Your SlideShare is downloading. ×
Cloud og personvern idg mai 2011
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cloud og personvern idg mai 2011

77
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
77
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Derfor tar vi dette inn i informasjon til dem
  • § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
  • § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
  • § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
  • Transcript

    • 1. Skyer, cloud og litt jussadvokat Eva I. E. Jarbekk
    • 2. Hva er cloud?
    • 3. Lovkrav - personvern–Personvern – hvem er behandlingsansvarlig–Informasjonssikkerhet–Formkrav ved overføring av PO til utlandet–Databehandleravtaler–Annet man må tenke på:• Risikovurderinger• Kontrakt – Lovvalg – håndheving - SLA –ansvarsbegrensning - etcRettslige utfordringer
    • 4. • Advokat og partner i Brækhus DegeAdvokatfirma• Partner i FAKTUM NoR AS – tverrfagliginformasjonssikkerhet, granskning ogpersonvern• Leder av Personvernnemnda 2009-2013• Leder advokatforeningens lovutvalg for ikt- ogpersonvernBakgrunn – Eva Jarbekk
    • 5. Personvern – why?• Utgangspunkt; pol § 1Lovens formålFormålet med denne loven er å beskytte den enkelte mot atpersonvernet blir krenket gjennom behandling av personopplysninger.Loven skal bidra til at personopplysninger blir behandlet i samsvarmed grunnleggende personvernhensyn, herunder behovet forpersonlig integritet, privatlivets fred og tilstrekkelig kvalitet påpersonopplysninger.Formålsparagrafen er tolkningsmoment i vurderinger med skjønn..forts.
    • 6. Litt om hvorfor personvern• Sikre forsvarlig bruk av personopplysninger– Hver enkelts personvern og kontroll med opplysninger– Opplysninger skal forbli der de forventes å befinne seg– Forventninger om diskresjon øker behov for personvern/beskyttelse• passord øker forventing om diskresjon• E-post derfor annerledes enn sentralt lagrede dokumenter• Sosiale medier antas å være mer lukket enn de er• Informasjonssikkerhet er en sentral del av personvern• Bruken av reglene skal balansere effektiv informasjonsbehandling oghensynet til individene• Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
    • 7. Rettslig rammeverk - oversikt• Personopplysningsloven (EU-basert)• Forskrifter• Datatilsynets praksis• Personvernnemndas praksis• Noe rettspraksis• Avgjørelser fra statsadvokat og riksadvokat• Nye forskrifter om innsyn i e-post• Særlovgivning;– helsepersonell– arbeidsmiljølov– politiets registre• Datatilsynet– Veiledningsplikt – mye på nett– Kontrollerende organ• Personvernnemnda
    • 8. All info knyttet direkte/indirekte til individomfattes av loven– Alt fra telefonnummer til medarbeidersamtaler ogsykehistorikk omfattes– Reglene gjelder BÅDE sensitive og ikke-sensitiveopplysningerPersonopplysningslovens virkeområde
    • 9. Hva er ”behandling” avpersonopplysningerPersonopplysningsloven § 2,1,2:Enhver formålsbestemt bruk av personopplysningerInnsamling, registrering, sammenstilling, lagring ogutlevering eller en kombinasjon – definitivt cloud
    • 10. Hvem er ansvarlig - begreper• Ledelsen• Behandlingsansvarlig: den som bestemmer hvordan PO skalbrukes og hvilke hjelpemidler som skal brukes• Databehandler: gjør det avtalen med behandlingsansvarlig sier• Ved ekstern delegasjon/outsourcing MÅ ansvaret foropplysningene omtales, jfr. § 15, i en såkalt”databehandlerklausul”
    • 11. Problem: behandlingsansvarlig ellerdatabehandler?• Behandlingsanvarlig har omfattende plikter – det har ikkedatabehandler• Behandlingsansvarlig sikrer sine forpliktelser via avtaler meddatabehandler – databehandleravtaler• Hvem er hva ved bruk av skyen?• Realiteten avgjør rollene og pliktene– Er det lett å avgjøre?– Man kan i en viss grad avtale hvor ansvaret skal ligge– Mulig at to virksomheter sammen kan være behandlingsansvarlig– krever grundig avtale
    • 12. • DT og Article 29 – gruppen– Tekniske beslutninger kan delegeres, men ikke “the essential elementsof the means”•I utgangspunktet er sky-leverandør databehandler– Men: En IaaS kan lettere vurderes som vurderes som endatabehandler, men en SaaS kan anses som behandlingsansvarlig•Hvis leverandøren likevel faktisk er behandlingsansvarlig– Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse tilde hvis data er lagret i skyenBehandlingsansvarlig eller databehandler?
    • 13. • Uansett: avtale med sky-leverandør trengs• Kontroll må sikres i størst mulig gradBA eller DB
    • 14. Kjært barn har mange navnDatabehandleravtalerellerCloud-avtaleSaaS-avtalePoeng er ikke navn, men innhold
    • 15. Databehandleravtale• Den behandlingsansvarlige er fremdeles ansvarlig selv omdatabehandler brukes• Databehandler kan bare råde over opplysningene slik det erskriftlig avtalt med den behandlingsansvarlige – kan ikke gjørenoe annet• Datatilsynet har veileder om databehandleravtaler (DBA) ogutkast til DBA på hjemmesidene• Avtalen med sky-leverandør vil bli ganske omfattende
    • 16. Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene ominformasjonssikkerhet m.m. etterleves?•Odense kommune - Google Apps in schools – NEI•POF:– Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak ogbruk av kommunikasjonspartner og leverandører.”TVILSOMT – BA MÅ HA EN GRAD AV KONTROLL..typiske og viktige bestemmelserEr avtale med leverandør alltidtilstrekkelig?
    • 17. Databehandleravtale – typiske best.• hvilke personopplysninger skal behandles• hvilke behandlinger omfattes av avtalen• hva er rammene for databehandlers håndtering avpersonopplysninger ………– … om det er rom for forhandlinger da… det varierer jo meget ….• Eksempelvis:– Sikkerhetskopiering – speiling - redundans– Sletting– Tilgangskontroll– Segmentering– Lokasjon – tar mer om dette litt senere
    • 18. Databehandleravtale – typiske best.Sikkerhet – www.datatilsynet.no• Databehandleren må kunne legge frem dokumentasjon forinformasjonssystemets utforming og sikkerhetsløsninger slik atden behandlingsansvarlige kan forvisse seg om at løsningenhar tilfredsstillende informasjonssikkerhet sett opp motrisikovurdering og akseptkriterier.• Databehandleren kan ikke endre informasjonssikkerhetstiltakuten at den behandlingsansvarlige er blitt informert skriftligog har godkjent endringen, jf. risikovurdering ogakseptkriterier.
    • 19. Databehandleravtale – typiske best.Bruk av underleverandør• Dersom databehandler benytter seg av underleverandør ellerandre som ikke normalt er ansatt hos databehandler skal detteavtales skriftlig med behandlingsansvarlige førbehandlingen av personopplysninger starter.• Samtlige som på vegne av databehandler utfører oppdragder bruk av de aktuelle personopplysningene inngår, skalvære kjent med databehandlers avtalemessige og lovmessigeforpliktelser og oppfylle vilkårene etter disse.
    • 20. Databehandleravtale – lokasjon•Er det mulig å regulere hvor data skal befinne seg?«Databehandleravtalen skal også til enhver tid gjenspeile hvorpersonopplysningene blir behandlet. Dette innebærer i praksisinformasjon til enhver tid om hvilken leverandør som fysisk besitter deaktuelle opplysningene i det aktuelle landet. Dette kan også være enunderleverandør til den som selve tjenesten er levert av. «www.datatilsynet.noHvorfor er dette viktig?– Overføring av personopplysninger til utlandet er strengtregulert
    • 21. Google til dansk kommune:«Google applications run in a multi-tenant, distributed environment. Ratherthan segregating each customers data onto a single machine or set ofmachines, Google Apps data from all Google customers (consumers, business,and even Googles own data) is distributed amongst a shared infrastructurecomposed of Google’s many homogeneous machines and located acrossGoogles many data centers.»Dette ble ikke akseptert av dansk DTDansk DT: avtalen ikke nok – kommunen må kunneetterprøve/forvisse seg om at sikkerheten er god nok..litt om Narvik kommune og så - hva er reglene?Overføring til utland – vit hvor data er
    • 22. Narvik kommune 18 mai 2011• valgt Google som leverandør av e-post, kalender og tilhørendegruppevare• Kommunen har gjennom Lotus Notes en integrasjon motinternsakssystemet Websak fra Acos. E-post og vedlegg kanenkelt lagres med én knapp. Denne funksjonen har devidereført med Google Apps gjennom en spesialtilpasning.Kilde: digi.no og computerworld.no
    • 23. Narvik kommune 18 mai 2011• I tillegg skal kommunen innføre Googles gruppevare tilhele utdanningssektoren- Google har en veldig god lisensordning foropplæringssektoren. Skolen, lærere og elever får nesten sammefunksjonalitet som betalvarianten, men uten noen kostnad.
    • 24. Narvik kommune 18 mai 2011- Har dere gjort dere noen tanker rundt det å bli avhengig av etutenlandsk selskap med serverpark utenfor Norges grenser, iforhold til krav om oppetid og sikkerhet?- Vi har selvfølgelig vurdert det, men opplever at Google er enseriøs aktør som ivaretar dette. Det er også slik at informasjonsom skal sikres med begrenset tilgang ikke skal gå ut på e-posteller lagres i skyen. I prinsippet er det informasjon som kan sedagens lys som benyttes i dette systemet. Det er verdt å få med atall sensitiv informasjon skal ligge i vårt internsystem.Sensitiv informasjon vil fortsatt ligge og behandles i internesakssystemer, men for samhandling utover saksbehandling vilvi kunne bruke Google
    • 25. Overføring av PO til utlandet§ 29. Grunnleggende vilkårPersonopplysninger kan bare overføres til stater som sikrer enforsvarlig behandling av opplysningene. Stater som hargjennomført direktiv 95/46/EF om beskyttelse av fysiskepersoner i forbindelse med behandling av personopplysningerog om fri utveksling av slike opplysninger, oppfyller kravet tilforsvarlig behandling.I vurderingen av om behandlingen sikres på forsvarlig måte,skal det bl.a. legges vekt på opplysningenes art, den planlagtebehandlingens formål og varighet samt de rettsregler, regler forgod forretningsskikk og sikkerhetstiltak som gjelder ivedkommende stat. Det skal også legges vekt på om staten hartiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 ompersonvern i forbindelse med elektronisk behandling avpersonopplysninger.
    • 26. HovedregelUtgangspunkt: POLs generelle krav til behandling avpersonopplysninger er oppfylt (§§8,9,11);– PO kan overføres til land innen EU og EØS-området– PO kan overføres til land som Europakommisjonen har godkjent– PO kan overføres til enkeltbedrifter i USA som har sluttet segtil Safe HarborIkke konsesjonspliktig i seg selv, men overføringen måbeskrives i konsesjonssøknad eller melding knyttet tilhovedformålet
    • 27. Overføring til andre tredjeland ogvsh i USA utenfor Safe HarborMå følge ”unntakene” i § 30I utgangspunktet er overføring ikke tillatt med mindre unntak kanbrukes.
    • 28. Overføring av PO til utlandet§ 30. Unntak       Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.        
    • 29. Overføring av PO til utlandet§ 30. Unntak          Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.        Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29. Typisk:EUs standardavtalerBinding Corporate Rules (BCR)
    • 30. EUs standard avtaler• To hovedtyper avtaler– Overføring til databehandler i utlandet – Overføring til en annen virksomhet som skal bruke opplysningene til eget formål, 2 alternative kontrakter-foreligger• (Controller til controller)• Skal godkjennes av Datatilsynet i hvert enkelt tilfelle – mye arbeid 
    • 31. Binding Corporate Rules• I praksis har BCR blitt godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern• Slike regler vil særlig være praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland • Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene• Veiledere for opprettelse av bindende konsernregler finnes på Artikkel 29 gruppens hjemmesider
    • 32. Liten huskeliste• Er det rimelig å si at leverandøren er databehandler? Har kunden kontroll over opplysningene?• Overføring til utlandet? Hvilke utland? Hvor er underleverandører? – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig  – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU• Revisjonsmulighet? Kontroll? Innsyn? • Behandlingsansvaret innebærer at (databehandler)avtaler må være grundige
    • 33. Takk for oppmerksomheten!• mobil 90 05 10 11

    ×