Successfully reported this slideshow.
Your SlideShare is downloading. ×

Legal cloud computing

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Cloud computing 2013
Cloud computing 2013
Loading in …3
×

Check these out next

1 of 76 Ad
Advertisement

More Related Content

More from LYNX advokatfirma DA (14)

Advertisement

Legal cloud computing

  1. 1. ! ! Skytjenester Morgenmøte!7.!mai!2013! v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner! Lovlig bruk av
  2. 2. datatilsynet ”Virksomheter!som!tar!i!bruk! neFskytjenester!er!juridisk!ansvarlig,! og!må!sørge!for!at! personopplysningene!behandles!i!tråd! med!personvernregelverket.”!
  3. 3. Dagens tema 1. !Hva!er!skytjenester! 2. !Et!lite!utvalg!av!tjenestevilkår! 3. !LiF!om!personvernreglene! 4. !Hvorfor!er!personopplysninger!så!interessante?! 5. !Informasjonssikkerhet! 6. !Risikovurderingen! 7. !Databehandleravtaler! 8. !Overføring!av!data!Wl!utlandet! 9. !BYOD!policy!og!databehandleravtaler! 10.!Kryptering!
  4. 4. Europeiske!menneskereghetskonvensjon! Art$8.$Re)en$+l$respekt$for$privatliv$og$ familieliv$! ”Enhver!har!reF!Wl!respekt!for!siF!privatliv!og! familieliv,!siF!hjem!og!sin!korrespondanse.”!
  5. 5. Utfordring Lovlig håndtering av på tvers av jurisdiksjoner personopplysninger!
  6. 6. Maskinvare og programvare levert som en tjeneste
  7. 7. Skytjenester Applikasjoner plattform infrastruktur
  8. 8. Author:!Sam!Johnston! Salesforce! Office365! Google!apps! ! MS!Azure! Amazon!EC2! SaaS# PaaS# IaaS# Tjenestemodeller
  9. 9. Noen egenskaper ved skytjenester Fordeler# •  Lav!pris! •  Tilgjengelighet!av! informasjon! •  Datasikkerhet! •  Skalerbarhet!for! ytelse!og!lagring! •  Abonnement!vs!eie! Ulemper# •  Datasikkerhet! •  Innlåsing!av!data! •  Standardisert!/!lite! fleksibelt! •  Håndtering!av! personvern!
  10. 10. ! ! tjenestevilkår Et lite utvalg av
  11. 11. Tjenestene!er! interessante,!men! både!bransjen!og! tjenestevilkårene! fremstår!i!dag!som!
  12. 12. Tilgjengelighet! Forpliktelser! Sikkerhet! Personvern! Erstatning! Jurisdiksjon! Data!innelåst! OpphavsreF! Svake vilkår
  13. 13. Lovvalg & verneting Switzerland!if!domiciled!in!Europe! California,!USA! Kunde:!Irland!–!Microsoh:!kundens!hjemWng! Laws!of!California,!San!Fransisco!legal!venue! Norge! Switzerland!
  14. 14. Oppetid Available!24!hours!a!day,!7!days!a!week! 99.9%! 99.9%! strives!for!100%!upWme!and!availability! eFerstrebe!god!kvalitet!på!tjenesten!Wl!enhver!Wd! The!Service!Is!Available!“As!Is”!
  15. 15. Tap av data YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY! DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT! LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!! You!are!responsible!for!maintaining!and!protecWng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or! corrupWon!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.! påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data! YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND! OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR! ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT! LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
  16. 16. ERSTATNING $500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS! INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR! MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV! MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.! $100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE! TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY! under!ingen!omstendighet!utbetale!noen!erstatning!som!oversWger!det! Kunden!har!innbetalt!siste!12!måneder! SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER! TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH! PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
  17. 17. Personvern- Litt om reglene!!
  18. 18. Menneskerettighetsutvalget Ny#GRL#§#102## Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og! Familieliv,!sit!Hjem!og!sin!KommunikaWon.!! ! Det!paaligger!Statens!Myndigheder!at!sikre!et! Værn!om!den!personlige!Integritet!og!om! personlige!Oplysninger.!SystemaWsk!IndhenWng,! Opbevaring!og!Brug!af!Oplysninger!om!Andres! personlige!Forhold!kan!kun!finde!Sted!i!Henhold! Wl!Lov.!! !
  19. 19. Personopplysningsloven §$1.$Lovens$formål$ !!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den! enkelte!mot!at!personvernet!blir!krenket! gjennom!behandling!av!personopplysninger.! !!!!!!!Loven!skal!bidra!Wl!at!personopplysninger! blir!behandlet!i!samsvar!med!grunnleggende! personvernhensyn,!herunder!behovet!for! personlig!integritet,!privatlivets!fred!og! Wlstrekkelig!kvalitet!på!personopplysninger.!! !
  20. 20. § 2 Personopplysning ”Opplysninger!og! vurderinger!som!kan! knyFes!Wl!en! enkeltperson”!
  21. 21. Behandling ”enhver!bruk!av! personopplysninger,!som!f.eks.! innsamling,!registrering,! sammensWlling,!lagring!og! utlevering!eller!en!kombinasjon! av!slike!bruksmåter”!
  22. 22. Behandlingsansvarlig ”den!som!bestemmer!formålet! med!behandlingen!av! personopplysninger!og!hvilke! hjelpemidler!som!skal!brukes”!
  23. 23. databehandler ”den!som!behandler! personopplysninger!på!vegne!av! den!behandlingsansvarlige”!
  24. 24. Sensitive personopplysninger a)!rasemessig!eller!etnisk!bakgrunn,!eller! poliWsk,!filosofisk!eller!religiøs!oppfatning,! b)!at!en!person!har!vært!mistenkt,!siktet,! Wltalt!eller!dømt!for!en!stravar!handling,! c)!helseforhold,! d)!seksuelle!forhold,! e)!medlemskap!i!fagforeninger!
  25. 25. § 8 Vilkår for å behandle personopplysnger dersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det! er!adgang!Wl!slik!behandling,!eller!behandlingen!er!nødvendig!for! a)  å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uwøre! gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,! b)  at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig! forpliktelse,! c)  å!vareta!den!registrertes!vitale!interesser,! d)  å!uwøre!en!oppgave!av!allmenn!interesse,! e)  å!utøve!offentlig!myndighet,!eller! f)  at!den!behandlingsansvarlige!eller!tredjepersoner!som! opplysningene!utleveres!Wl!kan!vareta!en!bereget!interesse,!og! hensynet!Wl!den!registrertes!personvern!ikke!oversWger!denne! interessen.!
  26. 26. § 9 Behandling av sensitive opplysninger a)  den!registrerte!samtykker!i!behandlingen,! b)  det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,! c)  behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den! registrerte!ikke!er!i!stand!Wl!å!samtykke,! d)  det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har! gjort!alminnelig!kjent,! e)  behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et! reFskrav,! f)  behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre! sine!arbeidsreFslige!plikter!eller!regheter,! g)  behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk! diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av! helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,! eller! h)  behandlingen!er!nødvendig!for!historiske,!staWsWske!eller!vitenskapelige!formål,! og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversWger!ulempene! den!kan!medføre!for!den!enkelte.!
  27. 27. personvernprinsippene 1.  Samtykke!eller!annet!reFslig!grunnlag! 2.  Proporsjonalitet! 3.  Formålsbestemthet! 4.  Relevans!og!minimalitet! 5.  Fullstendighet!og!kvalitet! 6.  Informasjon!og!innsyn! 7.  Informasjonssikkerhet! 8.  Særlig!strenge!regler!ved!behandling!av! sensiWve!personopplysninger! 9.  Anonymitet!og!sporfri!ferdsel!
  28. 28. Grunnleggende personvernprinsipper ReFmessig!og!rexerdig!behandling! •  All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta! Wlbørlig!hensyn!Wl!den!registrertes!beregede!personverninteresser.!SensiWve!personopplysninger!er! underlagt!strengere!vern!enn!alminnelige!personopplysninger.! Brukermedvirkning!og!kontroll! •  Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at! denne!gjøres!i!stand!Wl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Wl!å!ivareta!sine! personverninteresser.! Formålsbestemthet! •  Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og! uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.! Minimalitet! •  Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå! formålet!med!behandlingen!av!opplysningene.! Datakvalitet! •  Personopplysninger!skal!ha!Wlstrekkelig!kvalitet!i!forhold!Wl!det!formålet!de!skal!anvendes!Wl.!DeFe! innebærer!blant!annet!at!opplysningene!skal!være!Wlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp! mot!formålet!med!behandlingen.! Informasjonssikkerhet! •  Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!WlfredssWllende!informasjonssikkerhet! med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet!ved!behandling!av!personopplysninger.! NOU 2009:1
  29. 29. EU directive 1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being! collected;! 2.  Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for! any!other!purposes;! 3.  Consent—data!should!not!be!disclosed!without!the!data!subject’s! consent;! 4.  Security—collected!data!should!be!kept!secure!from!any!potenWal! abuses;! 5.  Disclosure—data!subjects!should!be!informed!as!to!who!is!collecWng! their!data;! 6.  Access—data!subjects!should!be!allowed!to!access!their!data!and!make! correcWons!to!any!inaccurate!data;!and! 7.  Accountability—data!subjects!should!have!a!method!available!to!them! to!hold!data!collectors!accountable!for!following!the!above!principles.!
  30. 30. International Safe Harbor Privacy Principles 1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being! collected!and!about!how!it!will!be!used.! 2.  Choice!}!Individuals!must!have!the!ability!to!opt!out!of!the! collecWon!and!forward!transfer!of!the!data!to!third!parWes.! 3.  Onward#Transfer!}!Transfers!of!data!to!third!parWes!may!only! occur!to!other!organizaWons!that!follow!adequate!data!protecWon! principles.! 4.  Security!}!Reasonable!efforts!must!be!made!to!prevent!loss!of! collected!informaWon.! 5.  Data#Integrity!}!Data!must!be!relevant!and!reliable!for!the!purpose! it!was!collected!for.! 6.  Access!}!Individuals!must!be!able!to!access!informaWon!held!about! them,!and!correct!or!delete!it!if!it!is!inaccurate.! 7.  Enforcement!}!There!must!be!effecWve!means!of!enforcing!these! rules.!
  31. 31. ! ! personopplysninger Hvorfor er så interessante?
  32. 32. Hvor!er!mine! personopplysninger?! ! Hvem!får!Wlgang!Wl! dem?!
  33. 33. Hvis du ikke betaler for tjenesten Deilig!med! gra+s!mat!og! hus! Er du neppe kunden
  34. 34. Du er Produktet
  35. 35. BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
  36. 36. •  Samler!mer!informasjon!enn!du!selv!publiserer! •  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig! •  Hver!gang!du!åpner!appen!på!mobilen!blir!du! geotagget! •  Endrer!tjenestepremissene!fortløpende! •  FlyFer!stadig!grensene!for!hva!anser!som!privat! •  ”Home”!for!Android!syndikerer!mange!tjenester,! f.eks.!Ip}telefoni,!meldinger!mm.! Facebook samler og analyserer
  37. 37. Google Glass ! SluFen!på! personvernet?!
  38. 38. CC}BY!MarWn!Missfeldt! Projiserer et lag oppå det brukeren ser
  39. 39. Spørsmål om tid KonWnuerlig! streaming!og! søk! IdenWfisering! Posisjonering! Tagging! Historikk! Big!data!
  40. 40. Nettskyen Personvern i Del 2
  41. 41. Bruk av nettskytjenester må skje i samsvar med personvernregelverk ! Private!og!offentlige!virksomheter!etablert!i!Norge!må! følge!personvernregelverket.!! ! Behandlingsansvarlig!som!lar!andre!få!Wlgang!Wl! personopplysninger,!plikter!å!sørge!for!!at! databehandler!har!WlfredssWllende! informasjonssikkerhet,$jf!pol.§!13!og!pof.!§2! ! DataWlsynet:!! neFskyleverandør!er!databehandler!uavhengig!tjeneste!
  42. 42. Personopplysninger i nettskyen krever risikovurdering ! Behandlingsansvarlig!må!gjennomføre!en! risikovurdering!i!forkant!av!implementering!av! neFskytjenester.! ! Risikovurderingen!skal!baseres!på! akseptkriterier!for!risiko.! ! Utgangspunkt!for!Wltak!for!å!oppnå! WlfredssWllende!informasjonssikkerhet.!!
  43. 43. Hva er tilfredsstillende informasjonssikkerhet? ! Avhenger!av!type!personopplysninger.! ! Forholdsmessig!krav!om!behandling!av!personopplysninger! med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet,!jf.! pol.!§13!! ! ! }der!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap! eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med! sikkerhetsWltak!jf.!pof.!§2}1! ! ! !! !
  44. 44. Informasjonssikkerhet Konfidensialitet!:!beskyFelse!mot!at!uvedkommende!får! innsyn!i!personopplysningene.!Sammenblanding!av!data! ! Integritet:!personopplysningene!ikke!endres!eller!benyFes!Wl! andre!formål!enn!opprinnelig!avtalt! ! Tilgjengelighet:!personopplysningene!er!Wlgjengelige!ved! behov.!Sikkerhetskopiering! ! !Selvstendig!ansvar!for!databehandler!
  45. 45. Tilgang til sikkerhetsdokumentasjon DataWlsynet:! Databehandler!må!kunne!fremlegge!dokumentasjon! for!informasjonssystemet!uworming!og! sikkerhetsløsninger.!! Databehandler!plikter!å!gi!behandlingsansvarlig! Wlgang!Wl!sin!sikkerhetsdokumentasjon,!og!bistå!slik! at!behandlingsansvarlig!kan!ivareta!siF!eget!ansvar! eFer!lov!og!forskrih.! !
  46. 46. UTFORDRING TILGANG TIL INFORMASJON OM SIKKERHETSNIVÅ. Disclaimer   The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. For the latest version of this document visit: http://www.microsoft.com/download/en/ details.aspx?id=26647 Standard#Response#to#Request#for#Informa9on#(Security#and#Privacy)#
  47. 47. Sikkerhetsdokumentasjon ! ! ! ! ! ! !
  48. 48. Safe Harbor Kun!for!virksomheter!i!USA! Prinsipper!for!håndtering!av!personopplysninger:! !Opplysningsplikt! !Valgfrihet!! !Overføring! !Sikkerhet! !Integritet! !Håndhevelse! SelvserWfisering! Gyldig!for!et!år!!
  49. 49. ISO 27001 Standard!for!styring!av!informasjonssikkerhet! Internasjonal!brukergruppe! Tiltak!! !Etablering!av!sikkerhetspolicy! !Plassering!av!ansvar! !Fysisk!sikring! !Tilgangskontroll! !Drih! ! Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men! idenWfikasjon!av!sikkerhetsbehov! ! !
  50. 50. Safe Harbor og iso 27001 USTEU#Safe#Harbor# Framework# ISO#27001# Dropbox!! (Next!CerWficaWon:! 2/16/2014!)! __! ! Microsoh!!! (Next!CerWficaWon:! 6/29/2013)! Review!every!year! Salesforce!!! (Next!CerWficaWon:! 8/1/2013)!! May!2008!(conWnously! review)! Google! (Next!CerWficaWon:! 10/15/2013)!! Google!Apps!(May!2012)!
  51. 51. Datatilsynets vurderinger Microsoh!Office!365}Moss! SikkerhetsWltak!i!samsvar!med!ISO!27001,!men! nødvendig!for!Moss!å!revidere!Wltak.! ! ”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$ USA$er$en$del$av$MicrosoB$Corp.$og$således$utgjør$en$ del$av$det$Safe$HarborHser+fiserte$foretaket,$vil$ overføring$av$personopplysninger$fra$Norge$+l$disse$ datasentrene$være$i$samsvar$med$ personopplysningsloven$§$29.”! ! !
  52. 52. Datatilsynets vurderinger Google!Apps}Narvik!kommune:! Security!White!Paper! !}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!! ”Under!forutsetning!av!at!samtlige!aktuelle!Googles$ datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe! Harbor}serWfiserte!foretaket!Google!Inc.,!vil!overføring! av!personopplysninger!fra!Norge!Wl!disse!datasentrene! være!i!samsvar!med!personopplysningsloven!§!29.”!! ! !
  53. 53. GO!or!NO?!
  54. 54. Outsourcing av personopplysninger krever databehandleravtale Personopplysningsloven!§15,!jf.!§13!! ! ! ! ! ! ! ! Behandlingsansvarlig!jf.!§!2!(4)! Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene! Ansvarlig!uavhengig!bruk!av!databehandler.! Databehandler!jf.!§!2!(5)! Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig! Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.! Har!ikke!selvstendig!rådereF!over!data.! ”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$ det$som$er$skriBlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$ heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$ bearbeidelse.$ I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$ databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$ 13.”$
  55. 55. Innhold i databehandleravtale Veileder!fra!DataWlsynet:! ! 1.  Formål! 2.  Beskrivelse!av!behandling! 3.  Bruk!av!underleverandør! 4.  Innsyn! 5.  Informasjonssikkerhet! 6.  Varighet! 7.  Overføring!Wl!utlandet! 8.  Opphør!
  56. 56. 1. FORMÅL Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er! formålet!med!behandlingen!av!personopplysningene.!! Databehandler!bundet!av!formålsangivelsen.! DataWlsynet!!om!formål!i!«Moss`!bruk!av!Microsoh!Office!365»:! ! «Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$ formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$ Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$ omfa)et$av$Office$365».!
  57. 57. 2. Beskrive hvordan personopplysninger Skal behandles Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler! skal!gjøre!med!personopplysningene.! Må!regulere!utlevering!Wl!eksterne!parter!og!vilkår!for! deFe!(underleverandør)! DataWlsynet!i!«Moss}!Office!365».! ! •  «Microsoh!kan!ikke!utlevere!data!Wl!andre!uten!eFer! godkjennelse!fra!kommunene….! •  Microsoh!kan!utlevere!opplysninger!Wl!«law! enforcement(authoriWes)!eks.!ved!eFerforskning!av! stravare!forhold.»! •  Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og! ikke!i!strid!med!norsk!lov.!
  58. 58. 3. Bruk av underleverandør Angi!formål!med!bruk!av!underleverandør!! ! Underleverandør!må!være!forpliktet!Wlsvarende! leverandørens!forpliktelser!i!databehandleravtalen!!! ! Leveandør!må!være!ansvarlig!for!underleverandør!! ! Kunden!bør!ha!innsyn!i!avtale!med! underleverandør!! !
  59. 59. Underleverandør Leverandør Kunde Bruk av underleverandør krever skriftlig forhåndssamtykke til databehandleren. WP29 om cloud computing: «the processor can subcontract its activites only on the basis of the consent of the controller wihch may be generally given at the beginning of the service»
  60. 60. Support Microsoft Kunde Forhandler Avtaleforpliktelse! Wlsvarende! Databehandleravtale! Databehandleravtale!
  61. 61. 4. Innsyn Informasjonsplikt!jf.!personopplysningsloven! §19:! !! !Når!det!samles!inn!opplysninger!fra!den! !registrerte!selv,!!skal!den! !behandlingsansvarlige!!gi!informasjon!Wl!den! !registrerte!om!opplysningene!vil!bli!utlevert,! !og!eventuelt!!hvem!som!er!moFaker.! !
  62. 62. 7. Overføring til utlandet Personopplysningsloven § 29 Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
  63. 63. ANDRE OVERFØRINGSGRUNNLAG Personopplysningsloven!§30,!samtykke!fra!registrert!! ! DataWlsynet!har!WllaF!overføringen!(Binding!Corporate! Rules,!Data!Transfer!Agreements)! ! Overføring!Wl!virksomhet!som!eFerlever!Safe! Harborprinsippene(jf.!pof.!§!6}1)! ! Unntak!for!mellomlagring(!)!
  64. 64. 8.Opphør (VARIGHET) Databehandleravtalen!må!inneholde!beskrivelse! av!hva!som!skal!skje!med!personopplysningene! ved!databehandleravtalens!opphør! ! !Tilbakeføring! !Sleng!
  65. 65. BYOD & DPABring you own device
  66. 66. Behandlingsansvarlig er også ansvarlig for personopplysninger på ansattes enheter •  Hvilke!type!data,!hvor!lagret,!hvordan! overført,!overholdelse!av!sikkerhetspolicy! •  Innsyn,!av!ulike!grunner,!blir!vanskeligere! •  BYOD!har!også!en!side!mot!håndtering!av! forretningshemmeligheter! hFp://www.ico.org.uk/for_organisaWons/data_protecWon/topic_guides/online/byod!
  67. 67. kryptering
  68. 68. Kryptering GjenoppreFer!balansen!mellom! personvern!og!andres!Wlgang!Wl!individets! privatliv! ! Krypterte!personopplysninger!er!fremdeles! personopplysninger!
  69. 69. Inger Anne Folkestad Tornes Kjell Steffner •  Advokat,$partner$ •  Særskilt!bransjekompetanse! innen!IKT! •  God!forståelse!for!teknologi,! prosjektmetodikk!og!strategi! •  Jobber!med!kontraktsreF,! forhandlinger,!offentlige! anskaffelser!og!personvern! •  Tlf.!905!11!901!}!ks@lynxlaw.no! •  AdvokaZullmek+g$ •  Rådgivning!for!IKT}sektoren! •  Jobber!med!kontraktsreF,! personvern!og!e}handel,!samt! offentlige!anskaffelser! •  Tlf.!970!99!524!}! ih@lynxlaw.no!
  70. 70. LYNX#advokaYirma#DA# Hieronymus!Heyerdahls!gate!1! N}0160!Oslo! ! hFp://lynxlaw.no/! !

×