SlideShare a Scribd company logo

NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik

Download as PPTX, PDF
Senter for IKT i utdanningen, redaksjon
Senter for IKT i utdanningen, redaksjon
Education
1 of 23
Bruk skytjenester riktig! o databehandleravtale o risikovurdering i praksis o håndtering av internasjonale tjenester Tommy Tranvik Harald Torbjørnsen
Enkel definisjon Datatjenester som tilbys over internett, både norske og utenlandske Den vanligste tjenestemodellen er ”programvare som en tjeneste” (SaaS) Alle Feidegodkjente tjenester
Eksempler
Grunnopplæringen Stor usikkerhet • «hva kan vi legge i skyen?» • «hvilke rettslige krav gjelder?»
Personopplysningslovgivningen Personopplysningsloven med forskrift • den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem • gjelder ved elektronisk behandling av personopplysninger • gjelder personopplysninger som inngår i manuelle personregistre
Personopplysninger Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson • tekst, bilder, lyd og video • sensitive opplysninger • alminnelige opplysninger
Skoleeiers ansvar Ansvarlig for all bruk av personopplysninger i skytjenester • skoleeier – behandlingsansvarlig • skytjenesteleverandør – databehandler Pålagt å følge visse regler, spesielt: • personopplysningsloven §§ 13 og 15 • personopplysningsforskriften kapittel to
Opplysningskontroll Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha kontroll med personopplysningene Kontrollen skal omfatte hele behandlingskjeden • Utredningsplikt o vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle underleverandører (risikovurdering) • Avtaleplikt o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen av opplysningene • Oppfølgingsplikt o sjekke av avtalevilkårene overholdes
Utredningsplikten Vurdere risikoen for uønskede hendelser • konfidensialitetsbrudd – opplysningene tilflyter uvedkommende • integritetsbrudd – uautorisert endring/redigering eller sletting av opplysningene • tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene Krever informasjon om • (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandøren har etablert og (iii) bruken av eventuelle underleverandører Risikohåndtering
Avtaleplikten Skoleeier må selv passe på at nødvendige avtaler inngås med skytjenesteleverandøren • sjekk at leverandøren tilbyr databehandleravtale • sjekk innholdet i databehandleravtelen, jf. mal for databehandleravtaler • sjekk spesielt om leverandøren og eventuelle underleverandører flytter opplysningene til tredjeland
Avtaleinnhold 1 Avtalene bør inneholde • forsikringer om at leverandøren (og eventuelle underleverandører) ikke bruker opplysningene til egne formål • tilfredsstillende informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke land underleverandørene er etablert • informasjon om amerikanske leverandører og underleverandører er tilsluttet Safe Harbor • tilfredsstillende informasjon om hvordan leverandøren håndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter i ulike land • bestemmelser om at institusjonene skal varsles ved alvorlige brudd på opplysningenes konfidensialitet
Avtaleinnhold 2 Avtalene bør inneholde • informasjon som sannsynliggjør at leverandører og underleverandørene ivaretar informasjonssikkerheten på en tilfredsstillende måte • tilfredsstillende beskrivelser av tilgangsstyringen hos leverandøren • bestemmelser om (i) logging av autorisert og forsøk på uautorisert bruk av tjenestene og (ii) at skoleeier sikres tilgang til loggene • tilfredsstillende sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen • bestemmelser om tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører • bestemmelser om hva som skjer med opplysningene når bruken av tjenesten opphører
Skytjenester i utlandet «Vanlige» regler dersom leverandører og underleverandører • behandler opplysningene innenfor EØS-området • behandler opplysninger i land godkjent av EU • opplysningene behandles i USA av selskaper tilsluttet Safe Harbor Egne regler for ikke-godkjente land • EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land bør benyttes
Oppfølgingsplikten Skoleeier skal jevnlig forsikre seg om at • opplysningene fortsatt er tilfredsstillende sikret mot uønskede hendelser Motta og gjennomgå rapporter fra sikkerhetsrevisjoner hos leverandøren
Ressurser Veileder i risikovurdering og mal for databehandleravtaler https://feide.iktsenteret.no/node/234 Datatilsynets veileder for skytjenester https://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/ EU-godkjente land http://ec.europa.eu/justice/data-protection/document/international- transfers/adequacy/index_en.htm EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente land http://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_E NG.pdf Amerikanske selskaper tilsluttet Safe Harbor https://safeharbor.export.gov/list.aspx
Hvordan gå fram?
Nytteverdi og konsekvenser Hva er mål og hensikt? • Hvilken informasjon skal legges ut? • Hvordan skal endring av praksis realiseres? Konsekvenser på sikt? • Vil prosessen i realiteten kunne reverseres?
Skytjenester – beslutning og ansvar Fundamenter avgjørelsen på høyt nivå. • rådmann/skolesjef • ansvaret ligger hos skoleeier 1 8
Gjennomfør risikovurdering Vurder ulike sikkerhetssenarioer • hva kan inntreffe? • hva vil konsekvensen kunne bli? • hvor stor risiko innebærer det? • hvilke tiltak kan redusere risikoen?
Databehandleravtale • Inngås mellom skoleeier og tjenesten • Skoleeiers kontroll med tjenesten • Vær en krevende kunde
Internkontrollen Kvalitetssikre bruken av IKT i skolen • rutiner holdes oppdatert • avtaler følges opp • ansvar er plassert og dedikert • risikovurderinger følges opp Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
Hvordan gå fram? 1. Vurder nytteverdien 1. Vurdering av informasjon som legges ut 2. Vurder de langsiktige konsekvensene 2. Fundamenter bruken på ledernivå. 3. Risikovurder bruken av tjenesten 4. Etterspør databehandleravtale 5. ”Internkontrollen” 1. Inkluder risikovurderingen 2. Etterspør sikkerhetsrevisjoner
Noen kilder å benytte Les datatilsynets veileder for bruk ”Skytjenester”. Les Senter for IKT i utdanningen sin veileder.

Recommended

Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Datalagringsdirektivet leif vagle
Datalagringsdirektivet leif vagleDatalagringsdirektivet leif vagle
Datalagringsdirektivet leif vagleHarald Berntsen
 
NKUL 2015 - Vibeke Kløvstad og Morten Søby
NKUL 2015 - Vibeke Kløvstad og Morten SøbyNKUL 2015 - Vibeke Kløvstad og Morten Søby
NKUL 2015 - Vibeke Kløvstad og Morten SøbySenter for IKT i utdanningen, redaksjon
 

Recommended

Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Datalagringsdirektivet leif vagle
Datalagringsdirektivet leif vagleDatalagringsdirektivet leif vagle
Datalagringsdirektivet leif vagleHarald Berntsen
 
NKUL 2015 - Vibeke Kløvstad og Morten Søby
NKUL 2015 - Vibeke Kløvstad og Morten SøbyNKUL 2015 - Vibeke Kløvstad og Morten Søby
NKUL 2015 - Vibeke Kløvstad og Morten SøbySenter for IKT i utdanningen, redaksjon
 
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetSenter for IKT i utdanningen, redaksjon
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 Videreutvikling av Feide
Feide fagdag 10.6.15 Videreutvikling av FeideFeide fagdag 10.6.15 Videreutvikling av Feide
Feide fagdag 10.6.15 Videreutvikling av FeideSenter for IKT i utdanningen, redaksjon
 
Introduksjon og status 08032016
Introduksjon og status 08032016Introduksjon og status 08032016
Introduksjon og status 08032016Senter for IKT i utdanningen, redaksjon
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreSenter for IKT i utdanningen, redaksjon
 
For, during, while
For, during, whileFor, during, while
For, during, whileJAV77
 
BTEC Aerospace Engineering
BTEC Aerospace EngineeringBTEC Aerospace Engineering
BTEC Aerospace EngineeringCraig Steven Godbold
 
Presentacion tic
Presentacion ticPresentacion tic
Presentacion ticJzufia
 
To, at, in, into presentation
To, at, in, into presentationTo, at, in, into presentation
To, at, in, into presentationJAV77
 
final essai
final essaifinal essai
final essaiLéwis D'condition
 
Property Like Home Reference Letter
Property Like Home Reference LetterProperty Like Home Reference Letter
Property Like Home Reference LetterCaroline Barreto
 
XII Jornades de Museus i Educació 2009
XII Jornades de Museus i Educació 2009XII Jornades de Museus i Educació 2009
XII Jornades de Museus i Educació 2009Museu Marítim de Barcelona
 
Cervical
CervicalCervical
CervicalSimone Silva
 
La bandeja de bolivar
La bandeja de bolivarLa bandeja de bolivar
La bandeja de bolivarRocio Milagros
 
Cómo pueden los que no podían
Cómo pueden los que no podíanCómo pueden los que no podían
Cómo pueden los que no podíanAngelita Glez Ochoa
 
Fertility matters draft
Fertility matters draftFertility matters draft
Fertility matters draftAsociatia SOS Infertilitatea - www.vremcopii.ro
 
Jurnal 12763
Jurnal 12763Jurnal 12763
Jurnal 12763ranti1986
 
En qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educaciónEn qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educaciónJzufia
 
Mi experiencia en el colegio
Mi experiencia en el colegioMi experiencia en el colegio
Mi experiencia en el colegiosantiagop2000
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 

More Related Content

Viewers also liked

Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Senter for IKT i utdanningen, redaksjon
 
For, during, while
For, during, whileFor, during, while
For, during, whileJAV77
 
Presentacion tic
Presentacion ticPresentacion tic
Presentacion ticJzufia
 
To, at, in, into presentation
To, at, in, into presentationTo, at, in, into presentation
To, at, in, into presentationJAV77
 
Property Like Home Reference Letter
Property Like Home Reference LetterProperty Like Home Reference Letter
Property Like Home Reference LetterCaroline Barreto
 
Jurnal 12763
Jurnal 12763Jurnal 12763
Jurnal 12763ranti1986
 
En qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educaciónEn qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educaciónJzufia
 
Mi experiencia en el colegio
Mi experiencia en el colegioMi experiencia en el colegio
Mi experiencia en el colegiosantiagop2000
 

Viewers also liked (20)

Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
Kunnskapsoversikt over forskning på effekt av tiltak, Øverland 06042016
 
Feide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhetFeide fagdag 10.6.15 personvern og sikkerhet
Feide fagdag 10.6.15 personvern og sikkerhet
 
Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016Feidesøknad og godkjenningsproses 08032016
Feidesøknad og godkjenningsproses 08032016
 
Feide fagdag 10.6.15 Videreutvikling av Feide
Feide fagdag 10.6.15 Videreutvikling av FeideFeide fagdag 10.6.15 Videreutvikling av Feide
Feide fagdag 10.6.15 Videreutvikling av Feide
 
Introduksjon og status 08032016
Introduksjon og status 08032016Introduksjon og status 08032016
Introduksjon og status 08032016
 
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´MooreCyberbullying, #digitalmobbing 06042016 - Mona O´Moore
Cyberbullying, #digitalmobbing 06042016 - Mona O´Moore
 
For, during, while
For, during, whileFor, during, while
For, during, while
 
BTEC Aerospace Engineering
BTEC Aerospace EngineeringBTEC Aerospace Engineering
BTEC Aerospace Engineering
 
Presentacion tic
Presentacion ticPresentacion tic
Presentacion tic
 
To, at, in, into presentation
To, at, in, into presentationTo, at, in, into presentation
To, at, in, into presentation
 
final essai
final essaifinal essai
final essai
 
Property Like Home Reference Letter
Property Like Home Reference LetterProperty Like Home Reference Letter
Property Like Home Reference Letter
 
XII Jornades de Museus i Educació 2009
XII Jornades de Museus i Educació 2009XII Jornades de Museus i Educació 2009
XII Jornades de Museus i Educació 2009
 
Cervical
CervicalCervical
Cervical
 
La bandeja de bolivar
La bandeja de bolivarLa bandeja de bolivar
La bandeja de bolivar
 
Cómo pueden los que no podían
Cómo pueden los que no podíanCómo pueden los que no podían
Cómo pueden los que no podían
 
Fertility matters draft
Fertility matters draftFertility matters draft
Fertility matters draft
 
Jurnal 12763
Jurnal 12763Jurnal 12763
Jurnal 12763
 
En qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educaciónEn qué tipo de proyectos funcionan las TIC en educación
En qué tipo de proyectos funcionan las TIC en educación
 
Mi experiencia en el colegio
Mi experiencia en el colegioMi experiencia en el colegio
Mi experiencia en el colegio
 

Similar to NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Apps og personvern presentasjon
Apps og personvern presentasjonApps og personvern presentasjon
Apps og personvern presentasjonAnniken Andresen
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Software as a service og andre skytjenester - oversikt og sjekkliste
Software as a service og andre skytjenester - oversikt og sjekkliste Software as a service og andre skytjenester - oversikt og sjekkliste
Software as a service og andre skytjenester - oversikt og sjekkliste Kristian Foss
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 

Similar to NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik (20)

Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptx
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjon
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
Apps og personvern presentasjon
Apps og personvern presentasjonApps og personvern presentasjon
Apps og personvern presentasjon
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT Datalagringsdirektivet
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
 
Software as a service og andre skytjenester - oversikt og sjekkliste
Software as a service og andre skytjenester - oversikt og sjekkliste Software as a service og andre skytjenester - oversikt og sjekkliste
Software as a service og andre skytjenester - oversikt og sjekkliste
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 

More from Senter for IKT i utdanningen, redaksjon

Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Senter for IKT i utdanningen, redaksjon
 

More from Senter for IKT i utdanningen, redaksjon (20)

Monitor skole 2016
Monitor skole 2016Monitor skole 2016
Monitor skole 2016
 
Digital dømmekraft - Erik Westrum
Digital dømmekraft - Erik WestrumDigital dømmekraft - Erik Westrum
Digital dømmekraft - Erik Westrum
 
Du bestemmer
Du bestemmerDu bestemmer
Du bestemmer
 
Digital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordanDigital dømmekraft - hvorfor, hva og hvordan
Digital dømmekraft - hvorfor, hva og hvordan
 
Feide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinsterFeide i bruk, muligheter og gevinster
Feide i bruk, muligheter og gevinster
 
Erfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansandErfaringsdeling fra kristiansand
Erfaringsdeling fra kristiansand
 
Hvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhetHvordan bidrar feide til økt sikkerhet
Hvordan bidrar feide til økt sikkerhet
 
Eksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og brukEksempler på god tilrettelegging og bruk
Eksempler på god tilrettelegging og bruk
 
Nye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - googleNye satsninger i feide-arbeidet, dataporten - google
Nye satsninger i feide-arbeidet, dataporten - google
 
Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?Hvordan bidrar Feide til økt sikkerhet?
Hvordan bidrar Feide til økt sikkerhet?
 
10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen10 råd for å møte sikkerhetskrav i skolen
10 råd for å møte sikkerhetskrav i skolen
 
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016 Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
Bodil Houg: Digitale krenkelser og mobbing 6 april 2016
 
Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016Elisabeth Staksrud #digitalmobbing 06042016
Elisabeth Staksrud #digitalmobbing 06042016
 
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
Avdekking, håndtering og oppfølging av digital mobbing: Fandrem og Larsen #di...
 
Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016Kors på halsen. #digitalmobbing 06042016
Kors på halsen. #digitalmobbing 06042016
 
Vurderingsskjema
VurderingsskjemaVurderingsskjema
Vurderingsskjema
 
Risikovurdering mal
Risikovurdering malRisikovurdering mal
Risikovurdering mal
 
Kurs i risikovurdering
Kurs i risikovurderingKurs i risikovurdering
Kurs i risikovurdering
 
Erfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdalErfaringsdeling ikt-setesdal
Erfaringsdeling ikt-setesdal
 
Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016Gjennomføringsfasen 08032016
Gjennomføringsfasen 08032016
 

NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik

  • 1. Bruk skytjenester riktig! o databehandleravtale o risikovurdering i praksis o håndtering av internasjonale tjenester Tommy Tranvik Harald Torbjørnsen
  • 2. Enkel definisjon Datatjenester som tilbys over internett, både norske og utenlandske Den vanligste tjenestemodellen er ”programvare som en tjeneste” (SaaS) Alle Feidegodkjente tjenester
  • 4. Grunnopplæringen Stor usikkerhet • «hva kan vi legge i skyen?» • «hvilke rettslige krav gjelder?»
  • 5. Personopplysningslovgivningen Personopplysningsloven med forskrift • den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem • gjelder ved elektronisk behandling av personopplysninger • gjelder personopplysninger som inngår i manuelle personregistre
  • 6. Personopplysninger Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson • tekst, bilder, lyd og video • sensitive opplysninger • alminnelige opplysninger
  • 7. Skoleeiers ansvar Ansvarlig for all bruk av personopplysninger i skytjenester • skoleeier – behandlingsansvarlig • skytjenesteleverandør – databehandler Pålagt å følge visse regler, spesielt: • personopplysningsloven §§ 13 og 15 • personopplysningsforskriften kapittel to
  • 8. Opplysningskontroll Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha kontroll med personopplysningene Kontrollen skal omfatte hele behandlingskjeden • Utredningsplikt o vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle underleverandører (risikovurdering) • Avtaleplikt o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen av opplysningene • Oppfølgingsplikt o sjekke av avtalevilkårene overholdes
  • 9. Utredningsplikten Vurdere risikoen for uønskede hendelser • konfidensialitetsbrudd – opplysningene tilflyter uvedkommende • integritetsbrudd – uautorisert endring/redigering eller sletting av opplysningene • tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene Krever informasjon om • (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandøren har etablert og (iii) bruken av eventuelle underleverandører Risikohåndtering
  • 10. Avtaleplikten Skoleeier må selv passe på at nødvendige avtaler inngås med skytjenesteleverandøren • sjekk at leverandøren tilbyr databehandleravtale • sjekk innholdet i databehandleravtelen, jf. mal for databehandleravtaler • sjekk spesielt om leverandøren og eventuelle underleverandører flytter opplysningene til tredjeland
  • 11. Avtaleinnhold 1 Avtalene bør inneholde • forsikringer om at leverandøren (og eventuelle underleverandører) ikke bruker opplysningene til egne formål • tilfredsstillende informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke land underleverandørene er etablert • informasjon om amerikanske leverandører og underleverandører er tilsluttet Safe Harbor • tilfredsstillende informasjon om hvordan leverandøren håndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter i ulike land • bestemmelser om at institusjonene skal varsles ved alvorlige brudd på opplysningenes konfidensialitet
  • 12. Avtaleinnhold 2 Avtalene bør inneholde • informasjon som sannsynliggjør at leverandører og underleverandørene ivaretar informasjonssikkerheten på en tilfredsstillende måte • tilfredsstillende beskrivelser av tilgangsstyringen hos leverandøren • bestemmelser om (i) logging av autorisert og forsøk på uautorisert bruk av tjenestene og (ii) at skoleeier sikres tilgang til loggene • tilfredsstillende sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen • bestemmelser om tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører • bestemmelser om hva som skjer med opplysningene når bruken av tjenesten opphører
  • 13. Skytjenester i utlandet «Vanlige» regler dersom leverandører og underleverandører • behandler opplysningene innenfor EØS-området • behandler opplysninger i land godkjent av EU • opplysningene behandles i USA av selskaper tilsluttet Safe Harbor Egne regler for ikke-godkjente land • EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land bør benyttes
  • 14. Oppfølgingsplikten Skoleeier skal jevnlig forsikre seg om at • opplysningene fortsatt er tilfredsstillende sikret mot uønskede hendelser Motta og gjennomgå rapporter fra sikkerhetsrevisjoner hos leverandøren
  • 15. Ressurser Veileder i risikovurdering og mal for databehandleravtaler https://feide.iktsenteret.no/node/234 Datatilsynets veileder for skytjenester https://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/ EU-godkjente land http://ec.europa.eu/justice/data-protection/document/international- transfers/adequacy/index_en.htm EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente land http://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_E NG.pdf Amerikanske selskaper tilsluttet Safe Harbor https://safeharbor.export.gov/list.aspx
  • 17. Nytteverdi og konsekvenser Hva er mål og hensikt? • Hvilken informasjon skal legges ut? • Hvordan skal endring av praksis realiseres? Konsekvenser på sikt? • Vil prosessen i realiteten kunne reverseres?
  • 18. Skytjenester – beslutning og ansvar Fundamenter avgjørelsen på høyt nivå. • rådmann/skolesjef • ansvaret ligger hos skoleeier 1 8
  • 19. Gjennomfør risikovurdering Vurder ulike sikkerhetssenarioer • hva kan inntreffe? • hva vil konsekvensen kunne bli? • hvor stor risiko innebærer det? • hvilke tiltak kan redusere risikoen?
  • 20. Databehandleravtale • Inngås mellom skoleeier og tjenesten • Skoleeiers kontroll med tjenesten • Vær en krevende kunde
  • 21. Internkontrollen Kvalitetssikre bruken av IKT i skolen • rutiner holdes oppdatert • avtaler følges opp • ansvar er plassert og dedikert • risikovurderinger følges opp Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
  • 22. Hvordan gå fram? 1. Vurder nytteverdien 1. Vurdering av informasjon som legges ut 2. Vurder de langsiktige konsekvensene 2. Fundamenter bruken på ledernivå. 3. Risikovurder bruken av tjenesten 4. Etterspør databehandleravtale 5. ”Internkontrollen” 1. Inkluder risikovurderingen 2. Etterspør sikkerhetsrevisjoner
  • 23. Noen kilder å benytte Les datatilsynets veileder for bruk ”Skytjenester”. Les Senter for IKT i utdanningen sin veileder.