Cloud computing 2013
65
Skytjenester Confex Cloud Compu-ng 2013, Oslo 6. juni v/Inger Anne Folkestad Tornes og Kjell Steffner T br å v v
-
Upload
lynx-advokatfirma-da -
Category
Documents
-
view
328 -
download
1
description
Ta i bruk skytjenester på lovlig vis. Foredrag om vilkår, datasikkerhet, behandling og overføring av personopplysninger i nettskyen.
Transcript of Cloud computing 2013
!!
Skytjenester
Confex!Cloud!Compu-ng!2013,!Oslo!6.!juni!v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!
T! " br#$
%å &'v&"( v")
datatilsynet ”Virksomheter!som!tar!i!bruk!neKskytjenester!er!juridisk!ansvarlig,!og!må!sørge!for!at!personopplysningene!behandles!i!tråd!med!personvernregelverket.”!
Dagens tema 1. Et!lite!utvalg!av!tjenestevilkår!2. Personvernreglene!og!Qprinsippene!3. Håndhevelse!av!personvernreglene!4. Informasjonssikkerhet!5. Risikovurderingen!6. Databehandleravtaler!7. Overføring!av!data!-l!utlandet!8. BYOD!
Europeiske!menneskere[ghetskonvensjon!Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reK!-l!respekt!for!siK!privatliv!og!familieliv,!siK!hjem!og!sin!korrespondanse.”!
U*f'r+r",( Lovlig håndtering av
på tvers av jurisdiksjoner personopplysninger!
!!
tjenestevilkår E* &"*- #*v!&( !v
Tjenestene!er!interessante,!men!både!bransjen!og!tjenestevilkårene!fremstår!i!dag!som!
Tilgjengelighet!Forpliktelser!Sikkerhet!Personvern!Erstatning!Jurisdiksjon!Data!innelåst!OpphavsreK!
Sv!$- v"&$år
Lovvalg & verneting Switzerland!if!domiciled!in!Europe!
California,!USA!
Kunde:!Irland!–!Microsod:!kundens!hjem-ng!
Laws!of!California,!San!Fransisco!legal!venue!
Norge!
Switzerland!
Oppetid Available!24!hours!a!day,!7!days!a!week!
99.9%!
99.9%!
strives!for!100%!up-me!and!availability!
eKerstrebe!god!kvalitet!på!tjenesten!-l!enhver!-d!
The!Service!Is!Available!“As!Is”!
Tap av data
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!
You!are!responsible!for!maintaining!and!protec-ng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!corrup-on!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!
påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
ERSTATNING $500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!
INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!
$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!
under!ingen!omstendighet!utbetale!noen!erstatning!som!overs-ger!det!Kunden!har!innbetalt!siste!12!måneder!
SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
Personvern- L"** '.
reglene!!
Menneskerettighetsutvalget Ny#GRL#§#102##Enhver!har!Ret!-l!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!Kommunika-on.!!!Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn!om!den!personlige!Integritet!og!om!personlige!Oplysninger.!Systema-sk!Indhen-ng,!Opbevaring!og!Brug!af!Oplysninger!om!Andres!personlige!Forhold!kan!kun!finde!Sted!i!Henhold!-l!Lov.!!!
Personopplysningsloven §$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyKe!den!enkelte!mot!at!personvernet!blir!krenket!gjennom!behandling!av!personopplysninger.!!!!!!!!Loven!skal!bidra!-l!at!personopplysninger!blir!behandlet!i!samsvar!med!grunnleggende!personvernhensyn,!herunder!behovet!for!personlig!integritet,!privatlivets!fred!og!-lstrekkelig!kvalitet!på!personopplysninger.!!!
Personopplysninger
”Opplysninger!og!vurderinger!som!kan!knyKes!-l!en!enkeltperson”!
Behandling ”enhver!bruk!av!personopplysninger,!som!f.eks.!innsamling,!registrering,!sammens-lling,!lagring!og!utlevering!eller!en!kombinasjon!av!slike!bruksmåter”!
Behandlingsansvarlig ”den!som!bestemmer!formålet!med!behandlingen!av!personopplysninger!og!hvilke!hjelpemidler!som!skal!brukes”!
databehandler ”den!som!behandler!personopplysninger!på!vegne!av!den!behandlingsansvarlige”!
Sensitive personopplysninger
a)!rasemessig!eller!etnisk!bakgrunn,!eller!poli-sk,!filosofisk!eller!religiøs!oppfatning,!b)!at!en!person!har!vært!mistenkt,!siktet,!-ltalt!eller!dømt!for!en!stratar!handling,!c)!helseforhold,!d)!seksuelle!forhold,!e)!medlemskap!i!fagforeninger!
Vilkår for å behandle personopplysnger
Samtykke!Behandling!er!fastsaK!i!lov!!Oppfylle!en!avtale!med!den!registrerte!Behandlingsansvarlige!skal!kunne!oppfylle!en!reKslig!forpliktelse!Ivareta!den!registrertes!vitale!interesser!Uuøre!en!oppgave!av!allmenn!interesse!Utøve!offentlig!myndighet!
Behandling av sensitive opplysninger
Behandlingen!oppfyller!et!av!de!alminnelige!vilkårene!for!behandling!av!personopplysninger!Den!registrerte!samtykker!Behandling!!er!fastsaK!i!lov!Behandlingen!er!nødvendig!for!å!beskyKe!en!persons!vitale!interesser,!og!den!registrerte!ikke!er!i!stand!-l!å!samtykke!Behandling!av!frivillig!registrerte!opplysninger!!!!!
Konsesjon Det!kreves!konsesjon!fra!Data-lsynet!for!å!behandle!sensi-ve!personopplysninger!
DeKe!gjelder!likevel!ikke!for!behandling!av!sensi-ve!personopplysninger!som!er!avgiK!uoppfordret.!
personvernprinsippene
1. Samtykke!eller!annet!reKslig!grunnlag!2. Proporsjonalitet!3. Formålsbestemthet!4. Relevans!og!minimalitet!5. Fullstendighet!og!kvalitet!6. Informasjon!og!innsyn!7. Informasjonssikkerhet!8. Særlig!strenge!regler!ved!behandling!av!
sensi-ve!personopplysninger!9. Anonymitet!og!sporfri!ferdsel!
Samtykke Behandling$av$personopplysninger!skal!i!størst!mulig!grad!være!basert!på!• frivillig,!!• u2rykkelig!og!!• informert##samtykke.!
Informert • Navn!og!adresse!på!behandlingsansvarlig!• Hva!opplysningene!skal!brukes!-l!• Om!opplysningene!skal!utleveres!-l!andre,!og!eventuelt!-l!hvem!!!
• Om!det!er!frivillig!å!gi!fra!seg!opplysningene!• Informasjon!om!innsyn!i,!re[ng!og!sle[ng!av!!• Hvor!lenge!personopplysningene!vil!bli!behandlet!eller!oppbevart!
• At!samtykket!kan!trekke!
Frivillig • Hva!spørres!det!eKer?!• Hvor!belastende!vil!et!samtykke!være?!
• Er!konsekvensene!uforholdsmessige!om!du!ikke!samtykker?!
Typisk!for!å!moKa!en!tjeneste!eller!bli!ansaK!
uttrykkelig Ak-v!handling!
– at!du!har!samtykket!– hvilke!behandlinger!samtykket!gjelder!
– hvilke!virksomheter!samtykket!er!giK!-l!
proporsjonalitet • Innsamling!og!behandling!i!overensstemmelse!med!lovverket!
• Rimelig!i!forhold!-l!den!registrerte!• Registreringen#av#opplysninger#må#være#proporsjonal#med#formålet#
• I!valget!av!to!alterna-ve!løsninger!ved!behandling!av!personopplysninger!skal!man!velge!det!alterna-vet!som!er!minst$personverninngripende$
!!
Regelbrudd K',)-$v-,)-r !v
Tilsyn og sanksjoner Data-lsynet!• Systema-sk!og!offentlig!fortegnelse!over!innmeldte!
behandlinger!• Behandle!konsesjonssøknader!• Kontrollere!at!lover!og!forskrider!blir!fulgt!!Konsekvens!• Overtredelsesgebyr!• Pålegg!om!endring!eller!opphør!av!ulovlige!behandlinger!• Erstatning!• Straff!
Nettskyen P-r)',v-r, "
Del 2
Forutsetninger for bruk av skytjenester
1. Risikovurdering!!2. Databehandleravtale!3. Revisjon!!4. Skyleverandørens!vilkår!står!-lbake!for!databehandleravtalen!
Bruk av nettskytjenester må skje i samsvar med personvernregelverk
Private!og!offentlige!virksomheter!etablert!i!Norge!må!følge!personvernregelverket.!!!Behandlingsansvarlig!må!informere!den!registrerte!om!innhen-ng!av!personopplysninger,!hvordan!de!behandles,!og!ha!-lfredss-llende!informasjonssikkerhet.!!Bruk!av!neKskytjenester!har!betydning!for!personvernet!!!Data-lsynet:!NeKskyleverandør!er!databehandler!!!
!!!!!!
Personopplysninger i nettskyen krever risikovurdering
!Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!implementering!av!neKskytjenester.!!Risikovurderingen!skal!baseres!på!akseptkriterier!for!risiko.!!Risikovurdering!er!utgangspunkt!for!-ltak!for!å!oppnå!-lfredss-llende!informasjonssikkerhet.!!
Hva er tilfredsstillende informasjonssikkerhet?
!Avhenger!av!type!personopplysninger.!!Forholdsmessig!krav!om!behandling!av!personopplysninger!med!hensyn!-l!konfidensialitet,!integritet!og!-lgjengelighet,!jf.!pol.!§13!!!!Qder!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!sikkerhets-ltak!jf.!pof.!§2Q1!!! !!
!
Informasjonssikkerhet
Konfidensialitet!:!beskyKelse!mot!at!uvedkommende!får!innsyn!i!personopplysningene.!Sammenblanding!av!data!!Integritet:!personopplysningene!ikke!endres!eller!benyKes!-l!andre!formål!enn!opprinnelig!avtalt!!Tilgjengelighet:!personopplysningene!er!-lgjengelige!ved!behov.!Sikkerhetskopiering!
!!Selvstendig!ansvar!for!databehandler!
Tilgang til sikkerhetsdokumentasjon
Data-lsynet:!
Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uuorming!og!sikkerhetsløsninger.!!
Databehandler!plikter!å!gi!behandlingsansvarlig!-lgang!-l!sin!sikkerhetsdokumentasjon,!og!bistå!slik!at!behandlingsansvarlig!kan!ivareta!siK!eget!ansvar!eKer!lov!og!forskrid.!
!
Sikkerhetsdokumentasjon
!!!
!!!!
UTFORDRING TILGANG TIL INFORMASJON OM
SIKKERHETSNIVÅ.
Disclaimer The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. For the latest version of this document visit: http://www.microsoft.com/download/en/details.aspx?id=26647
Standard#Response#to#Request#for#InformaCon#(Security#and#Privacy)#
Safe Harbor Kun!for!virksomheter!i!USA!Prinsipper!for!håndtering!av!personopplysninger:!
!Opplysningsplikt!!Valgfrihet!!!Overføring!!Sikkerhet!!Integritet!!Håndhevelse!
Selvser-fisering!Gyldig!for!et!år!!
!!
ISO 27001 Standard!for!styring!av!informasjonssikkerhet!Internasjonal!brukergruppe!Tiltak!!
!Etablering!av!sikkerhetspolicy!!Plassering!av!ansvar!!Fysisk!sikring!!Tilgangskontroll!!Drid!
!Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!iden-fikasjon!av!sikkerhetsbehov!!!
Safe Harbor og iso 27001
USIEU#Safe#Harbor#Framework#
ISO#27001#
Dropbox!! (Next!Cer-fica-on:!2/16/2014!)!
__!!
Microsod!!! (Next!Cer-fica-on:!6/29/2013)!
Review!every!year!
Salesforce!!! (Next!Cer-fica-on:!8/1/2013)!!
May!2008!(con-nously!review)!
Google! (Next!Cer-fica-on:!10/15/2013)!!
Google!Apps!(May!2012)!
Datatilsynets vurderinger Microsod!Office!365QMoss!Sikkerhets-ltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere!-ltak.!!”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$USA$er$en$del$av$MicrosoD$Corp.$og$således$utgjør$en$del$av$det$Safe$HarborJser+fiserte$foretaket,$vil$overføring$av$personopplysninger$fra$Norge$+l$disse$datasentrene$være$i$samsvar$med$personopplysningsloven$§$29.”!!!!
Datatilsynets vurderinger Google!AppsQNarvik!kommune:!Security!White!Paper!
!QSafe!Harbor,!SSAE!16,!FISMA!Cer-fica-on!!”Under!forutsetning!av!at!samtlige!aktuelle!Googles$datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!HarborQser-fiserte!foretaket!Google!Inc.,!vil!overføring!av!personopplysninger!fra!Norge!-l!disse!datasentrene!være!i!samsvar!med!personopplysningsloven!§!29.”!!
!!
GO!or!NO?!
Outsourcing av personopplysninger krever databehandleravtale
Personopplysningsloven!§15,!jf.!§13!!!!!!!!!!!!
”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$det$som$er$skriDlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$bearbeidelse.$I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$13.”$
Innhold i databehandleravtale Veileder!fra!Data-lsynet:!!1. Formål!2. Beskrivelse!av!behandling!3. Bruk!av!underleverandør!4. Innsyn!5. Informasjonssikkerhet!6. Varighet!7. Overføring!-l!utlandet!8. Opphør!
1. FORMÅL
Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!formålet!med!behandlingen!av!personopplysningene.!!Databehandler!bundet!av!formålsangivelsen.!Data-lsynet!!om!formål!i!«Moss`!bruk!av!Microsod!Office!365»:!!
«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$omfa)et$av$Office$365».!
2. Beskrive hvordan personopplysninger Skal behandles
Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!personopplysningene.!Må!regulere!utlevering!-l!eksterne!parter!og!vilkår!for!deKe!(underleverandør)!Data-lsynet!i!«MossQ!Office!365».!!
• «Microsod!kan!ikke!utlevere!data!-l!andre!uten!eKer!godkjennelse!fra!kommunene….!
• Microsod!kan!utlevere!opplysninger!-l!«law!enforcement(authori-es)!eks.!ved!eKerforskning!av!stratare!forhold.»!
• Godkjent!hvis!reKslig!bindende!for!tjenesteleverandør!og!ikke!i!strid!med!norsk!lov.!
3. Bruk av underleverandør
Angi!formål!med!bruk!av!underleverandør!!!Underleverandør!må!være!forpliktet!-lsvarende!leverandørens!forpliktelser!i!databehandleravtalen!!!!Leveandør!må!være!ansvarlig!for!underleverandør!!!Kunden!bør!ha!innsyn!i!avtale!med!underleverandør!!!
Underleverandør Leverandør Kunde
Bruk av underleverandør krever skriftlig forhåndssamtykke til databehandleren. WP29 om cloud computing: «the processor can subcontract its activites only on the basis of the consent of the controller wihch may be generally given at the beginning of the service»
Support Microsoft Kunde
Forhandler
Avtaleforpliktelse!-lsvarende!
Databehandleravtale!Databehandleravtale!
4. Innsyn
Informasjonsplikt!jf.!personopplysningsloven!§19:!!!!Når!det!samles!inn!opplysninger!fra!den!!registrerte!selv,!!skal!den!!behandlingsansvarlige!!gi!informasjon!-l!den!!registrerte!om!opplysningene!vil!bli!utlevert,!!og!eventuelt!!hvem!som!er!moKaker.!
!
7. Overføring til utlandet
Personopplysningsloven § 29 Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
ANDRE OVERFØRINGSGRUNNLAG
Personopplysningsloven!§30,!samtykke!fra!registrert!!!Data-lsynet!har!-llaK!overføringen!(Binding!Corporate!Rules,!Data!Transfer!Agreements)!!Overføring!-l!virksomhet!som!eKerlever!Safe!Harborprinsippene(jf.!pof.!§!6Q1)!!Unntak!for!mellomlagring(!)!
8.Opphør (VARIGHET)
Databehandleravtalen!må!inneholde!beskrivelse!av!hva!som!skal!skje!med!personopplysningene!ved!databehandleravtalens!opphør!!!Tilbakeføring!!Sle[ng!
BYOD & DPA Br",( /'# 'w, +-v"0-
B-1!,+&",()!,)v!r&"( -r '()å !,)v!r&"( f'r %-r)','%%&/),",(-r %å !,)!**-) -,1-*-r
• Hvilke!type!data,!hvor!lagret,!hvordan!overført,!overholdelse!av!sikkerhetspolicy!
• Innsyn,!av!ulike!grunner,!blir!vanskeligere!• BYOD!har!også!en!side!mot!håndtering!av!forretningshemmeligheter!
Inger Anne Folkestad Tornes Kjell Steffner
• Advokat,$partner$• Særskilt!bransjekompetanse!
innen!IKT!• God!forståelse!for!teknologi,!
prosjektmetodikk!og!strategi!• Jobber!med!kontraktsreK,!
forhandlinger,!offentlige!anskaffelser!og!personvern!
• Advoka[ullmek+g$• Rådgivning!for!IKTQsektoren!• Jobber!med!kontraktsreK,!
personvern!og!eQhandel,!samt!offentlige!anskaffelser!
Presentasjonen ligger på
http://www.slideshare.net/lynxlaw/Cloud-Computing-2013
LYNX#advokaSirma#DA#Hieronymus!Heyerdahls!gate!1!NQ0160!Oslo!!hKp://lynxlaw.no/!!hKp://www.linkedin.com/company/lynxQadvokauirma!hKps://www.facebook.com/LynxLaw!TwiKer:!@LynxLaw!!
