SlideShare a Scribd company logo
1 of 76
Download to read offline
!
!
Skytjenester
Morgenmøte!7.!mai!2013!
v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!
Lovlig bruk av
datatilsynet
”Virksomheter!som!tar!i!bruk!
neFskytjenester!er!juridisk!ansvarlig,!
og!må!sørge!for!at!
personopplysningene!behandles!i!tråd!
med!personvernregelverket.”!
Dagens tema
1. !Hva!er!skytjenester!
2. !Et!lite!utvalg!av!tjenestevilkår!
3. !LiF!om!personvernreglene!
4. !Hvorfor!er!personopplysninger!så!interessante?!
5. !Informasjonssikkerhet!
6. !Risikovurderingen!
7. !Databehandleravtaler!
8. !Overføring!av!data!Wl!utlandet!
9. !BYOD!policy!og!databehandleravtaler!
10.!Kryptering!
Europeiske!menneskereghetskonvensjon!
Art$8.$Re)en$+l$respekt$for$privatliv$og$
familieliv$!
”Enhver!har!reF!Wl!respekt!for!siF!privatliv!og!
familieliv,!siF!hjem!og!sin!korrespondanse.”!
Utfordring
Lovlig håndtering av
på tvers av jurisdiksjoner
personopplysninger!
Maskinvare og programvare levert som
en tjeneste
Skytjenester
Applikasjoner
plattform
infrastruktur
Author:!Sam!Johnston!
Salesforce!
Office365!
Google!apps!
!
MS!Azure!
Amazon!EC2!
SaaS#
PaaS#
IaaS#
Tjenestemodeller
Noen egenskaper ved skytjenester
Fordeler#
•  Lav!pris!
•  Tilgjengelighet!av!
informasjon!
•  Datasikkerhet!
•  Skalerbarhet!for!
ytelse!og!lagring!
•  Abonnement!vs!eie!
Ulemper#
•  Datasikkerhet!
•  Innlåsing!av!data!
•  Standardisert!/!lite!
fleksibelt!
•  Håndtering!av!
personvern!
!
!
tjenestevilkår
Et lite utvalg av
Tjenestene!er!
interessante,!men!
både!bransjen!og!
tjenestevilkårene!
fremstår!i!dag!som!
Tilgjengelighet!
Forpliktelser!
Sikkerhet!
Personvern!
Erstatning!
Jurisdiksjon!
Data!innelåst!
OpphavsreF!
Svake vilkår
Lovvalg & verneting
Switzerland!if!domiciled!in!Europe!
California,!USA!
Kunde:!Irland!–!Microsoh:!kundens!hjemWng!
Laws!of!California,!San!Fransisco!legal!venue!
Norge!
Switzerland!
Oppetid
Available!24!hours!a!day,!7!days!a!week!
99.9%!
99.9%!
strives!for!100%!upWme!and!availability!
eFerstrebe!god!kvalitet!på!tjenesten!Wl!enhver!Wd!
The!Service!Is!Available!“As!Is”!
Tap av data
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!
DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!
You!are!responsible!for!maintaining!and!protecWng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!
corrupWon!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!
påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!
OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!
ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
ERSTATNING
$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!
INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!
MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!
MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!
$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!
TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!
under!ingen!omstendighet!utbetale!noen!erstatning!som!oversWger!det!
Kunden!har!innbetalt!siste!12!måneder!
SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!
TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!
PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
Personvern-
Litt om
reglene!!
Menneskerettighetsutvalget
Ny#GRL#§#102##
Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!
Familieliv,!sit!Hjem!og!sin!KommunikaWon.!!
!
Det!paaligger!Statens!Myndigheder!at!sikre!et!
Værn!om!den!personlige!Integritet!og!om!
personlige!Oplysninger.!SystemaWsk!IndhenWng,!
Opbevaring!og!Brug!af!Oplysninger!om!Andres!
personlige!Forhold!kan!kun!finde!Sted!i!Henhold!
Wl!Lov.!!
!
Personopplysningsloven
§$1.$Lovens$formål$
!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!
enkelte!mot!at!personvernet!blir!krenket!
gjennom!behandling!av!personopplysninger.!
!!!!!!!Loven!skal!bidra!Wl!at!personopplysninger!
blir!behandlet!i!samsvar!med!grunnleggende!
personvernhensyn,!herunder!behovet!for!
personlig!integritet,!privatlivets!fred!og!
Wlstrekkelig!kvalitet!på!personopplysninger.!!
!
§ 2 Personopplysning
”Opplysninger!og!
vurderinger!som!kan!
knyFes!Wl!en!
enkeltperson”!
Behandling
”enhver!bruk!av!
personopplysninger,!som!f.eks.!
innsamling,!registrering,!
sammensWlling,!lagring!og!
utlevering!eller!en!kombinasjon!
av!slike!bruksmåter”!
Behandlingsansvarlig
”den!som!bestemmer!formålet!
med!behandlingen!av!
personopplysninger!og!hvilke!
hjelpemidler!som!skal!brukes”!
databehandler
”den!som!behandler!
personopplysninger!på!vegne!av!
den!behandlingsansvarlige”!
Sensitive personopplysninger
a)!rasemessig!eller!etnisk!bakgrunn,!eller!
poliWsk,!filosofisk!eller!religiøs!oppfatning,!
b)!at!en!person!har!vært!mistenkt,!siktet,!
Wltalt!eller!dømt!for!en!stravar!handling,!
c)!helseforhold,!
d)!seksuelle!forhold,!
e)!medlemskap!i!fagforeninger!
§ 8 Vilkår for å behandle personopplysnger
dersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!
er!adgang!Wl!slik!behandling,!eller!behandlingen!er!nødvendig!for!
a)  å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uwøre!
gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,!
b)  at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig!
forpliktelse,!
c)  å!vareta!den!registrertes!vitale!interesser,!
d)  å!uwøre!en!oppgave!av!allmenn!interesse,!
e)  å!utøve!offentlig!myndighet,!eller!
f)  at!den!behandlingsansvarlige!eller!tredjepersoner!som!
opplysningene!utleveres!Wl!kan!vareta!en!bereget!interesse,!og!
hensynet!Wl!den!registrertes!personvern!ikke!oversWger!denne!
interessen.!
§ 9 Behandling av sensitive opplysninger
a)  den!registrerte!samtykker!i!behandlingen,!
b)  det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!
c)  behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den!
registrerte!ikke!er!i!stand!Wl!å!samtykke,!
d)  det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har!
gjort!alminnelig!kjent,!
e)  behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et!
reFskrav,!
f)  behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre!
sine!arbeidsreFslige!plikter!eller!regheter,!
g)  behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk!
diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av!
helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,!
eller!
h)  behandlingen!er!nødvendig!for!historiske,!staWsWske!eller!vitenskapelige!formål,!
og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversWger!ulempene!
den!kan!medføre!for!den!enkelte.!
personvernprinsippene
1.  Samtykke!eller!annet!reFslig!grunnlag!
2.  Proporsjonalitet!
3.  Formålsbestemthet!
4.  Relevans!og!minimalitet!
5.  Fullstendighet!og!kvalitet!
6.  Informasjon!og!innsyn!
7.  Informasjonssikkerhet!
8.  Særlig!strenge!regler!ved!behandling!av!
sensiWve!personopplysninger!
9.  Anonymitet!og!sporfri!ferdsel!
Grunnleggende personvernprinsipper
ReFmessig!og!rexerdig!behandling!
•  All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta!
Wlbørlig!hensyn!Wl!den!registrertes!beregede!personverninteresser.!SensiWve!personopplysninger!er!
underlagt!strengere!vern!enn!alminnelige!personopplysninger.!
Brukermedvirkning!og!kontroll!
•  Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at!
denne!gjøres!i!stand!Wl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Wl!å!ivareta!sine!
personverninteresser.!
Formålsbestemthet!
•  Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og!
uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.!
Minimalitet!
•  Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå!
formålet!med!behandlingen!av!opplysningene.!
Datakvalitet!
•  Personopplysninger!skal!ha!Wlstrekkelig!kvalitet!i!forhold!Wl!det!formålet!de!skal!anvendes!Wl.!DeFe!
innebærer!blant!annet!at!opplysningene!skal!være!Wlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp!
mot!formålet!med!behandlingen.!
Informasjonssikkerhet!
•  Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!WlfredssWllende!informasjonssikkerhet!
med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet!ved!behandling!av!personopplysninger.!
NOU 2009:1
EU directive
1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!
collected;!
2.  Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for!
any!other!purposes;!
3.  Consent—data!should!not!be!disclosed!without!the!data!subject’s!
consent;!
4.  Security—collected!data!should!be!kept!secure!from!any!potenWal!
abuses;!
5.  Disclosure—data!subjects!should!be!informed!as!to!who!is!collecWng!
their!data;!
6.  Access—data!subjects!should!be!allowed!to!access!their!data!and!make!
correcWons!to!any!inaccurate!data;!and!
7.  Accountability—data!subjects!should!have!a!method!available!to!them!
to!hold!data!collectors!accountable!for!following!the!above!principles.!
International Safe Harbor Privacy Principles
1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being!
collected!and!about!how!it!will!be!used.!
2.  Choice!}!Individuals!must!have!the!ability!to!opt!out!of!the!
collecWon!and!forward!transfer!of!the!data!to!third!parWes.!
3.  Onward#Transfer!}!Transfers!of!data!to!third!parWes!may!only!
occur!to!other!organizaWons!that!follow!adequate!data!protecWon!
principles.!
4.  Security!}!Reasonable!efforts!must!be!made!to!prevent!loss!of!
collected!informaWon.!
5.  Data#Integrity!}!Data!must!be!relevant!and!reliable!for!the!purpose!
it!was!collected!for.!
6.  Access!}!Individuals!must!be!able!to!access!informaWon!held!about!
them,!and!correct!or!delete!it!if!it!is!inaccurate.!
7.  Enforcement!}!There!must!be!effecWve!means!of!enforcing!these!
rules.!
!
!
personopplysninger
Hvorfor er
så interessante?
Hvor!er!mine!
personopplysninger?!
!
Hvem!får!Wlgang!Wl!
dem?!
Hvis du ikke betaler for tjenesten
Deilig!med!
gra+s!mat!og!
hus!
Er du neppe kunden
Du er Produktet
BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
•  Samler!mer!informasjon!enn!du!selv!publiserer!
•  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!
•  Hver!gang!du!åpner!appen!på!mobilen!blir!du!
geotagget!
•  Endrer!tjenestepremissene!fortløpende!
•  FlyFer!stadig!grensene!for!hva!anser!som!privat!
•  ”Home”!for!Android!syndikerer!mange!tjenester,!
f.eks.!Ip}telefoni,!meldinger!mm.!
Facebook samler og analyserer
Google Glass
!
SluFen!på!
personvernet?!
CC}BY!MarWn!Missfeldt!
Projiserer et lag oppå det brukeren ser
Spørsmål om tid
KonWnuerlig!
streaming!og!
søk!
IdenWfisering!
Posisjonering!
Tagging!
Historikk!
Big!data!
Nettskyen
Personvern i
Del 2
Bruk av nettskytjenester må skje i
samsvar med personvernregelverk
!
Private!og!offentlige!virksomheter!etablert!i!Norge!må!
følge!personvernregelverket.!!
!
Behandlingsansvarlig!som!lar!andre!få!Wlgang!Wl!
personopplysninger,!plikter!å!sørge!for!!at!
databehandler!har!WlfredssWllende!
informasjonssikkerhet,$jf!pol.§!13!og!pof.!§2!
!
DataWlsynet:!!
neFskyleverandør!er!databehandler!uavhengig!tjeneste!
Personopplysninger i nettskyen krever
risikovurdering
!
Behandlingsansvarlig!må!gjennomføre!en!
risikovurdering!i!forkant!av!implementering!av!
neFskytjenester.!
!
Risikovurderingen!skal!baseres!på!
akseptkriterier!for!risiko.!
!
Utgangspunkt!for!Wltak!for!å!oppnå!
WlfredssWllende!informasjonssikkerhet.!!
Hva er tilfredsstillende
informasjonssikkerhet?
!
Avhenger!av!type!personopplysninger.!
!
Forholdsmessig!krav!om!behandling!av!personopplysninger!
med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet,!jf.!
pol.!§13!!
!
!
}der!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!
eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!
sikkerhetsWltak!jf.!pof.!§2}1!
!
! !!
!
Informasjonssikkerhet
Konfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!
innsyn!i!personopplysningene.!Sammenblanding!av!data!
!
Integritet:!personopplysningene!ikke!endres!eller!benyFes!Wl!
andre!formål!enn!opprinnelig!avtalt!
!
Tilgjengelighet:!personopplysningene!er!Wlgjengelige!ved!
behov.!Sikkerhetskopiering!
!
!Selvstendig!ansvar!for!databehandler!
Tilgang til sikkerhetsdokumentasjon
DataWlsynet:!
Databehandler!må!kunne!fremlegge!dokumentasjon!
for!informasjonssystemet!uworming!og!
sikkerhetsløsninger.!!
Databehandler!plikter!å!gi!behandlingsansvarlig!
Wlgang!Wl!sin!sikkerhetsdokumentasjon,!og!bistå!slik!
at!behandlingsansvarlig!kan!ivareta!siF!eget!ansvar!
eFer!lov!og!forskrih.!
!
UTFORDRING TILGANG TIL INFORMASJON OM
SIKKERHETSNIVÅ.
Disclaimer 
 
The information contained in this document represents the current view
of Microsoft Corporation on the issues discussed as of the date of
publication. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part
of Microsoft, and Microsoft cannot guarantee the accuracy of any
information presented after the date of publication. For the latest version
of this document visit: http://www.microsoft.com/download/en/
details.aspx?id=26647 
Standard#Response#to#Request#for#Informa9on#(Security#and#Privacy)#
Sikkerhetsdokumentasjon
!
!
!
!
!
!
!
Safe Harbor
Kun!for!virksomheter!i!USA!
Prinsipper!for!håndtering!av!personopplysninger:!
!Opplysningsplikt!
!Valgfrihet!!
!Overføring!
!Sikkerhet!
!Integritet!
!Håndhevelse!
SelvserWfisering!
Gyldig!for!et!år!!
ISO 27001
Standard!for!styring!av!informasjonssikkerhet!
Internasjonal!brukergruppe!
Tiltak!!
!Etablering!av!sikkerhetspolicy!
!Plassering!av!ansvar!
!Fysisk!sikring!
!Tilgangskontroll!
!Drih!
!
Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!
idenWfikasjon!av!sikkerhetsbehov!
!
!
Safe Harbor og iso 27001
USTEU#Safe#Harbor#
Framework#
ISO#27001#
Dropbox!! (Next!CerWficaWon:!
2/16/2014!)!
__!
!
Microsoh!!! (Next!CerWficaWon:!
6/29/2013)!
Review!every!year!
Salesforce!!! (Next!CerWficaWon:!
8/1/2013)!!
May!2008!(conWnously!
review)!
Google! (Next!CerWficaWon:!
10/15/2013)!!
Google!Apps!(May!2012)!
Datatilsynets vurderinger
Microsoh!Office!365}Moss!
SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!
nødvendig!for!Moss!å!revidere!Wltak.!
!
”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$
USA$er$en$del$av$MicrosoB$Corp.$og$således$utgjør$en$
del$av$det$Safe$HarborHser+fiserte$foretaket,$vil$
overføring$av$personopplysninger$fra$Norge$+l$disse$
datasentrene$være$i$samsvar$med$
personopplysningsloven$§$29.”!
!
!
Datatilsynets vurderinger
Google!Apps}Narvik!kommune:!
Security!White!Paper!
!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!
”Under!forutsetning!av!at!samtlige!aktuelle!Googles$
datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!
Harbor}serWfiserte!foretaket!Google!Inc.,!vil!overføring!
av!personopplysninger!fra!Norge!Wl!disse!datasentrene!
være!i!samsvar!med!personopplysningsloven!§!29.”!!
!
!
GO!or!NO?!
Outsourcing av personopplysninger krever
databehandleravtale
Personopplysningsloven!§15,!jf.!§13!!
!
!
!
!
!
!
!
Behandlingsansvarlig!jf.!§!2!(4)!
Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene!
Ansvarlig!uavhengig!bruk!av!databehandler.!
Databehandler!jf.!§!2!(5)!
Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig!
Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.!
Har!ikke!selvstendig!rådereF!over!data.!
”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$
det$som$er$skriBlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$
heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$
bearbeidelse.$
I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$
databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$
13.”$
Innhold i databehandleravtale
Veileder!fra!DataWlsynet:!
!
1.  Formål!
2.  Beskrivelse!av!behandling!
3.  Bruk!av!underleverandør!
4.  Innsyn!
5.  Informasjonssikkerhet!
6.  Varighet!
7.  Overføring!Wl!utlandet!
8.  Opphør!
1. FORMÅL
Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!
formålet!med!behandlingen!av!personopplysningene.!!
Databehandler!bundet!av!formålsangivelsen.!
DataWlsynet!!om!formål!i!«Moss`!bruk!av!Microsoh!Office!365»:!
!
«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$
formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$
Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$
omfa)et$av$Office$365».!
2. Beskrive hvordan personopplysninger Skal behandles
Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!
skal!gjøre!med!personopplysningene.!
Må!regulere!utlevering!Wl!eksterne!parter!og!vilkår!for!
deFe!(underleverandør)!
DataWlsynet!i!«Moss}!Office!365».!
!
•  «Microsoh!kan!ikke!utlevere!data!Wl!andre!uten!eFer!
godkjennelse!fra!kommunene….!
•  Microsoh!kan!utlevere!opplysninger!Wl!«law!
enforcement(authoriWes)!eks.!ved!eFerforskning!av!
stravare!forhold.»!
•  Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og!
ikke!i!strid!med!norsk!lov.!
3. Bruk av underleverandør
Angi!formål!med!bruk!av!underleverandør!!
!
Underleverandør!må!være!forpliktet!Wlsvarende!
leverandørens!forpliktelser!i!databehandleravtalen!!!
!
Leveandør!må!være!ansvarlig!for!underleverandør!!
!
Kunden!bør!ha!innsyn!i!avtale!med!
underleverandør!!
!
Underleverandør
 Leverandør
 Kunde
Bruk av underleverandør krever skriftlig
forhåndssamtykke til databehandleren. WP29 om
cloud computing:
«the processor can subcontract its activites only
on the basis of the consent of the controller
wihch may be generally given at the beginning of
the service»
Support
 Microsoft
 Kunde
Forhandler
Avtaleforpliktelse!
Wlsvarende!
Databehandleravtale!
Databehandleravtale!
4. Innsyn
Informasjonsplikt!jf.!personopplysningsloven!
§19:!
!!
!Når!det!samles!inn!opplysninger!fra!den!
!registrerte!selv,!!skal!den!
!behandlingsansvarlige!!gi!informasjon!Wl!den!
!registrerte!om!opplysningene!vil!bli!utlevert,!
!og!eventuelt!!hvem!som!er!moFaker.!
!
7. Overføring til utlandet
Personopplysningsloven § 29
Personopplysninger kan bare overføres til stater
som sikrer en forsvarlig behandling av
opplysningene.
Stater som har gjennomført direktiv 95/46EF om
beskyttelse av fysiske personer i forbindelse med
behandling av personopplysninger og om fri
utveksling av slike opplysninger, oppfyller kravet til
forsvarlig behandling.
ANDRE OVERFØRINGSGRUNNLAG
Personopplysningsloven!§30,!samtykke!fra!registrert!!
!
DataWlsynet!har!WllaF!overføringen!(Binding!Corporate!
Rules,!Data!Transfer!Agreements)!
!
Overføring!Wl!virksomhet!som!eFerlever!Safe!
Harborprinsippene(jf.!pof.!§!6}1)!
!
Unntak!for!mellomlagring(!)!
8.Opphør (VARIGHET)
Databehandleravtalen!må!inneholde!beskrivelse!
av!hva!som!skal!skje!med!personopplysningene!
ved!databehandleravtalens!opphør!
!
!Tilbakeføring!
!Sleng!
BYOD & DPABring you own device
Behandlingsansvarlig er også ansvarlig for
personopplysninger på ansattes enheter
•  Hvilke!type!data,!hvor!lagret,!hvordan!
overført,!overholdelse!av!sikkerhetspolicy!
•  Innsyn,!av!ulike!grunner,!blir!vanskeligere!
•  BYOD!har!også!en!side!mot!håndtering!av!
forretningshemmeligheter!
hFp://www.ico.org.uk/for_organisaWons/data_protecWon/topic_guides/online/byod!
kryptering
Kryptering
GjenoppreFer!balansen!mellom!
personvern!og!andres!Wlgang!Wl!individets!
privatliv!
!
Krypterte!personopplysninger!er!fremdeles!
personopplysninger!
Inger Anne Folkestad Tornes Kjell Steffner
•  Advokat,$partner$
•  Særskilt!bransjekompetanse!
innen!IKT!
•  God!forståelse!for!teknologi,!
prosjektmetodikk!og!strategi!
•  Jobber!med!kontraktsreF,!
forhandlinger,!offentlige!
anskaffelser!og!personvern!
•  Tlf.!905!11!901!}!ks@lynxlaw.no!
•  AdvokaZullmek+g$
•  Rådgivning!for!IKT}sektoren!
•  Jobber!med!kontraktsreF,!
personvern!og!e}handel,!samt!
offentlige!anskaffelser!
•  Tlf.!970!99!524!}!
ih@lynxlaw.no!
LYNX#advokaYirma#DA#
Hieronymus!Heyerdahls!gate!1!
N}0160!Oslo!
!
hFp://lynxlaw.no/!
!

More Related Content

More from LYNX advokatfirma DA

More from LYNX advokatfirma DA (14)

Inngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakterInngåelse og oppfølging av it-kontrakter
Inngåelse og oppfølging av it-kontrakter
 
RPM Trade mark Clearing House new TLD
RPM Trade mark Clearing House new TLDRPM Trade mark Clearing House new TLD
RPM Trade mark Clearing House new TLD
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekter
 
Signert kontrakt - hva nå?
Signert kontrakt - hva nå?Signert kontrakt - hva nå?
Signert kontrakt - hva nå?
 
Hvordan selge til det offentlige?
Hvordan selge til det offentlige?Hvordan selge til det offentlige?
Hvordan selge til det offentlige?
 
Innsideinformasjon ved kontraktsforhandlinger
Innsideinformasjon ved kontraktsforhandlingerInnsideinformasjon ved kontraktsforhandlinger
Innsideinformasjon ved kontraktsforhandlinger
 
Ærekrenkelse, sjikane og trusler på Internett
Ærekrenkelse, sjikane og trusler på InternettÆrekrenkelse, sjikane og trusler på Internett
Ærekrenkelse, sjikane og trusler på Internett
 
Binding corporate rules
Binding corporate rulesBinding corporate rules
Binding corporate rules
 
"1000" nye toppnivåer i 2013 - er du klar?
"1000" nye toppnivåer i 2013 - er du klar?"1000" nye toppnivåer i 2013 - er du klar?
"1000" nye toppnivåer i 2013 - er du klar?
 
Om proxy under .no
Om proxy under .noOm proxy under .no
Om proxy under .no
 
Kontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledereKontrakten som verktøy for prosjektledere
Kontrakten som verktøy for prosjektledere
 
Kommunal gransking del 3 av 3
Kommunal gransking del 3 av 3Kommunal gransking del 3 av 3
Kommunal gransking del 3 av 3
 
Hvordan selge til det offentlige
Hvordan selge til det offentligeHvordan selge til det offentlige
Hvordan selge til det offentlige
 
Juskurs
JuskursJuskurs
Juskurs
 

Legal cloud computing