Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune

Transkript

1 Moss kommune - Rådmannen Postboks MOSS Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/ /LON 21. september 2012 Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune Det vises til e-post fra Moss kommune av 9. november 2011 og påfølgende dialog, hvor Datatilsynet blir forespurt om å vurdere databehandleravtalen mellom kommunen og Microsoft for bruk av skytjenesten Office 365. Bakgrunn Moss kommune ønsker å flytte deler av sin e-postløsning over i nettskytjenesten Office 365 fra Microsoft. Kommunen har i den forbindelse engasjert SIMONSEN advokatfirma (SIMONSEN) til å foreta en juridisk vurdering av databehandleravtalen med Microsoft, og kommunen har i samråd med Det Norske Veritas (DNV) gjennomført en kvalitativ risikovurdering med utgangspunkt i kommunens planlagte bruksmønster. For øvrig har Datatilsynet, Moss kommune og Microsoft avholdt dialogmøter for å belyse aktuelle problemstillinger ytterligere. I det følgende vil Datatilsynet kommentere de vurderinger som er gjort av SIMONSEN om databehandleravtalen. Tilsynet vil tilslutt også adressere andre problemstillinger knyttet til bruk av Office 365. Kommentarer til SIMONSENs gjennomgang av databehandleravtalen 1) Formålet med avtalen og typer av behandling Dersom et foretak behandler personopplysninger på vegne av et annet, slik at det førstnevnte blir å regne som det andre foretakets databehandler, jf. lovens 2 nr. 5, følger det av lovens 15 at selskapene må inngå en databehandleravtale. Det fremgår av denne bestemmelsen at avtalen må oppfylle nærmere bestemte kriterier: En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 Kommunen opplyser at databehandleravtale er inngått, og viser til Microsofts Enterprise Enrollment Addendum Office 365 Data Processing Agreement (heretter: Avtalen ). Nedenfor går vi gjennom de ulike kravene som stilles i 15, i lys av kommunens redegjørelse for Avtalens innhold. 1 Skriftlighetskravet Den behandlingsansvarlige og databehandleren er for det første forpliktet til å inngå skriftlig avtale om den aktuelle behandlingen av personopplysninger. Det fremgår av sakens dokumenter at skriftlighetskravet er oppfylt. Avtalens formålsavgrensning For det andre følger det av bestemmelsen at databehandleren ikke kan behandle personopplysningene på annen måte, eller til andre formål, enn det som er avtalt med den behandlingsansvarlige. Dette forutsetter at avtalen definerer de aktuelle behandlingsmåtene og behandlingsformålene. I dette ligger det også at databehandleren ikke kan gå utover de instruksjoner som den behandlingsansvarlige gir om den aktuelle databehandlingen databehandleren er bundet av de behandlingsformål og de behandlingsmåter som den behandlingsansvarlige kan gjøre gjeldende i medhold av personopplysningsloven. Dersom leverandøren behandler personopplysningene på andre måter, eller til andre formål, enn det som er avtalt, vil det medføre brudd på databehandleravtalen. Leverandøren vil i tillegg bli å regne som behandlingsansvarlig for de databehandlinger som ikke er omfattet av avtalen. I så fall må leverandøren svare for oppfyllelsen av samtlige rettslige krav som stilles til behandlingen. 2 Kommunen har under henvisning til Avtalens punkt 1 titulert Privacy redegjort for Microsofts rådighet over de personopplysningene som behandles ved hjelp av tjenesten. 3 Det er oppgitt at opplysningene utelukkende behandles til formål som er knyttet til levering av tjenesten Office 365. Avtalen viser dessuten til de underliggende tjenestene som er omfattet av Office 365. Samlet sett har vi vurdert at disse delene av Avtalen gir et akseptabelt bilde av hvilke personopplysninger som skal behandles, på hvilke måter de skal behandles og til hvilke formål. Kravet om formålsavgrensning i lovens 15 er etter dette å anse som oppfylt. Forbudet mot å overlate opplysningene til andre Det fremgår av Avtalens punkt 1 litra d at Microsoft ikke kan utlevere data til andre uten etter godkjennelse fra kommunen. Dette punktet er således i overensstemmelse med lovens Simonsens notat datert 29. september Hvorvidt disse rettslige kravene springer ut av den norske personopplysningsloven, avhenger av om vilkårene i personopplysningsloven 4 er oppfylt. 3 Personopplysningenes art er beskrevet på følgende måte: Customer data, som ifølge kommunen igjen er definert som alle data, herunder tekst-, lyd- eller billedfiler som formidles til Microsoft ved bruk av Office

3 I tillegg er det opplyst at Microsoft vil kunne bli nødt til å utlevere opplysninger til law enforcement [authorities]. Vi antar at det siktes til krav om utlevering av persondata som skriver seg fra andre jurisdiksjoner enn den norske, for eksempel i forbindelse med etterforskning av straffbare forhold. Så fremt det enkelte kravet er rettslig bindende overfor tjenesteleverandøren, og en påfølgende utlevering ikke er i strid med øvrige bestemmelser i norsk lov, vil utleveringer fra tjenesteleverandøren til nevnte behandlingsformål kunne finne sted. Den behandlingsansvarlige bør imidlertid også forsikre seg om at databehandleren kan garantere at ingen personopplysninger vil bli utlevert til noe annet lands justismyndigheter, med mindre de ovennevnte kriteriene er oppfylt. 4 I tillegg bør de registrerte informeres om denne utleveringsadgangen, jf. prinsippene i personopplysningsloven 19 bokstav c og e. 2) Klar adskillelse av opplysningene Skytjenester som Office 365 håndterer personopplysninger fra mange forskjellige virksomheter, og baserer seg i stor grad på virtualiseringsteknologi og logiske sikkerhetsbarrierer. Personopplysningsregelverket stiller krav til at personopplysninger som knyttes til forskjellige juridiske enheter skal holdes forsvarlig atskilt fra hverandre. SIMONSEN bemerker i sin vurdering at de ikke umiddelbart kan se at avtalen tar høyde for disse kravene. Datatilsynet kan heller ikke se at avtalen spesifikt adresserer tiltak knyttet til atskillelse av personopplysninger fra ulike behandlingsansvarlige. I tilsynets dialog med Microsoft henvises det imidlertid til nettstedet Office 365 Trust Center 5, som har som formål å opplyse kunder om personvern og sikkerhet i Office 365. I dette tilfellet henvises det særskilt til dokumentene Security in Office 365 White Paper 6 og Office 365 Security and Service Continuity Service Description 7, og følgende avsnitt er hentet fra sistnevnte: Data isolation: Data storage and processing is logically segregated among customers of the same service through Active Directory structure and capabilities specifically developed to help build, manage, and secure multitenant environments. The multitenant security architecture ensures that customer data stored in shared Office 365 data centers is not accessible by or compromised to any other organization. Organizational units (OUs) in Active Directory control the prevention of unauthorized and unintended information transfer via shared system resources. Tenants are isolated from one another based on security boundaries, or silos, enforced logically through Active Directory. 4 Jf. Artikkel 29-gruppens uttalelse 05/2012 om Cloud Computing, avsnitt nr. 13, jf. også avsnitt 4.1 femte strekpunkt tredje kulepunkt

4 Datatilsynet anser at logiske mekanismer for atskillelse av data, som regel i samspill med andre sikkerhetstiltak, kan oppfylle kravene i personopplysningsregelverket. Det er imidlertid Moss kommunes ansvar å påse gjennom sin risikovurdering at databehandlerens sikkerhetstiltak er effektive og tilstrekkelig for den aktuelle behandlingen. Moss kommune har gjennom sin risikovurdering opplyst Datatilsynet om at de anser Microsofts tiltak for å være meget gode og tilfredsstillende. Tilsynet legger kommunens vurdering til grunn. 3) Informasjonssikkerhet og revisjon Personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 stiller krav til blant annet risikovurdering, implementasjon og dokumentasjon av sikkerhetstiltak, og sikkerhetsrevisjon av kommunikasjonspartnere og leverandører. Avtalens punkt 4 beskriver sikkerhetstiltak i Office 365 på et overordnet nivå, og omfatter i hovedsak områdene som dekkes av standarden ISO SIMONSEN understreker i sine kommentarer viktigheten av å gjennomføre en risikovurdering og å dokumentere at sikkerhetstiltakene er tilfredsstillende, noe Datatilsynet slutter seg til. Datatilsynet legger til grunn at Moss kommune i samarbeid med DNV har gjennomført en risikovurdering av Office 365 som kommunen anser som tilstrekkelig og god. Denne peker på en rekke risikoer og tiltak som kommunen må vurdere i forkant av en eventuell implementering av tjenesten. Avtalens punkt 4 inneholder bestemmelser om sikkerhetsrevisjon, og kan kort oppsummeres slik: Microsoft har etablert et styringssystem for informasjonssikkerhet basert på standarden ISO 27001, og er sertifisert i henhold til denne. Det skal minst årlig gjennomføres en tredjepartsrevisjon i henhold til ISO Det skal produseres en konfidensiell oppsummeringsrapport av revisjonen som Moss kommune kan motta på forespørsel til Microsoft. På bakgrunn av oppsummeringsrapporten skal Moss kommune kunne vurdere om sikkerhetstilstanden i Office 365 er i henhold til avtalen og kommunens krav. Datatilsynet legger til grunn Artikkel 29 Opinion 05/2012 on Cloud Computing 8, hvor uavhengige tredjepartsrevisjoner omtales slik: Individual audits on data hosted in a multi-party, virtualized server environment may be impractical technically and can in some instances serve to increase the risks to those physical and logical network security controls in place. In such cases, a relevant third party audit chosen by the controller may be deemed to satisfy in lieu of an 8 4

5 individual controller s right to audit. [ ] In the context of cloud computing, potential customers should look to see whether cloud services providers can provide a copy of this third party audit certificate or indeed a copy of the audit report verifying the certification [ ]. Selv om Artikkel 29-gruppen langt på vei anerkjenner tredjepartsrevisjoner, vil det trolig være en utfordring for Moss kommune å avklare hvilke deler av en omfattende revisjonsrapport som er relevant for akkurat deres opplysninger. Så vidt Datatilsynet kjenner til finnes det på nåværende tidspunkt ingen oppsummeringsrapport tilgjengelig for Moss kommune, noe som gjør det vanskelig å vurdere hvorvidt denne kan anses som et tilfredsstillende styringsverktøy. Det vil være opp til Moss kommune å følge opp dette og gjøre de nødvendige vurderingene. Kontroll med at leverandøren etterlever avtalen Det følger av personopplysningslovens 14 om internkontroll at den behandlingsansvarlige skal etablere planlagte og systematiske tiltak for å sikre at lovens krav følges. Plikten tilligger den behandlingsansvarlige, og ikke databehandleren. Hvordan personopplysningene skal behandles, hvilke rutiner som skal følges, og hvordan etterlevelse kontrolleres, må derfor reguleres i avtalene mellom behandlingsansvarlig og databehandler. Krav om internkontroll gjelder også for andre plikter enn informasjonssikkerhet, som for eksempel at opplysningene ikke behandles til andre formål enn avtalt, sletting og bruk av tredjeland. Etter Datatilsynets syn fremstår det som nødvendig at databehandlerens etterlevelse av avtalen bekreftes gjennom tredjepartsrevisjoner (med mindre behandlingsansvarlig selv gjennomfører revisjon), på samme måte som for informasjonssikkerhet, se avsnitt 3). Dette for at behandlingsansvarlig skal ivareta kravet om systematiske tiltak for å sikre etterlevelse av loven. 4) Tilgangsstyring Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11, 2-12 og 2-13 stiller krav til at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Som SIMONSEN nevner i sin vurdering, fremgår det av avtalens punkt 1 at det bare er autorisert personell hos Microsoft som skal kunne behandle Moss kommune sine opplysninger, og at slikt personell er underlagt taushetsplikt. Det er også angitt en rekke krav til tilgangskontroll, autentisering og autorisasjon. I tilsynets dialog med Microsoft henvises det også her til Office 365 Trust Center for utfyllende informasjon, og særskilt dokumentet Administrative Access 9. Her beskrives mer 9 5

6 detaljert klassifiseringen av ulike typer informasjon i løsningen og hvilke tilgangsnivåer som er etablert. Kommunen må selv gjøre en vurdering av hvorvidt tilgangsstyringen er tilfredsstillende, men Datatilsynet har ingen videre merknader til dette. 5) Autorisert og uautorisert bruk Personopplysningsforskriftens 2-8, tredje ledd og 2-14, annet ledd stiller krav til at autorisert og uautorisert bruk av informasjonssystemet skal registreres. Videre pålegger 2-16 at opplysninger om slike registreringer og alle andre hendelser med betydning for informasjonssikkerheten skal lagres i minst tre måneder. Det fremgår av avtalens punkt 4 at Microsoft skal registrere opplysninger om sikkerhetssvikt og ha disse tilgjengelig i en periode på minst seks måneder. SIMONSEN anser avtalen for å være uklar og mangelfull på dette området, og at den etter deres oppfatning ikke er i overensstemmelse med kravene i personopplysningsregelverket. Dette er også Datatilsynets oppfatning. I tilsynets dialog med Microsoft henvises det til dokumentet Standard Response to Request for Information Securiy and Privacy 10. Dette er en oversikt som viser hvordan Microsoft Online Services (inkludert Office 365) oppfyller kravene til blant annet sikkerhet og personvern som er utarbeidet av Cloud Security Alliance (CSA) 11. Det pekes særskilt på følgende krav fra CSA (krav SA-15 i Cloud Controls Matrix 12 ): Audit logs recording privileged user access activities, authorized and unauthorized access attempts, system exceptions, and information security events shall be retained, complying with applicable policies and regulations. Audit logs shall be reviewed at least daily and file integrity (host) and network intrusion detection (IDS) tools implemented to help facilitate timely detection, investigation by root cause analysis and response to incidents. Physical and logical user access to audit logs shall be restricted to authorized personnel. Videre beskriver Microsoft sin etterlevelse av kravet slik: Access to logs is restricted and defined by policy and logs are reviewed on a regular basis. Audit logging is covered under the ISO standards, specifically addressed in Annex A, domain For more information review of the publicly available ISO standards we are certified against is suggested

7 Basert på denne beskrivelsen er det fortsatt uklart for Datatilsynet om Microsoft er i henhold til de konkrete kravene i personopplysningsforskriftens 2-8, 2-14 og ) Overføring av personopplysninger til tredjeland Lagring og behandling i Microsofts datasentre Det følger av personopplysningsloven 29 at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. I praksis vil dette si at overføring av persondata til andre land enn medlemsstatene i EU og EØS-landene, som hovedregel er utelukket. Det finnes imidlertid unntak. For eksempel kan dataeksportøren gi individuelle garantier, eller EU-kommisjonen kan ha besluttet at visse enkeltstater er trygge mottakerstater. 13 Kommunen opplyser at det som følge av Avtalen punkt 1 litra e åpnes for overføring av personopplysninger til Microsofts datasentre i USA og Europa, men også i andre stater. Overføring til USA Det følger av artikkel 1 i EU-kommisjonens beslutning 2000/520/EF av 26. juli 2000 at Safe Harbor-prinsippene sikrer et tilstrekkelig beskyttelsesnivå, i den forstand som omtalt i direktiv 95/46/EF artikkel 25 (1) og (2). Det følger videre av den samme bestemmelsen at personopplysninger kan eksporteres fra EU-/EØS-land til foretak som er etablert i USA, under de nærmere forutsetninger som er angitt i artikkelen. Kommisjonsbeslutningen er bindende for Norge, jf. personopplysningsforskriften 6-1. Det fremgår av offentlig tilgjengelig informasjon at Microsoft Corporation and its Controlled U.S. Subsidiaries (heretter: Microsoft Corp. ) er sertifisert under Safe Harbor-programmet. 14 Under forutsetning av at samtlige aktuelle datasentre i USA er en del av Microsoft Corp. og således utgjør en del av det Safe Harbor-sertifiserte foretaket, vil overføring av personopplysninger fra Norge til disse datasentrene være i samsvar med personopplysningsloven 29. Overføring til andre tredjeland Som nevnt åpner Microsoft for å overføre personopplysninger til andre datasentre enn de som finnes i USA og EØS-området. Slik overføring av personopplysninger til andre land enn de som er nevnt innledningsvis over i avsnitt 5, må forhåndsgodkjennes av Datatilsynet, på bakgrunn av individuelle garantier gitt av den behandlingsansvarlige, jf. personopplysningsloven 30 andre ledd. Dersom den behandlingsansvarlige og databehandleren inngår standardavtalen inntatt i bilaget til EU-kommisjonens beslutning av 5. februar 2010 (2010/87/EU), og denne 13 Jf. hhv. personopplysningsloven 30 andre ledd, og 29, jf. personopplysningsforskriften

8 forhåndsgodkjennes av Datatilsynet, jf. 30 andre ledd, vil opplysningene kunne overføres til tredjeland i medhold av avtalens standardklausul 11. Slik overføring fra dataimportøren til underleverandører forutsetter imidlertid skriftlig forhåndsgodkjenning fra den behandlingsansvarlige: The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without prior written consent of the data exporter Bruk av underleverandører krever altså at den behandlingsansvarlige (dataeksportøren) avgir et skriftlig fornhåndssamtykke til databehandleren (dataimportøren). Spørsmålet om dette samtykkets art er drøftet av Artikkel 29-gruppen, i dens uttalelse om Cloud Computing, hvor gruppen uttaler følgende: In the view of the WP29, the processor can subcontract its activities only on the basis of the consent of the controller, which may be generally given at the beginning of the service with a clear duty for the processor to inform the controller of any intended changes concerning the addition or replacement of subcontractors with the controller retaining at all times the possibility to object to such changes or to terminate the contract. There should be a clear obligation of the cloud provider to name all the subcontractors commissioned. Spørsmålet om dette forhåndssamtykket må være spesifikt for hvert enkelt tilfelle, eller om det er tilstrekkelig med et generelt samtykke, er ytterligere drøftet i Artikkel 29- gruppens arbeidsdokument WP 176: 15 Model Clauses 2010/87/EU do not specify this. According to the Working Party, it is up to the controller to decide if general prior consent would be sufficient or if specific consent is required for each new sub processing. Det er med andre ord den behandlingsansvarlige som må ta stilling til dette spørsmålet, i lys av følgende faktorer: This decision will probably vary depend on the context of the processing, the type of data (sensitive or not), and the level of involvement of the controller for this type of choice. Some controllers may decide that a full prior check of the identity of each sub processor is necessary while others may consider that prior information (clause 5.h), the duty to communicate the clause (clause 5.j) and the guarantee to have the same level of protection (clause 11.1) are enough. 15 FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC, tilgjengelig fra ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_en.pdf, se dokumentets avsnitt II.1. 8

9 Bruken av standardavtale 2010/87/EU som rettslig fundament for overføring av personopplysninger til underleverandører i tredjeland, er i tråd med reglene i personopplysningsloven. Vi gjør for ordens skyld også oppmerksom på følgende: Ved inngåelse av avtalen påtar den behandlingsansvarlige seg de forpliktelser som er angitt i klausul 4, blant annet gir den behandlingsansvarlige følgende garantier: to make available to the data subjects upon requests a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses [ ] that, in the event of sub-processing, the processing activity is carried out in accordance with clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subjects as the data importer under the Clauses Samtidig underlegges databehandleren (dataimportøren) som er part i avtalen, de forpliktelser som følger av klausul 5, blant annet: to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing [ ] that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent that the processing services by the sub-processor will be carried out in accordance with Clause 11 to send promptly a copy of any sub-processor agreement it concludes under the clauses to the data exporter Vi minner dessuten om at enkelte tredjeland er godkjent som trygge mottakerstater av EUkommisjonen. 16 Forholdet mellom Avtalen og Office 365 Trust Center Microsoft har i den pågående dialogen med Datatilsynet vist til at det er opprettet et Microsoft Office 365 Trust Center. Dette er et nettsted hvor Microsoft informerer om behandling av personopplysninger i Office 365, blant annet er det gitt opplysninger om: Data Use Limits Administrative Access Geographic Boundaries Third Parties Security, Audits and Certifications 16 Se fullstendig oversikt på ec.europa.eu/justice/data-protection/document/internationaltransfers/adequacy/index_en.htm 9

10 Regulatory Compliance 17 Datatilsynet legger til grunn at formålet med nettstedet er å sikre full gjennomsiktighet overfor kundene, i tråd med Artikkel 29-gruppens anbefalinger, 18 men at innholdet på nettstedet ikke utgjør en del av de omtalte avtalene. Diskusjonen i dette brevs 2) og 4) synliggjør ufordringer ved at informasjonen gitt i Trust Center ikke kan anses som avtalt med den behandlingsansvarlige. Klageadgang Ovenstående beslutninger kan påklages i henhold til forvaltningslovens bestemmelser. En eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at brevet ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på retten til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Med vennlig hilsen Helge Veum avdelingsdirektør Lars-Otto Nymoen overingeniør 17 Kategoriene er sitert ordrett fra Microsofts e-post til Datatilsynet av 26. mars Opinion 5/2012 on Cloud Computin avsnitt