Successfully reported this slideshow.
Your SlideShare is downloading. ×

Cloud computing 2013

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Cloud computing
Cloud computing
Loading in …3
×

Check these out next

1 of 65 Ad

More Related Content

More from LYNX advokatfirma DA (14)

Advertisement

Cloud computing 2013

  1. 1. ! ! Skytjenester Confex!Cloud!Compu-ng!2013,!Oslo!6.!juni! v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner! Ta i bruk på lovlig vis
  2. 2. datatilsynet ”Virksomheter!som!tar!i!bruk! neKskytjenester!er!juridisk!ansvarlig,! og!må!sørge!for!at! personopplysningene!behandles!i!tråd! med!personvernregelverket.”!
  3. 3. Dagens tema 1.  Et!lite!utvalg!av!tjenestevilkår! 2.  Personvernreglene!og!Qprinsippene! 3.  Håndhevelse!av!personvernreglene! 4.  Informasjonssikkerhet! 5.  Risikovurderingen! 6.  Databehandleravtaler! 7.  Overføring!av!data!-l!utlandet! 8.  BYOD!
  4. 4. Europeiske!menneskere[ghetskonvensjon! Art$8.$Re)en$+l$respekt$for$privatliv$og$ familieliv$! ”Enhver!har!reK!-l!respekt!for!siK!privatliv!og! familieliv,!siK!hjem!og!sin!korrespondanse.”!
  5. 5. Utfordring Lovlig håndtering av på tvers av jurisdiksjoner personopplysninger!
  6. 6. ! ! tjenestevilkår Et lite utvalg av
  7. 7. Tjenestene!er! interessante,!men! både!bransjen!og! tjenestevilkårene! fremstår!i!dag!som!
  8. 8. Tilgjengelighet! Forpliktelser! Sikkerhet! Personvern! Erstatning! Jurisdiksjon! Data!innelåst! OpphavsreK! Svake vilkår
  9. 9. Lovvalg & verneting Switzerland!if!domiciled!in!Europe! California,!USA! Kunde:!Irland!–!Microsod:!kundens!hjem-ng! Laws!of!California,!San!Fransisco!legal!venue! Norge! Switzerland!
  10. 10. Oppetid Available!24!hours!a!day,!7!days!a!week! 99.9%! 99.9%! strives!for!100%!up-me!and!availability! eKerstrebe!god!kvalitet!på!tjenesten!-l!enhver!-d! The!Service!Is!Available!“As!Is”!
  11. 11. Tap av data YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY! DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT! LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!! You!are!responsible!for!maintaining!and!protec-ng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or! corrup-on!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.! påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data! YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND! OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR! ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT! LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
  12. 12. ERSTATNING $500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS! INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR! MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV! MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.! $100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE! TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY! under!ingen!omstendighet!utbetale!noen!erstatning!som!overs-ger!det! Kunden!har!innbetalt!siste!12!måneder! SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER! TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH! PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
  13. 13. Personvern- Litt om reglene!!
  14. 14. Menneskerettighetsutvalget Ny#GRL#§#102## Enhver!har!Ret!-l!Respekt!for!sit!Privatliv!og! Familieliv,!sit!Hjem!og!sin!Kommunika-on.!! ! Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn! om!den!personlige!Integritet!og!om!personlige! Oplysninger.!Systema-sk!Indhen-ng,!Opbevaring! og!Brug!af!Oplysninger!om!Andres!personlige! Forhold!kan!kun!finde!Sted!i!Henhold!-l!Lov.!! !
  15. 15. Personopplysningsloven §$1.$Lovens$formål$ !!!!!!!Formålet!med!denne!loven!er!å!beskyKe!den! enkelte!mot!at!personvernet!blir!krenket! gjennom!behandling!av!personopplysninger.! !!!!!!!Loven!skal!bidra!-l!at!personopplysninger! blir!behandlet!i!samsvar!med!grunnleggende! personvernhensyn,!herunder!behovet!for! personlig!integritet,!privatlivets!fred!og! -lstrekkelig!kvalitet!på!personopplysninger.!! !
  16. 16. Personopplysninger ”Opplysninger!og! vurderinger!som!kan! knyKes!-l!en! enkeltperson”!
  17. 17. Behandling ”enhver!bruk!av! personopplysninger,!som!f.eks.! innsamling,!registrering,! sammens-lling,!lagring!og! utlevering!eller!en!kombinasjon! av!slike!bruksmåter”!
  18. 18. Behandlingsansvarlig ”den!som!bestemmer!formålet! med!behandlingen!av! personopplysninger!og!hvilke! hjelpemidler!som!skal!brukes”!
  19. 19. databehandler ”den!som!behandler! personopplysninger!på!vegne!av! den!behandlingsansvarlige”!
  20. 20. Sensitive personopplysninger a)!rasemessig!eller!etnisk!bakgrunn,!eller! poli-sk,!filosofisk!eller!religiøs!oppfatning,! b)!at!en!person!har!vært!mistenkt,!siktet,! -ltalt!eller!dømt!for!en!stratar!handling,! c)!helseforhold,! d)!seksuelle!forhold,! e)!medlemskap!i!fagforeninger!
  21. 21. Vilkår for å behandle personopplysnger Samtykke! Behandling!er!fastsaK!i!lov!! Oppfylle!en!avtale!med!den!registrerte! Behandlingsansvarlige!skal!kunne!oppfylle!en!reKslig! forpliktelse! Ivareta!den!registrertes!vitale!interesser! Uuøre!en!oppgave!av!allmenn!interesse! Utøve!offentlig!myndighet!
  22. 22. Behandling av sensitive opplysninger Behandlingen!oppfyller!et!av!de!alminnelige!vilkårene! for!behandling!av!personopplysninger! Den!registrerte!samtykker! Behandling!!er!fastsaK!i!lov! Behandlingen!er!nødvendig!for!å!beskyKe!en!persons! vitale!interesser,!og!den!registrerte!ikke!er!i!stand!-l!å! samtykke! Behandling!av!frivillig!registrerte!opplysninger!! ! ! !
  23. 23. Konsesjon Det!kreves!konsesjon!fra! Data-lsynet!for!å!behandle! sensi-ve!personopplysninger! DeKe!gjelder!likevel!ikke!for!behandling!av!sensi-ve!personopplysninger!som!er!avgiK!uoppfordret.!
  24. 24. personvernprinsippene 1.  Samtykke!eller!annet!reKslig!grunnlag! 2.  Proporsjonalitet! 3.  Formålsbestemthet! 4.  Relevans!og!minimalitet! 5.  Fullstendighet!og!kvalitet! 6.  Informasjon!og!innsyn! 7.  Informasjonssikkerhet! 8.  Særlig!strenge!regler!ved!behandling!av! sensi-ve!personopplysninger! 9.  Anonymitet!og!sporfri!ferdsel!
  25. 25. Samtykke Behandling$av$ personopplysninger!skal!i! størst!mulig!grad!være! basert!på! •  frivillig,!! •  u2rykkelig!og!! •  informert## samtykke.!
  26. 26. Informert •  Navn!og!adresse!på!behandlingsansvarlig! •  Hva!opplysningene!skal!brukes!-l! •  Om!opplysningene!skal!utleveres!-l!andre,!og! eventuelt!-l!hvem!!! •  Om!det!er!frivillig!å!gi!fra!seg!opplysningene! •  Informasjon!om!innsyn!i,!re[ng!og!sle[ng!av!! •  Hvor!lenge!personopplysningene!vil!bli!behandlet! eller!oppbevart! •  At!samtykket!kan!trekke!
  27. 27. Frivillig •  Hva!spørres!det!eKer?! •  Hvor!belastende!vil!et!samtykke! være?! •  Er!konsekvensene!uforholdsmessige! om!du!ikke!samtykker?! Typisk!for!å!moKa!en!tjeneste!eller!bli!ansaK!
  28. 28. uttrykkelig Ak-v!handling! – at!du!har!samtykket! – hvilke!behandlinger!samtykket! gjelder! – hvilke!virksomheter!samtykket!er! giK!-l!
  29. 29. proporsjonalitet •  Innsamling!og!behandling!i!overensstemmelse! med!lovverket! •  Rimelig!i!forhold!-l!den!registrerte! •  Registreringen#av#opplysninger#må#være# proporsjonal#med#formålet# •  I!valget!av!to!alterna-ve!løsninger!ved! behandling!av!personopplysninger!skal!man! velge!det!alterna-vet!som!er!minst$ personverninngripende$
  30. 30. ! ! Regelbrudd Konsekvenser av
  31. 31. Tilsyn og sanksjoner Data-lsynet! •  Systema-sk!og!offentlig!fortegnelse!over!innmeldte! behandlinger! •  Behandle!konsesjonssøknader! •  Kontrollere!at!lover!og!forskrider!blir!fulgt! ! Konsekvens! •  Overtredelsesgebyr! •  Pålegg!om!endring!eller!opphør!av!ulovlige!behandlinger! •  Erstatning! •  Straff!
  32. 32. Nettskyen Personvern i Del 2
  33. 33. Forutsetninger for bruk av skytjenester 1. Risikovurdering!! 2. Databehandleravtale! 3. Revisjon!! 4. Skyleverandørens!vilkår!står! -lbake!for!databehandleravtalen!
  34. 34. Bruk av nettskytjenester må skje i samsvar med personvernregelverk Private!og!offentlige!virksomheter!etablert!i!Norge!må! følge!personvernregelverket.!! ! Behandlingsansvarlig!må!informere!den!registrerte!om! innhen-ng!av!personopplysninger,!hvordan!de! behandles,!og!ha!-lfredss-llende!informasjonssikkerhet.! ! Bruk!av!neKskytjenester!har!betydning!for! personvernet!! ! Data-lsynet:!NeKskyleverandør!er!databehandler!! !
  35. 35. Personopplysninger i nettskyen krever risikovurdering ! Behandlingsansvarlig!må!gjennomføre!en! risikovurdering!i!forkant!av!implementering!av! neKskytjenester.! ! Risikovurderingen!skal!baseres!på! akseptkriterier!for!risiko.! ! Risikovurdering!er!utgangspunkt!for!-ltak!for!å! oppnå!-lfredss-llende!informasjonssikkerhet.!!
  36. 36. Hva er tilfredsstillende informasjonssikkerhet? ! Avhenger!av!type!personopplysninger.! ! Forholdsmessig!krav!om!behandling!av!personopplysninger! med!hensyn!-l!konfidensialitet,!integritet!og!-lgjengelighet,!jf.! pol.!§13!! ! ! Qder!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap! eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med! sikkerhets-ltak!jf.!pof.!§2Q1! ! ! !! !
  37. 37. Informasjonssikkerhet Konfidensialitet!:!beskyKelse!mot!at!uvedkommende!får! innsyn!i!personopplysningene.!Sammenblanding!av!data! ! Integritet:!personopplysningene!ikke!endres!eller!benyKes!-l! andre!formål!enn!opprinnelig!avtalt! ! Tilgjengelighet:!personopplysningene!er!-lgjengelige!ved! behov.!Sikkerhetskopiering! ! !Selvstendig!ansvar!for!databehandler!
  38. 38. Tilgang til sikkerhetsdokumentasjon Data-lsynet:! Databehandler!må!kunne!fremlegge!dokumentasjon! for!informasjonssystemet!uuorming!og! sikkerhetsløsninger.!! Databehandler!plikter!å!gi!behandlingsansvarlig! -lgang!-l!sin!sikkerhetsdokumentasjon,!og!bistå!slik! at!behandlingsansvarlig!kan!ivareta!siK!eget!ansvar! eKer!lov!og!forskrid.! !
  39. 39. Sikkerhetsdokumentasjon ! ! ! ! ! ! !
  40. 40. UTFORDRING TILGANG TIL INFORMASJON OM SIKKERHETSNIVÅ. Disclaimer   The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. For the latest version of this document visit: http://www.microsoft.com/download/en/ details.aspx?id=26647 Standard#Response#to#Request#for#InformaCon#(Security#and#Privacy)#
  41. 41. Safe Harbor Kun!for!virksomheter!i!USA! Prinsipper!for!håndtering!av!personopplysninger:! !Opplysningsplikt! !Valgfrihet!! !Overføring! !Sikkerhet! !Integritet! !Håndhevelse! Selvser-fisering! Gyldig!for!et!år!!
  42. 42. ISO 27001 Standard!for!styring!av!informasjonssikkerhet! Internasjonal!brukergruppe! Tiltak!! !Etablering!av!sikkerhetspolicy! !Plassering!av!ansvar! !Fysisk!sikring! !Tilgangskontroll! !Drid! ! Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men! iden-fikasjon!av!sikkerhetsbehov! ! !
  43. 43. Safe Harbor og iso 27001 USIEU#Safe#Harbor# Framework# ISO#27001# Dropbox!! (Next!Cer-fica-on:! 2/16/2014!)! __! ! Microsod!!! (Next!Cer-fica-on:! 6/29/2013)! Review!every!year! Salesforce!!! (Next!Cer-fica-on:! 8/1/2013)!! May!2008!(con-nously! review)! Google! (Next!Cer-fica-on:! 10/15/2013)!! Google!Apps!(May!2012)!
  44. 44. Datatilsynets vurderinger Microsod!Office!365QMoss! Sikkerhets-ltak!i!samsvar!med!ISO!27001,!men! nødvendig!for!Moss!å!revidere!-ltak.! ! ”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$ USA$er$en$del$av$MicrosoD$Corp.$og$således$utgjør$en$ del$av$det$Safe$HarborJser+fiserte$foretaket,$vil$ overføring$av$personopplysninger$fra$Norge$+l$disse$ datasentrene$være$i$samsvar$med$ personopplysningsloven$§$29.”! ! !
  45. 45. Datatilsynets vurderinger Google!AppsQNarvik!kommune:! Security!White!Paper! !QSafe!Harbor,!SSAE!16,!FISMA!Cer-fica-on!! ”Under!forutsetning!av!at!samtlige!aktuelle!Googles$ datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe! HarborQser-fiserte!foretaket!Google!Inc.,!vil!overføring! av!personopplysninger!fra!Norge!-l!disse!datasentrene! være!i!samsvar!med!personopplysningsloven!§!29.”!! ! !
  46. 46. GO!or!NO?!
  47. 47. Outsourcing av personopplysninger krever databehandleravtale Personopplysningsloven!§15,!jf.!§13!! ! ! ! ! ! ! ! ! ! ! ”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$ det$som$er$skriDlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$ heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$ bearbeidelse.$ I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$ databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$ 13.”$
  48. 48. Innhold i databehandleravtale Veileder!fra!Data-lsynet:! ! 1.  Formål! 2.  Beskrivelse!av!behandling! 3.  Bruk!av!underleverandør! 4.  Innsyn! 5.  Informasjonssikkerhet! 6.  Varighet! 7.  Overføring!-l!utlandet! 8.  Opphør!
  49. 49. 1. FORMÅL Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er! formålet!med!behandlingen!av!personopplysningene.!! Databehandler!bundet!av!formålsangivelsen.! Data-lsynet!!om!formål!i!«Moss`!bruk!av!Microsod!Office!365»:! ! «Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$ formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$ Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$ omfa)et$av$Office$365».!
  50. 50. 2. Beskrive hvordan personopplysninger Skal behandles Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler! skal!gjøre!med!personopplysningene.! Må!regulere!utlevering!-l!eksterne!parter!og!vilkår!for! deKe!(underleverandør)! Data-lsynet!i!«MossQ!Office!365».! ! •  «Microsod!kan!ikke!utlevere!data!-l!andre!uten!eKer! godkjennelse!fra!kommunene….! •  Microsod!kan!utlevere!opplysninger!-l!«law! enforcement(authori-es)!eks.!ved!eKerforskning!av! stratare!forhold.»! •  Godkjent!hvis!reKslig!bindende!for!tjenesteleverandør!og! ikke!i!strid!med!norsk!lov.!
  51. 51. 3. Bruk av underleverandør Angi!formål!med!bruk!av!underleverandør!! ! Underleverandør!må!være!forpliktet!-lsvarende! leverandørens!forpliktelser!i!databehandleravtalen!!! ! Leveandør!må!være!ansvarlig!for!underleverandør!! ! Kunden!bør!ha!innsyn!i!avtale!med! underleverandør!! !
  52. 52. Underleverandør Leverandør Kunde Bruk av underleverandør krever skriftlig forhåndssamtykke til databehandleren. WP29 om cloud computing: «the processor can subcontract its activites only on the basis of the consent of the controller wihch may be generally given at the beginning of the service»
  53. 53. Support Microsoft Kunde Forhandler Avtaleforpliktelse! -lsvarende! Databehandleravtale! Databehandleravtale!
  54. 54. 4. Innsyn Informasjonsplikt!jf.!personopplysningsloven! §19:! !! !Når!det!samles!inn!opplysninger!fra!den! !registrerte!selv,!!skal!den! !behandlingsansvarlige!!gi!informasjon!-l!den! !registrerte!om!opplysningene!vil!bli!utlevert,! !og!eventuelt!!hvem!som!er!moKaker.! !
  55. 55. 7. Overføring til utlandet Personopplysningsloven § 29 Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
  56. 56. ANDRE OVERFØRINGSGRUNNLAG Personopplysningsloven!§30,!samtykke!fra!registrert!! ! Data-lsynet!har!-llaK!overføringen!(Binding!Corporate! Rules,!Data!Transfer!Agreements)! ! Overføring!-l!virksomhet!som!eKerlever!Safe! Harborprinsippene(jf.!pof.!§!6Q1)! ! Unntak!for!mellomlagring(!)!
  57. 57. 8.Opphør (VARIGHET) Databehandleravtalen!må!inneholde!beskrivelse! av!hva!som!skal!skje!med!personopplysningene! ved!databehandleravtalens!opphør! ! !Tilbakeføring! !Sle[ng!
  58. 58. BYOD & DPABring you own device
  59. 59. Behandlingsansvarlig er også ansvarlig for personopplysninger på ansattes enheter •  Hvilke!type!data,!hvor!lagret,!hvordan! overført,!overholdelse!av!sikkerhetspolicy! •  Innsyn,!av!ulike!grunner,!blir!vanskeligere! •  BYOD!har!også!en!side!mot!håndtering!av! forretningshemmeligheter!
  60. 60. Inger Anne Folkestad Tornes Kjell Steffner •  Advokat,$partner$ •  Særskilt!bransjekompetanse! innen!IKT! •  God!forståelse!for!teknologi,! prosjektmetodikk!og!strategi! •  Jobber!med!kontraktsreK,! forhandlinger,!offentlige! anskaffelser!og!personvern! •  Tlf.!905!11!901!Q!ks@lynxlaw.no! •  Advoka[ullmek+g$ •  Rådgivning!for!IKTQsektoren! •  Jobber!med!kontraktsreK,! personvern!og!eQhandel,!samt! offentlige!anskaffelser! •  Tlf.!970!99!524!Q! id@lynxlaw.no!
  61. 61. Presentasjonen ligger på http://www.slideshare.net/lynxlaw/Cloud-Computing-2013
  62. 62. LYNX#advokaSirma#DA# Hieronymus!Heyerdahls!gate!1! NQ0160!Oslo! ! hKp://lynxlaw.no/! ! hKp://www.linkedin.com/company/lynxQadvokauirma! hKps://www.facebook.com/LynxLaw! TwiKer:!@LynxLaw! !

×