Arkivsystemer med skyløsninger

Transkript

1 Arkivsystemer med skyløsninger Erfaringer fra Ruter Svein Winje og Svend Wandaas, Brukerforum Stavanger

2 Tema 1. Behovet for ny sak og arkivløsning 2. Juridiske utgangspunkt. 3. Krav i konkurransen og besvarelse av tilbud Utfordringer med å forstå krav til personvern i forhold til ny teknologi Problemet som måtte løses 4. Krav til informasjonssikkerhet Hva er god informasjonssikkerhet? Vurdering av informasjonssikkerhet 5. Prosessen med avklaring Involverte i avklaringer Resultat av avklaring Risikovurderingen og dens utfordringer 6. Databehandleravtalemodellen 7. Oppsummering hva fikk vi til? 2

3 1. Behovet for ny sak og arkiv løsning Ruter har i kraft av å være et offentlig eid aksjeselskap plikt til å føre offentlig journal. - Ruter benytter en arkivløsning for å fylle denne funksjonen. Forrige løsning ble tatt i bruk i 2009 og var gått ut på dato: - Tregheter, Inkompatibilitet, høy brukerterskel Ønsket en løsning som skulle være: - Mer brukervennlig, fungere på mange plattformer og ikke minst er kontinuerlig vedlikeholdt (som tjeneste). 3

4 1. Behovet for ny sak og arkiv løsning Vi så behovet for å få en løsning levert som en tjeneste som viktig. - Dette medførte også at skyløsninger måtte vurderes, fordi dette er en vanligere måte å levere programvare som tjenester i dag. Tanken var også at skyløsninger: - Burde være mer effektivt på mange måter, siden man da legger seg på nyeste teknologi og passer inn godt med blant annet Office Nasjonal strategi for bruk av skytjenester: Når skytenester gir den mest hensiktsmessige og kostnadseffektive løysinga, og det ikkje ligg føre spesielle hindringar for å ta i bruk slike tenester bør ein velje å bruke skytenester. Utfordringen - som mange andre - for lite informasjon om sky, ikke bare teknologi, men sikkerhet og forretningsmodeller. 4

5 2. Juridiske utgangspunkt Etter både gammel og ny personopplysningslov kreves et rettslig grunnlag dersom du utleverer personopplysninger utenfor EU. Men gjør du det ved bruk av en skyløsning hvor opplysninger lagres i Irland? Definisjon i GDPR art 4 «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» Rettslige grunnlag: For utlevering Berettiget interesse - etter en interesseavveining Utenfor EU/ EØS EUs modellavtaler Privacy Shield 5 Under revisjon av EU høsten 2017 Begrensning av behandling

6 2. Juridiske utgangspunkt Nye løsninger skal uansett ha innebygget personvern jf. GDPR art 25. Og så må man ha en databehandleravtale som i varetar behandlingsansvarlige og databehandler (inkl. underleverandørers) forpliktelser. Kompliserende faktor store internasjonale leverandører med egne vilkår. Noe mer? GPDR art 32 oversikt over risikomomenter og nødvendige tiltak - Risikovurdering som skal vise risikoen for den registrerte og hans rettigheter. Og DPIA art 35 en dypere analyse med en egen personvernvurdering dersom man for eksempel, behandler sensitive personopplysninger. 6

7 3. Krav i konkurransen Lyst ut med SSA- L (løpende tjenesteavtale) m/ databehandleravtale. Ruter vil ha best mulig oppdatert funksjonalitet og var som nevnt åpen for skyløsninger. Omfattende kravspesifikasjon med mål om å dekke all sider ved et arkivsystem. Kunne ikke tillate behandling av personopplysninger utenfor EU/EØ, grunnet bruk av sensitive opplysninger. - Problemet er at et slikt krav - med unntak for Tyskland - så fungerer ikke markedet slikt med store internasjonale aktører. 7

8 3. Krav i Konkurransen Vi hadde spesifisert noe unøyaktig at personopplysninger ikke skal lagres utenfor EU/ EØS. Det var ment å gjelde all behandling. I tilbudet har Tieto svart mer nøyaktig at opplysningene ikke skulle behandles utenfor EU/EØS noe som var helt korrekt for Tietos vedkommende. - Men ikke for drift og support fra underleverandøren. Anskaffelsen konkluderte med at Tieto 360 ble innstilt som første valg - Tieto benytter Microsoft som underleverandør. Opplysningene skulle riktignok lages i Irland, men det var uavklart om ansatte på datasentere utenfor EU/EØS kunne få tilgang til opplysningene. Tips: Jobb grundig med KGL involver riktig kompetanse, gjennomfør dialog - og tilbudskonferanser. Tips 2: Still krav om behandling ikke bare lagring 8

9 4.Informasjonssikkerhet Selv om GDPR ikke var blitt lovfestet i Norge valgte vi å basere kravene til sikkerhet med henblikk på å tilfredsstille kravene beskrevet i GDPR artikkel 35 (7) (C) personvernet til den registrerte. Kravene til sikkerheten: - Uvedkommende skal ikke ha tilgang til den registrertes personopplysninger (Konfidensialitet) - Uautorisert endring av en registrertes personopplysninger skal ikke skje (Integritet) - Den registrertes personopplysninger skal ikke bli utilgjengelige (Tilgjengelighet) Tips: Disse 3 kravene er alltid et godt utgangspunkt å vurdere informasjonssikkerhet ut fra. 9

10 4.Vurdering av informasjonssikkerhet Spørsmål vi hadde fra vår risikovurdering var blant annet: - Kan tredjeland søke utlevering av databasen? - Kan tredjeland lese av data under overføring? - Slettes data og rutiner for det? - Deles persondata med andre parter? - Hvordan gis tilgang til data: Ruter, Microsoft og Tieto. - Sporbarhet Tips: Kjøper av system må ha et aktivt forhold til personvern og informasjonssikkerhet. 10

11 5.Involverte i avklaring Avklaring og gode diskusjoner med Tieto - som involverte Microsoft Norge. Tieto deltok også i møte med Ruter og Datatilsynet ( DT) DT: Var opptatt av kryptering og at den skulle være reell og effektiv. Revidering av privacy shield ved første kontakt med DT anbefalte oss å bruke EUs modellavtale. Denne hadde Microsoft også presentert, men i en egen versjon. Tips: Involvere alle parter og ta opp ting med Datatilsynet underveis 11

12 5.Resultat av avklaringer Omforent tolkning av regelverk og føringer Tydelighet i leverandørenes tilganger til data (Tieto, Microsoft) Håndtering av kryptering Forståelse av hvordan leverandørene håndterer informasjonssikkerhet Oppdatering av risikovurdering Tips: Sky er nytt for alle, man må tørre å spørre dumme spørsmål. 12

13 5. Utførelse av risikovurdering betydning av riktig modell Opprinnelig risikovurdering som ble presentert for Datatilsynet viste forhøyet risiko i forhold til den registrertes personvern. Denne ble utført av en tredjepart. Vanskelig og få en positiv uttalelse fra Datatilsynet når flere momenter i risikovurderingen er i «gult område» og du ikke har flere tiltak på lager. Vurderingen viste seg å være for grovmasket noe som gjorde at resultatet viste forhøyet risiko. Privacy Shield ble på nytt godkjent i EU i oktober fokus bør derfor være at databehandler ikke skal få unødvendig tilgang til sensitive personopplysninger. 13

14 5. Elementer i revurdering av risiko Risiko 1: Tredjeland tvinger Microsoft til å utlevere personopplysninger Justeres fra GUL til GRØNN - Privacy shield ble godkjent i EU i oktober. - Microsoft nekter fortsatt utlevering av personopplysninger om EU borgere til amerikanske myndigheter og kryptering av personopplysninger gjør opplysningene utilgjengelige. Risiko 2: Microsoft aksesserer personopplysninger til kommersiell bruk Justeres fra GUL til GRØNN - Databehandleravtale regulerer tilgang til personopplysningene kun ved support/feilretting - Kryptering av personopplysninger i løsningen gjør opplysningene utilgjengelige - Microsoft må tildeles tilgang til personopplysningene dersom de rent unntaksvis trenger dette. - Dersom Microsoft skal få tilgang forutsetter det avtalebrudd og bistand fra utro tjener hos Tieto. - Microsofts forretningsmodell - ikke på kommersiell bruk av personopplysninger. 14

15 5. Oppdatering av risikomatrise Opprinnelig risikomatrise: Katastrofal 1,2 Stor Moderat Liten Konsekvens/ sannsynlighet Lav Moderat Høy Svært høy Endring i risikomatrise: Risiko 1 Tredjeland tvinger Microsoft til å utlevere database med personopplysninger Risiko 2 Microsoft aksesserer personopplysninger til kommersiell bruk Svært stor Stor 2 Moderat 1 Lav Meget lav Konsekvens/ sannsynlighet Meget lav Lav Moderat Stor Svært stor 15 Tips: Ha et aktivt forhold til risikovurderinger internt i bedriften.

16 16 6. Databehandleravtalemodellen Avvikende vilkår i tilbudet. Et problem i forhold til Ruters forpliktelser som behandlingsansvarlig og i forhold reglene om offentlig anskaffelser. I Databehandleravtalen reserverer Ruter seg derfor for deler av Microsoft sine vilkår som er irrelevante og presiserer noen av vilkårene for å sikre; Reell godkjennelserett dersom vi nekter å godkjenne en underleverandør Tieto forplikter seg til å finne en annen løsning kostnadsfritt! - Tilsvarende gjelder dersom løsningen skulle ikke vises seg å være i samsvar med GDPR og på Tietos anbefaling regulerte vi også Brexit. Kryptering i løsningen. Presisering at Microsoft unntaksvis kan få tilgang til krypteringsnøkkelen og personopplysningene - dersom det er nødvendig for å utføre drift og support.

17 7. Hva fikk vi til? Vi fikk 360 arkivsystem i sky som en tjeneste. Våre brukere ser ut til å være fornøyde og bruken av arkivsystem har økt, også utover offentlig journal. Vi fikk en grundig innføring i hva Microsoft skytjeneste er, og faktisk innsyn i sikkerhet er tenkt i hvert lag. Vi fikk et utvidet perspektiv av informasjonssikkerhet at data er lagret i Norge er ikke tilstrekkelig. En bekreftelse fra Datatilsynet på at dette er måten med skyløsninger. Balansert databehandler avtale - mellom alle interesser og krav. Vi er generelt tryggere på skytjenester i dag. 17

18 Kontaktinfo: tlf tlf