Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
!!SkytjenesterMorgenmøte!7.!mai!2013!v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!Lovlig bruk av
datatilsynet”Virksomheter!som!tar!i!bruk!neFskytjenester!er!juridisk!ansvarlig,!og!må!sørge!for!at!personopplysningene!beh...
Dagens tema1. !Hva!er!skytjenester!2. !Et!lite!utvalg!av!tjenestevilkår!3. !LiF!om!personvernreglene!4. !Hvorfor!er!person...
Europeiske!menneskereghetskonvensjon!Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reF!Wl!respekt!for!s...
UtfordringLovlig håndtering avpå tvers av jurisdiksjonerpersonopplysninger!
Maskinvare og programvare levert somen tjeneste
SkytjenesterApplikasjonerplattforminfrastruktur
Author:!Sam!Johnston!Salesforce!Office365!Google!apps!!MS!Azure!Amazon!EC2!SaaS#PaaS#IaaS#Tjenestemodeller
Noen egenskaper ved skytjenesterFordeler#•  Lav!pris!•  Tilgjengelighet!av!informasjon!•  Datasikkerhet!•  Skalerbarhet!fo...
!!tjenestevilkårEt lite utvalg av
Tjenestene!er!interessante,!men!både!bransjen!og!tjenestevilkårene!fremstår!i!dag!som!
Tilgjengelighet!Forpliktelser!Sikkerhet!Personvern!Erstatning!Jurisdiksjon!Data!innelåst!OpphavsreF!Svake vilkår
Lovvalg & vernetingSwitzerland!if!domiciled!in!Europe!California,!USA!Kunde:!Irland!–!Microsoh:!kundens!hjemWng!Laws!of!Ca...
OppetidAvailable!24!hours!a!day,!7!days!a!week!99.9%!99.9%!strives!for!100%!upWme!and!availability!eFerstrebe!god!kvalitet...
Tap av dataYOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT...
ERSTATNING$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!...
Personvern-Litt omreglene!!
MenneskerettighetsutvalgetNy#GRL#§#102##Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!Kommuni...
Personopplysningsloven§$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!enkelte!mot!at!personvernet!blir...
§ 2 Personopplysning”Opplysninger!og!vurderinger!som!kan!knyFes!Wl!en!enkeltperson”!
Behandling”enhver!bruk!av!personopplysninger,!som!f.eks.!innsamling,!registrering,!sammensWlling,!lagring!og!utlevering!el...
Behandlingsansvarlig”den!som!bestemmer!formålet!med!behandlingen!av!personopplysninger!og!hvilke!hjelpemidler!som!skal!bru...
databehandler”den!som!behandler!personopplysninger!på!vegne!av!den!behandlingsansvarlige”!
Sensitive personopplysningera)!rasemessig!eller!etnisk!bakgrunn,!eller!poliWsk,!filosofisk!eller!religiøs!oppfatning,!b)!at!...
§ 8 Vilkår for å behandle personopplysngerdersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!er!adgan...
§ 9 Behandling av sensitive opplysningera)  den!registrerte!samtykker!i!behandlingen,!b)  det!er!fastsaF!i!lov!at!det!er!a...
personvernprinsippene1.  Samtykke!eller!annet!reFslig!grunnlag!2.  Proporsjonalitet!3.  Formålsbestemthet!4.  Relevans!og!...
Grunnleggende personvernprinsipperReFmessig!og!rexerdig!behandling!•  All!behandling!av!personopplysninger!krever!reFslig!...
EU directive1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!collected;!2.  Purpose—data!should!only...
International Safe Harbor Privacy Principles1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being!collected!an...
!!personopplysningerHvorfor erså interessante?
Hvor!er!mine!personopplysninger?!!Hvem!får!Wlgang!Wl!dem?!
Hvis du ikke betaler for tjenestenDeilig!med!gra+s!mat!og!hus!Er du neppe kunden
Du er Produktet
BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
•  Samler!mer!informasjon!enn!du!selv!publiserer!•  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!•  Hver!gang!du!åpner...
Google Glass!SluFen!på!personvernet?!
CC}BY!MarWn!Missfeldt!Projiserer et lag oppå det brukeren ser
Spørsmål om tidKonWnuerlig!streaming!og!søk!IdenWfisering!Posisjonering!Tagging!Historikk!Big!data!
NettskyenPersonvern iDel 2
Bruk av nettskytjenester må skje isamsvar med personvernregelverk!Private!og!offentlige!virksomheter!etablert!i!Norge!må!fø...
Personopplysninger i nettskyen kreverrisikovurdering!Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!i...
Hva er tilfredsstillendeinformasjonssikkerhet?!Avhenger!av!type!personopplysninger.!!Forholdsmessig!krav!om!behandling!av!...
InformasjonssikkerhetKonfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!innsyn!i!personopplysningene.!Sammenblanding!av!...
Tilgang til sikkerhetsdokumentasjonDataWlsynet:!Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uw...
UTFORDRING TILGANG TIL INFORMASJON OMSIKKERHETSNIVÅ.Disclaimer  The information contained in this document represents the ...
Sikkerhetsdokumentasjon!!!!!!!
Safe HarborKun!for!virksomheter!i!USA!Prinsipper!for!håndtering!av!personopplysninger:!!Opplysningsplikt!!Valgfrihet!!!Ove...
ISO 27001Standard!for!styring!av!informasjonssikkerhet!Internasjonal!brukergruppe!Tiltak!!!Etablering!av!sikkerhetspolicy!...
Safe Harbor og iso 27001USTEU#Safe#Harbor#Framework#ISO#27001#Dropbox!! (Next!CerWficaWon:!2/16/2014!)!__!!Microsoh!!! (Nex...
Datatilsynets vurderingerMicrosoh!Office!365}Moss!SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere...
Datatilsynets vurderingerGoogle!Apps}Narvik!kommune:!Security!White!Paper!!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!”Under...
GO!or!NO?!
Outsourcing av personopplysninger kreverdatabehandleravtalePersonopplysningsloven!§15,!jf.!§13!!!!!!!!!Behandlingsansvarli...
Innhold i databehandleravtaleVeileder!fra!DataWlsynet:!!1.  Formål!2.  Beskrivelse!av!behandling!3.  Bruk!av!underleverand...
1. FORMÅLDet!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!formålet!med!behandlingen!av!personopplysningene.!!Datab...
2. Beskrive hvordan personopplysninger Skal behandlesDet!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!...
3. Bruk av underleverandørAngi!formål!med!bruk!av!underleverandør!!!Underleverandør!må!være!forpliktet!Wlsvarende!leverand...
Underleverandør Leverandør KundeBruk av underleverandør krever skriftligforhåndssamtykke til databehandleren. WP29 omcloud...
Support Microsoft KundeForhandlerAvtaleforpliktelse!Wlsvarende!Databehandleravtale!Databehandleravtale!
4. InnsynInformasjonsplikt!jf.!personopplysningsloven!§19:!!!!Når!det!samles!inn!opplysninger!fra!den!!registrerte!selv,!!...
7. Overføring til utlandetPersonopplysningsloven § 29Personopplysninger kan bare overføres til statersom sikrer en forsvar...
ANDRE OVERFØRINGSGRUNNLAGPersonopplysningsloven!§30,!samtykke!fra!registrert!!!DataWlsynet!har!WllaF!overføringen!(Binding...
8.Opphør (VARIGHET)Databehandleravtalen!må!inneholde!beskrivelse!av!hva!som!skal!skje!med!personopplysningene!ved!databeha...
BYOD & DPABring you own device
Behandlingsansvarlig er også ansvarlig forpersonopplysninger på ansattes enheter•  Hvilke!type!data,!hvor!lagret,!hvordan!...
kryptering
KrypteringGjenoppreFer!balansen!mellom!personvern!og!andres!Wlgang!Wl!individets!privatliv!!Krypterte!personopplysninger!e...
Inger Anne Folkestad Tornes Kjell Steffner•  Advokat,$partner$•  Særskilt!bransjekompetanse!innen!IKT!•  God!forståelse!fo...
LYNX#advokaYirma#DA#Hieronymus!Heyerdahls!gate!1!N}0160!Oslo!!hFp://lynxlaw.no/!!
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Upcoming SlideShare
Loading in …5
×

Legal cloud computing

1,671 views

Published on

Lovlig bruk av nettskytjenester, personvern, databehandleravtale, sla og kontraktsvilkår

  • Login to see the comments

  • Be the first to like this

Legal cloud computing

  1. 1. !!SkytjenesterMorgenmøte!7.!mai!2013!v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!Lovlig bruk av
  2. 2. datatilsynet”Virksomheter!som!tar!i!bruk!neFskytjenester!er!juridisk!ansvarlig,!og!må!sørge!for!at!personopplysningene!behandles!i!tråd!med!personvernregelverket.”!
  3. 3. Dagens tema1. !Hva!er!skytjenester!2. !Et!lite!utvalg!av!tjenestevilkår!3. !LiF!om!personvernreglene!4. !Hvorfor!er!personopplysninger!så!interessante?!5. !Informasjonssikkerhet!6. !Risikovurderingen!7. !Databehandleravtaler!8. !Overføring!av!data!Wl!utlandet!9. !BYOD!policy!og!databehandleravtaler!10.!Kryptering!
  4. 4. Europeiske!menneskereghetskonvensjon!Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reF!Wl!respekt!for!siF!privatliv!og!familieliv,!siF!hjem!og!sin!korrespondanse.”!
  5. 5. UtfordringLovlig håndtering avpå tvers av jurisdiksjonerpersonopplysninger!
  6. 6. Maskinvare og programvare levert somen tjeneste
  7. 7. SkytjenesterApplikasjonerplattforminfrastruktur
  8. 8. Author:!Sam!Johnston!Salesforce!Office365!Google!apps!!MS!Azure!Amazon!EC2!SaaS#PaaS#IaaS#Tjenestemodeller
  9. 9. Noen egenskaper ved skytjenesterFordeler#•  Lav!pris!•  Tilgjengelighet!av!informasjon!•  Datasikkerhet!•  Skalerbarhet!for!ytelse!og!lagring!•  Abonnement!vs!eie!Ulemper#•  Datasikkerhet!•  Innlåsing!av!data!•  Standardisert!/!lite!fleksibelt!•  Håndtering!av!personvern!
  10. 10. !!tjenestevilkårEt lite utvalg av
  11. 11. Tjenestene!er!interessante,!men!både!bransjen!og!tjenestevilkårene!fremstår!i!dag!som!
  12. 12. Tilgjengelighet!Forpliktelser!Sikkerhet!Personvern!Erstatning!Jurisdiksjon!Data!innelåst!OpphavsreF!Svake vilkår
  13. 13. Lovvalg & vernetingSwitzerland!if!domiciled!in!Europe!California,!USA!Kunde:!Irland!–!Microsoh:!kundens!hjemWng!Laws!of!California,!San!Fransisco!legal!venue!Norge!Switzerland!
  14. 14. OppetidAvailable!24!hours!a!day,!7!days!a!week!99.9%!99.9%!strives!for!100%!upWme!and!availability!eFerstrebe!god!kvalitet!på!tjenesten!Wl!enhver!Wd!The!Service!Is!Available!“As!Is”!
  15. 15. Tap av dataYOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!You!are!responsible!for!maintaining!and!protecWng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!corrupWon!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
  16. 16. ERSTATNING$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!under!ingen!omstendighet!utbetale!noen!erstatning!som!oversWger!det!Kunden!har!innbetalt!siste!12!måneder!SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
  17. 17. Personvern-Litt omreglene!!
  18. 18. MenneskerettighetsutvalgetNy#GRL#§#102##Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!KommunikaWon.!!!Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn!om!den!personlige!Integritet!og!om!personlige!Oplysninger.!SystemaWsk!IndhenWng,!Opbevaring!og!Brug!af!Oplysninger!om!Andres!personlige!Forhold!kan!kun!finde!Sted!i!Henhold!Wl!Lov.!!!
  19. 19. Personopplysningsloven§$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!enkelte!mot!at!personvernet!blir!krenket!gjennom!behandling!av!personopplysninger.!!!!!!!!Loven!skal!bidra!Wl!at!personopplysninger!blir!behandlet!i!samsvar!med!grunnleggende!personvernhensyn,!herunder!behovet!for!personlig!integritet,!privatlivets!fred!og!Wlstrekkelig!kvalitet!på!personopplysninger.!!!
  20. 20. § 2 Personopplysning”Opplysninger!og!vurderinger!som!kan!knyFes!Wl!en!enkeltperson”!
  21. 21. Behandling”enhver!bruk!av!personopplysninger,!som!f.eks.!innsamling,!registrering,!sammensWlling,!lagring!og!utlevering!eller!en!kombinasjon!av!slike!bruksmåter”!
  22. 22. Behandlingsansvarlig”den!som!bestemmer!formålet!med!behandlingen!av!personopplysninger!og!hvilke!hjelpemidler!som!skal!brukes”!
  23. 23. databehandler”den!som!behandler!personopplysninger!på!vegne!av!den!behandlingsansvarlige”!
  24. 24. Sensitive personopplysningera)!rasemessig!eller!etnisk!bakgrunn,!eller!poliWsk,!filosofisk!eller!religiøs!oppfatning,!b)!at!en!person!har!vært!mistenkt,!siktet,!Wltalt!eller!dømt!for!en!stravar!handling,!c)!helseforhold,!d)!seksuelle!forhold,!e)!medlemskap!i!fagforeninger!
  25. 25. § 8 Vilkår for å behandle personopplysngerdersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!eller!behandlingen!er!nødvendig!for!a)  å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uwøre!gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,!b)  at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig!forpliktelse,!c)  å!vareta!den!registrertes!vitale!interesser,!d)  å!uwøre!en!oppgave!av!allmenn!interesse,!e)  å!utøve!offentlig!myndighet,!eller!f)  at!den!behandlingsansvarlige!eller!tredjepersoner!som!opplysningene!utleveres!Wl!kan!vareta!en!bereget!interesse,!og!hensynet!Wl!den!registrertes!personvern!ikke!oversWger!denne!interessen.!
  26. 26. § 9 Behandling av sensitive opplysningera)  den!registrerte!samtykker!i!behandlingen,!b)  det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!c)  behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den!registrerte!ikke!er!i!stand!Wl!å!samtykke,!d)  det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har!gjort!alminnelig!kjent,!e)  behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et!reFskrav,!f)  behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre!sine!arbeidsreFslige!plikter!eller!regheter,!g)  behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk!diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av!helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,!eller!h)  behandlingen!er!nødvendig!for!historiske,!staWsWske!eller!vitenskapelige!formål,!og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversWger!ulempene!den!kan!medføre!for!den!enkelte.!
  27. 27. personvernprinsippene1.  Samtykke!eller!annet!reFslig!grunnlag!2.  Proporsjonalitet!3.  Formålsbestemthet!4.  Relevans!og!minimalitet!5.  Fullstendighet!og!kvalitet!6.  Informasjon!og!innsyn!7.  Informasjonssikkerhet!8.  Særlig!strenge!regler!ved!behandling!av!sensiWve!personopplysninger!9.  Anonymitet!og!sporfri!ferdsel!
  28. 28. Grunnleggende personvernprinsipperReFmessig!og!rexerdig!behandling!•  All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta!Wlbørlig!hensyn!Wl!den!registrertes!beregede!personverninteresser.!SensiWve!personopplysninger!er!underlagt!strengere!vern!enn!alminnelige!personopplysninger.!Brukermedvirkning!og!kontroll!•  Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at!denne!gjøres!i!stand!Wl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Wl!å!ivareta!sine!personverninteresser.!Formålsbestemthet!•  Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og!uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.!Minimalitet!•  Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå!formålet!med!behandlingen!av!opplysningene.!Datakvalitet!•  Personopplysninger!skal!ha!Wlstrekkelig!kvalitet!i!forhold!Wl!det!formålet!de!skal!anvendes!Wl.!DeFe!innebærer!blant!annet!at!opplysningene!skal!være!Wlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp!mot!formålet!med!behandlingen.!Informasjonssikkerhet!•  Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!WlfredssWllende!informasjonssikkerhet!med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet!ved!behandling!av!personopplysninger.!NOU 2009:1
  29. 29. EU directive1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!collected;!2.  Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for!any!other!purposes;!3.  Consent—data!should!not!be!disclosed!without!the!data!subject’s!consent;!4.  Security—collected!data!should!be!kept!secure!from!any!potenWal!abuses;!5.  Disclosure—data!subjects!should!be!informed!as!to!who!is!collecWng!their!data;!6.  Access—data!subjects!should!be!allowed!to!access!their!data!and!make!correcWons!to!any!inaccurate!data;!and!7.  Accountability—data!subjects!should!have!a!method!available!to!them!to!hold!data!collectors!accountable!for!following!the!above!principles.!
  30. 30. International Safe Harbor Privacy Principles1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being!collected!and!about!how!it!will!be!used.!2.  Choice!}!Individuals!must!have!the!ability!to!opt!out!of!the!collecWon!and!forward!transfer!of!the!data!to!third!parWes.!3.  Onward#Transfer!}!Transfers!of!data!to!third!parWes!may!only!occur!to!other!organizaWons!that!follow!adequate!data!protecWon!principles.!4.  Security!}!Reasonable!efforts!must!be!made!to!prevent!loss!of!collected!informaWon.!5.  Data#Integrity!}!Data!must!be!relevant!and!reliable!for!the!purpose!it!was!collected!for.!6.  Access!}!Individuals!must!be!able!to!access!informaWon!held!about!them,!and!correct!or!delete!it!if!it!is!inaccurate.!7.  Enforcement!}!There!must!be!effecWve!means!of!enforcing!these!rules.!
  31. 31. !!personopplysningerHvorfor erså interessante?
  32. 32. Hvor!er!mine!personopplysninger?!!Hvem!får!Wlgang!Wl!dem?!
  33. 33. Hvis du ikke betaler for tjenestenDeilig!med!gra+s!mat!og!hus!Er du neppe kunden
  34. 34. Du er Produktet
  35. 35. BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
  36. 36. •  Samler!mer!informasjon!enn!du!selv!publiserer!•  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!•  Hver!gang!du!åpner!appen!på!mobilen!blir!du!geotagget!•  Endrer!tjenestepremissene!fortløpende!•  FlyFer!stadig!grensene!for!hva!anser!som!privat!•  ”Home”!for!Android!syndikerer!mange!tjenester,!f.eks.!Ip}telefoni,!meldinger!mm.!Facebook samler og analyserer
  37. 37. Google Glass!SluFen!på!personvernet?!
  38. 38. CC}BY!MarWn!Missfeldt!Projiserer et lag oppå det brukeren ser
  39. 39. Spørsmål om tidKonWnuerlig!streaming!og!søk!IdenWfisering!Posisjonering!Tagging!Historikk!Big!data!
  40. 40. NettskyenPersonvern iDel 2
  41. 41. Bruk av nettskytjenester må skje isamsvar med personvernregelverk!Private!og!offentlige!virksomheter!etablert!i!Norge!må!følge!personvernregelverket.!!!Behandlingsansvarlig!som!lar!andre!få!Wlgang!Wl!personopplysninger,!plikter!å!sørge!for!!at!databehandler!har!WlfredssWllende!informasjonssikkerhet,$jf!pol.§!13!og!pof.!§2!!DataWlsynet:!!neFskyleverandør!er!databehandler!uavhengig!tjeneste!
  42. 42. Personopplysninger i nettskyen kreverrisikovurdering!Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!implementering!av!neFskytjenester.!!Risikovurderingen!skal!baseres!på!akseptkriterier!for!risiko.!!Utgangspunkt!for!Wltak!for!å!oppnå!WlfredssWllende!informasjonssikkerhet.!!
  43. 43. Hva er tilfredsstillendeinformasjonssikkerhet?!Avhenger!av!type!personopplysninger.!!Forholdsmessig!krav!om!behandling!av!personopplysninger!med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet,!jf.!pol.!§13!!!!}der!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!sikkerhetsWltak!jf.!pof.!§2}1!!! !!!
  44. 44. InformasjonssikkerhetKonfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!innsyn!i!personopplysningene.!Sammenblanding!av!data!!Integritet:!personopplysningene!ikke!endres!eller!benyFes!Wl!andre!formål!enn!opprinnelig!avtalt!!Tilgjengelighet:!personopplysningene!er!Wlgjengelige!ved!behov.!Sikkerhetskopiering!!!Selvstendig!ansvar!for!databehandler!
  45. 45. Tilgang til sikkerhetsdokumentasjonDataWlsynet:!Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uworming!og!sikkerhetsløsninger.!!Databehandler!plikter!å!gi!behandlingsansvarlig!Wlgang!Wl!sin!sikkerhetsdokumentasjon,!og!bistå!slik!at!behandlingsansvarlig!kan!ivareta!siF!eget!ansvar!eFer!lov!og!forskrih.!!
  46. 46. UTFORDRING TILGANG TIL INFORMASJON OMSIKKERHETSNIVÅ.Disclaimer  The information contained in this document represents the current viewof Microsoft Corporation on the issues discussed as of the date ofpublication. Because Microsoft must respond to changing marketconditions, it should not be interpreted to be a commitment on the partof Microsoft, and Microsoft cannot guarantee the accuracy of anyinformation presented after the date of publication. For the latest versionof this document visit: http://www.microsoft.com/download/en/details.aspx?id=26647 Standard#Response#to#Request#for#Informa9on#(Security#and#Privacy)#
  47. 47. Sikkerhetsdokumentasjon!!!!!!!
  48. 48. Safe HarborKun!for!virksomheter!i!USA!Prinsipper!for!håndtering!av!personopplysninger:!!Opplysningsplikt!!Valgfrihet!!!Overføring!!Sikkerhet!!Integritet!!Håndhevelse!SelvserWfisering!Gyldig!for!et!år!!
  49. 49. ISO 27001Standard!for!styring!av!informasjonssikkerhet!Internasjonal!brukergruppe!Tiltak!!!Etablering!av!sikkerhetspolicy!!Plassering!av!ansvar!!Fysisk!sikring!!Tilgangskontroll!!Drih!!Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!idenWfikasjon!av!sikkerhetsbehov!!!
  50. 50. Safe Harbor og iso 27001USTEU#Safe#Harbor#Framework#ISO#27001#Dropbox!! (Next!CerWficaWon:!2/16/2014!)!__!!Microsoh!!! (Next!CerWficaWon:!6/29/2013)!Review!every!year!Salesforce!!! (Next!CerWficaWon:!8/1/2013)!!May!2008!(conWnously!review)!Google! (Next!CerWficaWon:!10/15/2013)!!Google!Apps!(May!2012)!
  51. 51. Datatilsynets vurderingerMicrosoh!Office!365}Moss!SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere!Wltak.!!”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$USA$er$en$del$av$MicrosoB$Corp.$og$således$utgjør$en$del$av$det$Safe$HarborHser+fiserte$foretaket,$vil$overføring$av$personopplysninger$fra$Norge$+l$disse$datasentrene$være$i$samsvar$med$personopplysningsloven$§$29.”!!!
  52. 52. Datatilsynets vurderingerGoogle!Apps}Narvik!kommune:!Security!White!Paper!!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!”Under!forutsetning!av!at!samtlige!aktuelle!Googles$datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!Harbor}serWfiserte!foretaket!Google!Inc.,!vil!overføring!av!personopplysninger!fra!Norge!Wl!disse!datasentrene!være!i!samsvar!med!personopplysningsloven!§!29.”!!!!
  53. 53. GO!or!NO?!
  54. 54. Outsourcing av personopplysninger kreverdatabehandleravtalePersonopplysningsloven!§15,!jf.!§13!!!!!!!!!Behandlingsansvarlig!jf.!§!2!(4)!Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene!Ansvarlig!uavhengig!bruk!av!databehandler.!Databehandler!jf.!§!2!(5)!Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig!Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.!Har!ikke!selvstendig!rådereF!over!data.!”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$det$som$er$skriBlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$bearbeidelse.$I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$13.”$
  55. 55. Innhold i databehandleravtaleVeileder!fra!DataWlsynet:!!1.  Formål!2.  Beskrivelse!av!behandling!3.  Bruk!av!underleverandør!4.  Innsyn!5.  Informasjonssikkerhet!6.  Varighet!7.  Overføring!Wl!utlandet!8.  Opphør!
  56. 56. 1. FORMÅLDet!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!formålet!med!behandlingen!av!personopplysningene.!!Databehandler!bundet!av!formålsangivelsen.!DataWlsynet!!om!formål!i!«Moss`!bruk!av!Microsoh!Office!365»:!!«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$omfa)et$av$Office$365».!
  57. 57. 2. Beskrive hvordan personopplysninger Skal behandlesDet!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!personopplysningene.!Må!regulere!utlevering!Wl!eksterne!parter!og!vilkår!for!deFe!(underleverandør)!DataWlsynet!i!«Moss}!Office!365».!!•  «Microsoh!kan!ikke!utlevere!data!Wl!andre!uten!eFer!godkjennelse!fra!kommunene….!•  Microsoh!kan!utlevere!opplysninger!Wl!«law!enforcement(authoriWes)!eks.!ved!eFerforskning!av!stravare!forhold.»!•  Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og!ikke!i!strid!med!norsk!lov.!
  58. 58. 3. Bruk av underleverandørAngi!formål!med!bruk!av!underleverandør!!!Underleverandør!må!være!forpliktet!Wlsvarende!leverandørens!forpliktelser!i!databehandleravtalen!!!!Leveandør!må!være!ansvarlig!for!underleverandør!!!Kunden!bør!ha!innsyn!i!avtale!med!underleverandør!!!
  59. 59. Underleverandør Leverandør KundeBruk av underleverandør krever skriftligforhåndssamtykke til databehandleren. WP29 omcloud computing:«the processor can subcontract its activites onlyon the basis of the consent of the controllerwihch may be generally given at the beginning ofthe service»
  60. 60. Support Microsoft KundeForhandlerAvtaleforpliktelse!Wlsvarende!Databehandleravtale!Databehandleravtale!
  61. 61. 4. InnsynInformasjonsplikt!jf.!personopplysningsloven!§19:!!!!Når!det!samles!inn!opplysninger!fra!den!!registrerte!selv,!!skal!den!!behandlingsansvarlige!!gi!informasjon!Wl!den!!registrerte!om!opplysningene!vil!bli!utlevert,!!og!eventuelt!!hvem!som!er!moFaker.!!
  62. 62. 7. Overføring til utlandetPersonopplysningsloven § 29Personopplysninger kan bare overføres til statersom sikrer en forsvarlig behandling avopplysningene.Stater som har gjennomført direktiv 95/46EF ombeskyttelse av fysiske personer i forbindelse medbehandling av personopplysninger og om friutveksling av slike opplysninger, oppfyller kravet tilforsvarlig behandling.
  63. 63. ANDRE OVERFØRINGSGRUNNLAGPersonopplysningsloven!§30,!samtykke!fra!registrert!!!DataWlsynet!har!WllaF!overføringen!(Binding!Corporate!Rules,!Data!Transfer!Agreements)!!Overføring!Wl!virksomhet!som!eFerlever!Safe!Harborprinsippene(jf.!pof.!§!6}1)!!Unntak!for!mellomlagring(!)!
  64. 64. 8.Opphør (VARIGHET)Databehandleravtalen!må!inneholde!beskrivelse!av!hva!som!skal!skje!med!personopplysningene!ved!databehandleravtalens!opphør!!!Tilbakeføring!!Sleng!
  65. 65. BYOD & DPABring you own device
  66. 66. Behandlingsansvarlig er også ansvarlig forpersonopplysninger på ansattes enheter•  Hvilke!type!data,!hvor!lagret,!hvordan!overført,!overholdelse!av!sikkerhetspolicy!•  Innsyn,!av!ulike!grunner,!blir!vanskeligere!•  BYOD!har!også!en!side!mot!håndtering!av!forretningshemmeligheter!hFp://www.ico.org.uk/for_organisaWons/data_protecWon/topic_guides/online/byod!
  67. 67. kryptering
  68. 68. KrypteringGjenoppreFer!balansen!mellom!personvern!og!andres!Wlgang!Wl!individets!privatliv!!Krypterte!personopplysninger!er!fremdeles!personopplysninger!
  69. 69. Inger Anne Folkestad Tornes Kjell Steffner•  Advokat,$partner$•  Særskilt!bransjekompetanse!innen!IKT!•  God!forståelse!for!teknologi,!prosjektmetodikk!og!strategi!•  Jobber!med!kontraktsreF,!forhandlinger,!offentlige!anskaffelser!og!personvern!•  Tlf.!905!11!901!}!ks@lynxlaw.no!•  AdvokaZullmek+g$•  Rådgivning!for!IKT}sektoren!•  Jobber!med!kontraktsreF,!personvern!og!e}handel,!samt!offentlige!anskaffelser!•  Tlf.!970!99!524!}!ih@lynxlaw.no!
  70. 70. LYNX#advokaYirma#DA#Hieronymus!Heyerdahls!gate!1!N}0160!Oslo!!hFp://lynxlaw.no/!!

×