NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
1. Bruk skytjenester riktig!
o databehandleravtale
o risikovurdering i praksis
o håndtering av internasjonale tjenester
Tommy Tranvik
Harald Torbjørnsen
2. Enkel definisjon
Datatjenester som tilbys over internett, både
norske og utenlandske
Den vanligste tjenestemodellen er
”programvare som en tjeneste” (SaaS)
Alle Feidegodkjente tjenester
5. Personopplysningslovgivningen
Personopplysningsloven med forskrift
• den som opplysningene gjelder skal ha innflytelse over
og kontroll med bruken av dem
• gjelder ved elektronisk behandling av
personopplysninger
• gjelder personopplysninger som inngår i manuelle
personregistre
6. Personopplysninger
Alle opplysninger og vurderinger som kan
knyttes til en bestemt enkeltperson
• tekst, bilder, lyd og video
• sensitive opplysninger
• alminnelige opplysninger
7. Skoleeiers ansvar
Ansvarlig for all bruk av personopplysninger i
skytjenester
• skoleeier – behandlingsansvarlig
• skytjenesteleverandør – databehandler
Pålagt å følge visse regler, spesielt:
• personopplysningsloven §§ 13 og 15
• personopplysningsforskriften kapittel to
8. Opplysningskontroll
Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha
kontroll med personopplysningene
Kontrollen skal omfatte hele behandlingskjeden
• Utredningsplikt
o vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle
underleverandører (risikovurdering)
• Avtaleplikt
o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen
av opplysningene
• Oppfølgingsplikt
o sjekke av avtalevilkårene overholdes
9. Utredningsplikten
Vurdere risikoen for uønskede hendelser
• konfidensialitetsbrudd – opplysningene tilflyter uvedkommende
• integritetsbrudd – uautorisert endring/redigering eller sletting av
opplysningene
• tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene
Krever informasjon om
• (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak
leverandøren har etablert og (iii) bruken av eventuelle underleverandører
Risikohåndtering
10. Avtaleplikten
Skoleeier må selv passe på at nødvendige avtaler
inngås med skytjenesteleverandøren
• sjekk at leverandøren tilbyr databehandleravtale
• sjekk innholdet i databehandleravtelen, jf. mal for
databehandleravtaler
• sjekk spesielt om leverandøren og eventuelle
underleverandører flytter opplysningene til tredjeland
11. Avtaleinnhold 1
Avtalene bør inneholde
• forsikringer om at leverandøren (og eventuelle underleverandører) ikke bruker
opplysningene til egne formål
• tilfredsstillende informasjon (i) om hvilke underleverandører som anvendes og (ii) i
hvilke land underleverandørene er etablert
• informasjon om amerikanske leverandører og underleverandører er tilsluttet Safe
Harbor
• tilfredsstillende informasjon om hvordan leverandøren håndterer krav om utlevering
av personopplysninger til politi- eller justismyndigheter i ulike land
• bestemmelser om at institusjonene skal varsles ved alvorlige brudd på
opplysningenes konfidensialitet
12. Avtaleinnhold 2
Avtalene bør inneholde
• informasjon som sannsynliggjør at leverandører og underleverandørene ivaretar
informasjonssikkerheten på en tilfredsstillende måte
• tilfredsstillende beskrivelser av tilgangsstyringen hos leverandøren
• bestemmelser om (i) logging av autorisert og forsøk på uautorisert bruk av tjenestene og (ii) at
skoleeier sikres tilgang til loggene
• tilfredsstillende sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen
• bestemmelser om tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og
underleverandører
• bestemmelser om hva som skjer med opplysningene når bruken av tjenesten opphører
13. Skytjenester i utlandet
«Vanlige» regler dersom leverandører og
underleverandører
• behandler opplysningene innenfor EØS-området
• behandler opplysninger i land godkjent av EU
• opplysningene behandles i USA av selskaper tilsluttet Safe
Harbor
Egne regler for ikke-godkjente land
• EUs standardkontrakt for overføring av personopplysninger til
ikke-godkjente land bør benyttes
14. Oppfølgingsplikten
Skoleeier skal jevnlig forsikre seg om at
• opplysningene fortsatt er
tilfredsstillende sikret mot uønskede
hendelser
Motta og gjennomgå rapporter fra
sikkerhetsrevisjoner hos leverandøren
15. Ressurser
Veileder i risikovurdering og mal for databehandleravtaler
https://feide.iktsenteret.no/node/234
Datatilsynets veileder for skytjenester
https://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/
EU-godkjente land
http://ec.europa.eu/justice/data-protection/document/international-
transfers/adequacy/index_en.htm
EUs standardkontrakt for overføring av personopplysninger til databehandlere
(leverandører) i ikke-godkjente land
http://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_E
NG.pdf
Amerikanske selskaper tilsluttet Safe Harbor
https://safeharbor.export.gov/list.aspx
17. Nytteverdi og konsekvenser
Hva er mål og hensikt?
• Hvilken informasjon skal legges ut?
• Hvordan skal endring av praksis
realiseres?
Konsekvenser på sikt?
• Vil prosessen i realiteten kunne
reverseres?
18. Skytjenester – beslutning og ansvar
Fundamenter avgjørelsen
på høyt nivå.
• rådmann/skolesjef
• ansvaret ligger hos
skoleeier
1
8
19. Gjennomfør risikovurdering
Vurder ulike sikkerhetssenarioer
• hva kan inntreffe?
• hva vil konsekvensen kunne bli?
• hvor stor risiko innebærer det?
• hvilke tiltak kan redusere
risikoen?
21. Internkontrollen
Kvalitetssikre bruken av IKT i skolen
• rutiner holdes oppdatert
• avtaler følges opp
• ansvar er plassert og dedikert
• risikovurderinger følges opp
Gjør skolen bedre rustet til å utnytte
IKT i hverdagen!
22. Hvordan gå fram?
1. Vurder nytteverdien
1. Vurdering av informasjon som legges ut
2. Vurder de langsiktige konsekvensene
2. Fundamenter bruken på ledernivå.
3. Risikovurder bruken av tjenesten
4. Etterspør databehandleravtale
5. ”Internkontrollen”
1. Inkluder risikovurderingen
2. Etterspør sikkerhetsrevisjoner
23. Noen kilder å benytte
Les datatilsynets
veileder for bruk
”Skytjenester”.
Les Senter for IKT i
utdanningen sin
veileder.