Your SlideShare is downloading. ×
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx

89
views

Published on

Foredraget handler om hvordan man må håndtere HR-opplysninger i nettskyen/cloud samt om BCR i privat og offentlig sektor.

Foredraget handler om hvordan man må håndtere HR-opplysninger i nettskyen/cloud samt om BCR i privat og offentlig sektor.

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
89
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • June 20, 2013
  • Transcript

    • 1. Lovlig bruk av opplysninger i nettskyen – oglitt om nykommeren «BCR»HR-Norges arbeidsrettskonferanse 2013Advokat Eva I. E Jarbekk
    • 2. Dagens tema• Bruk av HR-opplysninger i nettsky• Juridiske utfordringer og hovedregler• Binding corporate rules - BCRJune 20, 20132
    • 3. Eva• Advokat og assosiert partner i Kluge – IKT og arbeidsrett• Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning ogpersonvern• Leder av Personvernnemnda 2009-2017 – klageorgan for Datatilsynet• Advokat for Spesialenheten for politisaker• Leder advokatforeningens lovutvalg for ikt- og personvernJune 20, 20133
    • 4. Hva er HR-opplysninger?• Personopplysninger• Ikke om selskaper, men individer• Enkeltmannsselskaper i en gråsone• BÅDE sensitive og ikke-sensitive opplysninger• Indirekte identifikasjon• «Anonyme opplysninger» - et presist begrep og en trend i begge retninger• «tilstrekkelig anonym»• Aksept for at indirekte identifikasjon ofte kan gjøresJune 20, 20134
    • 5. Hva er HR-opplysninger?• Personopplysningsloven gjelder – alltid• «Behandling» av personopplysninger• Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon• Dette omfatter definitivt lagring i cloud – nettskyen er bare et nytt medium• Ledelsen er ansvarlig• Ansvar forsvinner ikke ved oursourcing e.l.June 20, 20135
    • 6. HR-opplysninger i nettskyen• Hva er en nettsky? Eller en cloud-løsning?• Informasjon som finnes PÅ BAKKEN, men er tilgjengelig fra mange steder viaInternettJune 20, 20136
    • 7. Eksempler på nettskyer• Linkedin, Facebook• Google Apps – kalender, epost, dokumenter, etc• Microsoft 365 – alt MS tilbyr – via nettJune 20, 20137
    • 8. Praktisk?• Ja• Både for offentlig og for private virksomheter• Hvorfor?• Kostnadsbesparende, tidsbesparende, bedre (?) sikkerhet, bedre løsninger• God back-up (hos store leverandører) – ofte reservelagring i annet land/kontinent avsikkerhetsårsaker• Leverandør disponerer hele skyen og ”flytter data rundt” etter behov – overføring avpersonopplysningerJune 20, 20138
    • 9. Nettskyer tvinger seg frem pga effektivitet ogkostnadsbesparelserKilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i NorgeJune 20, 20139Offentlig sektor Privat sektor2010 11% 17%2011 33% 38%2012
    • 10. Ulike definisjoner basert på type tjeneste• IaaS - Infrastuktur as a Service – leverandør tilbyr ”enklere” infrastruktur - typisklagring og servere• PaaS – Platform as a Service – typisk lagring, servere og databaser• Software as a Service – Leverandør tilbyr applikasjoner – mer komplekst ogleverandøren har mer kontroll – typisk lagring, servere, databaser, sikkerhet ogapplikasjoner (programmer)• Private skyer, offentlige skyer, hybrider, etc…..June 20, 201310
    • 11. Virginia withbackup inWashingtonUnited StatesCanadaMexico Puerto RicoDublin with backup in Amsterdam Austria Belgium Czech Republic Denmark Finland France Germany Greece Hungary Ireland ItalyIsrael Netherlands Norway Poland Portugal Romania Spain Sweden Switzerland UKSingapore with backup in Hong Kong Australia China Hong Kong India Japan MalaysiaBrazil with backup inChile Brazil ChileColombia New Zealand Singapore South Korea Taiwan
    • 12. Behandlingsansvarlig eller databehandler?• Hvem er hva ved bruk av cloud?• Behandlingsansvarlig har omfattende plikter – det har ikke databehandler• Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler –databehandleravtaler• I utgangspunktet er leverandør av nettskyer en databehandlerJune 20, 201312
    • 13. Er avtale med leverandør alltid tilstrekkelig?Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene ominformasjonssikkerhet m.m. etterleves?•Odense kommune - Google Apps in schools•personopplysningsforskriften:• Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skalomfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.”Behandlingsansvarlig MÅ HA EN GRAD AV KONTROLLJune 20, 201313
    • 14. Overføring til utland – vit hvor data erGoogle til Odense kommune:«Google applications run in a multi-tenant, distributed environment. Rather thansegregating each customers data onto a single machine or set of machines, Google Appsdata from all Google customers (consumers, business, and even Googles own data) isdistributed amongst a shared infrastructure composed of Google’s many homogeneousmachines and located across Googles many data centers.»Dette ble ikke akseptert av dansk DTDansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er godnok..litt om Narvik kommune og så - hva er reglene?June 20, 201314
    • 15. Historien om Narvik• Google som leverandør av e-post, kalender, mm• Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemetWebsak fra AcosJune 20, 201315
    • 16. Historien om Narvik – hva var problemet• Databehandleravtale?• Kontrollmulighet?• Exit-mulighet, håndtering av data?• Hvordan bruker Google selv dataene – selges de?• Hvem har tilgang?• Kryptering, sikring?• Hvor lenge oppbevares back-up• Segregeres data?• Overføring av personopplysninger til utlandet• Innsynsbegjæring fra tredjeland – Patriot Act fra USAJune 20, 201316
    • 17. Regler om overføring av personopplysninger til utlandetJune 20, 201317
    • 18. Hovedregel i § 29Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt(§§8, 9, 11);• PO kan overføres til land innen EU og EØS-området• PO kan overføres til land som Europakommisjonen har godkjent (liste)• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe HarborIkke konsesjonspliktig i seg selv, men overføringen må beskrives ikonsesjonssøknad eller melding knyttet til hovedformåletJune 20, 201318
    • 19. Overføring til andre tredjeland og vsh i USA utenfor Safe HarborMå følge ”unntakene” i § 30I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukesJune 20, 201319
    • 20. Overføring av PO til utlandet§ 30 UnntakPersonopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling avopplysningene dersoma)den registrerte har samtykket i overføringen,b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge avmedlemskap i internasjonal organisasjon,c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføregjøremål etter den registrertes ønske før en slik avtale inngås,d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i denregistrertes interesse,e)overføringen er nødvendig for å vareta den registrertes vitale interesser,f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, ellerh)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.June 20, 201320
    • 21. Overføring av PO til utlandet§ 30 UnntakDatatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom denbehandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynetkan sette vilkår for overføringen.Typisk:EUs standardavtalerBinding Corporate Rules (BCR)Processor Binding Rules (PBCR)June 20, 201321
    • 22. Artikkel 29-gruppens hjemler for overføring til utlandetUtenfor EU/Safe Harbour:•Modellavtaler – standardavtaler•BCRJune 20, 201322
    • 23. EUs standard avtaler/modellavtalerTo hovedtyper avtaler• Overføring til databehandler i utlandet• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål• 2 alternative kontrakter• Forskjellige erstatningsbestemmelserJune 20, 201323
    • 24. EUs standardavtalerPresise bestemmelser om•Hvilke typer opplysninger som kan overføres•Hva opplysningene kan brukes til•Hvor de skal lagres•Hvor lenge•De registrerte skal informeres ifbm sensitive PO•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalenikke bli godkjentHvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennesMye arbeid, tar tid i DTJune 20, 201324
    • 25. Binding Corporate Rules - konsern• Fra artikkel 29-gruppen• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertespersonvern• Praktisk der konsern opererer i og utenfor EU-/EØS-land• «19000 overføringsavtaler eller en BCR?»• Veiledere på Artikkel 29-gruppens hjemmesider• Videreføres i ny EU-forordning• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCRJune 20, 201325
    • 26. Binding Corporate Rules - forvaltning• Processor Binding Corporate Rules - PBCR• Grunnlag for bruk av databehandler som lagrer opplysninger utenforEU/EØS• Ingen godkjent pt• Informasjonsplikt til de registrerte?• Veiledere på Artikkel 29-gruppens hjemmesiderJune 20, 201326
    • 27. Tilbake til NarvikJune 20, 201327
    • 28. Historien om Narvik – Narviks svar til DT• Klart om hvilke opplysninger som behandles – ikke sensitive• Solid ROS-analyse• Databehandler – ekstensiv,• Hvor lagres data (EU og USA – Safe Harbour)• Sikkerhet: back-up, googles tilgang, sikkerhetsrevisjon, segmentering., sletting,logging etcDatatilsynet: OK• Hvis Google slår sammen data med andre forretningsområder – f eks gmail –mulig annen konklusjonJune 20, 201328
    • 29. Huskeliste for nettskyerJune 20, 201329
    • 30. Huskeliste for lovlig bruk av nettskyOrdentlig ROS-analyse og databehandleravtale, pol § 15Databehandleravtale må angi:•Databehandlers rådighet over PO - finalitetsprinsippet•Databehandlers plikt til å sørge for informasjonssikkerhetJune 20, 201330
    • 31. Huskeliste for lovlig bruk av nettskyJune 20, 201331• Konkrete krav tilinformasjonssikkerhet; fysisk ogteknisk, logging• Tilgangskontroll• Segmentering• Revisjonsmulighet/transparens• Bruk av underleverandører• Exit-håndtering• Avvikshåndtering• Håndtering av endringer;Varslingsplikt? Samtykke?• Garantier for sikkerhet til data• Sletteregler• Lokasjon av data• Lovlig overføringshjemmel
    • 32. June 20, 201332
    • 33. Kommisjonens oppfatning• Ønsker økt bruk av nettskyer• Sikkerhet og personvern er et problem• Liten forhandlingsmakt selv for store brukere• «Take it or leave it» – kontrakter er et utbredt problemEU planlegger:• Standariserte vilkår• Sertifiseringsordning• Samarbeid for offentlig sektor• PBCR er viktigJune 20, 201333
    • 34. Lokasjonsbestemmelser i anbudskontrakterJune 20, 201334Dette bør man ha tenkt på før utlysing av konkurranse• Geografisk begrensning av datalokasjon?• Lav prising grunnet bruk av ressurser i land man ikke vet omgodkjennes, hva gjør man da?
    • 35. Begrense geografisk i anbud?• Fristende ifht pol’s regler• General Procurement Agreement• GPA-avtalen• plurilateral avtale, omfatter 41 av WTOs medlemmer• Likebehandling og ikke-diskriminering for tjenester mellom landene• Kan ikke ekskludere GPA-medlemmer
    • 36. GPA-avtalen• Omfatter datatjenester• Vanskelig å sette en begrensning i konkurransegrunnlaget om atplattformen kun kan etableres i EU• Selv om GPA-land må inkluderes, kan Datatilsynet settebegrensninger på eventuelle overføringer
    • 37. Ser ny tilnærming ved anbud – relevant også ved nettskyer• Aktuelle land må forhåndsgodkjennes av Datatilsynet• Tar lengre tid• Mer arbeid• Gir kontroll
    • 38. Oppsummering – slik reglene er nå• Kunden har ansvar for å overholde reglene, ikke cloud-leverandøren• Kunden må velge en leverandør som har god sikkerhet, tillater revisjoner, klarlokasjon av data for å sikre hjemmel for overføring• Kunden må sikre at avtalen med leverandøren oppfyller lovkrav• Noen leverandører kan ha akseptable avtaler, men det må vurderes konkretJune 20, 201339
    • 39. • Takk for oppmerksomheten!June 20, 201340