Sourcing av IT utenfor Norge og EØS – lovlig eller ikke?

IKT-Norge (med bistand bl a av undertegnede) har utarbeidet en sjekkliste/veileder for tilrettelegging av sourcing utenfor Norge/EØS innenfor lovgivningens krav.

Arve Føyen

Det skrives og sies mye om at vi i Norge utdanner for få innen ingeniørfagene og at de som utdannes går til oljesektoren. Dette, sammen med økt fokus på kostnader og leveransekvalitet, vil i årene som kommer føre til et økende behov for tjenesteutsetting (sourcing av IKT) til land med bedre leveransekraft og lavere lønninger enn vi har i Norge.

I de fleste prosjekter som innebærer sourcing av IT (drift-, applikasjonsforvalting eller utvikling/testing) utenfor Norge og utenfor EØS-området finnes utfordringer knyttet til datasikkerhet, personvern, og overholdelse av sektorspesifikk lovgivning.

Disse utfordringene blir ikke mindre av at de ofte undervurderes, og at de erkjennes i siste liten, på et stadium hvor prosjektet i verste fall er kommet så vidt langt at det medfører store ulemper og kostnader å bringe det i overensstemmelse med gjeldende lovkrav.

Et konglomerat av lovgivning stiller krav til at en virksomhet som vil utkontraktere deler av sine ikt-oppgaver tilrettelegger prosesser og prosedyrer, gjennomfører risikovurderinger og inngår bestemte typer avtaler for at slik utkontraktering skal være i orden. Ansvars- og risikofordeling, og rolledelingen mellom kunder, leverandører og underleverandører i en kjede på tvers av landegrenser blir komplisert og vanskelig å holde oversikt over.

Disse problemstillingene kommer i stigende grad i fokus i forbindelse med økt bruk av sourcing av tjenester utenfor EØS-området (hvor vi har et personverndirektiv og forutsetningsvis fri flyt av varer og tjenester), og i forbindelse med sterkt økende bruk av leveransemodeller basert på Cloud Computing.

Det finnes en rekke (regulatoriske) krav i lovgivningen som gjelder næringslivets oppbevaring og sikring og av data. Dette gjelder f. eks Personopplysningsloven, Bokføringsloven med krav til oppbevaring og tilgjengelighet av regnskapsbilag, IKT-Forskriften med krav vedrørende utkontraktering, risikovurderinger og dokumentasjon, Helseregisterlovgivningen osv. Tilsvarende krav til oppbevaring og sikring av data gjelder også innenfor offentlig forvaltning.

Den engelske søsterorganisasjonen til IKT-Norge (Intellect) har for noen år siden tatt konsekvensen av dette og utarbeidet en sjekkliste/veileder for å identifisere og kartlegge problemstillinger knyttet til personvern, for å bøte på dette. Veilederen følger stadiene i et sourcingprosjekt og tar sikte på å skape en bevissthet både hos kunder og leverandører om hva de må passe på for å identifisere relevante juridiske problemstillinger og lovkrav for de forskjellige stadiene.

IKT-Norge har etter avtale med Intellect gjennomført et prosjekt der denne veilederen er tilpasset norske forhold, og med henvisning til sentrale norske lovbestemmelser som skal legges til grunn ved sourcing utenfor landets grenser. Veilederen er tilgjengelig for nedlasting fra IKT-Norges hjemmeside, og er gratis.

Det er grunn til å understreke at veilederen i seg selv ikke er et «compliance-dokument» i den forstand at om man bare følger veilederen så oppfyller man lovgivningens krav.

Veilederen er derimot å anse som en sjekkliste som på et så tidlig som mulig stadium i et sourcing prosjekt skal bidra til å identifisere sentrale problemstillinger i lovgivningen, slik at henholdsvis kunde og leverandør kan innrette seg slik at de forholder seg riktig til lovgivningen. Derved kan de unngå stygge overskrifter i media, og de kan overholde personvernet og informasjonsbeskyttelse for øvrig – og det er jo i alles interesse!

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss