Krav til bruk av skytjenester

Transkript

1 Krav til bruk av skytjenester UFS nr.: 150 Versjon: 0.6 Status: Utkast Dato: 8. sep Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat for informasjonssikkerhet i UH-sektoren Ansvarlig: UNINETT Kategori: Anbefaling

2 SAMMENDRAG I Denne UFSen omhandler rettslige krav til bruk av skytjenester og skal bidra til at universiteter og høyskoler kan anvende skytjenester på lovlig måte. UFSen retter seg primært mot personell med et særskilt ansvar for institusjonens bruk av slike tjenester (admin/it), men den passer også for andre med interesse for spørsmål knyttet til rettslig regulering av skytjenester. UFSen gir innsikt i lover og regler som gjelder ved bruk av skytjenester, samt konkrete råd og eksempler på hvordan dette kan gjøres i praksis. Merk at det kun er lover og regler som er særlig relevante for skytjenester behandles i UFSen. UFSen består av fire hoveddeler: lovverket, utredningsfasen, avtalefasen og forvaltningsfasen. En kort oppsummering av hver av disse finner du nedenfor. 1 LOVVERKET Reglene i personopplysningsloven og e-forvaltningsforskriften innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. 1.1 Personopplysningsloven Personopplysningsloven har regler om sikring av personopplysninger i skytjenester (informasjonssikkerhet), inngåelse av avtaler med databehandleren (skytjenesteleverandøren) og hvordan behandlingsansvarlig (institusjonen) skal følge opp den daglige bruken av skytjenester. 1.2 E-forvaltningsforskriften E-forvaltningsforskriften har regler om sikring av informasjonsverdier i skytjenester (informasjonssikkerhet) når institusjonen benytter slike tjenester til kommunikasjon med (a) enkeltpersoner eller (b) andre forvaltningsorganer. 1.3 Arkivloven Arkivloven har regler om at arkivmateriale ikke kan arkiveres lovlig i skytjenester som lagrer slikt materiale i utlandet (uten at det er gitt særskilt samtykke fra Riksarkivaren). 1.4 Regnskapslovgivningen (bokføringsloven) Regnskapslovgivningen har regler som i utgangspunktet setter forbud mot lagring av regnskapsmateriale på datamaskiner plassert i land utenfor Norden (Danmark, Finland, Sverige og Island). 2

3 2 UTREDNINGSFASEN Før skytjenesten tas i bruk har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle skytjenesten (iht. personopplysningsloven og e-forvaltningsforskriften). Det rettslige kravet, både i personopplysningsloven og e-forvaltningsforskriften, er at skytjenesten lovlig kan tas i bruk dersom informasjonssikkerheten i skytjenesten er tilfredsstillende, det vil si at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier) vurderes å være akseptabel. Institusjonen må selv definere hvor stor risiko for brudd på informasjonssikkerheten den kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke skytjenesten brukes på lovlig måte. Personopplysningsloven og e-forvaltningsforskriften stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten skal være. Institusjonen må imidlertid ha så god kunnskap om hvordan den aktuelle skytjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: Hvilke hendelser kan føre til uautorisert tilgang, eksponering, endring, skade eller tap av institusjonens informasjonsverdier? Hvor stor er sannsynligheten for og konsekvensene av slike hendelser? 3 AVTALEFASEN Avtalefasen er perioden etter at risikovurderingen av skytjenesten er ferdigstilt, men før tjenesten tas i bruk av institusjonen. Dersom risikovurderingen viser at det er forsvarlig å anvende skytjenesten (informasjonssikkerheten er tilfredsstillende), skal institusjonen i denne fasen inngå visse avtaler med skytjenesteleverandørene, det vil si databehandleravtaler. Følgende momenter bør være med i databehandleravtaler med skytjenesteleverandører: Databehandleravtalen sin hensikt. At vilkår i databehandleravtalen går foran vilkår spesifisert i andre avtaler. Hvilke personopplysninger eller tjenester avtalen gjelder for. Institusjonen har eierskap til sine egne data. Leverandøren skal følge instrukser gitt av institusjonen. Leverandørens råderett over personopplysninger er tydelig begrenset. Institusjonen gis tilgang til nødvendig dokumentasjon av skytjenesten. Krav til bruk av eventuelle underleverandører. Krav til informasjonssikkerheten. Krav til sikkerhetsrevisjoner. Krav til sletting av personopplysninger. Krav til tilbakeføring av personopplysninger. Avtalens varighet. Lovvalg og verneting. Institusjonen må også melde bruken av skytjenesten til Datatilsynet før den tas i bruk, eventuelt søke konsesjon fra Datatilsynet dersom det er meningen av skytjenesten skal behandle sensitive personopplysninger. 3

4 I denne fasen kan det i tillegg være aktuelt å søke Riksarkivaren eller Skattedirektoratet om dispensasjon fra reglene om langtidslagring av arkiv- eller regnskapsmateriale i utlandet. 3.1 Skytjenester i tredjeland Personopplysningsloven inneholder regler for hva institusjonen må gjøre for at overføring av personopplysninger til tredjeland, det vil si land utenfor EØS-området, skal være lovlig. Disse reglene må institusjonen påse at den følger før skytjenester tas i bruk. Dersom personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) etablert i land innenfor EØS-området (alle EU-land pluss Norge, Island og Liechtenstein), trenger ikke institusjonen å ta hensyn til reglene om overføringer av personopplysninger til tredjeland. Det samme gjelder dersom skytjenesteleverandøren (og eventuelle underleverandører) er etablert i land utenfor EØS-området, men som er godkjent av EU-kommisjonen (det vil si land som, ifølge EUkommisjonen, har like god personvernlovgivning som land innenfor EØS-området). Overføring av personopplysninger til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området og som ikke er godkjent av EU-kommisjonen er i utgangspunktet ikke tillatt. Slike overføringer kan likevel skje på lovlig måte under visse betingelser. De mest vanlige betingelsene er: Samtykke til overføring fra de registrerte (studenter, ansatte, osv.). Overføring basert på EUs standardkontrakt. Datatilsynet godkjenner overføringen. Safe Harbor. 3.2 Safe Harbor USA er et land utenfor EØS-området som ikke er godkjent av EU-kommisjonen. Personopplysninger om borgere i EØS-området kan likevel overføres lovlig til USA dersom selskapet som mottar opplysningene har sluttet seg til Safe Harbor-programmet. For amerikanske skytjenesteleverandører som er tilsluttet Safe Harbor gjelder de samme reglene som ved bruk av skytjenester som kun behandler personopplysninger i land innenfor EØS-området. Dersom personopplysninger overføres til amerikanske skytjenesteleverandører (og eventuelle underleverandører) som ikke er tilsluttet Safe Harbor, gjelder reglene om overføring av personopplysninger til land som ikke er godkjent av EU-kommisjonen. Det betyr at overføringen bare vil være lovlig under visse betingelser, for eksempel dersom (a) de registrerte har samtykket til det, (b) EUs standardkontrakt for overføring av personopplysninger anvendes eller (c) Datatilsynet godkjenner overføringen. 4 FORVALTNINGSFASEN Forvaltningsfasen omfatter hele perioden fra institusjonen første gang benytter skytjenesten og helt frem til bruken av tjenesten avsluttes. I forvaltningsfasen har institusjonen visse løpende plikter, det vil si lovpålagte oppgaver som institusjonen skal utføre med jevne mellomrom gjennom hele avtaleperioden: 4

5 4.1 Avtaleoppfølging. Sjekke at skytjenesteleverandøren overholder vilkårene i databehandleravtalen, eventuelt også vilkårene i EUs standardkontrakt for overføring av personopplysninger til tredjeland. 4.2 Risikovurderinger. Vurdere jevnlig om risikoen for uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier fortsatt er akseptabel. 4.3 Rutinekontroll. Sjekke at institusjonens rutiner for overholdelse av reglene om langtidslagring av arkiv- og regnskapsmateriale i utlandet overholdes. 4.4 Melding til Datatilsynet. Sende melding til Datatilsynet dersom uvedkommende har fått innsyn i de personopplysningene som behandles i skytjenesten. 5

6 Innholdsfortegnelse DEL I SAMMENDRAG Lovverket Personopplysningsloven E-forvaltningsforskriften Arkivloven Regnskapslovgivningen (bokføringsloven) Utredningsfasen Avtalefasen Skytjenester i tredjeland Safe Harbor Forvaltningsfasen Avtaleoppfølging Risikovurderinger Rutinekontroll Melding til Datatilsynet DEL II INTRODUKSJON Avgrensinger Endringer i denne revisjonen DEL III LOVVERKET Kort om rettslige krav ved anskaffelse og bruk av skytjenester Personopplysningsloven E-forvaltningsforskriften Arkivloven Bokføringsloven Oppsummering DEL IV UTREDNINGSFASEN Grunnlaget for beslutninger om bruk av skytjenester Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Hvor grundige må risikovurderinger av skytjenester være? Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Må institusjonen gjennomføre to risikovurderinger av den samme skytjenesten for å overholde reglene i både personopplysningsloven og e-forvaltningsforskriften? Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? DEL V AVTALEFASEN Inngåelse av databehandleravtaler med skytjenesteleverandører innenfor EØS-området() Er hensikten med databehandleravtalen spesifisert? Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset? Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen?

7 9.8 Sier avtalen at institusjonen kan få tilgang til nødvendig dokumentasjon hos skytjenesteleverandøren? Stiller avtalen krav til skytjenesteleverandørens bruk av eventuelle underleverandører? Stiller avtalen eksplisitte krav til informasjonssikkerheten hos skytjenesteleverandøren? Fremgår det av avtalen hvordan skytjenesteleverandøren vil håndtere henvendelser fra politimyndigheter om å få tilgang til institusjonens personopplysninger? Stiller avtalen krav til sikkerhetsrevisjoner hos skytjenesteleverandøren? Regulerer avtalen sletting av personopplysninger hos skytjenesteleverandøren? Regulerer avtalen hvordan personopplysninger skal tilbakeføres til institusjonen? Reguleres avtalens varighet? Reguleres lovvalg og verneting? Hvordan skal institusjonen forholde seg til annen informasjon om tjenesten, for eksempel på skytjenesteleverandørens hjemmeside? Inngåelse av databehandleravtaler med skytjenesteleverandører som overfører personopplysninger til tredjeland Hvordan kan institusjonen finne ut om personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området? Hva skal institusjonen passe på hvis personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området, men som er godkjent av EU-kommisjonen? Hva skal institusjonen passe på hvis personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området, men som ikke er godkjent av EU-kommisjonen? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør (og eventuelle underleverandører) som er tilsluttet Safe Harbor? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør (og eventuelle underleverandører) som ikke er tilsluttet Safe Harbor? Hva skal institusjonen passe på hvis personopplysninger overføres til en skytjenesteleverandør i EØS-området, men som har datasentre eller underleverandører i ikkegodkjente land? Hva skal institusjonen passe på hvis personopplysninger overføres til en amerikansk skytjenesteleverandør tilsluttet Safe Harbor, men som likevel har datasentre eller underleverandører i ikke-godkjente land? Hva skal institusjonen passe på hvis personopplysninger overføres til amerikanske skytjenesteleverandør tilsluttet Safe Harbor, men som likevel anvender ikke-tilsluttede amerikanske selskaper som underleverandører? Melding, konsesjon og dispensasjon Hvordan kan institusjoner uten personvernombud ivareta meldeplikten til Datatilsynet? Hvordan kan institusjonen ivareta konsesjonsplikten hvis skytjenester ønskes brukt til behandling av sensitive personopplysninger? Hvordan kan institusjonen søke Skattedirektoratet om dispensasjon dersom den ønsker å bruke skytjenester til permanent lagring av regnskapsmateriale på datamaskiner utenfor Norden?.. 31 DEL VI FORVALTNINGSFASEN Om forvaltningsfasen Hvordan kan institusjonen forsikre seg om at vilkårene i lovpålagte avtaler med skytjenesteleverandøren overholdes? Hva skal institusjonen gjøre dersom det viser seg at skytjenesteleverandøren ikke overholder avtalene? Hvor ofte skal institusjonen gjennomføre risikovurderinger av bruken av skytjenesten? Hva skal institusjonen gjøre dersom nye risikovurderinger viser at informasjonssikkerheten ikke lenger er tilfredsstillende? Hvordan kan institusjonen forsikre seg om at rutiner for lagring av arkiv- og regnskapsmateriale overholdes av sluttbrukerne?

8 11.6 Hvordan kan institusjonen melde uautorisert tilgang til eller eksponering av personopplysninger i skytjenesten til Datatilsynet? DEL VII REFERANSER

9 Endringslogg: Versjon Dato Kapittler Endring Ansvarlig Godkjent Alle Første versjon av innhold klar til TT gjennomlesing Alle Gjennomlesing og kommentarer RSN/TT/SS/OIS Alle Lagt til sammendrag SS Alle Innhold ferdig TT Alle Lagt over i UFS formatet MS Alle Ryddet etter gjennomlesing MS/IM Arbeidsgruppen som har jobbet med denne UFSen er Sekretariat for informasjonssikkerhet i UHsektoren og personer fra ecampus prosjektet på digital eksamen. Tommy Tranvik, UiO Rolf Sture Normann, UNINETT Simon Skrødal, UNINETT Ingrid Melve, UNINETT Magnus Strømdal, UNINETT 9

10 INTRODUKSJON I I Universiteter eller høyskoler som ønsker å ta i bruk skytjenester i administrasjon, undervisning, formidling og forskning, skal følge enkelte lover og regler. UNINETT har i regi av ecampus-programmet etablert et prosjekt for digital eksamen. I dette arbeidet har prosjektet avdekket at den klart mest fordelaktige plattformen for etablering av en eller flere felles løsninger for digital eksamen er bruk av skytjenester. Lovverket som gjelder legger visse føringer på og setter visse begrensninger for bruken av skytjenester til slike formål. Det er derfor ikke fritt frem å benytte hvilke skytjenester som helst, men lovverket inneholder heller ikke forbud mot bruk av skytjenester. Lovlig bruk av skytjenester betinges av at institusjonen etablerer tilfredsstillende styring og kontroll med hva skytjenesteleverandøren og eventuelle underleverandører gjør med de informasjonsverdiene som leverandøren behandler på institusjonens vegne. Dersom institusjonen har etablert styring og kontroll med skytjenesteleverandøren, har den et betydelig mulighetsrom for bruk av skytjenester. Vektleggingen av tilfredsstillende styring og kontroll innebærer at den viktigste barrieren mot lovlig bruk av skytjenester verken er teknisk eller juridisk. Kartlegginger i sektoren indikerer isteden at hovedbarrieren er kompetanse.(1) Dette dreier seg særlig om to forhold: Kunnskap om de viktigste lover og regler som gjelder ved bruk av skytjenester. Kjennskap til hvordan de viktigste lovene og reglene kan anvendes ved bruk av skytjenester. Institusjonen må ha kompetanse på begge punktene for å kunne anvende skytjenester på en lovlig måte. Formål Formålet med UFSen er å bidra til å styrke kompetansen på hvilke rettslige krav som gjelder når universiteter og høyskoler ønsker å ta i bruk skytjenester. Dette gjøres på tre måter: For det første ved at UFSen gir oversikt over de viktigste reglene som gjelder ved bruk skytjenester, og hva reglene krever av institusjonen. For det andre ved at UFSen stiller og besvarer sentrale spørsmål om hvordan reglene kan anvendes ved bruk av skytjenester. For det tredje ved at UFSen gir konkrete eksempler på hvordan reglene kan ivaretas i praksis. Målgruppe UFSen retter seg primært mot IT-ansatte på universiteter og høyskoler, og ansvarlige for informasjonssikkerhet og personvern. UFSen kan også leses av andre ansatte som har et særlig ansvar for at bruken av skytjenester skjer på lovlig måte. 1 Se forskningsrapporten «Styring av informasjonssikkerheten i universiteter og høyskoler», tilgjengelig på 10

11 5 AVGRENSINGER UFSen har ikke til formål å gjøre rede for regler som gjelder for all elektronisk behandling av personopplysninger og andre informasjonsverdier. Fokuset rettes mot de reglene som er særlig relevante i en skysammenheng. Det betyr for eksempel at grunnkrav til behandling av personopplysninger i personopplysningsloven og generelle regler om informasjonssikkerhet i e-forvaltningsforskriften ikke blir drøftet.(2) Anskaffelsesregelverket (lov og forskrift om offentlige anskaffelser) blir ikke drøftet i denne UFSen. Her må institusjonen gjøre en skjønnsmessig vurdering av «skyanskaffelsens» verdi over hele avtaleperioden for å avgjøre hvilke deler av regelverket som kommer til anvendelse. Vurderingen må blant annet ta i betraktning (a) hva slags skytjeneste det dreier seg om, (b) hvor mange som skal anvende tjenesten, (c) hvor omfattende bruken av tjenesten vil være og (d) planlagte endringer (utvidelser) i bruken av tjenesten. For nærmere informasjon om anskaffelsesregelverket, se fagsidene om offentlige anskaffelser hos Direktoratet for Forvaltning og IKT ( eller Dataforeningens veileder om anskaffelse av skytjenester ( Regler eller vilkår for bruk av skytjenester til behandling av forskningsdata, spesielt uttrekk fra helseregistre og andre typer helseopplysninger, drøftes ikke særskilt. Foregangsmåten som gjelder for bruk av skytjenester generelt og som beskrives i UFSen vil imidlertid også i stor grad gjelde ved behandling av forskningsdata i skyen. Institusjonen må likevel være oppmerksom på at både helselovgivningen og avtaler med eksterne informasjonsleverandører (sentrale helseregistre, Statistisk Sentralbyrå eller andre offentlige etater) kan inneholde særlige vilkår som har betydning for behandling av forskningsdata i skyen. I tillegg kan godkjenningsorganer, for eksempel regionale komiteer for medisinsk og helsefaglig forskningsetikk eller Rådet for taushetsplikt og forskning, bestemme vilkår for behandling av slike data. Vilkårene kan begrense mulighetene for anvendelse av enkelte typer skytjenester. Det kan for eksempel være at det settes forbud mot at visse forskningsdata overføres til og lagres i utlandet. Slike særlige forhold må avklares av prosjektleder (og forskningsadministrasjonen) ved oppstart av hvert enkelt forskningsprosjekt. 6 ENDRINGER I DENNE REVISJONEN Dette er første utgaven av denne UFSen basert på veilederen Rettslige krav til bruk av skytjenester utarbeidet av Sekretariat for informasjonssikkerhet i UH-sektoren og personer fra ecampus programmet i UNINETT. 2 Her er link til UNINETTs forslag til styringssystem for informasjonssikkerhet i UH-institusjoner: 11

12 LOVVERKET III 7 KORT OM RETTSLIGE KRAV VED ANSKAFFELSE OG BRUK AV SKYTJENESTER Det er spesielt personopplysningsloven, e-forvaltningsforskriften, arkivloven og regnskapslovgivningen (bokføringsloven) som legger føringer på og setter enkelte begrenser for institusjonens bruk av skytjenester. Nedenfor følger først en kort gjennomgang av disse føringene og begrensningene. I del 2-4 følger en gjennomgang av hvordan institusjonen kan forholde seg til de føringene og begrensningene som lovverket inneholder. 7.1 Personopplysningsloven Personopplysningsloven med forskrift regulerer behandling av personopplysninger(3) som helt eller delvis skjer ved bruk av elektroniske hjelpemidler.(4) De fleste sektorer og bransjer i samfunnet omfattes av reglene i personopplysningsloven, inkludert institusjoner innenfor høyere utdanning. I henhold til personopplysningsloven, regnes universiteter og høyskoler som anvender skytjenester (hvor personopplysninger behandles) som behandlingsansvarlige. Det innebærer at institusjonen er rettslig ansvarlig for at skytjenesteleverandøren (og eventuelle underleverandører) håndterer personopplysningene i henhold til reglene i loven. Leverandører av skytjenester hvor personopplysninger behandles, regnes som databehandlere. Databehandlere er selvstendige virksomheter (offentlige eller private) som forvalter opplysninger om enkeltpersoner (ansatte, studenter, deltakere i forskningsprosjekter, osv.) på vegne av (eller etter bestilling fra) institusjonen. Selv om institusjonen (behandlingsansvarlig) er rettslig ansvarlig for at skytjenesteleverandøren (databehandler) behandler personopplysninger på lovlig måte, har skytjenesteleverandøren også et selvstendig ansvar for at informasjonssikkerheten i tjenesten er tilfredsstillende. Skytjenesteleverandøren har i tillegg ansvar for at vilkår i avtaler inngått med institusjonen overholdes. Det spiller ingen rolle hvilken type skytjeneste institusjonen anvender (SaaS, PaaS, IaaS, osv.) for at reglene i personopplysningsloven skal gjelde. Det avgjørende er at skytjenesteleverandøren forvalter personopplysninger på vegne av institusjonen. Dersom det er tilfelle, er skytjenesteleverandøren databehandler for institusjonen. Dette gjelder både tilbydere av gratis- og betalingstjenester. 3 Med personopplysninger menes alle opplysninger og vurderinger enten i form av tekst, lyd, bilder eller video som kan knyttes til en bestemt enkeltperson (for eksempel ansatte, studenter eller deltakere i forskningsprosjekter). Reglene i personopplysningsloven gjelder ikke dersom opplysninger om enkeltpersoner er forsvarlig anonymisert, det vil si at det ikke lenger er mulig å identifisere hvem opplysningene gjelder. 4 Med behandling av personopplysninger menes all bruk av opplysninger som kan knyttes til en bestemt enkeltperson, for eksempel registrering, lagring, sammenstilling, overføring, publisering eller sletting. 12

13 Personopplysningsloven krever at databehandleren (skytjenesteleverandøren) bare forvalter personopplysningene slik som den behandlingsansvarlige (institusjonen) har bestemt. Dette betyr at loven ikke forbyr bruk av skytjenester, men legger visse føringer på måten skytjenester skal brukes på. Så lenge reglene i personopplysningsregelverket følges, vil anskaffelse og bruk av skytjenester (hvor personopplysninger behandles) være lovlig. Det er institusjonen som har plikt til å sørge for at bruk av skytjenester skjer på lovlig måte, ikke skytjenesteleverandøren. Institusjonen vil derfor være ansvarlig for lovbrudd som skytjenesteleverandøren gjør seg skyldige i. Institusjonen vil også være ansvarlig for lovbrudd som skytjenesteleverandørens underleverandører har begått. Institusjonen står derfor ansvarlig for alt som skjer med personopplysningene i hele produksjonskjeden (hos skytjenesteleverandøren og eventuelle underleverandører), og uansett hvor i verden skytjenesteleverandørens (eller underleverandørenes) datamaskiner måtte befinne seg. Institusjonen skal gjennomføre risikovurderinger av skytjenesten før den tas i bruk. Dette for å forsikre seg om at informasjonssikkerheten er god nok, det vil si at de er tilfredsstillende sikret mot uautorisert tilgang, endring, skade eller tap. Dersom risikovurderingen viser at sikkerheten i skytjenesten er for dårlig (ikke tilfredsstillende), vil det ikke være lovlig å ta tjenesten i bruk. Personopplysningsloven pålegger institusjonen å inngå skriftlige avtaler databehandleravtaler med skytjenesteleverandøren. Databehandleravtalen skal inneholde institusjonens instrukser til skytjenesteleverandøren. Loven vektlegger spesielt at databehandleravtalen regulerer hvordan skytjenesteleverandøren ivaretar sikkerheten til personopplysningene. Avtalene skal derfor inneholde krav om at skytjenesteleverandøren (og eventuelle underleverandører) sikrer personopplysningene på en tilfredsstillende måte mot uautorisert tilgang, endring, skade eller tap.(5) Bruken av skytjenester som innebærer overføring av personopplysninger til land som ikke er godkjent av EU-kommisjonen (land som ikke har tilfredsstillende personvernlovgivning), kan bare skje på visse vilkår, for eksempel ved at institusjonen og skytjenesteleverandøren benytter EUs standardkontrakt for slik overføring. Institusjonen skal varsle Datatilsynet dersom EUs standardkontrakt anvendes til overføring av personopplysninger til ikke-godkjente land. Dersom institusjonen benytter en skytjeneste til behandling av personopplysninger, skal bruken meldes til Datatilsynet (minst 30 dager før bruken av skytjenesten begynner(6)). Institusjoner med personvernombud er fritatt fra meldeplikten. Isteden skal personvernombudet varsles om bruken av skytjenesten. Hvis institusjonen benytter skytjenester til behandling av sensitive personopplysninger, skal Datatilsynet søkes om konsesjon. Konsesjonsplikten gjelder uavhengig av om institusjonen har personvernombud eller ikke.(7) 5 Jf. personopplysningsloven 15. Skytjenesteleverandøren databehandleren har også et selvstendig ansvar for å sørge for at opplysningene er tilfredsstillende sikret mot brudd på informasjonssikkerheten, jf. personopplysningsloven Fornyet melding skal sendes hvert tredje år. 7 Med sensitive personopplysninger regnes opplysninger om rasemessig eller etnisk bakgrunn; politisk, religiøs eller filosofisk oppfatning; straffbare handlinger; helseforhold; seksuelle forhold; medlemskap i fagforeninger. Alle andre typer av personopplysninger regnes som alminnelige. Legg merke til at elektronisk behandling av personopplysninger om studenter som skjer med hjemmel i universitets- og høyskoleloven eller som studentene har samtykket til er unntatt fra melde- og konsesjonsplikten, jf. personopplysningsforskriften Det er imidlertid svært uklart hvilke behandlinger av personopplysninger om studenter som kan sies å være hjemlet i universitets- og 13

14 7.2 E-forvaltningsforskriften Reglene i e-forvaltningsforskriften gjelder for institusjonens bruk av skytjenester dersom tjenestene benyttes til kommunikasjon med (a) enkeltpersoner eller virksomheter, (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen.(8) E-forvaltningsforskriften skiller seg fra personopplysningsloven ved at den gjelder for all elektronisk informasjonsbehandling som institusjonen har ansvaret for. Reglene i e-forvaltningsforskriften gjelder derfor selv om institusjonen ikke bruker skytjenester til behandling av personopplysninger, for eksempel taushetsbelagte opplysninger som ikke er personopplysninger, enkeltvedtak, saksdokumenter eller andre informasjonsverdier som er viktig for institusjonen.(9) På tilsvarende måte som personopplysningsloven, krever e-forvaltningsforskriften at informasjonssikkerheten i skytjenesten skal være tilfredsstillende for at bruken skal være lovlig, og at institusjonen gjennomfører en risikovurdering for å forsikre seg om at det er tilfelle. Risikovurderingen skal gjennomføres før skytjenesten tas i bruk. E-forvaltningsforskriften inneholder særlig regler om risikovurderinger på enkelte områder som også er relevante ved bruk av skytjenester: Risikoen for uberettiget tilgang til personopplysninger og opplysninger underlagt taushetsplikt dersom henvendelser skal sendes til skytjenester som institusjonen anvender. Risikoen for uberettiget tilgang til enkeltvedtak dersom institusjonen anvender skytjenester til formidling av slike vedtak. Risikoen for at det gis uberettiget innsyn i personopplysninger, andre opplysninger underlagt taushetsplikt og saksdokumenter dersom institusjonen bruker skytjenester i sin saksbehandling. I tillegg pålegges institusjonen å informere om risikoen ved å sende personopplysninger eller opplysninger underlagt taushetsplikt til skytjenester som institusjonen anvender. 7.3 Arkivloven Arkivloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen om forbud mot å føre arkivmaterialet ut av landet (uten at det er gitt særskilt samtykke fra Riksarkivaren). For skytjenester innebærer dette, ifølge Riksarkivaren, at arkivmateriale må være lagret på datamaskiner i Norge, og at materiale ikke kan arkiveres lovlig i skytjenester som lagrer slike data i utlandet. Riksarkivaren mener altså at det ikke er tilstrekkelig at arkivmaterialet er tilgjengelig fra utlandet via internett.(10) Dette innebærer at dersom institusjonen anvender en utenlandsk skytjeneste til saksbehandling, skal arkivverdig informasjon eller dokumenter (a) overføres til og lagres på datamaskiner i Norge så fort saksbehandlingen er avsluttet og (b) materialet slettes fra datamaskiner plassert i utlandet. 7.4 Bokføringsloven Også bokføringsloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen om at bokføringsmateriale i utgangspunktet ikke kan lagres permanent på datamaskiner plassert i utlandet. høyskoleloven. Dersom studentene ikke har avgitt samtykke, anbefales det derfor at melde- og konsesjonsplikten overholdes. 8 E-forvaltningsforskriften er hjemlet i forvaltningsloven 15a og i e-signaturloven 5. 9 For nærmere informasjon om e-forvaltningsforskriften og forholdet mellom forskriften, personopplysningsloven og andre lovverk, se 10 Se /Riksarkivaren-seier-nei-til-skyarkivering-i-utlandet. 14

15 Det er likevel noen unntak fra denne regelen: For det første kan regnskapsmaterialet lagres permanent på datamaskiner plassert i Norden (Danmark, Finland, Sverige og Island) dersom det sendes melding om dette til Skattedirektoratet.(11) For det andre kan institusjonen søke Skattedirektoratet om dispensasjon fra reglene om oppbevaring av regnskapsmateriale i utlandet. Skattedirektoratet er restriktive med å gi slike dispensasjoner. For det tredje kan regnskapsmateriale lagres midlertidig på datamaskiner i land utenfor Norden. Regnskapsmateriale må da overføres til permanent lagring i Norge eller Norden innen én måned etter fastsetting av årsregnskapet og senest sju måneder etter regnskapsårets slutt.(12) 7.5 Oppsummering Reglene i personopplysningsloven, e-forvaltningsforskriften, arkivloven og bokføringsloven innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. I utredningsfasen før skytjenesten tas i bruk gjelder følgende: 1. Skaffe seg tilstrekkelig informasjon om hvordan skytjenesten er oppbygd og fungerer (inkludert hvilke land opplysningene overføres til). 2. Gjennomføre risikovurderinger av informasjonssikkerheten for å avgjøre om det er forsvarlig å ta den aktuelle skytjenesten i bruk. 3. Vurderingen må både omfatte (a) risikoen for brudd på sikkerheten ved behandling av personopplysninger og (b) risikoen for uberettiget tilgang til enkeltvedtak, taushetsbelagt informasjon eller opplysninger, og uberettiget innsyn i saksdokumenter. I avtalefasen mens anskaffelse av skytjenesten foregår gjelder følgende: 1. Inngå lovpålagt databehandleravtale med skytjenesteleverandøren, eventuelt å underskrive EUs standardkontrakt for overføring av personopplysninger til tredjeland. 2. Sjekke at avtalen og kontrakten inneholder de nødvendige kravene til skytjenesteleverandørens behandling og sikring av personopplysninger. 3. Varsle Datatilsynet ved bruk av EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land. 4. Melde bruken av skytjenesten til Datatilsynet hvis personopplysninger behandles i tjenesten. 5. Søke Datatilsynet om konsesjon dersom skytjenesten behandler sensitive personopplysninger. 6. Eventuelt å søke Skattedirektoratet om dispensasjon til permanent oppbevaring av regnskapsmateriale på datamaskiner utenfor Norden. I forvaltningsfasen etter at skytjenesten er tatt i bruk gjelder følgende: 1. Følge opp avtalene for å forvisse seg om at skytjenesteleverandøren (og eventuelle underleverandører) overholder avtalevilkårene. 2. Kreve at skytjenesteleverandørene (og eventuelle underleverandører) lukker avvik fra avtalevilkårene. 3. Avslutte bruken av skytjenesten og flytte personopplysningene dersom vesentlige avvik ikke lukkes.(13) 11 Forskrift om oppbevaring av elektronisk regnskapsmaterialet i andre EØS-land (tilgjengelig på 12 Se uttalelse fra Skattedirektoratet tilgjengelig på 13 Eksempler på vesentlige avvik kan være at leverandøren bruker personopplysningene ut over det avtalen tillater eller overfører opplysningene til andre virksomheter uten at institusjonen har godtatt dette. Andre eksempler kan være at informasjonssikkerheten ikke er tilfredsstillende, for eksempel som følge av gjentatte brudd på opplysningenes konfidensialitet eller tilgjengelighet, eller at institusjonen ikke får tilgang til rapporter fra sikkerhetsrevi- 15

16 4. Gjennomføre nye risikovurderinger av skytjenesten ved vesentlige endringer i tjenesten eller i institusjonens bruk av den. 5. Sørge for at arkivverdig informasjon og dokumentasjon ikke blir lagret på datamaskiner i utlandet. 6. Sørge for at regnskapsmaterialet ikke blir lagret permanent på datamaskiner utenfor Norge, Danmark, Finland, Sverige eller Island. Resten av UFSen vil fokusere på hvordan hvert av punktene i utrednings-, avtale- og forvaltningsfasen kan ivaretas i praksis. sjoner hos leverandøren (eller nektes å gjennomføre egne revisjoner av leverandørens sikkerhetsløsninger dersom det er avtalt). 16

17 IV UTREDNINGSFASEN 8 GRUNNLAGET FOR BESLUTNINGER OM BRUK AV SKYTJENESTER I utredningsfasen, det vil si før skytjenesten tas i bruk, har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle tjenesten. Ovenfor har vi sett at «utredningsplikten» følger av reglene i personopplysningsloven og e-forvaltningsforskriften, og at den primært handler om å gjennomføre risikovurderinger av informasjonssikkerheten i skytjenesten. Vurderinger av informasjonssikkerheten i skytjenesten betyr at institusjonen setter et kritisk søkelys mot risikoen for at personopplysninger og andre informasjonsverdier, spesielt opplysninger som omfattes av taushetsplikten, utsettes for uautorisert tilgang, endring, skade eller tap. Det rettslige kravet, både i personopplysningsloven og e-forvaltningsforskriften, er at skytjenesten lovlig bare kan tas i bruk dersom informasjonssikkerheten i skytjenesten er tilfredsstillende, det vil si at risikoen for uautorisert tilgang, endring, skade eller tap vurderes som akseptabel. Nedenfor følger svar på en del sentrale spørsmål som institusjonen bør stille seg i utredningsfasen. 8.1 Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Det er institusjonen som skal avgjøre hva som menes med «tilfredsstillende informasjonssikkerhet» ved bruk av skytjenester. Institusjonen må derfor selv definere hvor stor risiko for uautorisert tilgang, endring, skade eller tap av informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) den kan akseptere ved bruk av skytjenester. Kravene til tilfredsstillende informasjonssikkerhet ved bruk av skytjenester skal fastsettes av den administrative eller faglige ledelsen ved institusjonen før risikovurderinger av konkrete tjenester gjennomføres. Dersom vurderingen av en skytjeneste viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier er uakseptabel høy (oppfyller ikke institusjonens egendefinerte krav til informasjonssikkerheten), kan ikke skytjenesten brukes på lovlig måte. Dette fordi skytjenesten ikke oppfyller kravet til informasjonssikkerhet fastsatt i personopplysningsloven og e-forvaltningsforskriften, altså at sikkerheten skal være tilfredsstillende. 8.2 Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Verken personopplysningsloven eller e-forvaltningsforskriften stiller bestemte krav til hvordan en risikovurdering skal organiseres eller til hvilken metodikk som skal benyttes. Risikovurderinger av skytjenester 17

18 kan derfor gjennomføres på mange forskjellige måter. Det avgjørende er at institusjonen har kartlagt og tatt stilling til risiko ved bruk av skytjenesten. Her er link til et reelt eksempel på risikovurdering av en konkret skytjeneste (UNINETTs risikovurdering av lagrings- og delingstjenesten «BOX»): Hvor grundige må risikovurderinger av skytjenester være? Lovverket personopplysningsloven og e-forvaltningsforskriften stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten i skytjenester skal være. Institusjonen må imidlertid ha såpass god kunnskap om hvordan den aktuelle tjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: ü Hvilke hendelser kan føre til uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, saksdokumenter, osv.) ved bruk av skytjenesten? ü Hvor stor er risikoen for slike hendelser i forbindelse med denne skytjenesten? Det er ikke forventet at spørsmålene skal besvares med vitenskapelig nøyaktighet og grundighet. Men kunnskapen om skytjenesten må være såpass grundig at svarene baserer seg på noe mer enn gjetning eller ønsketenkning. 8.4 Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Forberedelser til risikovurderinger av skytjenester handler om to forhold: ü Bestemme hvilke informasjonsverdier som skytjenesten skal håndtere på vegne av institusjonen. ü Skaffe seg detaljert informasjon om skytjenestens oppbygning og virkemåte slik at spørsmålene skissert ovenfor kan besvares på en realistisk måte. Når det gjelder det første punktet, er prinsippet at jo flere og viktigere informasjonsverdier institusjonen ønsker at skytjenesten skal behandle, desto bedre skal informasjonssikkerheten i tjenesten være. Det betyr for eksempel at det skal stilles strengere krav til informasjonssikkerheten i tjenester som behandler mange taushetsbelagte opplysninger enn til tjenester som ikke gjør det (eller som gjør det i liten grad). Når det gjelder det andre punktet, kan det være utfordrende å skaffe seg detaljert informasjon om skytjenesten når (a) institusjonen ikke drifter løsningen selv og (b) institusjonen har liten (eller ingen) erfaring med bruk av tjenesten. Utfordringen kan løses ved at institusjonen setter seg inn i alt skriftlig materiale publisert av skytjenesteleverandøren som beskriver skytjenesten og hvordan informasjonssikkerheten i tjenesten blir ivaretatt. Forberedelser til risikovurderinger av skytjenester vil derfor vanligvis ta noe lengre tid og krever noe mer leseinnsats enn hva som er typisk ved tilsvarende vurderinger av interne IT-systemer eller ITtjenester. Institusjonen bør også ha mulighet til å ta direkte kontakt med skytjenesteleverandøren, for eksempel via e-post. Dette for å få nærmere svar på spørsmål som ikke besvares i det skriftlige materialet, for eksempel konkrete forhold knyttet til tjenestens oppbygning og virkemåte eller til hvordan informasjonsverdier blir sikret mot uautorisert tilgang, endring, skade eller tap. 18

19 8.5 Må institusjonen gjennomføre to risikovurderinger av den samme skytjenesten for å overholde reglene i både personopplysningsloven og e- forvaltningsforskriften? En slik todelt «løsning» frarådes på det sterkeste: Det bør ikke forekomme at det først gjennomføres en risikovurdering av hvordan skytjenesten sikrer personopplysninger (etter reglene i personopplysningsloven) for deretter å gjøre den samme øvelsen på nytt, men nå med fokus på sikringen av taushetsbelagte opplysninger, enkeltvedtak, saksdokumenter, osv. (etter reglene i e-forvaltningsforskriften). Vurderinger av informasjonssikkerheten risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier bør skje i én og samme risikovurdering. 8.6 Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? Hvis vurderingen viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) er uakseptabel høy, står institusjonen overfor et valg. Den kan da enten (a) bestemme seg for ikke å gå videre med tjenesten eller (b) kreve at skytjenesteleverandøren styrker informasjonssikkerheten slik at den blir tilfredsstillende. Institusjonen kan naturligvis også velge å ignorere den mangelfulle informasjonssikkerheten, men det fører til at bruken av skytjenesten er ulovlig. Det samme er tilfelle dersom skytjenesten tas i bruk uten at krav om styrking av informasjonssikkerheten etterkommes av skytjenesteleverandøren. 19

20 AVTALEFASEN V 9 INNGÅELSE AV DATABEHANDLERAVTALER MED SKYTJENESTELEVERANDØRER INNENFOR EØS-OMRÅDET( 14 ) I avtalefasen, det vil si etter at risikovurderingen av skytjenesten er ferdigstilt (men før tjenesten tas i bruk), skal institusjonen, ifølge personopplysningsloven, inngå visse avtaler med skytjenesteleverandøren. For å få en ryddig fremstilling av hva institusjonen skal være oppmerksom på i avtalefasen, er fremstillingen nedenfor delt i tre. I den første delen behandles hva som bør være med i databehandleravtaler som inngås mellom institusjonen og skytjenesteleverandøren, uavhengig av om det er institusjonen selv som lager avtalen eller om skytjenesteleverandørens avtale benyttes. I den andre delen behandles hva institusjonen skal passe på dersom den anvender skytjenester som overfører personopplysninger til datamaskiner plassert i land utenfor EØS-området. Dette kan skje ved at skytjenesteleverandøren er etablert i et land innenfor EØS-området, men anvender underleverandører utenfor EØS, for eksempel tilbydere av infrastrukturtjenester (datalagring og dataprosessering) eller andre tjenester (support, vedlikehold, osv.). Det kan også skje ved at skytjenesteleverandøren selv er etablert i eller har sine datasentre i land utenfor EØS-området. Institusjonen må derfor skaffe seg informasjon om to forhold: ü Om skytjenesteleverandørene behandler personopplysninger utenfor EØS-området. ü Om eventuelle underleverandører til skytjenesteleverandøren behandler personopplysninger utenfor EØS-området. ü I slike tilfeller kan det være nødvendig med en ekstra avtale mellom institusjonen og skytjenesteleverandøren, men det avhenger av hvilke land personopplysningene overføres til. I den tredje delen behandles hvordan institusjonen kan ivareta (a) meldeplikten til Datatilsynet, (b) konsesjonsplikten for behandling av sensitive personopplysninger og (c) søke om fritak fra forbudet mot permanent oppbevaring av regnskapsmateriale på datamaskiner utenfor de nordiske landene. Nedenfor følger først svar på sentrale spørsmål som institusjonen bør stille seg når den skal vurdere innholdet i eller selv lagt databehandleravtaler med leverandører av skytjenester. I tillegg gis eksempler på formuleringer hentet fra avtalene til utvalgte skytjenesteleverandører som viser hvordan vilkårene kan ivaretas i praksis. 14 Med EØS-området menes alle EU-land pluss Norge, Island og Liechtenstein. 20

21 9.1 Er hensikten med databehandleravtalen spesifisert? Det skal fremgå av avtalen at hensikten med den er å regulere databehandlerens (skytjenesteleverandørens) håndtering av opplysninger på vegne av den behandlingsansvarlige (institusjonen), enten etter (a) reglene i lov av 14. april 2000 nr. 31 om behandling av personopplysninger eller (b) EU-direktiv 95/46/EC (personverndirektivet). Det bør presiseres hvem som er behandlingsansvarlig (navnet på den aktuelle institusjonen) og hvem som er databehandler (navnet på den aktuelle skytjenesteleverandøren). Eksempler: ü Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data. ü With respect to Customer Data under this Agreement, the parties acknowledge and agree that Customer is the controller and [tjenesteleverandøren] is a processor. 9.2 Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? I databehandleravtalen bør det fremgå at dersom det skulle oppstå motstrid mellom vilkår i ulike avtaler som omfatter bruken av den samme skytjenesten, er det vilkårene i databehandleravtalen som skal gjelde. Eksempel: ü To the extent of any conflict or inconsistency between the terms of this Data Processing Amendment and the remainder of the Agreement, the terms of this Data Processing Amendment will govern. 9.3 Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? I avtalen bør det gis en kort oversikt over hvilke typer personopplysninger som vil (eller kan bli) behandlet i skytjenesten, eller at det spesifiseres hvilke tjenester/funksjonalitet som omfattes av avtalen. Dette punktet formuleres på ulike måter i forskjellige avtaler, avhengig av hvilke skytjenester og leverandører det er snakk om. Eksempel: ü Personal data submitted, stored, sent or received by Customer or End Users via the Services may include user IDs, , documents, presentations, images, calendar entries, tasks and other electronic data. ü Personal data submitted, stored, sent or received via the Services may concern End Users including employees, contractors and the personnel of customers, suppliers and subcontractors. Data subjects may also include individuals collaborating and communicating with End Users. 9.4 Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Det bør fremgå av databehandleravtalen at institusjonen har eierskap til alle informasjonsverdier som behandles i skytjenesten. Dersom institusjonens eierskap til informasjonsverdiene (personopplysninger, saksdokumenter, undervisningsmateriell, osv.) ikke fremgår av databehandleravtalen, må det klart fremgå i det øvrige avtaleverket som gjelder for skytjenesten. Eksempel: ü [tjenesteleverandøren] will acquire no rights in Customer Data. 21

22 9.5 Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Det skal sies eksplisitt i avtalen at skytjenesteleverandøren bare skal behandle personopplysninger etter instruks fra institusjonen. Det kan også sies at disse instruksjonene følger av bestemmelsene i avtalen. Eksempler: ü [tjenesteleverandøren] will process Customer Data in accordance with Customer s Instructions. Customer instructs [tjenesteleverandøren] to process Customer Data to: (i) provide the Services (which includes the detection, prevention and resolution of security and technical issues) and (ii) respond to customer support requests. ü As data processor, [tjenesteleverandøren] will only act upon Customer s instructions. This Amendment and the Agreement (including the terms and conditions incorporated by reference therein) are Customer s complete and final instructions to [tjenesteleverandøren] for the processing of Customer Data. 9.6 Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset? Det skal sies eksplisitt at skytjenesteleverandøren ikke kan bruke personopplysninger som den håndterer på vegne av institusjonen til annet enn å levere og administrere den aktuelle skytjenesten. Dersom skytjenesteleverandøren likevel skal bruke institusjonens opplysninger til andre formål, må dette avtales særskilt. Eksempler: [tjenesteleverandøren] will only process Customer Data in accordance with this Agreement and will not process Customer Data for any other purpose. For clarity, and notwithstanding any other term in the Agreement, [tjenesteleverandøren] will not serve Advertising in the Services or use Customer Data for Advertising purposes. Customer Data will be used only to provide Customer the [skytjenesten]. 9.7 Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen? De som opplysningene gjelder sluttbrukerne (eller de registrerte) har visse rettigheter når det gjelder behandlingen av egne opplysninger. Dette gjelder for eksempel retten til å få opplysninger om seg selv rettet, slettet eller sperret. Det bør fremgå av avtalen hvordan skytjenesteleverandøren vil bistå institusjonen med å ivareta sluttbrukernes rettigheter. Eksempel: For the Term of the Subscription for the [skytjenesten], [tjenesteleverandøren] will, at its election and as necessary under applicable law implementing Article 12(b) of the EU Data Protection Directive, either: (1) provide Customer with the ability to correct, delete, or block Customer Data, or (2) make such corrections, deletions, or blockages on Customer s behalf. 22