Ta i bruk skytjenester på lovlig vis. Foredrag om vilkår, datasikkerhet, behandling og overføring av personopplysninger i nettskyen.

1. !
!
Skytjenester
Confex!Cloud!Compu-ng!2013,!Oslo!6.!juni!
v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!
Ta i bruk
på lovlig vis

2. datatilsynet
”Virksomheter!som!tar!i!bruk!
neKskytjenester!er!juridisk!ansvarlig,!
og!må!sørge!for!at!
personopplysningene!behandles!i!tråd!
med!personvernregelverket.”!

3. Dagens tema
1. Et!lite!utvalg!av!tjenestevilkår!
2. Personvernreglene!og!Qprinsippene!
3. Håndhevelse!av!personvernreglene!
4. Informasjonssikkerhet!
5. Risikovurderingen!
6. Databehandleravtaler!
7. Overføring!av!data!-l!utlandet!
8. BYOD!

4. Europeiske!menneskere[ghetskonvensjon!
Art$8.$Re)en$+l$respekt$for$privatliv$og$
familieliv$!
”Enhver!har!reK!-l!respekt!for!siK!privatliv!og!
familieliv,!siK!hjem!og!sin!korrespondanse.”!

5. Utfordring
Lovlig håndtering av
på tvers av jurisdiksjoner
personopplysninger!

6. !
!
tjenestevilkår
Et lite utvalg av

7. Tjenestene!er!
interessante,!men!
både!bransjen!og!
tjenestevilkårene!
fremstår!i!dag!som!

8. Tilgjengelighet!
Forpliktelser!
Sikkerhet!
Personvern!
Erstatning!
Jurisdiksjon!
Data!innelåst!
OpphavsreK!
Svake vilkår

10. Lovvalg & verneting
Switzerland!if!domiciled!in!Europe!
California,!USA!
Kunde:!Irland!–!Microsod:!kundens!hjem-ng!
Laws!of!California,!San!Fransisco!legal!venue!
Norge!
Switzerland!

11. Oppetid
Available!24!hours!a!day,!7!days!a!week!
99.9%!
99.9%!
strives!for!100%!up-me!and!availability!
eKerstrebe!god!kvalitet!på!tjenesten!-l!enhver!-d!
The!Service!Is!Available!“As!Is”!

12. Tap av data
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!
DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!
You!are!responsible!for!maintaining!and!protec-ng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!
corrup-on!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!
påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!
OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!
ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!

13. ERSTATNING
$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!
INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!
MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!
MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!
$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!
TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!
under!ingen!omstendighet!utbetale!noen!erstatning!som!overs-ger!det!
Kunden!har!innbetalt!siste!12!måneder!
SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!
TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!
PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!

14. Personvern-
Litt om
reglene!!

15. Menneskerettighetsutvalget
Ny#GRL#§#102##
Enhver!har!Ret!-l!Respekt!for!sit!Privatliv!og!
Familieliv,!sit!Hjem!og!sin!Kommunika-on.!!
!
Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn!
om!den!personlige!Integritet!og!om!personlige!
Oplysninger.!Systema-sk!Indhen-ng,!Opbevaring!
og!Brug!af!Oplysninger!om!Andres!personlige!
Forhold!kan!kun!finde!Sted!i!Henhold!-l!Lov.!!
!

16. Personopplysningsloven
§$1.$Lovens$formål$
!!!!!!!Formålet!med!denne!loven!er!å!beskyKe!den!
enkelte!mot!at!personvernet!blir!krenket!
gjennom!behandling!av!personopplysninger.!
!!!!!!!Loven!skal!bidra!-l!at!personopplysninger!
blir!behandlet!i!samsvar!med!grunnleggende!
personvernhensyn,!herunder!behovet!for!
personlig!integritet,!privatlivets!fred!og!
-lstrekkelig!kvalitet!på!personopplysninger.!!
!

17. Personopplysninger
”Opplysninger!og!
vurderinger!som!kan!
knyKes!-l!en!
enkeltperson”!

18. Behandling
”enhver!bruk!av!
personopplysninger,!som!f.eks.!
innsamling,!registrering,!
sammens-lling,!lagring!og!
utlevering!eller!en!kombinasjon!
av!slike!bruksmåter”!

19. Behandlingsansvarlig
”den!som!bestemmer!formålet!
med!behandlingen!av!
personopplysninger!og!hvilke!
hjelpemidler!som!skal!brukes”!

20. databehandler
”den!som!behandler!
personopplysninger!på!vegne!av!
den!behandlingsansvarlige”!

21. Sensitive personopplysninger
a)!rasemessig!eller!etnisk!bakgrunn,!eller!
poli-sk,!filosofisk!eller!religiøs!oppfatning,!
b)!at!en!person!har!vært!mistenkt,!siktet,!
-ltalt!eller!dømt!for!en!stratar!handling,!
c)!helseforhold,!
d)!seksuelle!forhold,!
e)!medlemskap!i!fagforeninger!

22. Vilkår for å behandle personopplysnger
Samtykke!
Behandling!er!fastsaK!i!lov!!
Oppfylle!en!avtale!med!den!registrerte!
Behandlingsansvarlige!skal!kunne!oppfylle!en!reKslig!
forpliktelse!
Ivareta!den!registrertes!vitale!interesser!
Uuøre!en!oppgave!av!allmenn!interesse!
Utøve!offentlig!myndighet!

23. Behandling av sensitive opplysninger
Behandlingen!oppfyller!et!av!de!alminnelige!vilkårene!
for!behandling!av!personopplysninger!
Den!registrerte!samtykker!
Behandling!!er!fastsaK!i!lov!
Behandlingen!er!nødvendig!for!å!beskyKe!en!persons!
vitale!interesser,!og!den!registrerte!ikke!er!i!stand!-l!å!
samtykke!
Behandling!av!frivillig!registrerte!opplysninger!!
!
!
!

24. Konsesjon
Det!kreves!konsesjon!fra!
Data-lsynet!for!å!behandle!
sensi-ve!personopplysninger!
DeKe!gjelder!likevel!ikke!for!behandling!av!sensi-ve!personopplysninger!som!er!avgiK!uoppfordret.!

25. personvernprinsippene
1. Samtykke!eller!annet!reKslig!grunnlag!
2. Proporsjonalitet!
3. Formålsbestemthet!
4. Relevans!og!minimalitet!
5. Fullstendighet!og!kvalitet!
6. Informasjon!og!innsyn!
7. Informasjonssikkerhet!
8. Særlig!strenge!regler!ved!behandling!av!
sensi-ve!personopplysninger!
9. Anonymitet!og!sporfri!ferdsel!

26. Samtykke
Behandling$av$
personopplysninger!skal!i!
størst!mulig!grad!være!
basert!på!
• frivillig,!!
• u2rykkelig!og!!
• informert##
samtykke.!

27. Informert
• Navn!og!adresse!på!behandlingsansvarlig!
• Hva!opplysningene!skal!brukes!-l!
• Om!opplysningene!skal!utleveres!-l!andre,!og!
eventuelt!-l!hvem!!!
• Om!det!er!frivillig!å!gi!fra!seg!opplysningene!
• Informasjon!om!innsyn!i,!re[ng!og!sle[ng!av!!
• Hvor!lenge!personopplysningene!vil!bli!behandlet!
eller!oppbevart!
• At!samtykket!kan!trekke!

28. Frivillig
• Hva!spørres!det!eKer?!
• Hvor!belastende!vil!et!samtykke!
være?!
• Er!konsekvensene!uforholdsmessige!
om!du!ikke!samtykker?!
Typisk!for!å!moKa!en!tjeneste!eller!bli!ansaK!

29. uttrykkelig
Ak-v!handling!
– at!du!har!samtykket!
– hvilke!behandlinger!samtykket!
gjelder!
– hvilke!virksomheter!samtykket!er!
giK!-l!

30. proporsjonalitet
• Innsamling!og!behandling!i!overensstemmelse!
med!lovverket!
• Rimelig!i!forhold!-l!den!registrerte!
• Registreringen#av#opplysninger#må#være#
proporsjonal#med#formålet#
• I!valget!av!to!alterna-ve!løsninger!ved!
behandling!av!personopplysninger!skal!man!
velge!det!alterna-vet!som!er!minst$
personverninngripende$

31. !
!
Regelbrudd
Konsekvenser av

32. Tilsyn og sanksjoner
Data-lsynet!
• Systema-sk!og!offentlig!fortegnelse!over!innmeldte!
behandlinger!
• Behandle!konsesjonssøknader!
• Kontrollere!at!lover!og!forskrider!blir!fulgt!
!
Konsekvens!
• Overtredelsesgebyr!
• Pålegg!om!endring!eller!opphør!av!ulovlige!behandlinger!
• Erstatning!
• Straff!

33. Nettskyen
Personvern i
Del 2

34. Forutsetninger for bruk av skytjenester
1. Risikovurdering!!
2. Databehandleravtale!
3. Revisjon!!
4. Skyleverandørens!vilkår!står!
-lbake!for!databehandleravtalen!

35. Bruk av nettskytjenester må skje i
samsvar med personvernregelverk
Private!og!offentlige!virksomheter!etablert!i!Norge!må!
følge!personvernregelverket.!!
!
Behandlingsansvarlig!må!informere!den!registrerte!om!
innhen-ng!av!personopplysninger,!hvordan!de!
behandles,!og!ha!-lfredss-llende!informasjonssikkerhet.!
!
Bruk!av!neKskytjenester!har!betydning!for!
personvernet!!
!
Data-lsynet:!NeKskyleverandør!er!databehandler!!
!

36. Personopplysninger i nettskyen krever
risikovurdering
!
Behandlingsansvarlig!må!gjennomføre!en!
risikovurdering!i!forkant!av!implementering!av!
neKskytjenester.!
!
Risikovurderingen!skal!baseres!på!
akseptkriterier!for!risiko.!
!
Risikovurdering!er!utgangspunkt!for!-ltak!for!å!
oppnå!-lfredss-llende!informasjonssikkerhet.!!

37. Hva er tilfredsstillende
informasjonssikkerhet?
!
Avhenger!av!type!personopplysninger.!
!
Forholdsmessig!krav!om!behandling!av!personopplysninger!
med!hensyn!-l!konfidensialitet,!integritet!og!-lgjengelighet,!jf.!
pol.!§13!!
!
!
Qder!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!
eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!
sikkerhets-ltak!jf.!pof.!§2Q1!
!
! !!
!

38. Informasjonssikkerhet
Konfidensialitet!:!beskyKelse!mot!at!uvedkommende!får!
innsyn!i!personopplysningene.!Sammenblanding!av!data!
!
Integritet:!personopplysningene!ikke!endres!eller!benyKes!-l!
andre!formål!enn!opprinnelig!avtalt!
!
Tilgjengelighet:!personopplysningene!er!-lgjengelige!ved!
behov.!Sikkerhetskopiering!
!
!Selvstendig!ansvar!for!databehandler!

39. Tilgang til sikkerhetsdokumentasjon
Data-lsynet:!
Databehandler!må!kunne!fremlegge!dokumentasjon!
for!informasjonssystemet!uuorming!og!
sikkerhetsløsninger.!!
Databehandler!plikter!å!gi!behandlingsansvarlig!
-lgang!-l!sin!sikkerhetsdokumentasjon,!og!bistå!slik!
at!behandlingsansvarlig!kan!ivareta!siK!eget!ansvar!
eKer!lov!og!forskrid.!
!

40. Sikkerhetsdokumentasjon
!
!
!
!
!
!
!

41. UTFORDRING TILGANG TIL INFORMASJON OM
SIKKERHETSNIVÅ.
Disclaimer
The information contained in this document represents the current view
of Microsoft Corporation on the issues discussed as of the date of
publication. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part
of Microsoft, and Microsoft cannot guarantee the accuracy of any
information presented after the date of publication. For the latest version
of this document visit: http://www.microsoft.com/download/en/
details.aspx?id=26647
Standard#Response#to#Request#for#InformaCon#(Security#and#Privacy)#

42. Safe Harbor
Kun!for!virksomheter!i!USA!
Prinsipper!for!håndtering!av!personopplysninger:!
!Opplysningsplikt!
!Valgfrihet!!
!Overføring!
!Sikkerhet!
!Integritet!
!Håndhevelse!
Selvser-fisering!
Gyldig!for!et!år!!

43. ISO 27001
Standard!for!styring!av!informasjonssikkerhet!
Internasjonal!brukergruppe!
Tiltak!!
!Etablering!av!sikkerhetspolicy!
!Plassering!av!ansvar!
!Fysisk!sikring!
!Tilgangskontroll!
!Drid!
!
Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!
iden-fikasjon!av!sikkerhetsbehov!
!
!

44. Safe Harbor og iso 27001
USIEU#Safe#Harbor#
Framework#
ISO#27001#
Dropbox!! (Next!Cer-fica-on:!
2/16/2014!)!
__!
!
Microsod!!! (Next!Cer-fica-on:!
6/29/2013)!
Review!every!year!
Salesforce!!! (Next!Cer-fica-on:!
8/1/2013)!!
May!2008!(con-nously!
review)!
Google! (Next!Cer-fica-on:!
10/15/2013)!!
Google!Apps!(May!2012)!

45. Datatilsynets vurderinger
Microsod!Office!365QMoss!
Sikkerhets-ltak!i!samsvar!med!ISO!27001,!men!
nødvendig!for!Moss!å!revidere!-ltak.!
!
”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$
USA$er$en$del$av$MicrosoD$Corp.$og$således$utgjør$en$
del$av$det$Safe$HarborJser+fiserte$foretaket,$vil$
overføring$av$personopplysninger$fra$Norge$+l$disse$
datasentrene$være$i$samsvar$med$
personopplysningsloven$§$29.”!
!
!

46. Datatilsynets vurderinger
Google!AppsQNarvik!kommune:!
Security!White!Paper!
!QSafe!Harbor,!SSAE!16,!FISMA!Cer-fica-on!!
”Under!forutsetning!av!at!samtlige!aktuelle!Googles$
datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!
HarborQser-fiserte!foretaket!Google!Inc.,!vil!overføring!
av!personopplysninger!fra!Norge!-l!disse!datasentrene!
være!i!samsvar!med!personopplysningsloven!§!29.”!!
!
!

47. GO!or!NO?!

48. Outsourcing av personopplysninger krever
databehandleravtale
Personopplysningsloven!§15,!jf.!§13!!
!
!
!
!
!
!
!
!
!
!
”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$
det$som$er$skriDlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$
heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$
bearbeidelse.$
I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$
databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$
13.”$

49. Innhold i databehandleravtale
Veileder!fra!Data-lsynet:!
!
1. Formål!
2. Beskrivelse!av!behandling!
3. Bruk!av!underleverandør!
4. Innsyn!
5. Informasjonssikkerhet!
6. Varighet!
7. Overføring!-l!utlandet!
8. Opphør!

50. 1. FORMÅL
Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!
formålet!med!behandlingen!av!personopplysningene.!!
Databehandler!bundet!av!formålsangivelsen.!
Data-lsynet!!om!formål!i!«Moss`!bruk!av!Microsod!Office!365»:!
!
«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$
formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$
Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$
omfa)et$av$Office$365».!

51. 2. Beskrive hvordan personopplysninger Skal behandles
Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!
skal!gjøre!med!personopplysningene.!
Må!regulere!utlevering!-l!eksterne!parter!og!vilkår!for!
deKe!(underleverandør)!
Data-lsynet!i!«MossQ!Office!365».!
!
• «Microsod!kan!ikke!utlevere!data!-l!andre!uten!eKer!
godkjennelse!fra!kommunene….!
• Microsod!kan!utlevere!opplysninger!-l!«law!
enforcement(authori-es)!eks.!ved!eKerforskning!av!
stratare!forhold.»!
• Godkjent!hvis!reKslig!bindende!for!tjenesteleverandør!og!
ikke!i!strid!med!norsk!lov.!

52. 3. Bruk av underleverandør
Angi!formål!med!bruk!av!underleverandør!!
!
Underleverandør!må!være!forpliktet!-lsvarende!
leverandørens!forpliktelser!i!databehandleravtalen!!!
!
Leveandør!må!være!ansvarlig!for!underleverandør!!
!
Kunden!bør!ha!innsyn!i!avtale!med!
underleverandør!!
!

53. Underleverandør
Leverandør
Kunde
Bruk av underleverandør krever skriftlig
forhåndssamtykke til databehandleren. WP29 om
cloud computing:
«the processor can subcontract its activites only
on the basis of the consent of the controller
wihch may be generally given at the beginning of
the service»

55. Support
Microsoft
Kunde
Forhandler
Avtaleforpliktelse!
-lsvarende!
Databehandleravtale!
Databehandleravtale!

56. 4. Innsyn
Informasjonsplikt!jf.!personopplysningsloven!
§19:!
!!
!Når!det!samles!inn!opplysninger!fra!den!
!registrerte!selv,!!skal!den!
!behandlingsansvarlige!!gi!informasjon!-l!den!
!registrerte!om!opplysningene!vil!bli!utlevert,!
!og!eventuelt!!hvem!som!er!moKaker.!
!

57. 7. Overføring til utlandet
Personopplysningsloven § 29
Personopplysninger kan bare overføres til stater
som sikrer en forsvarlig behandling av
opplysningene.
Stater som har gjennomført direktiv 95/46EF om
beskyttelse av fysiske personer i forbindelse med
behandling av personopplysninger og om fri
utveksling av slike opplysninger, oppfyller kravet til
forsvarlig behandling.

58. ANDRE OVERFØRINGSGRUNNLAG
Personopplysningsloven!§30,!samtykke!fra!registrert!!
!
Data-lsynet!har!-llaK!overføringen!(Binding!Corporate!
Rules,!Data!Transfer!Agreements)!
!
Overføring!-l!virksomhet!som!eKerlever!Safe!
Harborprinsippene(jf.!pof.!§!6Q1)!
!
Unntak!for!mellomlagring(!)!

59. 8.Opphør (VARIGHET)
Databehandleravtalen!må!inneholde!beskrivelse!
av!hva!som!skal!skje!med!personopplysningene!
ved!databehandleravtalens!opphør!
!
!Tilbakeføring!
!Sle[ng!

61. BYOD & DPABring you own device

62. Behandlingsansvarlig er også ansvarlig for
personopplysninger på ansattes enheter
• Hvilke!type!data,!hvor!lagret,!hvordan!
overført,!overholdelse!av!sikkerhetspolicy!
• Innsyn,!av!ulike!grunner,!blir!vanskeligere!
• BYOD!har!også!en!side!mot!håndtering!av!
forretningshemmeligheter!

63. Inger Anne Folkestad Tornes Kjell Steffner
• Advokat,$partner$
• Særskilt!bransjekompetanse!
innen!IKT!
• God!forståelse!for!teknologi,!
prosjektmetodikk!og!strategi!
• Jobber!med!kontraktsreK,!
forhandlinger,!offentlige!
anskaffelser!og!personvern!
• Tlf.!905!11!901!Q!ks@lynxlaw.no!
• Advoka[ullmek+g$
• Rådgivning!for!IKTQsektoren!
• Jobber!med!kontraktsreK,!
personvern!og!eQhandel,!samt!
offentlige!anskaffelser!
• Tlf.!970!99!524!Q!
id@lynxlaw.no!

64. Presentasjonen ligger på
http://www.slideshare.net/lynxlaw/Cloud-Computing-2013

65. LYNX#advokaSirma#DA#
Hieronymus!Heyerdahls!gate!1!
NQ0160!Oslo!
!
hKp://lynxlaw.no/!
!
hKp://www.linkedin.com/company/lynxQadvokauirma!
hKps://www.facebook.com/LynxLaw!
TwiKer:!@LynxLaw!
!