hvor konsekvensen for manglende tilgængelighed af data er høj, hhv. for den registrerede (GDPR), enhedens driftskontinuitet (NIS 2/DORA) eller virksomhedens forretningsgrundlag (generel Informationssikkerhed) bør tage højde for de nævnte risici. Overvejelser og konkrete tiltag bør indgå i en beredskabsplan – nærmere bestemt i en Business Continuity Plan.
Nedenfor er der fremstillet mulige foranstaltninger, der kan nedbringe de beskrevne risici.
Mulige foranstaltninger
Tredjeparts backup løsning
Etablering af en backupløsning hos en tredjepart, der er uafhængig af leverandøren, gør det muligt til enhver tid at gøre data tilgængelig. Ved etablering af backupløsningen skal der tages stilling til, hvad der skal være omfattet af backuppen, hvor ofte backuppen skal kopiere data, samt hvor hurtigt backuppen skal kunne retableres.
Ulempen er, at der er en fast omkostning forbundet hermed.
Grundig due diligence
Før indgåelse af en kontrakt med en leverandør af et ”kritisk” system, bør der foretages en grundig due dilligence af leverandøren samt IT-kontrakten, herunder for så vidt angår økonomisk robusthed og sandsynligheden for væsentlige hændelser hos leverandøren, der kan medføre store tab og kundeflugt. Der kan hentes inspiration til arbejdet i blandt andet Digitaliseringsstyrelsens risikokort samt bestemmelser om ophør.
Hvis leverandøren benytter sig af en underleverandør til opbevaring af data, bør vurdering af relevante forhold hos underleverandøren ligeledes undersøges, ligesom relevante aftaleforhold mellem leverandøren og underleverandøren i forhold til tilbagelevering af data i tilfælde af underleverandørens konkurs skal undersøges.
Private cloud
Nogle leverandører tilbyder en såkaldt private cloud-løsning. Med en private cloud-løsning, behandles data, der overlades til leverandøren, i cloud infrastruktur (servere/lagringsmedier) dedikeret til den enkelte kunde/organisation. I en public cloud løsning, deles flere kunder om den samme cloud infrastruktur.
Der er således en væsentlig højere sandsynlighed for, at ejeren af data i en private cloud-løsning, kan identificeres af kurator.
Der er flere omkostninger forbundet med en private cloud-løsning, ligesom at det ikke er alle leverandører der tilbyder det.
Krav om leverandørs forudbetaling til hostingleverandør
I tilfælde, hvor leverandøren benytter en hostingleverandør (underleverandør), kan der stilles krav om, at leverandøren forudbetaler hostingleverandøren, f.eks. 6 måneder, i sammenhæng med en aftale om, at hostingleverandøren overtager driften af leverandørens system/data i tilfælde af leverandørens konkurs.
Det vil ikke være alle hostingleverandører, der på trods af forudbetaling kan eller vil påtage sig denne forpligtelse.
Underleverandør går konkurs (data hostes hos underleverandør)
De forudgående bemærkninger knytter sig alene til leverandørens konkurs. I tilfælde af at leverandøren benytter en hostingleverandør (underleverandør), er det væsentligt, at de samme overvejelser indgår i forhold til leverandørens mulighed for at få tilbageleveret data, hvis underleverandøren går konkurs.
Det bør derfor indgå som en del af dataejers IT-kontrakt med leverandøren, at leverandøren skal tilvejebringe den nødvendige sikkerhed for, at leverandøren, på vegne af dataejeren, kan sikre tilgængeligheden af data i tilfælde af underleverandørens konkurs på samme vis, som leverandøren skal over for dataejeren.
[1] Konkursloven (retsinformation.dk)
[2] Datatilsynet_skabelon-til-databehandleraftale-dansk.docx (live.com)
[3] Publications Office (europa.eu)
[4] Publications Office (europa.eu)
[5] EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/ 679 – af 27. april 2016 – om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/ 46/ EF (generel forordning om databeskyttelse)