Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune

Størrelse: px
Begynne med side:

Download "Tilbakemelding - Bruk av nettskyen Microsoft Office 365 - Moss kommune"

Transkript

1 Moss kommune - Rådmannen Postboks MOSS Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /LON 21. september 2012 Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune Det vises til e-post fra Moss kommune av 9. november 2011 og påfølgende dialog, hvor Datatilsynet blir forespurt om å vurdere databehandleravtalen mellom kommunen og Microsoft for bruk av skytjenesten Office 365. Bakgrunn Moss kommune ønsker å flytte deler av sin e-postløsning over i nettskytjenesten Office 365 fra Microsoft. Kommunen har i den forbindelse engasjert SIMONSEN advokatfirma (SIMONSEN) til å foreta en juridisk vurdering av databehandleravtalen med Microsoft, og kommunen har i samråd med Det Norske Veritas (DNV) gjennomført en kvalitativ risikovurdering med utgangspunkt i kommunens planlagte bruksmønster. For øvrig har Datatilsynet, Moss kommune og Microsoft avholdt dialogmøter for å belyse aktuelle problemstillinger ytterligere. I det følgende vil Datatilsynet kommentere de vurderinger som er gjort av SIMONSEN om databehandleravtalen. Tilsynet vil tilslutt også adressere andre problemstillinger knyttet til bruk av Office 365. Kommentarer til SIMONSENs gjennomgang av databehandleravtalen 1) Formålet med avtalen og typer av behandling Dersom et foretak behandler personopplysninger på vegne av et annet, slik at det førstnevnte blir å regne som det andre foretakets databehandler, jf. lovens 2 nr. 5, følger det av lovens 15 at selskapene må inngå en databehandleravtale. Det fremgår av denne bestemmelsen at avtalen må oppfylle nærmere bestemte kriterier: En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 Kommunen opplyser at databehandleravtale er inngått, og viser til Microsofts Enterprise Enrollment Addendum Office 365 Data Processing Agreement (heretter: Avtalen ). Nedenfor går vi gjennom de ulike kravene som stilles i 15, i lys av kommunens redegjørelse for Avtalens innhold. 1 Skriftlighetskravet Den behandlingsansvarlige og databehandleren er for det første forpliktet til å inngå skriftlig avtale om den aktuelle behandlingen av personopplysninger. Det fremgår av sakens dokumenter at skriftlighetskravet er oppfylt. Avtalens formålsavgrensning For det andre følger det av bestemmelsen at databehandleren ikke kan behandle personopplysningene på annen måte, eller til andre formål, enn det som er avtalt med den behandlingsansvarlige. Dette forutsetter at avtalen definerer de aktuelle behandlingsmåtene og behandlingsformålene. I dette ligger det også at databehandleren ikke kan gå utover de instruksjoner som den behandlingsansvarlige gir om den aktuelle databehandlingen databehandleren er bundet av de behandlingsformål og de behandlingsmåter som den behandlingsansvarlige kan gjøre gjeldende i medhold av personopplysningsloven. Dersom leverandøren behandler personopplysningene på andre måter, eller til andre formål, enn det som er avtalt, vil det medføre brudd på databehandleravtalen. Leverandøren vil i tillegg bli å regne som behandlingsansvarlig for de databehandlinger som ikke er omfattet av avtalen. I så fall må leverandøren svare for oppfyllelsen av samtlige rettslige krav som stilles til behandlingen. 2 Kommunen har under henvisning til Avtalens punkt 1 titulert Privacy redegjort for Microsofts rådighet over de personopplysningene som behandles ved hjelp av tjenesten. 3 Det er oppgitt at opplysningene utelukkende behandles til formål som er knyttet til levering av tjenesten Office 365. Avtalen viser dessuten til de underliggende tjenestene som er omfattet av Office 365. Samlet sett har vi vurdert at disse delene av Avtalen gir et akseptabelt bilde av hvilke personopplysninger som skal behandles, på hvilke måter de skal behandles og til hvilke formål. Kravet om formålsavgrensning i lovens 15 er etter dette å anse som oppfylt. Forbudet mot å overlate opplysningene til andre Det fremgår av Avtalens punkt 1 litra d at Microsoft ikke kan utlevere data til andre uten etter godkjennelse fra kommunen. Dette punktet er således i overensstemmelse med lovens Simonsens notat datert 29. september Hvorvidt disse rettslige kravene springer ut av den norske personopplysningsloven, avhenger av om vilkårene i personopplysningsloven 4 er oppfylt. 3 Personopplysningenes art er beskrevet på følgende måte: Customer data, som ifølge kommunen igjen er definert som alle data, herunder tekst-, lyd- eller billedfiler som formidles til Microsoft ved bruk av Office

3 I tillegg er det opplyst at Microsoft vil kunne bli nødt til å utlevere opplysninger til law enforcement [authorities]. Vi antar at det siktes til krav om utlevering av persondata som skriver seg fra andre jurisdiksjoner enn den norske, for eksempel i forbindelse med etterforskning av straffbare forhold. Så fremt det enkelte kravet er rettslig bindende overfor tjenesteleverandøren, og en påfølgende utlevering ikke er i strid med øvrige bestemmelser i norsk lov, vil utleveringer fra tjenesteleverandøren til nevnte behandlingsformål kunne finne sted. Den behandlingsansvarlige bør imidlertid også forsikre seg om at databehandleren kan garantere at ingen personopplysninger vil bli utlevert til noe annet lands justismyndigheter, med mindre de ovennevnte kriteriene er oppfylt. 4 I tillegg bør de registrerte informeres om denne utleveringsadgangen, jf. prinsippene i personopplysningsloven 19 bokstav c og e. 2) Klar adskillelse av opplysningene Skytjenester som Office 365 håndterer personopplysninger fra mange forskjellige virksomheter, og baserer seg i stor grad på virtualiseringsteknologi og logiske sikkerhetsbarrierer. Personopplysningsregelverket stiller krav til at personopplysninger som knyttes til forskjellige juridiske enheter skal holdes forsvarlig atskilt fra hverandre. SIMONSEN bemerker i sin vurdering at de ikke umiddelbart kan se at avtalen tar høyde for disse kravene. Datatilsynet kan heller ikke se at avtalen spesifikt adresserer tiltak knyttet til atskillelse av personopplysninger fra ulike behandlingsansvarlige. I tilsynets dialog med Microsoft henvises det imidlertid til nettstedet Office 365 Trust Center 5, som har som formål å opplyse kunder om personvern og sikkerhet i Office 365. I dette tilfellet henvises det særskilt til dokumentene Security in Office 365 White Paper 6 og Office 365 Security and Service Continuity Service Description 7, og følgende avsnitt er hentet fra sistnevnte: Data isolation: Data storage and processing is logically segregated among customers of the same service through Active Directory structure and capabilities specifically developed to help build, manage, and secure multitenant environments. The multitenant security architecture ensures that customer data stored in shared Office 365 data centers is not accessible by or compromised to any other organization. Organizational units (OUs) in Active Directory control the prevention of unauthorized and unintended information transfer via shared system resources. Tenants are isolated from one another based on security boundaries, or silos, enforced logically through Active Directory. 4 Jf. Artikkel 29-gruppens uttalelse 05/2012 om Cloud Computing, avsnitt nr. 13, jf. også avsnitt 4.1 femte strekpunkt tredje kulepunkt

4 Datatilsynet anser at logiske mekanismer for atskillelse av data, som regel i samspill med andre sikkerhetstiltak, kan oppfylle kravene i personopplysningsregelverket. Det er imidlertid Moss kommunes ansvar å påse gjennom sin risikovurdering at databehandlerens sikkerhetstiltak er effektive og tilstrekkelig for den aktuelle behandlingen. Moss kommune har gjennom sin risikovurdering opplyst Datatilsynet om at de anser Microsofts tiltak for å være meget gode og tilfredsstillende. Tilsynet legger kommunens vurdering til grunn. 3) Informasjonssikkerhet og revisjon Personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 stiller krav til blant annet risikovurdering, implementasjon og dokumentasjon av sikkerhetstiltak, og sikkerhetsrevisjon av kommunikasjonspartnere og leverandører. Avtalens punkt 4 beskriver sikkerhetstiltak i Office 365 på et overordnet nivå, og omfatter i hovedsak områdene som dekkes av standarden ISO SIMONSEN understreker i sine kommentarer viktigheten av å gjennomføre en risikovurdering og å dokumentere at sikkerhetstiltakene er tilfredsstillende, noe Datatilsynet slutter seg til. Datatilsynet legger til grunn at Moss kommune i samarbeid med DNV har gjennomført en risikovurdering av Office 365 som kommunen anser som tilstrekkelig og god. Denne peker på en rekke risikoer og tiltak som kommunen må vurdere i forkant av en eventuell implementering av tjenesten. Avtalens punkt 4 inneholder bestemmelser om sikkerhetsrevisjon, og kan kort oppsummeres slik: Microsoft har etablert et styringssystem for informasjonssikkerhet basert på standarden ISO 27001, og er sertifisert i henhold til denne. Det skal minst årlig gjennomføres en tredjepartsrevisjon i henhold til ISO Det skal produseres en konfidensiell oppsummeringsrapport av revisjonen som Moss kommune kan motta på forespørsel til Microsoft. På bakgrunn av oppsummeringsrapporten skal Moss kommune kunne vurdere om sikkerhetstilstanden i Office 365 er i henhold til avtalen og kommunens krav. Datatilsynet legger til grunn Artikkel 29 Opinion 05/2012 on Cloud Computing 8, hvor uavhengige tredjepartsrevisjoner omtales slik: Individual audits on data hosted in a multi-party, virtualized server environment may be impractical technically and can in some instances serve to increase the risks to those physical and logical network security controls in place. In such cases, a relevant third party audit chosen by the controller may be deemed to satisfy in lieu of an 8 4

5 individual controller s right to audit. [ ] In the context of cloud computing, potential customers should look to see whether cloud services providers can provide a copy of this third party audit certificate or indeed a copy of the audit report verifying the certification [ ]. Selv om Artikkel 29-gruppen langt på vei anerkjenner tredjepartsrevisjoner, vil det trolig være en utfordring for Moss kommune å avklare hvilke deler av en omfattende revisjonsrapport som er relevant for akkurat deres opplysninger. Så vidt Datatilsynet kjenner til finnes det på nåværende tidspunkt ingen oppsummeringsrapport tilgjengelig for Moss kommune, noe som gjør det vanskelig å vurdere hvorvidt denne kan anses som et tilfredsstillende styringsverktøy. Det vil være opp til Moss kommune å følge opp dette og gjøre de nødvendige vurderingene. Kontroll med at leverandøren etterlever avtalen Det følger av personopplysningslovens 14 om internkontroll at den behandlingsansvarlige skal etablere planlagte og systematiske tiltak for å sikre at lovens krav følges. Plikten tilligger den behandlingsansvarlige, og ikke databehandleren. Hvordan personopplysningene skal behandles, hvilke rutiner som skal følges, og hvordan etterlevelse kontrolleres, må derfor reguleres i avtalene mellom behandlingsansvarlig og databehandler. Krav om internkontroll gjelder også for andre plikter enn informasjonssikkerhet, som for eksempel at opplysningene ikke behandles til andre formål enn avtalt, sletting og bruk av tredjeland. Etter Datatilsynets syn fremstår det som nødvendig at databehandlerens etterlevelse av avtalen bekreftes gjennom tredjepartsrevisjoner (med mindre behandlingsansvarlig selv gjennomfører revisjon), på samme måte som for informasjonssikkerhet, se avsnitt 3). Dette for at behandlingsansvarlig skal ivareta kravet om systematiske tiltak for å sikre etterlevelse av loven. 4) Tilgangsstyring Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11, 2-12 og 2-13 stiller krav til at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Som SIMONSEN nevner i sin vurdering, fremgår det av avtalens punkt 1 at det bare er autorisert personell hos Microsoft som skal kunne behandle Moss kommune sine opplysninger, og at slikt personell er underlagt taushetsplikt. Det er også angitt en rekke krav til tilgangskontroll, autentisering og autorisasjon. I tilsynets dialog med Microsoft henvises det også her til Office 365 Trust Center for utfyllende informasjon, og særskilt dokumentet Administrative Access 9. Her beskrives mer 9 5

6 detaljert klassifiseringen av ulike typer informasjon i løsningen og hvilke tilgangsnivåer som er etablert. Kommunen må selv gjøre en vurdering av hvorvidt tilgangsstyringen er tilfredsstillende, men Datatilsynet har ingen videre merknader til dette. 5) Autorisert og uautorisert bruk Personopplysningsforskriftens 2-8, tredje ledd og 2-14, annet ledd stiller krav til at autorisert og uautorisert bruk av informasjonssystemet skal registreres. Videre pålegger 2-16 at opplysninger om slike registreringer og alle andre hendelser med betydning for informasjonssikkerheten skal lagres i minst tre måneder. Det fremgår av avtalens punkt 4 at Microsoft skal registrere opplysninger om sikkerhetssvikt og ha disse tilgjengelig i en periode på minst seks måneder. SIMONSEN anser avtalen for å være uklar og mangelfull på dette området, og at den etter deres oppfatning ikke er i overensstemmelse med kravene i personopplysningsregelverket. Dette er også Datatilsynets oppfatning. I tilsynets dialog med Microsoft henvises det til dokumentet Standard Response to Request for Information Securiy and Privacy 10. Dette er en oversikt som viser hvordan Microsoft Online Services (inkludert Office 365) oppfyller kravene til blant annet sikkerhet og personvern som er utarbeidet av Cloud Security Alliance (CSA) 11. Det pekes særskilt på følgende krav fra CSA (krav SA-15 i Cloud Controls Matrix 12 ): Audit logs recording privileged user access activities, authorized and unauthorized access attempts, system exceptions, and information security events shall be retained, complying with applicable policies and regulations. Audit logs shall be reviewed at least daily and file integrity (host) and network intrusion detection (IDS) tools implemented to help facilitate timely detection, investigation by root cause analysis and response to incidents. Physical and logical user access to audit logs shall be restricted to authorized personnel. Videre beskriver Microsoft sin etterlevelse av kravet slik: Access to logs is restricted and defined by policy and logs are reviewed on a regular basis. Audit logging is covered under the ISO standards, specifically addressed in Annex A, domain For more information review of the publicly available ISO standards we are certified against is suggested https://cloudsecurityalliance.org/ 12 https://cloudsecurityalliance.org/wp-content/uploads/2011/08/csa_ccm_v1.2.xlsx 6

7 Basert på denne beskrivelsen er det fortsatt uklart for Datatilsynet om Microsoft er i henhold til de konkrete kravene i personopplysningsforskriftens 2-8, 2-14 og ) Overføring av personopplysninger til tredjeland Lagring og behandling i Microsofts datasentre Det følger av personopplysningsloven 29 at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. I praksis vil dette si at overføring av persondata til andre land enn medlemsstatene i EU og EØS-landene, som hovedregel er utelukket. Det finnes imidlertid unntak. For eksempel kan dataeksportøren gi individuelle garantier, eller EU-kommisjonen kan ha besluttet at visse enkeltstater er trygge mottakerstater. 13 Kommunen opplyser at det som følge av Avtalen punkt 1 litra e åpnes for overføring av personopplysninger til Microsofts datasentre i USA og Europa, men også i andre stater. Overføring til USA Det følger av artikkel 1 i EU-kommisjonens beslutning 2000/520/EF av 26. juli 2000 at Safe Harbor-prinsippene sikrer et tilstrekkelig beskyttelsesnivå, i den forstand som omtalt i direktiv 95/46/EF artikkel 25 (1) og (2). Det følger videre av den samme bestemmelsen at personopplysninger kan eksporteres fra EU-/EØS-land til foretak som er etablert i USA, under de nærmere forutsetninger som er angitt i artikkelen. Kommisjonsbeslutningen er bindende for Norge, jf. personopplysningsforskriften 6-1. Det fremgår av offentlig tilgjengelig informasjon at Microsoft Corporation and its Controlled U.S. Subsidiaries (heretter: Microsoft Corp. ) er sertifisert under Safe Harbor-programmet. 14 Under forutsetning av at samtlige aktuelle datasentre i USA er en del av Microsoft Corp. og således utgjør en del av det Safe Harbor-sertifiserte foretaket, vil overføring av personopplysninger fra Norge til disse datasentrene være i samsvar med personopplysningsloven 29. Overføring til andre tredjeland Som nevnt åpner Microsoft for å overføre personopplysninger til andre datasentre enn de som finnes i USA og EØS-området. Slik overføring av personopplysninger til andre land enn de som er nevnt innledningsvis over i avsnitt 5, må forhåndsgodkjennes av Datatilsynet, på bakgrunn av individuelle garantier gitt av den behandlingsansvarlige, jf. personopplysningsloven 30 andre ledd. Dersom den behandlingsansvarlige og databehandleren inngår standardavtalen inntatt i bilaget til EU-kommisjonens beslutning av 5. februar 2010 (2010/87/EU), og denne 13 Jf. hhv. personopplysningsloven 30 andre ledd, og 29, jf. personopplysningsforskriften

8 forhåndsgodkjennes av Datatilsynet, jf. 30 andre ledd, vil opplysningene kunne overføres til tredjeland i medhold av avtalens standardklausul 11. Slik overføring fra dataimportøren til underleverandører forutsetter imidlertid skriftlig forhåndsgodkjenning fra den behandlingsansvarlige: The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without prior written consent of the data exporter Bruk av underleverandører krever altså at den behandlingsansvarlige (dataeksportøren) avgir et skriftlig fornhåndssamtykke til databehandleren (dataimportøren). Spørsmålet om dette samtykkets art er drøftet av Artikkel 29-gruppen, i dens uttalelse om Cloud Computing, hvor gruppen uttaler følgende: In the view of the WP29, the processor can subcontract its activities only on the basis of the consent of the controller, which may be generally given at the beginning of the service with a clear duty for the processor to inform the controller of any intended changes concerning the addition or replacement of subcontractors with the controller retaining at all times the possibility to object to such changes or to terminate the contract. There should be a clear obligation of the cloud provider to name all the subcontractors commissioned. Spørsmålet om dette forhåndssamtykket må være spesifikt for hvert enkelt tilfelle, eller om det er tilstrekkelig med et generelt samtykke, er ytterligere drøftet i Artikkel 29- gruppens arbeidsdokument WP 176: 15 Model Clauses 2010/87/EU do not specify this. According to the Working Party, it is up to the controller to decide if general prior consent would be sufficient or if specific consent is required for each new sub processing. Det er med andre ord den behandlingsansvarlige som må ta stilling til dette spørsmålet, i lys av følgende faktorer: This decision will probably vary depend on the context of the processing, the type of data (sensitive or not), and the level of involvement of the controller for this type of choice. Some controllers may decide that a full prior check of the identity of each sub processor is necessary while others may consider that prior information (clause 5.h), the duty to communicate the clause (clause 5.j) and the guarantee to have the same level of protection (clause 11.1) are enough. 15 FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC, tilgjengelig fra ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_en.pdf, se dokumentets avsnitt II.1. 8

9 Bruken av standardavtale 2010/87/EU som rettslig fundament for overføring av personopplysninger til underleverandører i tredjeland, er i tråd med reglene i personopplysningsloven. Vi gjør for ordens skyld også oppmerksom på følgende: Ved inngåelse av avtalen påtar den behandlingsansvarlige seg de forpliktelser som er angitt i klausul 4, blant annet gir den behandlingsansvarlige følgende garantier: to make available to the data subjects upon requests a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses [ ] that, in the event of sub-processing, the processing activity is carried out in accordance with clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subjects as the data importer under the Clauses Samtidig underlegges databehandleren (dataimportøren) som er part i avtalen, de forpliktelser som følger av klausul 5, blant annet: to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing [ ] that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent that the processing services by the sub-processor will be carried out in accordance with Clause 11 to send promptly a copy of any sub-processor agreement it concludes under the clauses to the data exporter Vi minner dessuten om at enkelte tredjeland er godkjent som trygge mottakerstater av EUkommisjonen. 16 Forholdet mellom Avtalen og Office 365 Trust Center Microsoft har i den pågående dialogen med Datatilsynet vist til at det er opprettet et Microsoft Office 365 Trust Center. Dette er et nettsted hvor Microsoft informerer om behandling av personopplysninger i Office 365, blant annet er det gitt opplysninger om: Data Use Limits Administrative Access Geographic Boundaries Third Parties Security, Audits and Certifications 16 Se fullstendig oversikt på ec.europa.eu/justice/data-protection/document/internationaltransfers/adequacy/index_en.htm 9

10 Regulatory Compliance 17 Datatilsynet legger til grunn at formålet med nettstedet er å sikre full gjennomsiktighet overfor kundene, i tråd med Artikkel 29-gruppens anbefalinger, 18 men at innholdet på nettstedet ikke utgjør en del av de omtalte avtalene. Diskusjonen i dette brevs 2) og 4) synliggjør ufordringer ved at informasjonen gitt i Trust Center ikke kan anses som avtalt med den behandlingsansvarlige. Klageadgang Ovenstående beslutninger kan påklages i henhold til forvaltningslovens bestemmelser. En eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at brevet ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på retten til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Med vennlig hilsen Helge Veum avdelingsdirektør Lars-Otto Nymoen overingeniør 17 Kategoriene er sitert ordrett fra Microsofts e-post til Datatilsynet av 26. mars Opinion 5/2012 on Cloud Computin avsnitt

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015

Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN GDPR 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN FORBEREDE SEG TIL GDPR GRUNNLEGGENDE OM GDPR OG PERSONVERN

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Uninett, Tromsø 11.06.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette

Detaljer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste

Detaljer

Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no

Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no Personvern i skyen - Foredrag for Dataforeningen 10. september 2013 Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no Datatilsynet - Håndhever personopplysningsloven,

Detaljer

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 22.03.2012 Side 1 Lovlig bruk av Cloud Computing Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013 Agenda Kort om personvern Kan skyen brukes? Litt om Cloud computing generelt Narviksaken

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS, Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet Ny personvernforordning Hvordan reguleres informasjonssikkerhet Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 41 medarbeidere Faggruppe 1 (justis,

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Jarle Langeland. Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene

Detaljer

Personvern i skyen

Personvern i skyen Personvern i skyen 2016-09-06 Temaer Det store bildet personvernkamp mellom USA og Europa Hva innebærer Privacy Shield Ny forordning nye plikter og rettigheter Skytjenester Datatilsynets krav 2 Det store

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Bruk av skytjenester og sosiale medier i skolen

Bruk av skytjenester og sosiale medier i skolen Bruk av skytjenester og sosiale medier i skolen 13.11.2015 Agenda Hva er personvern? Datatilsynets skole- og barnehageprosjekt Skytjenester Sosiale medier Thinkstock.com 2 Hvem har ansvaret? «Behandlingsansvarlig»

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

GDPR. Advokat Kari Gimmingsrud

GDPR. Advokat Kari Gimmingsrud GDPR Advokat Kari Gimmingsrud Velkommen! Agenda 1. EUs nye forordning sentrale endringer og hva betyr det for virksomhetene v/haavind 2. Adeccos erfaringer fra arbeidet med implementeringen 3. Vesentlige

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Kampanje Event EU GDPR Advokat Rune Opdahl

Kampanje Event EU GDPR Advokat Rune Opdahl Kampanje Event EU GDPR 2018 Advokat Rune Opdahl 1 SAMTYKKER 2 MARKEDSFØRING/PROFILERING 3 TRANSPARENS 4 ANDRE UTVALGTE REGLER 1 SAMTYKKER Consent is a clear and affirmative wish 1 SAMTYKKER All behandling

Detaljer

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01. Virksomhetens kontroll og ansvar - Når den ansatte går i skyen Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo 21.01.2014 Samme data Store data - nye formål Aller først - vårt

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting Trust in the Personal Data Economy Nina Chung Mathiesen Digital Consulting Why does trust matter? 97% of Europeans would be happy for their personal data to be used to inform, make recommendations or add

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Stordata og offentlige tjenester personvernutfordringer?

Stordata og offentlige tjenester personvernutfordringer? Stordata og offentlige tjenester personvernutfordringer? KMDs stordatakonferanse 3. mai 2017 Advokat Eva Jarbekk Å dele personopplysninger eller ikke dele personopplysninger, ja det er spørsmålet.. Alt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Ny personvernlovgivning er på vei

Ny personvernlovgivning er på vei Ny personvernlovgivning er på vei Hvordan forbereder du din virksomhet? 16. mai 2017 Hva betyr endringene? Ny personvernforordning endrer det europeiske personvernlandskapet og norske virksomheter må tenke

Detaljer

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011 Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle

Detaljer

I Datatilsynets brev av 30. juni 2011 ble det bedt om en redegjørelse fra kommunen om følgende punkter:

I Datatilsynets brev av 30. juni 2011 ble det bedt om en redegjørelse fra kommunen om følgende punkter: Narvik kommune Rådhuset 8512 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 11/00593-18/RTH 21. september 2012 Dato Saken avsluttes - Ny e-postløsning i Narvik Kommune - Google Apps Det vises

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Skytjenester bruk dem gjerne, men bruk dem riktig

Skytjenester bruk dem gjerne, men bruk dem riktig Skytjenester bruk dem gjerne, men bruk dem riktig 29.10.2014 Dagens tema Bruk av skytjenester, og bevisst(løs) bruk Skytjenester og informasjonssikkerhet Datatilsynets krav til skytjenester Hvor trykker

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato

Deres ref Vår ref (bes oppgitt ved svar) Dato Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets

Detaljer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale

Detaljer

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter Reporting Services - oversigt Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter Summary Efterfølgende vises en oversigt over de rapporter som er indeholdt i Microsoft

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT Box: erfaringer med UNINETTs første internasjonale skytjeneste Jan Meijer, UNINETT UNINETT Norges forskningsnett KDs verktøy for felles IKT infrastruktur i norsk UH 85 årsverk omsetning 180 millioner ca.

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Skytjenester og nytt personvernregelverk

Skytjenester og nytt personvernregelverk Skytjenester og nytt personvernregelverk 15.02.2017 Agenda Personopplysninger Skytjenester Problemstillinger som må vurderes Nytt personvernregelverk Thinkstock.com 2 Personopplysninger Hva er person(opplysnings)vern?

Detaljer

EUs kommende (?) personvernforordning:

EUs kommende (?) personvernforordning: Lee A. Bygrave, Senter for rettsinformatikk EUs kommende (?) personvernforordning: Konsekvenser for forskning Rettslig kontekst EMK art 8 EU Charter om grunnleggende rettigheter art 7 og 8 EUF-Traktaten

Detaljer

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Narvik kommune Postboks 64 8501 NARVIK Deres referanse Vår referanse (bes oppgitt ved svar) 1111/1210-6/PEJA 11/00593-7/SEV 16. januar 2012 Dato Varsel om vedtak - Ny e-postløsning i Narvik kommune - Google

Detaljer

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv Innhold Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv Avgrensning Anskaffelsesregelverket Inter partes reguleringer Private cloud Tittel på presentasjon 2

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte : YFF - databehandleravtale Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte 29.04.2015: Sak til behandling: Delegering av fullmakt til

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Lovgivningens krav til sikkerhet ved outsourcing - offshoring Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester

Detaljer

Microsoftkjennelsen. - Amerikanske myndigheters tilgang til data. Eirik Andersen 16. oktober 2014 www.svw.no

Microsoftkjennelsen. - Amerikanske myndigheters tilgang til data. Eirik Andersen 16. oktober 2014 www.svw.no Microsoftkjennelsen - Amerikanske myndigheters tilgang til data Eirik Andersen 16. oktober 2014 www.svw.no Faktum Den 2. desember 2013 fremmet amerikanske myndigheter krav for domstolene i New York om

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Barns personvern spesielt samtykke til behandling av personopplysninger

Barns personvern spesielt samtykke til behandling av personopplysninger Barns personvern spesielt samtykke til behandling av personopplysninger Oversikt over foredraget Spesielle utfordringer med barns personvern Gjeldende rett om samtykke til behandling av barns personopplysninger

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Vår referanse (bes oppgitt ved svar) 12/ /CBR Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig

Detaljer