Tjenester i skyen – hva må vi tenke på?Renate Thoreid, rth@datatilsynet                                   Side 1
Visjon: ”Datatilsynet – i front for retten tilselvbestemmelse, integritet og verdighet”
Sentralt regelverk• Personopplysningsloven og  personopplysningsforskriften  kapittel 2    •   Internkontroll og        In...
§ 1. Lovens formål    • beskytte den enkelte mot at personvernet blir krenket      gjennom behandling av personopplysninge...
Personvern – vilkår for behandling avpersonopplysningerPoenget med lovhjemmel som rettslig grunnlag er at lovgiverhar vurd...
Hva er egentlig ”Cloud Computing”?•   Skalerbart kjøp av prosessorkraft, lagrings- og    databearbeidingskapasitet hos eks...
Veilederen har følgende fokusområder:    – Personopplysningslovens virkeområde    – Identifisering av behandlingsansvarlig...
Ansvarsplassering•   Påhviler egen virksomhet•   Man kan ikke flytte ansvaret ut i skyen•   Må forvisse seg om tilfredssti...
Informasjonssikkerhet• Oversikt over hvilke  personopplysninger som skal  behandles i tjenesten• Hva er egnet for – og hva...
Sentrale problemstillingerSikkerhetskopiering – Hvordan fungerer dette?    • Overføres personopplysningene til et annet la...
Sentrale problemstillinger forts.Autorisert og uautorisert bruk – Tar løsningen høyde for registrering avautorisert og uau...
Leverandøren hva må vi tenke på?
Noen grunnleggende kjørereglene•   Virksomheten må kjenne til og kontrollere tjenester•   Virksomheten må ha en tilstrekke...
Kan skyen brukes?•   Selvsagt – mange av oss gjøre det allerede…..•   Egnet for visse typer data, mindre egnet for andre!•...
En avgörande funktionalitet för godkännandetav Azure är tillgången till Microsoft TrustCenter, som ger användarna insyn i ...
Oppsummering:•   Risikovurdering     • kompenserende tiltak vurderes     • Ny risikovurdering?•   Databehandleravtale    •...
Oppsummering forts.•   Artikkel 29 gruppen, Draft Option on Cloud Computing    -   Skytjenester må ikke gi dårligere perso...
Takk foroppmerksomheten!
Take control of your personal datahttp://www.youtube.com/watch?v=5ByVaZ0rg8U&feature=player_embedded
Digitaliaseringskonferansen   cloud computing  18.9.2012-renate thoreid
Digitaliaseringskonferansen   cloud computing  18.9.2012-renate thoreid
Upcoming SlideShare
Loading in...5
×

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid

283

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
283
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid

  1. 1. Tjenester i skyen – hva må vi tenke på?Renate Thoreid, rth@datatilsynet Side 1
  2. 2. Visjon: ”Datatilsynet – i front for retten tilselvbestemmelse, integritet og verdighet”
  3. 3. Sentralt regelverk• Personopplysningsloven og personopplysningsforskriften kapittel 2 • Internkontroll og Informasjonssikkerhet • Databehandleravtale • Overføring av personopplysninger til utlandet• Artikkel 29-gruppen• Berlin-gruppenhttp://ec.europa.eu/justice/data- protection/minisite/index.html
  4. 4. § 1. Lovens formål • beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. • bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. EUs personverndirektiv (direktiv 95/46/EF)  ”sikre vern om fysiske personers grunnleggende rettigheter og friheter, særlig retten til privatlivets fred”
  5. 5. Personvern – vilkår for behandling avpersonopplysningerPoenget med lovhjemmel som rettslig grunnlag er at lovgiverhar vurdert de personvernmessige aspektene ved å registrereog behandle personopplysningene. • Informasjon om håndtering • Rettslig grunnlag for behandling – Samtykke • Kun bruk av relevante data • Sikring av data • Sletting av data
  6. 6. Hva er egentlig ”Cloud Computing”?• Skalerbart kjøp av prosessorkraft, lagrings- og databearbeidingskapasitet hos ekstern part med leveranse over eksterne nettverk. Nettskyen gir en lovende kombinasjon av kostnadseffektivitet og fleksibilitet….. men….• NITS sin definisjon: Cloud computing er en modell for praktisk, on-demand nettverkstilgang til en felles pool av konfigurerbare dataressurser (f.eks, nettverk, servere, lagring, applikasjoner og tjenester) som raskt kan klargjøres og utgitt med minimal forvaltningen eller tjenesteleverandøren interaksjon. (The National Institute of Standards and Technology)
  7. 7. Veilederen har følgende fokusområder: – Personopplysningslovens virkeområde – Identifisering av behandlingsansvarlig og ansvar – Akseptkriterier – Klarlegge juridisk ansvar for leverandør av nettskytjenester – Risikovurdering og informasjonssikkerhet – InformasjonspliktSærlige problemstillinger: – Sikkerhetskopiering – Segmentering – Tilgangsstyring – Autorisert og uautorisert bruk – Dokumentasjon – Utlevering til tredjeland
  8. 8. Ansvarsplassering• Påhviler egen virksomhet• Man kan ikke flytte ansvaret ut i skyen• Må forvisse seg om tilfredsstillende sikkerhet i tjenesten som kjøpes• Hovedutfordring: • Modenhet • Risikovurdering • Databehandleravtale fra start til slutt • Revisjon
  9. 9. Informasjonssikkerhet• Oversikt over hvilke personopplysninger som skal behandles i tjenesten• Hva er egnet for – og hva er ikke egnet for cloud?• Gjennomføre risikovurdering• Vurdere og beskrive sikkerhetstiltak• Avstemme mot leverandør• Databehandleravtale• Revisjon
  10. 10. Sentrale problemstillingerSikkerhetskopiering – Hvordan fungerer dette? • Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India. • Er en slik redundans i henhold til de avtaler som er inngått? • Hvordan behandles personopplysningene på det andre stedet?Segmentering – Hvordan vil dette bli håndtert? • Datatilsynet har uttalt ved tidligere anledninger at en behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges personopplysninger. Dette fordi de betraktes som to separate juridiske enheter.Tilgangsstyring – • Hvem hos leverandøren har tilgang til personopplysningene som behandles? • Er tilgangstyring i henhold til lovpålagte krav, egen internkontroll eller andre aktuelle forhold?
  11. 11. Sentrale problemstillinger forts.Autorisert og uautorisert bruk – Tar løsningen høyde for registrering avautorisert og uautorisert bruk i henhold til personopplysningsforskriften§§ 2-14 og 2-16 siste ledd.Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn påkontroll fra offentlig myndighet, se særlig personopplysningsforskriftens§ 2-16 første og annet ledd.Utlevering til tredjeland – Personopplysninger kan ikke uten videreoverføres til land utenfor EØS-sonen. Reguleringen i slike tredjeland kanvære en helt annen enn i Norge og dermed kreve forholdsregler. Det visesspesielt til personopplysningslovens § 29.
  12. 12. Leverandøren hva må vi tenke på?
  13. 13. Noen grunnleggende kjørereglene• Virksomheten må kjenne til og kontrollere tjenester• Virksomheten må ha en tilstrekkelig avtale• Virksomheten må vite hvor data lagres• Virksomheten må med rimelighet vite hvordan egne data håndteres i forhold andre virksomheters• Virksomheten må med rimelighet vite hvordan data sikres• Virksomheten må vite om hvilken økt risiko bruk av tjenesten representerer for ulike data• Risikovurdering må gjennomføres – kompenserende tiltak vurderes• Levert tjeneste, sett i sammenheng med risikovurdering, avgjør hva tjenesten kan brukes til
  14. 14. Kan skyen brukes?• Selvsagt – mange av oss gjøre det allerede…..• Egnet for visse typer data, mindre egnet for andre!• Virksomheten må ha en prosess hvor det gjøres grundige vurderinger av hva det er forsvarlig å håndtere i ulike tjenester skyen.• Man bør ha i mente at selv i store driftssentre kan det gå galt, da bør du ha orden i egne kort.• Når man planlegger beredskap, inkluder også eventuelle tjenester i skyen som benyttes.
  15. 15. En avgörande funktionalitet för godkännandetav Azure är tillgången till Microsoft TrustCenter, som ger användarna insyn i hurMicrosoft behandlar personuppgifter ochsäkerheten, inklusive underleverantörer
  16. 16. Oppsummering:• Risikovurdering • kompenserende tiltak vurderes • Ny risikovurdering?• Databehandleravtale • Sikkerhetsrevisjon • Backup/gjenoppretting • Sletting ved avtalens opphør, exit • Utlevering ”law enforcement” • Overføring av personopplysninger til tredjeland – Transfer of customer data• Dokumentasjon • Komplett • Tilgjengelig
  17. 17. Oppsummering forts.• Artikkel 29 gruppen, Draft Option on Cloud Computing - Skytjenester må ikke gi dårligere personvernbeskyttelse - Balanserte avtaler - Det må gjennomføres risikoanalyser og analyseres risiko for personvern ved ulike typer tjenester - Det må gis en oversikt over hvor data er lagret - Det må gjennomføres kontroll med dataene – enten av behandlingsansvarlige eller av sertifiserte revisjonsfirmahttp://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_en.pdf
  18. 18. Takk foroppmerksomheten!
  19. 19. Take control of your personal datahttp://www.youtube.com/watch?v=5ByVaZ0rg8U&feature=player_embedded
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×