שירותי ענן מבטאים שינוי מהותי בתפיסת המחשוב הארגונית. תשתיות מחשוב, טכנולוגיה ותוכנה, עוברים ממשרדי העסק להתנהל על-ידי צדדים שלישיים באינטרנט. הם מקיפים תחומים רבים: מאחסנת קבצים ועד מרכזיות טלפוניות; מדואר אלקטרוני ועד לאבטחת מידע; מתוכנות משרדיות ועד מערכות לניהול קשרי לקוחות. 

היתרונות לארגון, גדולים. הם מקיפים, בין השאר, גמישות בניהול הצרכים, חסכון בעלויות, ניצול הטכנולוגיה החדישה ביותר וזמינות. אין פלא שארגונים ועסקים רבים מעתיקים עוד ועוד מפעילותם לענן. מיחידים המנהלים משרד ביתי (SOHO) ועד לרשתות חינוך, בנקים וחברות רב-לאומיות.

היתרון העסקי מלווה בסיכון משפטי. את הסיכון צריך לנהל בזהירות. אין מידה אחת לכל. מה שנדרש ממנהל חשבונות בודד שונה לגמרי ממה שיידרש מחברה ביטחונית. עם זאת, שונים ככל שיהיו, יש מכנה משותף משפטי לכל הארגונים המבקשים להעביר פעילות לענן.

העברת פעילות כזו כרוכה בהעברת מידע. מידע כפוף לדינים שנועדו להגן על אינטרסים שונים בו. חלקם הם אינטרסים מובהקים של הארגון. הוא יבקש, לדוגמה, לשמור על סודיות עסקיו, לקיים את התחייבויותיו החוזיות כלפי צדדים שלישיים לשמור על מידע שקיבל מהם ולהגן על קניינו הרוחני. האם יוכל לעשות כן כאשר הוא מנהל מידע על גבי תשתיות של צד שלישי מחוץ לישראל?

אינטרסים אחרים הם אלה של המדינה. לדוגמה, חוק הפיקוח על ייצוא ביטחוני מגביל העברת "ידע ביטחוני בכל דרך שהיא, לרבות בעל פה". על משרד הביטחון להבהיר בהקשר זה האם יחשיב קבלת שירותי תשתית ומחשוב בענן לייצוא אסור של ידע.

אינטרס ראשון במעלה הוא כמובן האינטרס של נשואי המידע. אלה יכולים להיות לקוחות הארגון, ספקיו או עובדיו. מערך הדינים המגן על עניינם של אלה, רחב. הוא מקיף חובות סודיות מכוח דינים פרטיקולרים כדוגמת חוק לשכת עורכי הדין או חוק זכויות החולה; מכוח פסיקה והנחיות רגולטוריות, כדוגמת חובת הסודיות הבנקאית ועוד.

ראש וראשון לדינים המגנים על אינטרס הפרט במידע הוא כמובן חוק הגנת הפרטיות. החוק כשלעצמו אינו שולל שירותי ענן. על פני הדברים יש בו את התשתית החוקית הדרושה להתמודד איתם. עם זה, העברת תשתיות ומידע לענן כורכת בחובה לפחות שני הבטים הטעונים תשומת לב – מיקור חוץ של שירותי עיבוד מידע אישי והעברת מידע אל מחוץ לגבולות המדינה.

הענין הראשון מוסדר בהנחיה ארוכה ומפורטת שפרסמה הרשות למשפט, טכנולוגיה ומידע (רמו"ט). ההנחיה מחייבת לאפיין ולנהל את האיומים למידע והסיכונים הכרוכים בהעברתו. אבטחת מידע היא בלב העניין. ארגון גדול יידרש לנהל תהליך מושכל ומתועד של ניתוח הסיכונים ולשקף בהסכם עם ספק שירותי הענן את הדרישות הייחודיות הנובעות מהערכתו. ההתמקחות עם ענקי השירות העולמיים, ובהם גוגל, מייקרוסופט ואמזון, קשה ומצויה רחוק מיכולתן של חברות רבות. ארגונים קטנים ובינוניים יאלצו להסכים לחוזי 'הקש וקבל' שאי אפשר לשנות בהם שום תו.

הדין אוסר העברת מידע אל מחוץ לגבולות המדינה, אלא אם כן רמת ההגנה על מידע בדיני המדינה שאליה יועבר המידע אינה פחותה מרמתה בחוק הישראלי. לרוב לא מוצעת לארגונים האפשרות לבחור באיזה טריטוריה יישב המידע שלהם. ייתכן שיפוזר במדינות שונות, באופן שקוף למשתמש. בהעדר רמת הגנה הולמת, אחת הדרכים החלופיות היא קבלת הסכמתו של נשוא המידע. ארגון המבקש לאחסן מחוץ לתחום המדינה רשומות קיימות של מיליוני משתמשים, יתקשה לקבל באופן מעשי הסכמה כזו – מה גם שעל פי דיני הגנת הפרטיות היא צריכה להינתן מדעת.

גילויי החודשים האחרונים על מערכת הניטור האינטנסיבית של ה- NSA בארצות-הברית אחר המידע והתקשורת האינטרנטית, הציפו לפני השטח קושי חריף מקודמיו. מקום אחזקת המידע יכפיף אותו לדינים זרים. דינים כאלה יכולים לעסוק בחובותיו של בעל מאגר מידע, בחיפוש ותפיסה במידע הנמצא בתחום הטריטוריאלי שבו מוחזק המידע ואף בחיפוש ותפיסת מידע הנמצא בידי חברה הכפופה לדין נתון, אפילו היא מחזיקה את המידע מחוץ לטריטוריה שבה היא מאוגדת ופועלת. לדוגמה - דירקטיבות אירופאיות ודינים לאומיים במדינות בנושא עיבוד מידע אישי, ה- Patriot Act או ה- Foreign Intelligence Surveillance Act האמריקאים.

חברות אירופאיות רבות דורשות כעת במפורש במשאים ומתנים חוזיים שלא לאחסן מידע בארצות-הברית. על-פי הערכות, חשיפתה של מערכת הריגול המקוונת עלולה לעלות לחברות שירותי ענן אמריקאיות באבדן הכנסות של כ-45 מיליארד דולר. ארגונים ישראלים אינם פטורים מהצורך להעריך בזהירות את השלכות הדינים שנועדו להילחם בטרור על חשיפת המידע שיעבירו לענן.