Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Transkript

1 SKYTJENESTER Veiledning, 2014

2 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. Hvis du som privatperson skal bruke denne typen nettbaserte lagringsløsninger, bør du særlig vurdere hvor sikker løsningen er.

3 3 Innhold Hva er skytjenester?...4 Ulike former for skytjenester...4 Virksomheten har behandlingsansvaret...4 Internkontroll...5 Risikovurdering og informasjonssikkerhet...5 Spesielle problemstillinger...6 Sjekkliste...7 Privat bruk av skytjenester...8

4 4 Hva er skytjenester? Sky tjenester, eller Cloud Computing, er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparkene kjennetegnes ved at de er laget for dy namisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for det den faktisk bruker. Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjenesteleverandøren er i samsvar med norsk lovgivning. Ulike former for skytjenester Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er: Programvare som tjeneste (Software as a Service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter. Plattform som tjeneste (Platform as a Service - PaaS), hvor kunden innfører applikasjoner utv iklet/kjøpt av kunden i leverandørens nettskyinfrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter. Infrastruktur som tjeneste (Infrastructure as a Service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden). Sky tjenester kan i tillegg deles inn i leveransemodeller som: Allmenn tilgjengelig sky (Public Cloud), hvor sky tjenestene gjøres tilgjengelige av leverandøren for alle kunder. Privat tilgjengelig sky (Private Cloud), hvor sky tjenestene gjøres tilgjengelige kun for de virksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, ty pisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky. Hy bridsky (Hy brid Cloud), som kan være en blanding av modellene over. Virksomheten har behandlingsansvaret Når det gjelder behandling av personopplysninger og behandlingsansvar gjelder de samme reglene for leverandører av elektroniske tjenester på internett som for mer tradisjonelle virksomheter. Behandling defineres i personopplysningsloven 2 nr. 2. Det er den behandlingsansvarlige som velger å ta i bruk sky tjenesten. Hvis tjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige, er leverandøren å anse som en databehandler. Datatilsynet anser derfor en leverandør av skytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres. Behandlingsansvarlig Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar. Datatilsynet har laget en veileder om og eksempel på avtaleskisser for en slik databehandleravtale. Dette finnes på datatilsynet.no. I avtaleskissen og veilederen finnes oversikt over minimumskravene som Datatilsynet forventer at en slik avtale inneholder.

5 5 Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til den behandlingssansvarlige som kjøper tjenesten. Noen slike punkter kan være; sikkerhetskopiering, sletting, tilgangsstyring og segmentering av databaser. Internkontroll En velfungerende internkontroll er avgjørende for å sikre forsvarlig behandling av personopplysninger. Datatilsynet har utarbeidet en veileder om internkontroll og informasjonssikkerhet, som er tilgjengelig på datatilsynet.no. Veilederen hjelper virksomheten gjennom prosessen med å innføre internkontroll og informasjonssikkerhet, og vi vil her kun nevne noen av rutinene som er viktig å gjennomføre før man tar i bruk sky tjenester. Kartlegg virksomhetens behandlinger Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Den danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Hva skal oversikten inneholde Oversikten skal gi kortfattet informasjon om: hvilke opplysninger som behandles og formålet med behandlingen hjemmelsgrunnlag for å behandle opplysningene klassifikasjon av hvorvidt personopplysningene er sensitive eller ikke teknologiske sikkerhetstiltak med angivelse av sone eller nettverk hvor opplysningene lagres og om de overføres via eksterne media personopplysningenes omfang eventuell avdeling som behandler personopplysningene sy stemeier og/eller dataeier Rutiner for internkontroll Virksomheten skal ha rutiner for internkontroll og noen av de mest relevante rutinene er for: - innsyn - retting og supplering - sletting - informasjon - samtykke Mer utfyllende informasjon om rutiner og hvordan man kan utarbeide rutinene, finnes i veilederen for internkontroll og informasjonssikkerhet på datatilsynet.no. Vi minner om at de samme pliktene gjelder for behandlingsansvarlig uansett om den bruker skytjenester eller ikke. Risikovurdering og informasjonssikkerhet Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet. For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at sky tjenesten møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Virksomheten må tillegge vurderingen større vekt når den går fra egen drift til skybaserte løsninger, ettersom personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Spørsmålet blir: Hvordan skal den behandlingsansvarlige forvisse seg om at informasjonssikkerheten faktisk er tilfredsstillende? Databehandleravtalen skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne. Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillende informasjonssikkerhet.

6 6 Sikkerhetsrevisjon Personopplysningsforskriftens kapittel 2 om informasjonssikkerhet har en bestemmelse om sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres. Datatilsynet er derfor av den oppfatning at: Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger. Dette for at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier. Databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen. Les mer på datatilsynet.no om informasjonssikkerhet og internkontroll. Spesielle problemstillinger Leverandører av skytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester. For eksempel kan skytjenestene gi mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen spesielle problemstillinger som den behandlingsansvarlige må ta stilling til: Sikkerhetskopiering/Speiling: Hvordan fungerer dette? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Ty skland til India? Er en slik redundans i henhold til de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført? T ilgangsstyring: Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Se avsnittet over om risikovurdering og informasjonssikkerhet. Autorisert og uautorisert bruk: Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften 2-14? Dokumentasjon: Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter? Hvor lagres data? Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen, men engangsoverføringer kan forhåndsgodkjennes av Datatilsynet. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. Virksomheter som vil overføre personopplysninger til utlandet må følge bestemmelsene i personopplysningsloven kapittel 5 og personopplysningsforskriften kapittel 6. Sletting: Blir personopplysningene slettet i «rimelig tid»? Databehandler har ikke noen rett til å behandle personopplysninger etter at det er bedt om sletting fra behandlingsansvarlig. Bruk til egne formål: Har databehandleren et punkt i avtalen om at data kan brukes til egne formål (for eksempel forbedre egne tjenester)? Virksomheten må sørge for at databehandleravtalen veier høyest, og at leverandøren ikke har en personvernerklæring som kan overgå denne. Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, slik det står i personopplysningsloven 11 b. Underleverandører: Bruker databehandler underleverandører? Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten. Dette relaterer til problemstillingen over om hvor data lagres og om det overføres data til tredjeland. Segm entering: Datatilsynet har uttalt at den behandlingsansvarliges personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig. Hvordan håndterer leverandøren dette?

7 7 Sjekkliste Gjennomfør en risiko- og sårbarhetsanalyse Gjennomfør en revisjon av databehandleren Kartlegg alle systemer i virksomheten som inneholder personopplysninger. Grader deretter opplysningene fra sensitive til ikke-sensitive. Evaluer hva som kan gå galt. Vurder hvilke følger det kan få om noe går galt, for eksempel at personopplysninger kommer på avveier. Lag en oversikt over hvilke sikkerhetstiltak som er iverksatt for å håndtere eventuelle hendelser. Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten. Tilfredsstiller tjenesten kravene etter risikovurderingen? Bruken av skytjenester må revideres jevnlig. Det vil si at dere selv eller en uavhengig tredjepart gjennomfører en sikkerhetsrevisjon for å sikre at databehandleravtalen følges. Dersom avtalen sier at en tredjepart skal utføre revisjon krev å få se rapporten fra utført revisjon. Denne rapporten skal også være tilgjengelig for Datatilsynet dersom vi krever å få se rapporten ved tilsyn. Sørg for at overføring av data følger loven Sørg for å ha en databehandleravtale med leverandøren av skytjenestene Du har plikt til å ha en databehandleravtale med leverandøren av skytjenestene, og sørge for at denne er i tråd med norsk regelverk. Det er virksomhetens ansvar at lovens krav følges. Viktige momenter som må dekkes i avtalen er blant annet: sikkerhetskopiering, sletting, tilgangsstyring og segmentering av informasjon. Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS, men Datatilsynet kan forhåndsgodkjenne overføringer. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. Dataportabilitet Kan data overføres til ny tjenesteleverandør hvis det er ønskelig? Hvordan fungerer sikkerhetskopiering/speiling? Når slettes opplysninger hos leverandøren? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndterer leverandøren det at personopplysninger ikke skal sammenblandes mellom ulike behandlingsansvarlige? Kartlegg om leverandøren kan bruke virksomhetens data til egne formål Sørg for at leverandørens personvernvilkår (eller andre vilkår), ikke går utover databehandleravtalen Sørg for å regulere leverandørens bruk av underleverandører, og at virksomheten har oversikt og kontroll over disse. Kartlegg om leverandøren kan bruke opplysningene for egne formål. Sørg for sikker kommunikasjon og kryptering Blir opplysningene kryptert før de lagres i nettskyen? Er kommunikasjonen mellom behandlingsansvarlig og databehandler kryptert? Er kommunikasjonen mellom databehandler og underleverandør/datasenter kryptert Hvem sitter på krypteringsnøklene? Få på plass nødvendig dokumentasjon Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll?

8 8 Privat bruk av skytjenester Hvis du som privatperson skal bruke nettbaserte lagringsløsninger, bør du stille deg følgende spørsmål: Brukervilkår: Hva sier brukervilkårene? Bør jeg være bekymret for noen av dem? Forstår jeg vilkårene? Seriøsitet: Hvor seriøs fremstår tjenesteleverandøren? Kjenner jeg noen som kan gi meg et råd om bruk av tjenesten er forsvarlig for formålet mitt? Sikkerhet: Hvordan ser det ut til at tjenesteleverandøren har ivaretatt sikkerheten? Hvor enkelt ser det ut til for at uvedkommende kan skaffe seg tilgang? Er sikkerheten godt nok ivaretatt for det jeg ønsker å lagre? Søk gjerne råd hos andre som har greie på sikkerhet. Passord: Hvis tjenesteleverandør stiller krav til kvalitet på passordet er dette et godt tegn. Virker det som leverandør har ivaretatt dette på en god måte? Rettigheter: Hvilke rettigheter har jeg om all informasjonen jeg har lagret blir borte? Sies det noe om det i vilkårene? Har jeg en egen sikkerhetskopi? Lovgivning: Hvilket land er tjenesteleverandøren hjemmehørende i? Hvem kan hjelpe meg hvis noe skulle gå galt? Informasjonen på nettbaserte løsninger kan i utgangspunktet være lagret hvor som helst i verden, og andre regler kan gjelde i utlandet i forhold til i Norge.

9 Nyttige lenker Kan vi bruke skytjenester? Personvernbloggen 13. oktober 2015: Cloud Computing - europeiske og internasjonale retningslinjer: alelser-fra-artikkel-29-gruppen/cloud-computing/ Den europeiske Artikkel 29-gruppen og den internasjonale Berlin-gruppen gir her sine vurderinger om bruk av Cloud Computing. Artikkel 29-gruppen (Article 29 Working Party) er satt sammen av representanter fra datatilsynsmyndighetene i hvert enkelt medlemsland i EU. Gruppen rådfører i personvernspørsmål og ser til at EUs personverndirektiv implementeres likt i EU- og EØS-landene. Den internasjonale arbeidsgruppen for personvern innen telekommunikasjon (Berlin-gruppen) arbeider primært med tekniske problemstillinger knyttet til telekommunikasjon. Europakommisjonens nyhetsnettside for personverntematikk i internasjonal dataflyt. Artikkel 29-gruppens uttalelse om C-SIG Code of Conduct on Cloud Computing 9 Skytjenester i det offentlige I 2012 åpnet Datatilsynet for at kommunene Moss og Narvik kunne bruke skytjenester fra Google og Microsoft /Bruk-av-nettskytjenester/ Kommunesektorens organisasjon (KS) har gjort en mulighetsstudie for bruk av skytjenester i kommunene. Rapporten, som ble lansert juni 2015, tar for seg både forvaltningsloven, lov om offentlige anskaffelser og GPAavtalen, reglene om vern av personopplysninger, sikkerhetsloven, bokføringsloven og arkivloven. Kommunal- og moderniseringsdepartementet (KMD) har publisert en rapport fra en interdepartemental arbeidsgruppe som har vurdert hindringer for bruk av sky tjenester i det norske regelverket. Kommunal- og moderniseringsdepartementet (KMD) har lansert Nasjonal strategi for bruk av skytjenester. I denne strategien legger KMD frem flere tiltak som skal gjøre det enklere for både offentlige og private virksomheter å vurdere bruk av skytjenester Andre relevante artikler EUs anbefalinger om Cloud Computing og Safe Harbor (engelsk): ( 29/documentation/opinionrecommendation/files/2015/wp232_en.pdf) På europeisk nivå er det en arbeidsgruppe kalt Cloud «Select Industry Group» (C-SIG) som sammen med EUkommisjonen jobber med å utarbeide en Code of Conduct for leverandører av skytjenester. Dette vil innebære at leverandørene skal ha en enhetlig praksis på hvordan de skal etterleve personvernreglene i Europa. Artikkel 29- gruppen skal så ta stilling til om denne Code of Conduct er tilstrekkelig til å ivareta de usikkerhetsmomenter og problemstillinger som har vært praksis over lengre tid. Foreløpig har ikke Artikkel 29-gruppen godkjent denne Code of Conduct, men de har gitt en uttalelse om hva som er manglende i Code of Conduct før den kan godkjennes Sjekkliste: Hvilke krav bør vi stille til skytjenester? (Utarbeidet av Sintef) 08/sjekkliste-for-sikkerhet-i-skytjenester/ Bruk av skytjenester etter Snowden Virksomheter i Norge kan fortsatt bruke skytjenester som innebærer at personopplysninger overføres til bedrifter i USA.

10 Besøksadresse: Tollbugata 3, 0152 Oslo Postadresse: Postboks 8177 Dep., 0034 Oslo Telefon: datatilsynet.no personvernbloggen.no