Krav til bruk av skytjenester
|
|
- Sindre Håkonsen
- 8 år siden
- Visninger:
Transkript
1 Krav til bruk av skytjenester UFS nr.: 150 Versjon: 0.6 Status: Utkast Dato: 8. sep Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat for informasjonssikkerhet i UH-sektoren Ansvarlig: UNINETT Kategori: Anbefaling
2 SAMMENDRAG I Denne UFSen omhandler rettslige krav til bruk av skytjenester og skal bidra til at universiteter og høyskoler kan anvende skytjenester på lovlig måte. UFSen retter seg primært mot personell med et særskilt ansvar for institusjonens bruk av slike tjenester (admin/it), men den passer også for andre med interesse for spørsmål knyttet til rettslig regulering av skytjenester. UFSen gir innsikt i lover og regler som gjelder ved bruk av skytjenester, samt konkrete råd og eksempler på hvordan dette kan gjøres i praksis. Merk at det kun er lover og regler som er særlig relevante for skytjenester behandles i UFSen. UFSen består av fire hoveddeler: lovverket, utredningsfasen, avtalefasen og forvaltningsfasen. En kort oppsummering av hver av disse finner du nedenfor. 1 LOVVERKET Reglene i personopplysningsloven og e-forvaltningsforskriften innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. 1.1 Personopplysningsloven Personopplysningsloven har regler om sikring av personopplysninger i skytjenester (informasjonssikkerhet), inngåelse av avtaler med databehandleren (skytjenesteleverandøren) og hvordan behandlingsansvarlig (institusjonen) skal følge opp den daglige bruken av skytjenester. 1.2 E-forvaltningsforskriften E-forvaltningsforskriften har regler om sikring av informasjonsverdier i skytjenester (informasjonssikkerhet) når institusjonen benytter slike tjenester til kommunikasjon med (a) enkeltpersoner eller (b) andre forvaltningsorganer. 1.3 Arkivloven Arkivloven har regler om at arkivmateriale ikke kan arkiveres lovlig i skytjenester som lagrer slikt materiale i utlandet (uten at det er gitt særskilt samtykke fra Riksarkivaren). 1.4 Regnskapslovgivningen (bokføringsloven) Regnskapslovgivningen har regler som i utgangspunktet setter forbud mot lagring av regnskapsmateriale på datamaskiner plassert i land utenfor Norden (Danmark, Finland, Sverige og Island). 2
3 2 UTREDNINGSFASEN Før skytjenesten tas i bruk har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle skytjenesten (iht. personopplysningsloven og e-forvaltningsforskriften). Det rettslige kravet, både i personopplysningsloven og e-forvaltningsforskriften, er at skytjenesten lovlig kan tas i bruk dersom informasjonssikkerheten i skytjenesten er tilfredsstillende, det vil si at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier) vurderes å være akseptabel. Institusjonen må selv definere hvor stor risiko for brudd på informasjonssikkerheten den kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke skytjenesten brukes på lovlig måte. Personopplysningsloven og e-forvaltningsforskriften stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten skal være. Institusjonen må imidlertid ha så god kunnskap om hvordan den aktuelle skytjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: Hvilke hendelser kan føre til uautorisert tilgang, eksponering, endring, skade eller tap av institusjonens informasjonsverdier? Hvor stor er sannsynligheten for og konsekvensene av slike hendelser? 3 AVTALEFASEN Avtalefasen er perioden etter at risikovurderingen av skytjenesten er ferdigstilt, men før tjenesten tas i bruk av institusjonen. Dersom risikovurderingen viser at det er forsvarlig å anvende skytjenesten (informasjonssikkerheten er tilfredsstillende), skal institusjonen i denne fasen inngå visse avtaler med skytjenesteleverandørene, det vil si databehandleravtaler. Følgende momenter bør være med i databehandleravtaler med skytjenesteleverandører: Databehandleravtalen sin hensikt. At vilkår i databehandleravtalen går foran vilkår spesifisert i andre avtaler. Hvilke personopplysninger eller tjenester avtalen gjelder for. Institusjonen har eierskap til sine egne data. Leverandøren skal følge instrukser gitt av institusjonen. Leverandørens råderett over personopplysninger er tydelig begrenset. Institusjonen gis tilgang til nødvendig dokumentasjon av skytjenesten. Krav til bruk av eventuelle underleverandører. Krav til informasjonssikkerheten. Krav til sikkerhetsrevisjoner. Krav til sletting av personopplysninger. Krav til tilbakeføring av personopplysninger. Avtalens varighet. Lovvalg og verneting. Institusjonen må også melde bruken av skytjenesten til Datatilsynet før den tas i bruk, eventuelt søke konsesjon fra Datatilsynet dersom det er meningen av skytjenesten skal behandle sensitive personopplysninger. 3
4 I denne fasen kan det i tillegg være aktuelt å søke Riksarkivaren eller Skattedirektoratet om dispensasjon fra reglene om langtidslagring av arkiv- eller regnskapsmateriale i utlandet. 3.1 Skytjenester i tredjeland Personopplysningsloven inneholder regler for hva institusjonen må gjøre for at overføring av personopplysninger til tredjeland, det vil si land utenfor EØS-området, skal være lovlig. Disse reglene må institusjonen påse at den følger før skytjenester tas i bruk. Dersom personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) etablert i land innenfor EØS-området (alle EU-land pluss Norge, Island og Liechtenstein), trenger ikke institusjonen å ta hensyn til reglene om overføringer av personopplysninger til tredjeland. Det samme gjelder dersom skytjenesteleverandøren (og eventuelle underleverandører) er etablert i land utenfor EØS-området, men som er godkjent av EU-kommisjonen (det vil si land som, ifølge EUkommisjonen, har like god personvernlovgivning som land innenfor EØS-området). Overføring av personopplysninger til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området og som ikke er godkjent av EU-kommisjonen er i utgangspunktet ikke tillatt. Slike overføringer kan likevel skje på lovlig måte under visse betingelser. De mest vanlige betingelsene er: Samtykke til overføring fra de registrerte (studenter, ansatte, osv.). Overføring basert på EUs standardkontrakt. Datatilsynet godkjenner overføringen. Safe Harbor. 3.2 Safe Harbor USA er et land utenfor EØS-området som ikke er godkjent av EU-kommisjonen. Personopplysninger om borgere i EØS-området kan likevel overføres lovlig til USA dersom selskapet som mottar opplysningene har sluttet seg til Safe Harbor-programmet. For amerikanske skytjenesteleverandører som er tilsluttet Safe Harbor gjelder de samme reglene som ved bruk av skytjenester som kun behandler personopplysninger i land innenfor EØS-området. Dersom personopplysninger overføres til amerikanske skytjenesteleverandører (og eventuelle underleverandører) som ikke er tilsluttet Safe Harbor, gjelder reglene om overføring av personopplysninger til land som ikke er godkjent av EU-kommisjonen. Det betyr at overføringen bare vil være lovlig under visse betingelser, for eksempel dersom (a) de registrerte har samtykket til det, (b) EUs standardkontrakt for overføring av personopplysninger anvendes eller (c) Datatilsynet godkjenner overføringen. 4 FORVALTNINGSFASEN Forvaltningsfasen omfatter hele perioden fra institusjonen første gang benytter skytjenesten og helt frem til bruken av tjenesten avsluttes. I forvaltningsfasen har institusjonen visse løpende plikter, det vil si lovpålagte oppgaver som institusjonen skal utføre med jevne mellomrom gjennom hele avtaleperioden: 4
5 4.1 Avtaleoppfølging. Sjekke at skytjenesteleverandøren overholder vilkårene i databehandleravtalen, eventuelt også vilkårene i EUs standardkontrakt for overføring av personopplysninger til tredjeland. 4.2 Risikovurderinger. Vurdere jevnlig om risikoen for uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier fortsatt er akseptabel. 4.3 Rutinekontroll. Sjekke at institusjonens rutiner for overholdelse av reglene om langtidslagring av arkiv- og regnskapsmateriale i utlandet overholdes. 4.4 Melding til Datatilsynet. Sende melding til Datatilsynet dersom uvedkommende har fått innsyn i de personopplysningene som behandles i skytjenesten. 5
6 Innholdsfortegnelse DEL I SAMMENDRAG Lovverket Personopplysningsloven E-forvaltningsforskriften Arkivloven Regnskapslovgivningen (bokføringsloven) Utredningsfasen Avtalefasen Skytjenester i tredjeland Safe Harbor Forvaltningsfasen Avtaleoppfølging Risikovurderinger Rutinekontroll Melding til Datatilsynet DEL II INTRODUKSJON Avgrensinger Endringer i denne revisjonen DEL III LOVVERKET Kort om rettslige krav ved anskaffelse og bruk av skytjenester Personopplysningsloven E-forvaltningsforskriften Arkivloven Bokføringsloven Oppsummering DEL IV UTREDNINGSFASEN Grunnlaget for beslutninger om bruk av skytjenester Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Hvor grundige må risikovurderinger av skytjenester være? Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Må institusjonen gjennomføre to risikovurderinger av den samme skytjenesten for å overholde reglene i både personopplysningsloven og e-forvaltningsforskriften? Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? DEL V AVTALEFASEN Inngåelse av databehandleravtaler med skytjenesteleverandører innenfor EØS-området() Er hensikten med databehandleravtalen spesifisert? Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset? Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen?
7 9.8 Sier avtalen at institusjonen kan få tilgang til nødvendig dokumentasjon hos skytjenesteleverandøren? Stiller avtalen krav til skytjenesteleverandørens bruk av eventuelle underleverandører? Stiller avtalen eksplisitte krav til informasjonssikkerheten hos skytjenesteleverandøren? Fremgår det av avtalen hvordan skytjenesteleverandøren vil håndtere henvendelser fra politimyndigheter om å få tilgang til institusjonens personopplysninger? Stiller avtalen krav til sikkerhetsrevisjoner hos skytjenesteleverandøren? Regulerer avtalen sletting av personopplysninger hos skytjenesteleverandøren? Regulerer avtalen hvordan personopplysninger skal tilbakeføres til institusjonen? Reguleres avtalens varighet? Reguleres lovvalg og verneting? Hvordan skal institusjonen forholde seg til annen informasjon om tjenesten, for eksempel på skytjenesteleverandørens hjemmeside? Inngåelse av databehandleravtaler med skytjenesteleverandører som overfører personopplysninger til tredjeland Hvordan kan institusjonen finne ut om personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området? Hva skal institusjonen passe på hvis personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området, men som er godkjent av EU-kommisjonen? Hva skal institusjonen passe på hvis personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området, men som ikke er godkjent av EU-kommisjonen? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør (og eventuelle underleverandører) som er tilsluttet Safe Harbor? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør (og eventuelle underleverandører) som ikke er tilsluttet Safe Harbor? Hva skal institusjonen passe på hvis personopplysninger overføres til en skytjenesteleverandør i EØS-området, men som har datasentre eller underleverandører i ikkegodkjente land? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør tilsluttet Safe Harbor, men som likevel har datasentre eller underleverandører i ikke-godkjente land? Hva skal institusjonen passe på hvis personopplysninger overføres til amerikanske skytjenesteleverandør tilsluttet Safe Harbor, men som likevel anvender ikke-tilsluttede amerikanske selskaper som underleverandører? Melding, konsesjon og dispensasjon Hvordan kan institusjoner uten personvernombud ivareta meldeplikten til Datatilsynet? Hvordan kan institusjonen ivareta konsesjonsplikten hvis skytjenester ønskes brukt til behandling av sensitive personopplysninger? Hvordan kan institusjonen søke Skattedirektoratet om dispensasjon dersom den ønsker å bruke skytjenester til permanent lagring av regnskapsmateriale på datamaskiner utenfor Norden?.. 31 DEL VI FORVALTNINGSFASEN Om forvaltningsfasen Hvordan kan institusjonen forsikre seg om at vilkårene i lovpålagte avtaler med skytjenesteleverandøren overholdes? Hva skal institusjonen gjøre dersom det viser seg at skytjenesteleverandøren ikke overholder avtalene? Hvor ofte skal institusjonen gjennomføre risikovurderinger av bruken av skytjenesten? Hva skal institusjonen gjøre dersom nye risikovurderinger viser at informasjonssikkerheten ikke lenger er tilfredsstillende? Hvordan kan institusjonen forsikre seg om at rutiner for lagring av arkiv- og regnskapsmateriale overholdes av sluttbrukerne?
8 11.6 Hvordan kan institusjonen melde uautorisert tilgang til eller eksponering av personopplysninger i skytjenesten til Datatilsynet? DEL VII REFERANSER
9 Endringslogg: Versjon Dato Kapittler Endring Ansvarlig Godkjent Alle Første versjon av innhold klar til TT gjennomlesing Alle Gjennomlesing og kommentarer RSN/TT/SS/OIS Alle Lagt til sammendrag SS Alle Innhold ferdig TT Alle Lagt over i UFS formatet MS Alle Ryddet etter gjennomlesing MS/IM Arbeidsgruppen som har jobbet med denne UFSen er Sekretariat for informasjonssikkerhet i UHsektoren og personer fra ecampus prosjektet på digital eksamen. Tommy Tranvik, UiO Rolf Sture Normann, UNINETT Simon Skrødal, UNINETT Ingrid Melve, UNINETT Magnus Strømdal, UNINETT 9
10 INTRODUKSJON I I Universiteter eller høyskoler som ønsker å ta i bruk skytjenester i administrasjon, undervisning, formidling og forskning, skal følge enkelte lover og regler. UNINETT har i regi av ecampus-programmet etablert et prosjekt for digital eksamen. I dette arbeidet har prosjektet avdekket at den klart mest fordelaktige plattformen for etablering av en eller flere felles løsninger for digital eksamen er bruk av skytjenester. Lovverket som gjelder legger visse føringer på og setter visse begrensninger for bruken av skytjenester til slike formål. Det er derfor ikke fritt frem å benytte hvilke skytjenester som helst, men lovverket inneholder heller ikke forbud mot bruk av skytjenester. Lovlig bruk av skytjenester betinges av at institusjonen etablerer tilfredsstillende styring og kontroll med hva skytjenesteleverandøren og eventuelle underleverandører gjør med de informasjonsverdiene som leverandøren behandler på institusjonens vegne. Dersom institusjonen har etablert styring og kontroll med skytjenesteleverandøren, har den et betydelig mulighetsrom for bruk av skytjenester. Vektleggingen av tilfredsstillende styring og kontroll innebærer at den viktigste barrieren mot lovlig bruk av skytjenester verken er teknisk eller juridisk. Kartlegginger i sektoren indikerer isteden at hovedbarrieren er kompetanse.(1) Dette dreier seg særlig om to forhold: Kunnskap om de viktigste lover og regler som gjelder ved bruk av skytjenester. Kjennskap til hvordan de viktigste lovene og reglene kan anvendes ved bruk av skytjenester. Institusjonen må ha kompetanse på begge punktene for å kunne anvende skytjenester på en lovlig måte. Formål Formålet med UFSen er å bidra til å styrke kompetansen på hvilke rettslige krav som gjelder når universiteter og høyskoler ønsker å ta i bruk skytjenester. Dette gjøres på tre måter: For det første ved at UFSen gir oversikt over de viktigste reglene som gjelder ved bruk skytjenester, og hva reglene krever av institusjonen. For det andre ved at UFSen stiller og besvarer sentrale spørsmål om hvordan reglene kan anvendes ved bruk av skytjenester. For det tredje ved at UFSen gir konkrete eksempler på hvordan reglene kan ivaretas i praksis. Målgruppe UFSen retter seg primært mot IT-ansatte på universiteter og høyskoler, og ansvarlige for informasjonssikkerhet og personvern. UFSen kan også leses av andre ansatte som har et særlig ansvar for at bruken av skytjenester skjer på lovlig måte. 1 Se forskningsrapporten «Styring av informasjonssikkerheten i universiteter og høyskoler», tilgjengelig på 10
11 5 AVGRENSINGER UFSen har ikke til formål å gjøre rede for regler som gjelder for all elektronisk behandling av personopplysninger og andre informasjonsverdier. Fokuset rettes mot de reglene som er særlig relevante i en skysammenheng. Det betyr for eksempel at grunnkrav til behandling av personopplysninger i personopplysningsloven og generelle regler om informasjonssikkerhet i e-forvaltningsforskriften ikke blir drøftet.(2) Anskaffelsesregelverket (lov og forskrift om offentlige anskaffelser) blir ikke drøftet i denne UFSen. Her må institusjonen gjøre en skjønnsmessig vurdering av «skyanskaffelsens» verdi over hele avtaleperioden for å avgjøre hvilke deler av regelverket som kommer til anvendelse. Vurderingen må blant annet ta i betraktning (a) hva slags skytjeneste det dreier seg om, (b) hvor mange som skal anvende tjenesten, (c) hvor omfattende bruken av tjenesten vil være og (d) planlagte endringer (utvidelser) i bruken av tjenesten. For nærmere informasjon om anskaffelsesregelverket, se fagsidene om offentlige anskaffelser hos Direktoratet for Forvaltning og IKT ( eller Dataforeningens veileder om anskaffelse av skytjenester ( Regler eller vilkår for bruk av skytjenester til behandling av forskningsdata, spesielt uttrekk fra helseregistre og andre typer helseopplysninger, drøftes ikke særskilt. Foregangsmåten som gjelder for bruk av skytjenester generelt og som beskrives i UFSen vil imidlertid også i stor grad gjelde ved behandling av forskningsdata i skyen. Institusjonen må likevel være oppmerksom på at både helselovgivningen og avtaler med eksterne informasjonsleverandører (sentrale helseregistre, Statistisk Sentralbyrå eller andre offentlige etater) kan inneholde særlige vilkår som har betydning for behandling av forskningsdata i skyen. I tillegg kan godkjenningsorganer, for eksempel regionale komiteer for medisinsk og helsefaglig forskningsetikk eller Rådet for taushetsplikt og forskning, bestemme vilkår for behandling av slike data. Vilkårene kan begrense mulighetene for anvendelse av enkelte typer skytjenester. Det kan for eksempel være at det settes forbud mot at visse forskningsdata overføres til og lagres i utlandet. Slike særlige forhold må avklares av prosjektleder (og forskningsadministrasjonen) ved oppstart av hvert enkelt forskningsprosjekt. 6 ENDRINGER I DENNE REVISJONEN Dette er første utgaven av denne UFSen basert på veilederen Rettslige krav til bruk av skytjenester utarbeidet av Sekretariat for informasjonssikkerhet i UH-sektoren og personer fra ecampus programmet i UNINETT. 2 Her er link til UNINETTs forslag til styringssystem for informasjonssikkerhet i UH-institusjoner: 11
12 LOVVERKET III 7 KORT OM RETTSLIGE KRAV VED ANSKAFFELSE OG BRUK AV SKYTJENESTER Det er spesielt personopplysningsloven, e-forvaltningsforskriften, arkivloven og regnskapslovgivningen (bokføringsloven) som legger føringer på og setter enkelte begrenser for institusjonens bruk av skytjenester. Nedenfor følger først en kort gjennomgang av disse føringene og begrensningene. I del 2-4 følger en gjennomgang av hvordan institusjonen kan forholde seg til de føringene og begrensningene som lovverket inneholder. 7.1 Personopplysningsloven Personopplysningsloven med forskrift regulerer behandling av personopplysninger(3) som helt eller delvis skjer ved bruk av elektroniske hjelpemidler.(4) De fleste sektorer og bransjer i samfunnet omfattes av reglene i personopplysningsloven, inkludert institusjoner innenfor høyere utdanning. I henhold til personopplysningsloven, regnes universiteter og høyskoler som anvender skytjenester (hvor personopplysninger behandles) som behandlingsansvarlige. Det innebærer at institusjonen er rettslig ansvarlig for at skytjenesteleverandøren (og eventuelle underleverandører) håndterer personopplysningene i henhold til reglene i loven. Leverandører av skytjenester hvor personopplysninger behandles, regnes som databehandlere. Databehandlere er selvstendige virksomheter (offentlige eller private) som forvalter opplysninger om enkeltpersoner (ansatte, studenter, deltakere i forskningsprosjekter, osv.) på vegne av (eller etter bestilling fra) institusjonen. Selv om institusjonen (behandlingsansvarlig) er rettslig ansvarlig for at skytjenesteleverandøren (databehandler) behandler personopplysninger på lovlig måte, har skytjenesteleverandøren også et selvstendig ansvar for at informasjonssikkerheten i tjenesten er tilfredsstillende. Skytjenesteleverandøren har i tillegg ansvar for at vilkår i avtaler inngått med institusjonen overholdes. Det spiller ingen rolle hvilken type skytjeneste institusjonen anvender (SaaS, PaaS, IaaS, osv.) for at reglene i personopplysningsloven skal gjelde. Det avgjørende er at skytjenesteleverandøren forvalter personopplysninger på vegne av institusjonen. Dersom det er tilfelle, er skytjenesteleverandøren databehandler for institusjonen. Dette gjelder både tilbydere av gratis- og betalingstjenester. 3 Med personopplysninger menes alle opplysninger og vurderinger enten i form av tekst, lyd, bilder eller video som kan knyttes til en bestemt enkeltperson (for eksempel ansatte, studenter eller deltakere i forskningsprosjekter). Reglene i personopplysningsloven gjelder ikke dersom opplysninger om enkeltpersoner er forsvarlig anonymisert, det vil si at det ikke lenger er mulig å identifisere hvem opplysningene gjelder. 4 Med behandling av personopplysninger menes all bruk av opplysninger som kan knyttes til en bestemt enkeltperson, for eksempel registrering, lagring, sammenstilling, overføring, publisering eller sletting. 12
13 Personopplysningsloven krever at databehandleren (skytjenesteleverandøren) bare forvalter personopplysningene slik som den behandlingsansvarlige (institusjonen) har bestemt. Dette betyr at loven ikke forbyr bruk av skytjenester, men legger visse føringer på måten skytjenester skal brukes på. Så lenge reglene i personopplysningsregelverket følges, vil anskaffelse og bruk av skytjenester (hvor personopplysninger behandles) være lovlig. Det er institusjonen som har plikt til å sørge for at bruk av skytjenester skjer på lovlig måte, ikke skytjenesteleverandøren. Institusjonen vil derfor være ansvarlig for lovbrudd som skytjenesteleverandøren gjør seg skyldige i. Institusjonen vil også være ansvarlig for lovbrudd som skytjenesteleverandørens underleverandører har begått. Institusjonen står derfor ansvarlig for alt som skjer med personopplysningene i hele produksjonskjeden (hos skytjenesteleverandøren og eventuelle underleverandører), og uansett hvor i verden skytjenesteleverandørens (eller underleverandørenes) datamaskiner måtte befinne seg. Institusjonen skal gjennomføre risikovurderinger av skytjenesten før den tas i bruk. Dette for å forsikre seg om at informasjonssikkerheten er god nok, det vil si at de er tilfredsstillende sikret mot uautorisert tilgang, endring, skade eller tap. Dersom risikovurderingen viser at sikkerheten i skytjenesten er for dårlig (ikke tilfredsstillende), vil det ikke være lovlig å ta tjenesten i bruk. Personopplysningsloven pålegger institusjonen å inngå skriftlige avtaler databehandleravtaler med skytjenesteleverandøren. Databehandleravtalen skal inneholde institusjonens instrukser til skytjenesteleverandøren. Loven vektlegger spesielt at databehandleravtalen regulerer hvordan skytjenesteleverandøren ivaretar sikkerheten til personopplysningene. Avtalene skal derfor inneholde krav om at skytjenesteleverandøren (og eventuelle underleverandører) sikrer personopplysningene på en tilfredsstillende måte mot uautorisert tilgang, endring, skade eller tap.(5) Bruken av skytjenester som innebærer overføring av personopplysninger til land som ikke er godkjent av EU-kommisjonen (land som ikke har tilfredsstillende personvernlovgivning), kan bare skje på visse vilkår, for eksempel ved at institusjonen og skytjenesteleverandøren benytter EUs standardkontrakt for slik overføring. Institusjonen skal varsle Datatilsynet dersom EUs standardkontrakt anvendes til overføring av personopplysninger til ikke-godkjente land. Dersom institusjonen benytter en skytjeneste til behandling av personopplysninger, skal bruken meldes til Datatilsynet (minst 30 dager før bruken av skytjenesten begynner(6)). Institusjoner med personvernombud er fritatt fra meldeplikten. Isteden skal personvernombudet varsles om bruken av skytjenesten. Hvis institusjonen benytter skytjenester til behandling av sensitive personopplysninger, skal Datatilsynet søkes om konsesjon. Konsesjonsplikten gjelder uavhengig av om institusjonen har personvernombud eller ikke.(7) 5 Jf. personopplysningsloven 15. Skytjenesteleverandøren databehandleren har også et selvstendig ansvar for å sørge for at opplysningene er tilfredsstillende sikret mot brudd på informasjonssikkerheten, jf. personopplysningsloven Fornyet melding skal sendes hvert tredje år. 7 Med sensitive personopplysninger regnes opplysninger om rasemessig eller etnisk bakgrunn; politisk, religiøs eller filosofisk oppfatning; straffbare handlinger; helseforhold; seksuelle forhold; medlemskap i fagforeninger. Alle andre typer av personopplysninger regnes som alminnelige. Legg merke til at elektronisk behandling av personopplysninger om studenter som skjer med hjemmel i universitets- og høyskoleloven eller som studentene har samtykket til er unntatt fra melde- og konsesjonsplikten, jf. personopplysningsforskriften Det er imidlertid svært uklart hvilke behandlinger av personopplysninger om studenter som kan sies å være hjemlet i universitets- og 13
14 7.2 E-forvaltningsforskriften Reglene i e-forvaltningsforskriften gjelder for institusjonens bruk av skytjenester dersom tjenestene benyttes til kommunikasjon med (a) enkeltpersoner eller virksomheter, (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen.(8) E-forvaltningsforskriften skiller seg fra personopplysningsloven ved at den gjelder for all elektronisk informasjonsbehandling som institusjonen har ansvaret for. Reglene i e-forvaltningsforskriften gjelder derfor selv om institusjonen ikke bruker skytjenester til behandling av personopplysninger, for eksempel taushetsbelagte opplysninger som ikke er personopplysninger, enkeltvedtak, saksdokumenter eller andre informasjonsverdier som er viktig for institusjonen.(9) På tilsvarende måte som personopplysningsloven, krever e-forvaltningsforskriften at informasjonssikkerheten i skytjenesten skal være tilfredsstillende for at bruken skal være lovlig, og at institusjonen gjennomfører en risikovurdering for å forsikre seg om at det er tilfelle. Risikovurderingen skal gjennomføres før skytjenesten tas i bruk. E-forvaltningsforskriften inneholder særlig regler om risikovurderinger på enkelte områder som også er relevante ved bruk av skytjenester: Risikoen for uberettiget tilgang til personopplysninger og opplysninger underlagt taushetsplikt dersom henvendelser skal sendes til skytjenester som institusjonen anvender. Risikoen for uberettiget tilgang til enkeltvedtak dersom institusjonen anvender skytjenester til formidling av slike vedtak. Risikoen for at det gis uberettiget innsyn i personopplysninger, andre opplysninger underlagt taushetsplikt og saksdokumenter dersom institusjonen bruker skytjenester i sin saksbehandling. I tillegg pålegges institusjonen å informere om risikoen ved å sende personopplysninger eller opplysninger underlagt taushetsplikt til skytjenester som institusjonen anvender. 7.3 Arkivloven Arkivloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen om forbud mot å føre arkivmaterialet ut av landet (uten at det er gitt særskilt samtykke fra Riksarkivaren). For skytjenester innebærer dette, ifølge Riksarkivaren, at arkivmateriale må være lagret på datamaskiner i Norge, og at materiale ikke kan arkiveres lovlig i skytjenester som lagrer slike data i utlandet. Riksarkivaren mener altså at det ikke er tilstrekkelig at arkivmaterialet er tilgjengelig fra utlandet via internett.(10) Dette innebærer at dersom institusjonen anvender en utenlandsk skytjeneste til saksbehandling, skal arkivverdig informasjon eller dokumenter (a) overføres til og lagres på datamaskiner i Norge så fort saksbehandlingen er avsluttet og (b) materialet slettes fra datamaskiner plassert i utlandet. 7.4 Bokføringsloven Også bokføringsloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen om at bokføringsmateriale i utgangspunktet ikke kan lagres permanent på datamaskiner plassert i utlandet. høyskoleloven. Dersom studentene ikke har avgitt samtykke, anbefales det derfor at melde- og konsesjonsplikten overholdes. 8 E-forvaltningsforskriften er hjemlet i forvaltningsloven 15a og i e-signaturloven 5. 9 For nærmere informasjon om e-forvaltningsforskriften og forholdet mellom forskriften, personopplysningsloven og andre lovverk, se 10 Se /Riksarkivaren-seier-nei-til-skyarkivering-i-utlandet. 14
15 Det er likevel noen unntak fra denne regelen: For det første kan regnskapsmaterialet lagres permanent på datamaskiner plassert i Norden (Danmark, Finland, Sverige og Island) dersom det sendes melding om dette til Skattedirektoratet.(11) For det andre kan institusjonen søke Skattedirektoratet om dispensasjon fra reglene om oppbevaring av regnskapsmateriale i utlandet. Skattedirektoratet er restriktive med å gi slike dispensasjoner. For det tredje kan regnskapsmateriale lagres midlertidig på datamaskiner i land utenfor Norden. Regnskapsmateriale må da overføres til permanent lagring i Norge eller Norden innen én måned etter fastsetting av årsregnskapet og senest sju måneder etter regnskapsårets slutt.(12) 7.5 Oppsummering Reglene i personopplysningsloven, e-forvaltningsforskriften, arkivloven og bokføringsloven innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. I utredningsfasen før skytjenesten tas i bruk gjelder følgende: 1. Skaffe seg tilstrekkelig informasjon om hvordan skytjenesten er oppbygd og fungerer (inkludert hvilke land opplysningene overføres til). 2. Gjennomføre risikovurderinger av informasjonssikkerheten for å avgjøre om det er forsvarlig å ta den aktuelle skytjenesten i bruk. 3. Vurderingen må både omfatte (a) risikoen for brudd på sikkerheten ved behandling av personopplysninger og (b) risikoen for uberettiget tilgang til enkeltvedtak, taushetsbelagt informasjon eller opplysninger, og uberettiget innsyn i saksdokumenter. I avtalefasen mens anskaffelse av skytjenesten foregår gjelder følgende: 1. Inngå lovpålagt databehandleravtale med skytjenesteleverandøren, eventuelt å underskrive EUs standardkontrakt for overføring av personopplysninger til tredjeland. 2. Sjekke at avtalen og kontrakten inneholder de nødvendige kravene til skytjenesteleverandørens behandling og sikring av personopplysninger. 3. Varsle Datatilsynet ved bruk av EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land. 4. Melde bruken av skytjenesten til Datatilsynet hvis personopplysninger behandles i tjenesten. 5. Søke Datatilsynet om konsesjon dersom skytjenesten behandler sensitive personopplysninger. 6. Eventuelt å søke Skattedirektoratet om dispensasjon til permanent oppbevaring av regnskapsmateriale på datamaskiner utenfor Norden. I forvaltningsfasen etter at skytjenesten er tatt i bruk gjelder følgende: 1. Følge opp avtalene for å forvisse seg om at skytjenesteleverandøren (og eventuelle underleverandører) overholder avtalevilkårene. 2. Kreve at skytjenesteleverandørene (og eventuelle underleverandører) lukker avvik fra avtalevilkårene. 3. Avslutte bruken av skytjenesten og flytte personopplysningene dersom vesentlige avvik ikke lukkes.(13) 11 Forskrift om oppbevaring av elektronisk regnskapsmaterialet i andre EØS-land (tilgjengelig på 12 Se uttalelse fra Skattedirektoratet tilgjengelig på 13 Eksempler på vesentlige avvik kan være at leverandøren bruker personopplysningene ut over det avtalen tillater eller overfører opplysningene til andre virksomheter uten at institusjonen har godtatt dette. Andre eksempler kan være at informasjonssikkerheten ikke er tilfredsstillende, for eksempel som følge av gjentatte brudd på opplysningenes konfidensialitet eller tilgjengelighet, eller at institusjonen ikke får tilgang til rapporter fra sikkerhetsrevi- 15
16 4. Gjennomføre nye risikovurderinger av skytjenesten ved vesentlige endringer i tjenesten eller i institusjonens bruk av den. 5. Sørge for at arkivverdig informasjon og dokumentasjon ikke blir lagret på datamaskiner i utlandet. 6. Sørge for at regnskapsmaterialet ikke blir lagret permanent på datamaskiner utenfor Norge, Danmark, Finland, Sverige eller Island. Resten av UFSen vil fokusere på hvordan hvert av punktene i utrednings-, avtale- og forvaltningsfasen kan ivaretas i praksis. sjoner hos leverandøren (eller nektes å gjennomføre egne revisjoner av leverandørens sikkerhetsløsninger dersom det er avtalt). 16
17 IV UTREDNINGSFASEN 8 GRUNNLAGET FOR BESLUTNINGER OM BRUK AV SKYTJENESTER I utredningsfasen, det vil si før skytjenesten tas i bruk, har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle tjenesten. Ovenfor har vi sett at «utredningsplikten» følger av reglene i personopplysningsloven og e-forvaltningsforskriften, og at den primært handler om å gjennomføre risikovurderinger av informasjonssikkerheten i skytjenesten. Vurderinger av informasjonssikkerheten i skytjenesten betyr at institusjonen setter et kritisk søkelys mot risikoen for at personopplysninger og andre informasjonsverdier, spesielt opplysninger som omfattes av taushetsplikten, utsettes for uautorisert tilgang, endring, skade eller tap. Det rettslige kravet, både i personopplysningsloven og e-forvaltningsforskriften, er at skytjenesten lovlig bare kan tas i bruk dersom informasjonssikkerheten i skytjenesten er tilfredsstillende, det vil si at risikoen for uautorisert tilgang, endring, skade eller tap vurderes som akseptabel. Nedenfor følger svar på en del sentrale spørsmål som institusjonen bør stille seg i utredningsfasen. 8.1 Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Det er institusjonen som skal avgjøre hva som menes med «tilfredsstillende informasjonssikkerhet» ved bruk av skytjenester. Institusjonen må derfor selv definere hvor stor risiko for uautorisert tilgang, endring, skade eller tap av informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) den kan akseptere ved bruk av skytjenester. Kravene til tilfredsstillende informasjonssikkerhet ved bruk av skytjenester skal fastsettes av den administrative eller faglige ledelsen ved institusjonen før risikovurderinger av konkrete tjenester gjennomføres. Dersom vurderingen av en skytjeneste viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier er uakseptabel høy (oppfyller ikke institusjonens egendefinerte krav til informasjonssikkerheten), kan ikke skytjenesten brukes på lovlig måte. Dette fordi skytjenesten ikke oppfyller kravet til informasjonssikkerhet fastsatt i personopplysningsloven og e-forvaltningsforskriften, altså at sikkerheten skal være tilfredsstillende. 8.2 Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Verken personopplysningsloven eller e-forvaltningsforskriften stiller bestemte krav til hvordan en risikovurdering skal organiseres eller til hvilken metodikk som skal benyttes. Risikovurderinger av skytjenester 17
18 kan derfor gjennomføres på mange forskjellige måter. Det avgjørende er at institusjonen har kartlagt og tatt stilling til risiko ved bruk av skytjenesten. Her er link til et reelt eksempel på risikovurdering av en konkret skytjeneste (UNINETTs risikovurdering av lagrings- og delingstjenesten «BOX»): Hvor grundige må risikovurderinger av skytjenester være? Lovverket personopplysningsloven og e-forvaltningsforskriften stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten i skytjenester skal være. Institusjonen må imidlertid ha såpass god kunnskap om hvordan den aktuelle tjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: ü Hvilke hendelser kan føre til uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, saksdokumenter, osv.) ved bruk av skytjenesten? ü Hvor stor er risikoen for slike hendelser i forbindelse med denne skytjenesten? Det er ikke forventet at spørsmålene skal besvares med vitenskapelig nøyaktighet og grundighet. Men kunnskapen om skytjenesten må være såpass grundig at svarene baserer seg på noe mer enn gjetning eller ønsketenkning. 8.4 Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Forberedelser til risikovurderinger av skytjenester handler om to forhold: ü Bestemme hvilke informasjonsverdier som skytjenesten skal håndtere på vegne av institusjonen. ü Skaffe seg detaljert informasjon om skytjenestens oppbygning og virkemåte slik at spørsmålene skissert ovenfor kan besvares på en realistisk måte. Når det gjelder det første punktet, er prinsippet at jo flere og viktigere informasjonsverdier institusjonen ønsker at skytjenesten skal behandle, desto bedre skal informasjonssikkerheten i tjenesten være. Det betyr for eksempel at det skal stilles strengere krav til informasjonssikkerheten i tjenester som behandler mange taushetsbelagte opplysninger enn til tjenester som ikke gjør det (eller som gjør det i liten grad). Når det gjelder det andre punktet, kan det være utfordrende å skaffe seg detaljert informasjon om skytjenesten når (a) institusjonen ikke drifter løsningen selv og (b) institusjonen har liten (eller ingen) erfaring med bruk av tjenesten. Utfordringen kan løses ved at institusjonen setter seg inn i alt skriftlig materiale publisert av skytjenesteleverandøren som beskriver skytjenesten og hvordan informasjonssikkerheten i tjenesten blir ivaretatt. Forberedelser til risikovurderinger av skytjenester vil derfor vanligvis ta noe lengre tid og krever noe mer leseinnsats enn hva som er typisk ved tilsvarende vurderinger av interne IT-systemer eller ITtjenester. Institusjonen bør også ha mulighet til å ta direkte kontakt med skytjenesteleverandøren, for eksempel via e-post. Dette for å få nærmere svar på spørsmål som ikke besvares i det skriftlige materialet, for eksempel konkrete forhold knyttet til tjenestens oppbygning og virkemåte eller til hvordan informasjonsverdier blir sikret mot uautorisert tilgang, endring, skade eller tap. 18
19 8.5 Må institusjonen gjennomføre to risikovurderinger av den samme skytjenesten for å overholde reglene i både personopplysningsloven og e- forvaltningsforskriften? En slik todelt «løsning» frarådes på det sterkeste: Det bør ikke forekomme at det først gjennomføres en risikovurdering av hvordan skytjenesten sikrer personopplysninger (etter reglene i personopplysningsloven) for deretter å gjøre den samme øvelsen på nytt, men nå med fokus på sikringen av taushetsbelagte opplysninger, enkeltvedtak, saksdokumenter, osv. (etter reglene i e-forvaltningsforskriften). Vurderinger av informasjonssikkerheten risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier bør skje i én og samme risikovurdering. 8.6 Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? Hvis vurderingen viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) er uakseptabel høy, står institusjonen overfor et valg. Den kan da enten (a) bestemme seg for ikke å gå videre med tjenesten eller (b) kreve at skytjenesteleverandøren styrker informasjonssikkerheten slik at den blir tilfredsstillende. Institusjonen kan naturligvis også velge å ignorere den mangelfulle informasjonssikkerheten, men det fører til at bruken av skytjenesten er ulovlig. Det samme er tilfelle dersom skytjenesten tas i bruk uten at krav om styrking av informasjonssikkerheten etterkommes av skytjenesteleverandøren. 19
20 AVTALEFASEN V 9 INNGÅELSE AV DATABEHANDLERAVTALER MED SKYTJENESTELEVERANDØRER INNENFOR EØS-OMRÅDET( 14 ) I avtalefasen, det vil si etter at risikovurderingen av skytjenesten er ferdigstilt (men før tjenesten tas i bruk), skal institusjonen, ifølge personopplysningsloven, inngå visse avtaler med skytjenesteleverandøren. For å få en ryddig fremstilling av hva institusjonen skal være oppmerksom på i avtalefasen, er fremstillingen nedenfor delt i tre. I den første delen behandles hva som bør være med i databehandleravtaler som inngås mellom institusjonen og skytjenesteleverandøren, uavhengig av om det er institusjonen selv som lager avtalen eller om skytjenesteleverandørens avtale benyttes. I den andre delen behandles hva institusjonen skal passe på dersom den anvender skytjenester som overfører personopplysninger til datamaskiner plassert i land utenfor EØS-området. Dette kan skje ved at skytjenesteleverandøren er etablert i et land innenfor EØS-området, men anvender underleverandører utenfor EØS, for eksempel tilbydere av infrastrukturtjenester (datalagring og dataprosessering) eller andre tjenester (support, vedlikehold, osv.). Det kan også skje ved at skytjenesteleverandøren selv er etablert i eller har sine datasentre i land utenfor EØS-området. Institusjonen må derfor skaffe seg informasjon om to forhold: ü Om skytjenesteleverandørene behandler personopplysninger utenfor EØS-området. ü Om eventuelle underleverandører til skytjenesteleverandøren behandler personopplysninger utenfor EØS-området. ü I slike tilfeller kan det være nødvendig med en ekstra avtale mellom institusjonen og skytjenesteleverandøren, men det avhenger av hvilke land personopplysningene overføres til. I den tredje delen behandles hvordan institusjonen kan ivareta (a) meldeplikten til Datatilsynet, (b) konsesjonsplikten for behandling av sensitive personopplysninger og (c) søke om fritak fra forbudet mot permanent oppbevaring av regnskapsmateriale på datamaskiner utenfor de nordiske landene. Nedenfor følger først svar på sentrale spørsmål som institusjonen bør stille seg når den skal vurdere innholdet i eller selv lagt databehandleravtaler med leverandører av skytjenester. I tillegg gis eksempler på formuleringer hentet fra avtalene til utvalgte skytjenesteleverandører som viser hvordan vilkårene kan ivaretas i praksis. 14 Med EØS-området menes alle EU-land pluss Norge, Island og Liechtenstein. 20
21 9.1 Er hensikten med databehandleravtalen spesifisert? Det skal fremgå av avtalen at hensikten med den er å regulere databehandlerens (skytjenesteleverandørens) håndtering av opplysninger på vegne av den behandlingsansvarlige (institusjonen), enten etter (a) reglene i lov av 14. april 2000 nr. 31 om behandling av personopplysninger eller (b) EU-direktiv 95/46/EC (personverndirektivet). Det bør presiseres hvem som er behandlingsansvarlig (navnet på den aktuelle institusjonen) og hvem som er databehandler (navnet på den aktuelle skytjenesteleverandøren). Eksempler: ü Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data. ü With respect to Customer Data under this Agreement, the parties acknowledge and agree that Customer is the controller and [tjenesteleverandøren] is a processor. 9.2 Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? I databehandleravtalen bør det fremgå at dersom det skulle oppstå motstrid mellom vilkår i ulike avtaler som omfatter bruken av den samme skytjenesten, er det vilkårene i databehandleravtalen som skal gjelde. Eksempel: ü To the extent of any conflict or inconsistency between the terms of this Data Processing Amendment and the remainder of the Agreement, the terms of this Data Processing Amendment will govern. 9.3 Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? I avtalen bør det gis en kort oversikt over hvilke typer personopplysninger som vil (eller kan bli) behandlet i skytjenesten, eller at det spesifiseres hvilke tjenester/funksjonalitet som omfattes av avtalen. Dette punktet formuleres på ulike måter i forskjellige avtaler, avhengig av hvilke skytjenester og leverandører det er snakk om. Eksempel: ü Personal data submitted, stored, sent or received by Customer or End Users via the Services may include user IDs, , documents, presentations, images, calendar entries, tasks and other electronic data. ü Personal data submitted, stored, sent or received via the Services may concern End Users including employees, contractors and the personnel of customers, suppliers and subcontractors. Data subjects may also include individuals collaborating and communicating with End Users. 9.4 Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Det bør fremgå av databehandleravtalen at institusjonen har eierskap til alle informasjonsverdier som behandles i skytjenesten. Dersom institusjonens eierskap til informasjonsverdiene (personopplysninger, saksdokumenter, undervisningsmateriell, osv.) ikke fremgår av databehandleravtalen, må det klart fremgå i det øvrige avtaleverket som gjelder for skytjenesten. Eksempel: ü [tjenesteleverandøren] will acquire no rights in Customer Data. 21
22 9.5 Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Det skal sies eksplisitt i avtalen at skytjenesteleverandøren bare skal behandle personopplysninger etter instruks fra institusjonen. Det kan også sies at disse instruksjonene følger av bestemmelsene i avtalen. Eksempler: ü [tjenesteleverandøren] will process Customer Data in accordance with Customer s Instructions. Customer instructs [tjenesteleverandøren] to process Customer Data to: (i) provide the Services (which includes the detection, prevention and resolution of security and technical issues) and (ii) respond to customer support requests. ü As data processor, [tjenesteleverandøren] will only act upon Customer s instructions. This Amendment and the Agreement (including the terms and conditions incorporated by reference therein) are Customer s complete and final instructions to [tjenesteleverandøren] for the processing of Customer Data. 9.6 Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset? Det skal sies eksplisitt at skytjenesteleverandøren ikke kan bruke personopplysninger som den håndterer på vegne av institusjonen til annet enn å levere og administrere den aktuelle skytjenesten. Dersom skytjenesteleverandøren likevel skal bruke institusjonens opplysninger til andre formål, må dette avtales særskilt. Eksempler: [tjenesteleverandøren] will only process Customer Data in accordance with this Agreement and will not process Customer Data for any other purpose. For clarity, and notwithstanding any other term in the Agreement, [tjenesteleverandøren] will not serve Advertising in the Services or use Customer Data for Advertising purposes. Customer Data will be used only to provide Customer the [skytjenesten]. 9.7 Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen? De som opplysningene gjelder sluttbrukerne (eller de registrerte) har visse rettigheter når det gjelder behandlingen av egne opplysninger. Dette gjelder for eksempel retten til å få opplysninger om seg selv rettet, slettet eller sperret. Det bør fremgå av avtalen hvordan skytjenesteleverandøren vil bistå institusjonen med å ivareta sluttbrukernes rettigheter. Eksempel: For the Term of the Subscription for the [skytjenesten], [tjenesteleverandøren] will, at its election and as necessary under applicable law implementing Article 12(b) of the EU Data Protection Directive, either: (1) provide Customer with the ability to correct, delete, or block Customer Data, or (2) make such corrections, deletions, or blockages on Customer s behalf. 22
Fagspesifikasjon. Krav til bruk av skytjenester
Fagspesifikasjon Krav til bruk av skytjenester Krav til bruk av skytjenester UFS nr.: 150 Versjon: 1.0 Status: Utkast Dato: 24. jun. 2016 Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat
DetaljerBilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale
«Jobb og muligheter» For Akershus vest med leveringssted i Sandvika Side 1 av 5 Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika Databehandleravtale I henhold til personopplysningslovens
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerArkiv skal ikkje førast ut or landet
Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerGo to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.
INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerHvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen
Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerBruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.
Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24. mars 2015 Utgangspunktet Det er Datatilsynets utgangspunkt at det er mulig
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerSkytjenester - Risikohåndtering og compliance
Skytjenester - Risikohåndtering og compliance Lovlig behandling av personopplysninger i skyen Faggruppen for Cloud Computing Oslo 16. oktober 2012 Agenda Lovlig behandling av personopplysninger i skyen
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
SKYTJENESTER Veiledning, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. Hvis du som
Detaljer1.6 Sentrale lover og forskrifter
1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerDatabehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)
DetaljerDatabehandleravtale. Fellesforbundet avdeling.. Fellesforbundet
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:
DetaljerCloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011
Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerOpphør av arbeidsforhold grunnet alder oppdatert juni 2016
Opphør av arbeidsforhold grunnet alder oppdatert juni 2016 Når arbeidstaker fyller 70 år, eller ved en tidligere fastsatt særaldersgrense, kan arbeidsforholdet bringes til opphør. Artikkelen omhandlet
DetaljerMan kan ikke fylle ut en TRAS-sirkel uten å ha lest den medfølgende fagboka!
Lisensavtale og databehandleravtale TRAS digital Generelle vilkår TRAS årslisens Bakgrunn og forutsetninger TRAS er et observasjonsmateriale som består av et skjema der åtte områder som er av betydning
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerOslo kommune Utdanningsetaten
Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerLYDOPPTAK AV SAMTALER Veileder
LYDOPPTAK AV SAMTALER Veileder 3 Innhold Innledning... 5 Lovbestemmelser om lydopptak... 5 Hemmelige formål... 5 Private formål... 5 Hva må til for at lydopptaket skal være lovlig... 5 Samtykke skal være
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerSammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie
KS FoU-prosjekt 144008: Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie April 2015 Advokatfirmaet Føyen Torkildsen -1- 1 Innledning Bruk av nettskyløsninger
DetaljerEUs personvernforordning (GDPR)
Ole Bjørn Nordland, rådmannens fagstab, november 2017 Foto: Carl Erik Eriksson EUs personvernforordning (GDPR) Hva er personvern? Regjeringen.no: Personvern handler om retten til å få ha ditt privatliv
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerDATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»
DATABEHANDLERAVTALE MELLOM, org.nr. «Behandlingsansvarlig» og Info Vest Forlag, org.nr. 992 603 747 «Databehandler» Databehandleravtalen gjelder: lagring av data knyttet til bruk av digitale observasjons
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerHøringsnotat - Unntak fra taushetsplikt for Norges Bank ved utlevering av opplysninger til skatte- og avgiftsmyndighetene
Sak:15/3864 14.03.2016 Høringsnotat - Unntak fra taushetsplikt for Norges Bank ved utlevering av opplysninger til skatte- og avgiftsmyndighetene Innhold 1 Innledning... 3 2 Bakgrunn og gjeldende rett...
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerVilkår for medlemskap i Nutrilett Willpower Group. Gjelder fra 1. mai 2016.
Vilkår for medlemskap i Nutrilett Willpower Group. Gjelder fra 1. mai 2016. Orkla Health AS, org. 919 661 356 (Orkla Health) tilbyr tilgang til Nutrilett Willpower Group på følgende vilkår, som aksepteres
DetaljerEnkeltvedtak krav etter forvaltningsloven
Enkeltvedtak krav etter forvaltningsloven 1 Hvorfor er reglene (kravene) i forvaltningsloven viktig? Forholdet mellom barnehagelov og forvaltningslov 1. Barnehagelov Spesiell forvaltningsrett 2. Forvaltningslov
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerVedtekter for Osloregionen
Vedtekter for Osloregionen Utarbeidet av Arbeidsutvalget for Osloregionen 26.8.2004 Godkjent på stiftelsesmøtet for Osloregionen 17.12.2004 Endret i Samarbeidsrådet for Osloregionen 30.5.2006 Side 2 Osloregionen
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø
DetaljerKontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal
Saksnummer: 16/00326 Dato for kontroll: 10.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Stjørdal kommune Sted: Stjørdal Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerDatabehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler
(versjon 1) I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig og. databehandler 1. Avtalens hensikt Avtalens hensikt er å regulere
DetaljerKunnskap om regelverket en forutsetning for gode innkjøp. 02.05.13 Espen I. Bakken/Ronny Rosenvold
Kunnskap om regelverket en forutsetning for gode innkjøp 02.05.13 Espen I. Bakken/Ronny Rosenvold Tema Avrop under en rammeavtale Hvilke rettigheter forbigåtte leverandører har etter tildeling er gjort
DetaljerBrukerinstruks Informasjonssikkerhet
STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...
DetaljerFORSKRIFT OM ORDENSREGLEMENT FOR GRUNNSKOLEN I SKIEN KOMMUNE
FORSKRIFT OM ORDENSREGLEMENT FOR GRUNNSKOLEN I SKIEN KOMMUNE Forskriften er vedtatt av Hovedutvalg for oppvekst i Skien 09 06 2016. Gjeldende fra 01 08 2016. Ordensreglementet er gitt med hjemmel i lov
DetaljerLynkurs om bransjenormen
Lynkurs om bransjenormen Leif Wien Jensen Norges Innsamlingsråd 27. april 2016 Bransjenorm? En felles forståelse: Slik behandler frivillig sektor personopplysninger! Orden i eget hus En norm for godt personvern
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerMedarbeidersamtale. Veiledningshefte. Medarbeidersamtale. Mars 2004 Avdeling for økonomi og personal
Medarbeidersamtale Veiledningshefte Mars 2004 Avdeling for økonomi og personal Steinkjer kommune Avdeling for økonomi og personal 1 Steinkjer kommune Avdeling for økonomi og personal 2 Medarbeidersamtale
DetaljerBak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,
Bak skyen: Behandling av personopplysninger Tommy Tranvik, Senter for rettsinformatikk NOIKOS, 28.10.10 Utfordringer for sky kunder 1. Manglende styring og kontroll 2. Etterleve lover og regler 3. Endring
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------
DetaljerREKRUTTERING OG GDPR
REKRUTTERING OG GDPR Jan Sandtrø, DLA Piper 12. juni 2018 www.dlapiper.com 12. juni 2018 0 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov -
DetaljerAlminnelige kontraktsbestemmelser om levering av fast renhold
Norsk Standard NS 8431 1. utgave desember 2005 ICS 03.080.10 Språk: Norsk Alminnelige kontraktsbestemmelser om levering av fast renhold General conditions of contract concerning fixed cleaning Standard
DetaljerSkytjenester. - Gevinster og utfordringer. Petter Kongshaug, UNINETT
Skytjenester - Gevinster og utfordringer Petter Kongshaug, UNINETT Tradisjonell IKT i endring 14. november 2013 SLIDE 2 Google compute plants 14. november 2013 SLIDE 3 Universitet IKT i endring WiFi Cloud
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerSideordnede spesifikasjoner
Norsk bokføringsstandard NBS 8 (April 2015) Innhold 1. Innledning og virkeområde... 2 2. Lov og forskrift... 3 3. Forutsetninger for bruk av sideordnede spesifikasjoner... 4 3.1 Konsolidering av spesifikasjoner...
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerHvilken ferietype er du? PERSONVERN
Hvilken ferietype er du? PERSONVERN Arrangøren av denne konkurransen er det nasjonale kroatiske nasjonale turistbyrået - Croatian National Tourist Board (CNTB). Siden du er inne på og denne løsningen drives
DetaljerINF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen
INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse
DetaljerTjenester i skyen hva må vi tenke på?
Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet
DetaljerVeiledningsdokument for håndtering av personopplysninger i Norge digitalt
Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den
DetaljerVedlikeholdsavtalen Avtale om vedlikehold og service
Vedlikeholdsavtalen Avtale om vedlikehold og service Avtalen er basert på Statens standardavtale om vedlikehold og service av utstyr og programvare Vedlikeholdsavtalen Direktoratet for forvaltning og IKT
DetaljerSkytjenester i skolen
Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren
DetaljerTilsyn med brukeromtaler på www.expert.no
Expert AS Postboks 43 1481 HAGAN Deres ref. Vår ref. Dato: Sak nr: 16/1402-1 30.06.2016 Saksbehandler: Eli Bævre Dir.tlf: 46 81 80 63 Tilsyn med brukeromtaler på www.expert.no 1. Innledning Forbrukerombudet
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerDatabehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.
Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse
DetaljerSTATSBYGGS KONTRAKTSBESTEMMELSER FOR VINTERVEDLIKEHOLD
STATSBYGGS KONTRAKTSBESTEMMELSER FOR VINTERVEDLIKEHOLD Side 1 av 7 INNHOLD DEL I - GENERELLE KONTRAKTSBESTEMMELSER... 3 1 Avtalens omfang, utstyr og personell... 3 2 Brøyterapporter... 3 3 Partenes representanter...
DetaljerHøringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet
1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerPersonvern-rett H2016
Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke
DetaljerReglene gjelder mellom ovennevnte banker og kan ikke påberopes av bankenes kunder eller andre.
Regler om BankAxess Vedtatt av Bransjestyre bank og betalingsformidling (BBB) i Finansnæringens Servicekontor 22. juni 2005 og styret i Sparebankforeningens Servicekontor 16. juni 2005. 1. Hva reglene
DetaljerInformasjon og medvirkning
Informasjon og medvirkning Formålet med denne veilederen er å legge opp til gode prosesser i forbindelse med fysiske endringer på arbeidsplassen, slik at arbeidstakernes helse og arbeidsmiljø blir tatt
DetaljerDatabehandleravtale Kontorvarehuset Møre og Romsdal AS
Databehandleravtale Kontorvarehuset Møre og Romsdal AS I henhold til personopplysningslovens 13, jf. 15, personopplysningsforskriftens kapittel 2 og EUs personvernforordning (GDPR). mellom Navn på kunde..
DetaljerPersonvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper
Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerEr du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,
Detaljer