Fagspesifikasjon. Krav til bruk av skytjenester

Transkript

1 Fagspesifikasjon Krav til bruk av skytjenester

2 Krav til bruk av skytjenester UFS nr.: 150 Versjon: 1.0 Status: Utkast Dato: 24. jun Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat for informasjonssikkerhet i UH-sektoren Ansvarlig: UNINETT Kategori: Anbefaling

3 Adresse: 7465 Trondheim Sentralbord: E-post: Web:

4 SAMMENDRAG I Denne UFSen omhandler rettslige krav til bruk av skytjenester og skal bidra til at universiteter og høyskoler kan anvende skytjenester på lovlig måte. UFSen retter seg primært mot personell med et særskilt ansvar for institusjonens bruk av slike tjenester (admin/it), men den passer også for andre med interesse for spørsmål knyttet til rettslig regulering av skytjenester. UFSen gir innsikt i lover og regler som gjelder ved bruk av skytjenester, samt konkrete råd og eksempler på hvordan dette kan gjøres i praksis. Merk at det kun er lover og regler som er særlig relevante for skytjenester behandles i UFSen. UFSen består av fire hoveddeler: lovverket, utredningsfasen, avtalefasen og forvaltningsfasen. En kort oppsummering av hver av disse finner du nedenfor. 1 LOVVERKET Reglene i lovverket innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. 1.1 Personopplysningsloven Personopplysningsloven har blant annet regler om sikring av personopplysninger i skytjenester (informasjonssikkerhet), inngåelse av avtaler med databehandleren (skytjenesteleverandøren) og hvordan behandlingsansvarlig (institusjonen) skal følge opp den daglige bruken av skytjenester. 1.2 E-forvaltningsforskriften E-forvaltningsforskriften har regler om sikring av informasjonsverdier i skytjenester (informasjonssikkerhet) når institusjonen benytter slike tjenester til kommunikasjon med (a) enkeltpersoner eller (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen 1.3 Arkivloven Arkivloven har regler som, i følge Riksarkivet, setter forbud mot at arkivdatabasen og sikkerhetskopier av databasen oppbevares hos skytjenesteleverandører som lagrer materiale i utlandet (uten at det er gitt særskilt samtykke fra Riksarkivaren). 2

5 1.4 Økonomi- og regnskapsregler For institusjoner som er underlagt regnskaps- og bokføringsloven, gjelder regler som i utgangspunktet setter forbud mot lagring av regnskapsmateriale på datamaskiner plassert i land utenfor Norden (Danmark, Finland, Sverige og Island). For institusjoner som er underlagt økonomiregelverket for staten gjelder også regler om lagring av oppbevaringspliktige regnskapsdata i utlandet. Men for disse institusjonene vil det være ulovlig å benytte skytjenester som lagrer oppbevaringspliktig regnskapsdata på datamaskiner utenfor Norges grenser 2 UTREDNINGSFASEN Før skytjenesten tas i bruk har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle skytjenesten (iht. Personopplysningsloven, e-forvaltningsforskriften og Reglement for økonomistyring i staten med bestemmelser). Det rettslige kravet er at skytjenesten lovlig kan tas i bruk dersom informasjonssikkerheten til de data/opplysninger som behandles i tjenesten er tilfredsstillende. Det innebærer at institusjonens utredning må konkludere med at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, endring, skade eller tap av personopplysninger og andre informasjonsverdier) ved bruk av tjenesten er akseptabel. Institusjonen må selv definere hvor stor risiko for brudd på informasjonssikkerheten den kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke skytjenesten brukes på lovlig måte. Lovverket stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten til data i skytjenester skal være. Institusjonen må imidlertid ha så god kunnskap om hvordan den aktuelle skytjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: 1. Hvilke hendelser kan føre til uautorisert tilgang, eksponering, endring, skade eller tap av institusjonens informasjonsverdier? 2. Hvor stor er sannsynligheten for og konsekvensene av slike hendelser? 3 AVTALEFASEN Avtalefasen er perioden etter at risikovurderingen av skytjenesten er ferdigstilt, men før tjenesten tas i bruk av institusjonen. Dersom risikovurderingen viser at det er forsvarlig å anvende skytjenesten (informasjonssikkerheten er tilfredsstillende), skal institusjonen i denne fasen inngå visse avtaler med skytjenesteleverandørene. Dersom det er snakk om behandling av personopplysninger, skal institusjonen inngå en databehandleravtaler med skytjenesteleverandøren. Følgende momenter bør være med i databehandleravtaler med skytjenesteleverandører: Databehandleravtalen sin hensikt. At vilkår i databehandleravtalen går foran vilkår spesifisert i andre avtaler. Hvilke personopplysninger eller tjenester avtalen gjelder for. Institusjonen har eierskap til sine egne data. Leverandøren skal følge instrukser gitt av institusjonen. Leverandørens råderett over personopplysninger er tydelig begrenset. Institusjonen gis tilgang til nødvendig dokumentasjon av skytjenesten. Krav til bruk av eventuelle underleverandører. Krav til informasjonssikkerheten. Krav til sikkerhetsrevisjoner. 3

6 Krav til sletting av personopplysninger. Krav til tilbakeføring av personopplysninger. Avtalens varighet. Lovvalg og verneting. Institusjonen må også melde bruken av skytjenesten til Datatilsynet før den tas i bruk, eventuelt søke konsesjon fra Datatilsynet dersom det er meningen av skytjenesten skal behandle sensitive personopplysninger. For institusjoner som er underlagt regnskapslovgivningen (bokføringsloven) kan det i denne fasen være aktuelt å søke Skattedirektoratet om dispensasjon fra reglene om langtidslagring av regnskapsdata i utlandet. 3.1 Skytjenester i tredjeland Personopplysningsloven inneholder regler for hva institusjonen må gjøre for at overføring av personopplysninger til tredjeland, det vil si land utenfor EØS-området, skal være lovlig. Disse reglene må institusjonen påse at den følger før skytjenester tas i bruk. Dersom personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) etablert i land innenfor EØS-området (alle EU-land pluss Norge, Island og Liechtenstein), trenger ikke institusjonen å ta hensyn til reglene om overføringer av personopplysninger til tredjeland. Det samme gjelder dersom skytjenesteleverandøren (og eventuelle underleverandører) er etablert i land utenfor EØS-området, men som er godkjent av EU-kommisjonen. Dette er land som, ifølge EUkommisjonen, har like god personvernlovgivning som land innenfor EØS-området. Overføring av personopplysninger til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området som ikke er godkjent av EU-kommisjonen, er i utgangspunktet ikke tillatt. Slike overføringer kan likevel skje på lovlig måte under visse betingelser. Den enkleste måten å overføre personopplysninger til slike skytjenesteleverandører (og eventuelle underleverandører) på, er å anvende EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland. 3.2 Safe Harbor 2.0 USA er et land utenfor EØS-området som ikke er godkjent av EU-kommisjonen. Fram til oktober 2015 kunne opplysninger om borgere i EØS-området likevel overføres lovlig til skytjenesteleverandører i USA dersom leverandøren hadde sluttet seg til Safe Harbor-programmet. Men i oktober 2015 avsa EUdomstolen en dom som gjorde det ulovlig å overføre personopplysninger til skytjenesteleverandører i USA med grunnlag i Safe Harbor. I februar 2016 ble EU og USA enige om Safe Harbor 2.0 (EU-US Privacy Shield). Per mars 2016 er ikke Safe Harbor 2.0 offisielt godkjent av EU. Inntil en eventuell godkjenning er klar, bør overføring av personopplysninger til skytjenesteleverandører i USA skje med grunnlag i EUs standardkontrakt nevnt ovenfor. 4 FORVALTNINGSFASEN Forvaltningsfasen omfatter hele perioden fra institusjonen første gang benytter skytjenesten og helt frem til bruken av tjenesten avsluttes. I forvaltningsfasen har institusjonen visse løpende plikter, det vil si lovpålagte oppgaver som institusjonen skal utføre med jevne mellomrom gjennom hele avtaleperioden: 4

7 4.1 Avtaleoppfølging. Sjekke at skytjenesteleverandøren overholder vilkårene i databehandleravtalen, eventuelt også vilkårene i EUs standardkontrakt for overføring av personopplysninger til tredjeland. 4.2 Risikovurderinger. Foreta risikovurderinger ved (a) viktige endringer i tjenestens oppbygning og funksjonalitet og (b) revidere eksisterende risikovurderinger for å sjekke at risikoen for uautorisert tilgang, endring, skade eller tap av personopplysninger eller andre informasjonsverdier fortsatt er akseptabel. 4.3 Rutinekontroll. Sjekke at institusjonens rutiner for overholdelse av reglene om langtidslagring av arkiv- og regnskapsmateriale i utlandet overholdes. 4.4 Melding til Datatilsynet. Sende melding til Datatilsynet dersom uvedkommende har fått innsyn i de personopplysningene som behandles i skytjenesten. 5

8 Innholdsfortegnelse DEL I SAMMENDRAG Lovverket Personopplysningsloven E-forvaltningsforskriften Arkivloven Økonomi- og regnskapsregler Utredningsfasen Avtalefasen Skytjenester i tredjeland Safe Harbor Forvaltningsfasen Avtaleoppfølging Risikovurderinger Rutinekontroll Melding til Datatilsynet DEL II INTRODUKSJON Avgrensinger Oppbygning Endringer i denne revisjonen DEL III LOVVERKET Kort om rettslige krav ved anskaffelse og bruk av skytjenester Personopplysningsloven E-forvaltningsforskriften Arkivloven Bokføringsloven Økonomiregelverket i staten Oppsummering DEL IV UTREDNINGSFASEN Grunnlaget for beslutninger om bruk av skytjenester Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Hvor grundige må risikovurderinger av skytjenester være? Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Må institusjonen gjennomføre flere risikovurderinger av den samme skytjenesten for å tilfredsstille kravene til slike vurderinger i ulike lovverk? Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? DEL V AVTALEFASEN Inngåelse av databehandleravtaler med skytjenesteleverandører innenfor EØS-området() Er hensikten med databehandleravtalen spesifisert? Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset?

9 10.7 Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen? Sier avtalen at institusjonen kan få tilgang til nødvendig dokumentasjon hos skytjenesteleverandøren? Stiller avtalen krav til skytjenesteleverandørens bruk av eventuelle underleverandører? Stiller avtalen eksplisitte krav til informasjonssikkerheten hos skytjenesteleverandøren? Fremgår det av avtalen hvordan skytjenesteleverandøren vil håndtere henvendelser fra politimyndigheter om å få tilgang til sluttbrukernes personopplysninger? Stiller avtalen krav til sikkerhetsrevisjoner hos skytjenesteleverandøren? Regulerer avtalen sletting av personopplysninger hos skytjenesteleverandøren? Regulerer avtalen hvordan personopplysninger skal tilbakeføres til institusjonen? Reguleres avtalens varighet? Reguleres lovvalg og verneting? Hvordan skal institusjonen forholde seg til annen informasjon om tjenesten, for eksempel på skytjenesteleverandørens hjemmeside? Skytjenesteleverandører som overfører personopplysninger til land utenfor EØS (tredjeland) Hvordan kan institusjonen finne ut om personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området? Hva skal institusjonen passe på dersom personopplysninger overføres til land utenfor EØSområdet, som er godkjent av EU-kommisjonen? Hva skal institusjonen passe på dersom personopplysninger overføres til land utenfor EØSområdet, som ikke er godkjent av EU-kommisjonen? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som er tilsluttet Safe Harbor? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som ikke er tilsluttet Safe Harbor? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som har underleverandører i andre ikke-godkjente land? Hva skal institusjonen passe på dersom personopplysninger overføres til amerikanske skytjenesteleverandør som har underleverandører i USA? Hva skal institusjonen passe på dersom personopplysninger overføres til skytjenesteleverandør i andre ikke-godkjente land enn USA? Vil overføring av personopplysninger til skytjenesteleverandører i ikke-godkjente land være lovlig uten at det er gjennomført en risikovurdering av tjenesten? Melding, konsesjon og dispensasjon Hvordan kan institusjoner uten personvernombud ivareta meldeplikten til Datatilsynet? Hvordan kan institusjonen ivareta konsesjonsplikten hvis skytjenester ønskes brukt til behandling av sensitive personopplysninger? Hvordan kan institusjonen søke Skattedirektoratet om dispensasjon fra forbudet mot oppbevaring av regnskapsdata på datamaskiner utenfor Norden? Hvordan kan institusjonen søke Riksarkivaren om dispensasjon fra forbudet mot oppbevaring av arkiv- og regnskapsdata på datamaskiner utenfor Norge? DEL VI FORVALTNINGSFASEN Om forvaltningsfasen Hvordan kan institusjonen forsikre seg om at vilkårene i lovpålagte avtaler med skytjenesteleverandøren overholdes? Hva skal institusjonen gjøre dersom det viser seg at skytjenesteleverandøren ikke overholder avtalene? Hvor ofte skal institusjonen gjennomføre risikovurderinger av bruken av skytjenesten? Hva skal institusjonen gjøre dersom nye risikovurderinger viser at informasjonssikkerheten ikke lenger er tilfredsstillende? Hvordan kan institusjonen forsikre seg om at rutiner for lagring av arkiv- og regnskapsmateriale overholdes av sluttbrukerne?

10 13.6 Hvordan kan institusjonen melde uautorisert tilgang til eller eksponering av personopplysninger i skytjenesten til Datatilsynet? DEL VII REFERANSER

11 Endringslogg: Versjon Dato Kapittler Endring Ansvarlig Godkjent Alle Første versjon av innhold klar til TT gjennomlesing Alle Gjennomlesing og kommentarer RSN/TT/SS/OIS Alle Lagt til sammendrag SS Alle Innhold ferdig TT Alle Lagt over i UFS formatet MS Alle Ryddet etter gjennomlesing MS/IM Alle Ny versjon basert Safe Harbor 2.0 MS/TT Alle Publisert versjon MS Arbeidsgruppen som har jobbet med denne UFSen er Sekretariat for informasjonssikkerhet i UHsektoren og personer fra ecampus prosjektet på digital eksamen. Tommy Tranvik, UiO Rolf Sture Normann, UNINETT Simon Skrødal, UNINETT Ingrid Melve, UNINETT Magnus Strømdal, UNINETT 9

12 INTRODUKSJON I I Universiteter eller høyskoler som ønsker å ta i bruk skytjenester i administrasjon, undervisning, formidling eller forskning, skal følge enkelte lover og regler. Lovverket som gjelder legger visse føringer og setter enkelte begrensninger for bruken av skytjenester til slike formål. Det er derfor ikke fritt frem til å benytte hvilke skytjenester som helst, men lovverket inneholder heller ikke forbud mot bruken av slike tjenester. Lovlig bruk av skytjenester betinges av at institusjonen etablerer tilfredsstillende styring og kontroll med hva skytjenesteleverandøren og eventuelle underleverandører gjør med de informasjonsverdiene som leverandøren behandler på institusjonens vegne. Dersom institusjonen har etablert styring og kontroll med skytjenesteleverandøren, har den et betydelig mulighetsrom for bruk av skytjenester. Vektleggingen av tilfredsstillende styring og kontroll innebærer at den viktigste barrieren mot lovlig bruk av skytjenester verken er teknisk eller juridisk. Kartlegginger i sektoren indikerer isteden at hovedbarrieren er kompetanse og organisering.(1) Dette dreier seg særlig om tre forhold: 1. Kunnskap om de viktigste lover og regler som gjelder ved bruk av skytjenester. 2. Kjennskap til hvordan de viktigste lovene og reglene kan anvendes ved bruk av skytjenester. 3. Hensiktsmessig organisering av arbeidet med anskaffelse og forvaltning av skytjenester. Institusjonen må ha kompetanse på begge punktene for å kunne anvende skytjenester på en lovlig måte. Formål Formålet med UFSen er å bidra til å styrke kompetansen på hvilke rettslige krav som gjelder når universiteter og høyskoler ønsker å ta i bruk skytjenester. Dette gjøres på tre måter: 1. For det første ved at UFSen gir oversikt over de viktigste reglene som gjelder ved bruk skytjenester, og hva reglene krever av institusjonen. 2. For det andre ved at UFSen stiller og besvarer sentrale spørsmål om hvordan reglene kan anvendes ved bruk av skytjenester. 3. For det tredje ved at UFSen gir konkrete eksempler på hvordan reglene kan ivaretas i praksis. Målgruppe UFSen retter seg primært mot IT-ansatte på universiteter og høyskoler, og ansvarlige for informasjonssikkerhet og personvern. UFSen kan også leses av andre ansatte som har et særlig ansvar for at bruken av skytjenester skjer på lovlig måte. 1 Se forskningsrapporten «Styring av informasjonssikkerheten i universiteter og høyskoler», tilgjengelig på 10

13 5 AVGRENSINGER UFSen har ikke til formål å gjøre rede for regler som gjelder for all elektronisk behandling av personopplysninger og andre informasjonsverdier. Fokuset rettes mot de reglene som er særlig relevante i en skysammenheng. Det betyr for eksempel at grunnkrav til behandling av personopplysninger i personopplysningsloven og generelle regler om informasjonssikkerhet i e-forvaltningsforskriften ikke blir drøftet.(2) Anskaffelsesregelverket (lov og forskrift om offentlige anskaffelser) blir ikke drøftet i denne UFSen. Her må institusjonen gjøre en skjønnsmessig vurdering av «skyanskaffelsens» verdi over hele avtaleperioden for å avgjøre hvilke deler av regelverket som kommer til anvendelse. Vurderingen må blant annet ta i betraktning (a) hva slags skytjeneste det dreier seg om, (b) hvor mange som skal anvende tjenesten, (c) hvor omfattende bruken av tjenesten vil være og (d) planlagte endringer (utvidelser) i bruken av tjenesten. For nærmere informasjon om anskaffelsesregelverket, se fagsidene om offentlige anskaffelser hos Direktoratet for Forvaltning og IKT ( eller Dataforeningens veileder om anskaffelse av skytjenester ( Regler eller vilkår for bruk av skytjenester til behandling av forskningsdata, spesielt uttrekk fra helseregistre og andre typer helseopplysninger, drøftes ikke særskilt. Foregangsmåten som gjelder for bruk av skytjenester generelt og som beskrives i UFSen vil imidlertid også i stor grad gjelde ved behandling av forskningsdata i skyen. Institusjonen må likevel være oppmerksom på at avtaler med eksterne informasjonsleverandører (helseregistre, Statistisk Sentralbyrå eller andre offentlige etater) kan inneholde særlige vilkår som har betydning for behandling av forskningsdata i skyen. I tillegg kan godkjenningsorganer, for eksempel regionale komiteer for medisinsk og helsefaglig forskningsetikk eller Rådet for taushetsplikt og forskning, bestemme vilkår for institusjonens behandling av forskningsdata. Vilkårene som slike informasjonsleverandører og godkjenningsorganer stiller til bruken av forskningsdata kan begrense mulighetene for anvendelse av enkelte typer skytjenester. Det kan for eksempel være at det settes forbud mot at visse forskningsdata overføres til og lagres i utlandet. Slike særlige forhold må avklares av prosjektleder (og forskningsadministrasjonen) ved oppstart av hvert enkelt forskningsprosjekt. 6 OPPBYGNING UFSen består av fire deler: Del 1 gir en kort innføring i de viktigste lovene og reglene som gjelder ved anskaffelse og bruk av skytjenester. Del 2 fokuserer på institusjonens utredningsplikter, det vil si hva den er pålagt å gjøre og ta stilling til før skytjenester tas i bruk. Del 3 gir en innføring i hva lovpålagte avtaler med skytjenesteleverandøren, spesielt databehandleravtaler, bør inneholde. Her gis også eksempler på hvordan slike avtaler kan utformes i praksis. Del 4 behandler rettslige krav som stilles til institusjonens forvaltning av skytjenester, det vil si hva den er pålagt å gjøre etter at skytjenester er tatt i bruk. 2 Her er link til UNINETTs forslag til styringssystem for informasjonssikkerhet i UH-institusjoner: 11

14 7 ENDRINGER I DENNE REVISJONEN Dette er en oppdatert versjon av førsteutgaven av denne UFSen basert på veilederen Rettslige krav til bruk av skytjenester utarbeidet av Sekretariat for informasjonssikkerhet i UH-sektoren og personer fra ecampus programmet i UNINETT. UFSen kan bli oppdatert. Dette til primært skje ved endringer i de lovene og reglene som drøftes i UFSens del 1, eller når det kommer nye bestemmelser fra EU som legger føringer for institusjonens bruk av skytjenester. 12

15 LOVVERKET III 8 KORT OM RETTSLIGE KRAV VED ANSKAFFELSE OG BRUK AV SKYTJENESTER Det er spesielt personopplysningsloven, e-forvaltningsforskriften, arkivloven og ulike økonomi- og regnskapsregler (bokføringsloven og Reglement for økonomistyring i staten med bestemmelser) som legger føringer på og setter enkelte begrenser for institusjonens bruk av skytjenester. Nedenfor følger først en kort gjennomgang av disse føringene og begrensningene. I del 2-4 av UFSen følger en gjennomgang av hvordan institusjonen kan forholde seg til de føringene og begrensningene som lovverket inneholder. 8.1 Personopplysningsloven Personopplysningsloven med forskrift regulerer behandling av personopplysninger(3) som helt eller delvis skjer ved bruk av elektroniske hjelpemidler(4). De fleste sektorer og bransjer i samfunnet omfattes av reglene i personopplysningsloven, inkludert institusjoner innenfor høyere utdanning. Hensiktene med reglene er å ivareta personvernet til de som opplysningene gjelder, for eksempel ansatte, studenter eller informanter og respondenter i forskningsprosjekter. I henhold til personopplysningsloven, regnes universiteter og høyskoler som anvender skytjenester (hvor personopplysninger behandles) som behandlingsansvarlige. Det innebærer at institusjonen er rettslig ansvarlig for at skytjenesteleverandøren (og eventuelle underleverandører) håndterer personopplysningene i henhold til reglene i loven. Dette gjelder uavhengig av om skytjenesteleverandøren er norsk eller utenlandsk og uten hensyn til om det dreier seg om betalings- eller gratistjenester. Leverandører av skytjenester hvor personopplysninger behandles, regnes som databehandlere. Databehandlere er selvstendige virksomheter (offentlige eller private) som forvalter opplysninger om enkeltpersoner (ansatte, studenter, deltakere i forskningsprosjekter, osv.) på vegne av (eller etter bestilling fra) institusjonen. Selv om institusjonen (behandlingsansvarlig) er rettslig ansvarlig for at skytjenesteleverandøren (databehandler) behandler personopplysninger på lovlig måte, har skytjenesteleverandøren også et selvstendig ansvar for at informasjonssikkerheten i tjenesten er tilfredsstillende. Skytjenesteleverandøren har i tillegg ansvar for at vilkår i avtaler inngått med institusjonen overholdes. 3 Med personopplysninger menes alle opplysninger og vurderinger enten i form av tekst, lyd, bilder eller video som kan knyttes til en bestemt enkeltperson (for eksempel ansatte, studenter eller deltakere i forskningsprosjekter). Reglene i personopplysningsloven gjelder ikke dersom opplysninger om enkeltpersoner er forsvarlig anonymisert, det vil si at det ikke lenger er mulig å identifisere hvem opplysningene gjelder. 4 Med behandling av personopplysninger menes all bruk av opplysninger som kan knyttes til en bestemt enkeltperson, for eksempel registrering, lagring, sammenstilling, overføring, publisering eller sletting. 13

16 Det spiller ingen rolle hvilken type skytjeneste institusjonen anvender (SaaS, PaaS, IaaS, osv.) for at reglene i personopplysningsloven skal gjelde. Det avgjørende er at skytjenesteleverandøren forvalter personopplysninger på vegne av institusjonen. Dersom det er tilfelle, er skytjenesteleverandøren databehandler for institusjonen. Personopplysningsloven krever at databehandleren (skytjenesteleverandøren) bare forvalter personopplysningene slik som den behandlingsansvarlige (institusjonen) har bestemt. Dette betyr at loven ikke forbyr bruk av skytjenester, men legger visse føringer på måten skytjenester skal brukes på. Så lenge reglene i personopplysningsregelverket følges, vil anskaffelse og bruk av skytjenester (hvor personopplysninger behandles) være lovlig. Det er institusjonen som har plikt til å sørge for at bruk av skytjenester skjer på lovlig måte, ikke skytjenesteleverandøren. Institusjonen vil derfor være ansvarlig for lovbrudd som skytjenesteleverandøren gjør seg skyldige i. Institusjonen vil også være ansvarlig for lovbrudd som skytjenesteleverandørens underleverandører har begått. Institusjonen står derfor ansvarlig for alt som skjer med personopplysningene i hele produksjonskjeden (egne brukeres anvendelse av skytjenesten og hva som skjer med opplysningene hos skytjenesteleverandøren og eventuelle underleverandører), og uansett hvor i verden skytjenesteleverandøren (eller eventuelle underleverandører) har sine datasentre. Institusjonen skal gjennomføre risikovurderinger av skytjenesten før tjenesten tas i bruk. Dette for å forsikre seg om at informasjonssikkerheten er god nok, det vil si at personopplysningene er tilfredsstillende sikret mot uautorisert tilgang, endring, skade eller tap. Dersom risikovurderingen viser at sikkerheten i skytjenesten er for dårlig (ikke tilfredsstillende), vil det ikke være lovlig å ta tjenesten i bruk. Men dersom risikovurderingen konkluderer med at informasjonssikkerheten er god nok (tilfredsstillende), kan det være lovlig å anvende skytjenesten. Skulle risikovurderingen vise at det er forsvarlig å anvende den aktuelle skytjenesten (informasjonssikkerheten er tilfredsstillende), er institusjonen pålagt å inngå en skriftlig avtale en databehandleravtale med skytjenesteleverandøren. Databehandleravtalen skal inneholde institusjonens instrukser til skytjenesteleverandøren. Dersom en slik avtale ikke inngås eller avtalen ikke har det innholdet den skal ha vil det være ulovlig å anvende skytjenesten. Personopplysningsloven vektlegger spesielt at databehandleravtalen regulerer hvordan skytjenesteleverandøren ivaretar informasjonssikkerheten til personopplysningene. Avtalene skal derfor inneholde krav om at skytjenesteleverandøren (og eventuelle underleverandører) sikrer personopplysningene på en tilfredsstillende måte mot uautorisert tilgang, endring, skade eller tap(5). Den skal også sette klare begrensninger for hva leverandøren (og eventuelle underleverandører) kan gjøre med personopplysninger som institusjonen er ansvarlig for. Bruken av skytjenester som innebærer overføring av personopplysninger til land utenfor EØS-området og som ikke er godkjent av EU-kommisjonen (land som ikke har tilfredsstillende personvernlovgivning), kan bare skje på visse vilkår. Det mest anvendelige og sikreste vilkåret for slik overføring er EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland. Institusjonen skal varsle Datatilsynet dersom EUs standardkontrakt anvendes til overføring av personopplysninger til ikkegodkjente land. Dersom institusjonen benytter skytjenester til behandling av personopplysninger, skal bruken vanligvis meldes til Datatilsynet (minst 30 dager før bruken av skytjenesten begynner)(6). Institusjoner med per- 5 Jf. personopplysningsloven 15. Skytjenesteleverandøren databehandleren har også et selvstendig ansvar for å sørge for at opplysningene er tilfredsstillende sikret mot brudd på informasjonssikkerheten, jf. personopplysningsloven Fornyet melding skal sendes hvert tredje år. 14

17 sonvernombud er fritatt fra meldeplikten. Isteden skal personvernombudet varsles om bruken av skytjenesten. Hvis institusjonen benytter skytjenester til behandling av sensitive personopplysninger, skal Datatilsynet vanligvis søkes om konsesjon. Konsesjonsplikten gjelder uavhengig av om institusjonen har personvernombud eller ikke(7). Behandling av alminnelige og sensitive personopplysninger som gjelder studenter og som enten skjer (i) med grunnlag i lov om universiteter og høyskoler eller (ii) samtykke fra den enkelte student, er unntatt fra melde- og konsesjonsplikten. I tillegg er visse typer opplysninger som arbeidsgiver (universitet eller høyskole) behandler om sine ansatte unntatt fra konsesjons- eller meldeplikten(8). Disse reglene vil gjelde ved bruk av skytjenester. NB: EU har vedtatt et nytt personvernregelverk som vil erstatte dagens personopplysningslov. Dette er derfor et område hvor det vil komme lovendringer, men de vil sannsynligvis ikke tre i kraft før våren/sommeren UFSen vil bli oppdatert når det er klart hvilke konsekvenser det nye regelverket får for bruken av skytjenester. 8.2 E-forvaltningsforskriften Reglene i e-forvaltningsforskriften gjelder for institusjonens bruk av skytjenester dersom tjenestene benyttes til kommunikasjon med (a) enkeltpersoner eller private virksomheter, (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen(9). E-forvaltningsforskriften skiller seg fra personopplysningsloven ved at den gjelder for all elektronisk informasjonsbehandling som skjer ved kommunikasjon med og i forvaltningen og i forbindelse med saksbehandling i forvaltningsorganet (institusjonen). Reglene i e-forvaltningsforskriften gjelder derfor selv om institusjonen bruker skytjenester til behandling av andre informasjonsverdier enn personopplysninger. Dette kan for eksempel være taushetsbelagte opplysninger om tekniske innretninger, saksdokumenter som er unntatt offentlighet eller andre informasjonsverdier som er viktig for institusjonen(10) På tilsvarende måte som personopplysningsloven, krever e-forvaltningsforskriften at informasjonssikkerheten i skytjenesten skal være tilfredsstillende for at bruken skal være lovlig. Institusjonen må derfor gjennomføre en risikovurdering for å forsikre seg om at dette er tilfelle, og risikovurderingen skal gjennomføres før skytjenesten tas i bruk. E-forvaltningsforskriften inneholder særlig regler om risikovurderinger på enkelte områder som også er relevante ved bruk av skytjenester: Risikoen for uberettiget tilgang til personopplysninger og opplysninger underlagt taushetsplikt dersom henvendelser skal sendes til skytjenester som institusjonen anvender. 7 Med sensitive personopplysninger regnes opplysninger om rasemessig eller etnisk bakgrunn; politisk, religiøs eller filosofisk oppfatning; straffbare handlinger; helseforhold; seksuelle forhold; medlemskap i fagforeninger. Alle andre typer av personopplysninger regnes som alminnelige. Legg merke til at elektronisk behandling av personopplysninger om studenter som skjer med hjemmel i universitets- og høyskoleloven eller som studentene har samtykket til er unntatt fra melde- og konsesjonsplikten, jf. personopplysningsforskriften Det er imidlertid svært uklart hvilke behandlinger av personopplysninger om studenter som kan sies å være hjemlet i universitets- og høyskoleloven. Dersom studentene ikke har avgitt samtykke, anbefales det derfor at melde- og konsesjonsplikten overholdes. 8 Se personopplysningsforskriften 7-16 og E-forvaltningsforskriften er hjemlet i forvaltningsloven 15a og i e-signaturloven For nærmere informasjon om e-forvaltningsforskriften og forholdet mellom forskriften, personopplysningsloven og andre lovverk, se 15

18 Risikoen for uberettiget tilgang til enkeltvedtak dersom institusjonen anvender skytjenester til formidling av slike vedtak. Risikoen for at det gis uberettiget innsyn i personopplysninger, andre opplysninger underlagt taushetsplikt og saksdokumenter dersom institusjonen bruker skytjenester i sin saksbehandling. I tillegg pålegges institusjonen å informere om risikoen ved å sende personopplysninger eller opplysninger underlagt taushetsplikt til skytjenester som institusjonen anvender. NB: Det er nedsatt et lovutvalg som skal revidere dagens forvaltningslov. Utvalget skal legge frem forslag til ny lov innen 1. november Revisjonen vil trolig også berøre e-forvaltningsforskriften. 8.3 Arkivloven Arkivloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen som i utgangspunktet setter forbud mot å føre arkivmaterialet ut av landet (uten at det er gitt særskilt samtykke til dette fra Riksarkivaren)(11). For skytjenester innebærer dette, ifølge Riksarkivaren, at arkivdatabasen må være lagret på datamaskiner i Norge, og at arkivmateriale derfor ikke kan lagres lovlig i skytjenester som oppbevarer arkivdatabasen i utlandet. Riksarkivaren mener altså at det ikke er tilstrekkelig at arkivdatabasen er tilgjengelig fra Norge via internettet, men at den må befinne seg innenfor landets grenser. Forbudet mot oppbevaring av arkivdatabaser på datamaskiner i utlandet gjelder også for sikkerhetskopier av databasen(12). Dette innebærer for eksempel at dersom institusjonen anvender en utenlandsk skytjeneste til saksbehandling, skal arkivverdig informasjon eller dokumenter overføres til og lagres i en arkivdatabase i Norge så fort saksbehandlingen er avsluttet. Riksarkivet mener imidlertid at kopier av enkeltdokumenter som er arkivverdige likevel kan oppbevares hos skytjenesteleverandører i utlandet så lenge selve arkivdatabasen og sikkerhetskopier av denne befinner seg i Norge. NB: Riksarkivet har varslet at det er behov for å se nærmere på reglene om lagring av arkivdatabaser og sikkerhetskopier i utlandet. Dette er derfor et område hvor det kan forventes lovendringer eller endringer i lovtolkningen. Det er likevel uklart når slike endringer eventuelle vil skje og hva endringene vil innebære. UFSen vil bli oppdatert når eventuelle regelendringer foreligger. 8.4 Bokføringsloven Institusjoner som er underlagt regnskaps- og bokføringsloven trenger å være oppmerksom på at loven inneholder regler som setter visse begrensninger for bruken av skytjenester. Dette gjelder regelen om at bokføringsmateriale i utgangspunktet ikke kan lagres permanent på datamaskiner plassert i utlandet. Det er likevel noen unntak fra denne regelen: 11 Arkivmateriale kan, ifølge Riksarkivet, kun føres ut av landet midlertidig i forbindelse med behandling av enkeltsaker, se brev fra Riksarkivet til Kunnskapsdepartementet av , side 3 («Lagring av elektroniske arkiver på servere i utlandet fortolkning av arkivloven 9 bokstav b»), tilgjengelig på 12 Se /Riksarkivaren-seier-nei-til-skyarkivering-i-utlandet og 16

19 For det første kan regnskapsmaterialet lagres permanent på datamaskiner plassert i Norden (Danmark, Finland, Sverige og Island) dersom det sendes melding om dette til Skattedirektoratet(13). For det andre kan institusjonen søke Skattedirektoratet om dispensasjon fra reglene om langtidsoppbevaring av regnskapsmateriale i utlandet. For det tredje kan regnskapsmateriale lagres midlertidig på datamaskiner i land utenfor Norden. Regnskapsmateriale må da overføres til permanent lagring i Norge eller Norden innen én måned etter fastsetting av årsregnskapet, og senest sju måneder etter regnskapsårets slutt(14). 8.5 Økonomiregelverket i staten Institusjoner som er underlagt Reglement for økonomistyring i staten og Bestemmelser om økonomistyring i staten må være oppmerksom på at dette regelverket ikke har tilsvarende regler som bokføringsloven om hvor regnskapsdata kan oppbevares reglementet og bestemmelsene er tause på dette punktet. Imidlertid kommer reglene i arkivloven om oppbevaring av arkivdata i utlandet til anvendelse. Det betyr at oppbevaringspliktig regnskapsdata som skal tas vare på etter reglene i økonomiregelverket i staten ikke kan overføres til datamaskiner eller i datasentre i utlandet for langtidslagring. Det samme vil gjelde for sikkerhetskopier av slike data. Økonomiregelverket åpner likevel for at oppbevaringspliktig regnskapsdata kan lagres hos nasjonale eller internasjonale skytjenesteleverandører så lenge leverandørene ikke overfører og lagrer slike regnskapsdata i utlandet. Hvordan bruk av nasjonale eller internasjonale skytjenesteleverandører til drift av økonomisystemer (og eventuelt hjelpesystemer) skal foregå, reguleres i Bestemmelser om økonomistyring i staten, punkt Reglene i punkt som er relevante i denne sammenheng, er de som gjelder for arbeidsdelingsmodell II. Reglene for arbeidsmodell II innebærer at institusjonen skal inngå skriftlig avtale med den nasjonale eller internasjonale skytjenesteleverandøren som drifter institusjonens økonomisystem (og eventuelle hjelpesystemer). Avtalen skal blant annet inneholde bestemmelser som tydeliggjør oppgave- og ansvarsforhold mellom institusjonen og tjenesteleverandøren, stiller krav til kvaliteten på tjenesten, ivaretar datasikkerheten i tjenesten. Institusjonen skal sende skriftlig melding til Finansdepartementet når avtalen med skytjenesteleverandøren er inngått. Uten avtale som nevnt ovenfor og melding til Finansdepartementet vil det ikke være lovlig å anvende leverandørens økonomisystem (og eventuelle hjelpesystemer). NB: Dersom det skjer endringer i arkivlovens regler om lagring av arkivdatabaser og sikkerhetskopier i utlandet, kan dette få betydning for bruken av skybaserte økonomisystemer (og eventuelle hjelpesystemer). UFSen vil bli oppdatert når eventuelle regelendringer foreligger. 13 Forskrift om oppbevaring av elektronisk regnskapsmaterialet i andre EØS-land (tilgjengelig på 14 Se uttalelse fra Skattedirektoratet tilgjengelig på 17

20 8.6 Oppsummering Reglene i personopplysningsloven, e-forvaltningsforskriften, arkivloven og bokføringsloven innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. I utredningsfasen før skytjenesten tas i bruk gjelder følgende: 1. Skaffe seg tilstrekkelig informasjon om hvordan skytjenesten er oppbygd og fungerer (inkludert hvilke land opplysningene overføres til). 2. Gjennomføre risikovurderinger av informasjonssikkerheten for å avgjøre om det er forsvarlig å ta den aktuelle skytjenesten i bruk. 3. Vurderingen må både omfatte (a) risikoen for brudd på sikkerheten ved behandling av personopplysninger og (b) risikoen for uberettiget tilgang til enkeltvedtak, taushetsbelagt informasjon eller opplysninger, og uberettiget innsyn i saksdokumenter. I avtalefasen mens anskaffelse av skytjenesten foregår gjelder følgende: 1. Inngå lovpålagt avtaler med skytjenesteleverandøren, inkludert å underskrive EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland (dersom det er aktuelt). 2. Sjekke at avtalen og kontrakten inneholder de nødvendige kravene til skytjenesteleverandørens behandling og sikring av personopplysninger. 3. Varsle Datatilsynet ved bruk av EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land utenfor EØS-området. 4. Melde bruken av skytjenesten til Datatilsynet hvis personopplysninger behandles i tjenesten. 5. Søke Datatilsynet om konsesjon dersom skytjenesten behandler sensitive personopplysninger. 6. Sende melding til Finansdepartementet om inngått avtale med leverandør av økonomisystem (og eventuelle hjelpesystemer). 7. Eventuelt å søke Skattedirektoratet eller Riksarkivaren om dispensasjon for oppbevaring av arkiveller regnskapsmateriale i utlandet (for institusjoner som er underlagt bokføringsloven). I forvaltningsfasen etter at skytjenesten er tatt i bruk gjelder følgende: 1. Følge opp avtalene for å forvisse seg om at skytjenesteleverandøren (og eventuelle underleverandører) overholder avtalevilkårene. 2. Kreve at skytjenesteleverandørene (og eventuelle underleverandører) lukker avvik fra avtalevilkårene. 3. Avslutte bruken av skytjenesten og flytte personopplysningene eller andre informasjonsverdier dersom vesentlige avvik ikke lukkes(15). 4. Gjennomføre nye risikovurderinger av skytjenesten ved vesentlige endringer i tjenesten eller i institusjonens bruk av den. 5. Sørge for at arkivverdig informasjon og dokumentasjon ikke blir lagret på datamaskiner i utlandet. 6. Sørge for at oppbevaringspliktig regnskapsdata ikke langtidslagres på (a) datamaskiner utenfor Norge, Danmark, Finland, Sverige eller Island (gjelder for institusjoner underlagt regnskaps- og bokføringsloven) eller (b) datamaskiner utenfor landets grenser (gjelder for institusjoner underlagt økonomiregelverket i staten). Resten av UFSen vil fokusere på hvordan hvert av punktene i utrednings-, avtale- og forvaltningsfasen kan ivaretas i praksis. 15 Eksempler på vesentlige avvik kan være at leverandøren bruker personopplysningene ut over det avtalen tillater eller overfører opplysningene til andre virksomheter uten at institusjonen har godtatt dette. Andre eksempler kan være at informasjonssikkerheten ikke er tilfredsstillende, for eksempel som følge av gjentatte brudd på opplysningenes konfidensialitet eller tilgjengelighet, eller at institusjonen ikke får tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren (eller nektes å gjennomføre egne revisjoner av leverandørens sikkerhetsløsninger dersom det er avtalt). 18

21 IV UTREDNINGSFASEN 9 GRUNNLAGET FOR BESLUTNINGER OM BRUK AV SKYTJENESTER I utredningsfasen, det vil si før skytjenesten tas i bruk, har institusjonen plikt til å undersøke om det er forsvarlig å anvende den aktuelle tjenesten. Utredningsplikten innebærer derfor en plikt til å undersøke om skytjenesten er i god stand eller om den har mangler som gjør det uforsvarlig (og ulovlig) å anvende tjenesten. Ovenfor har vi sett at utrednings- eller undersøkelsesplikten i særlig grad følger av reglene i personopplysningsloven og e-forvaltningsforskriften. Plikten handler primært om at undersøkelsen skal skje i form av en risikovurdering av at informasjonssikkerheten i tjenesten er tilfredsstillende (uten vesentlige mangler). Vurderinger av informasjonssikkerheten i skytjenesten betyr at institusjonen retter et kritisk søkelys mot risikoen for at personopplysninger og andre informasjonsverdier, kanskje spesielt opplysninger som omfattes av taushetsplikten, utsettes for uautorisert tilgang, endring, skade eller tap. Det rettslige kravet er at skytjenesten bare kan tas i bruk dersom undersøkelsen (risikovurderingen av informasjonssikkerheten i skytjenesten) konkluderer med at risikoen for uautorisert tilgang, endring, skade eller tap av data og personopplysninger er tilfredsstillende. Det vil ikke være lovlig å anvende skytjenesten dersom undersøkelsen (risikovurderingen) gir motsatt konklusjon: informasjonssikkerheten i tjenesten er såpass mangelfull at den ikke kan sies å være tilfredsstillende. Nedenfor følger svar på en del sentrale spørsmål som institusjonen bør stille seg i utredningsfasen. 9.1 Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Det er institusjonen som skal avgjøre hva som menes med «tilfredsstillende informasjonssikkerhet» ved bruk av skytjenester. Institusjonen må derfor selv definere hvor stor risiko for uautorisert tilgang, endring, skade eller tap av informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) den kan akseptere ved bruk av skytjenester. Kravene til tilfredsstillende informasjonssikkerhet ved bruk av skytjenester skal fastsettes av den administrative eller faglige ledelsen ved institusjonen før risikovurderinger av konkrete tjenester gjennomføres. Dersom vurderingen av en skytjeneste viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier er uakseptabel høy (oppfyller ikke institusjonens egendefinerte krav til informasjonssikkerheten), kan ikke skytjenesten brukes på lovlig måte. Dette fordi skytjenesten ikke oppfyller kravet til informasjonssikkerhet fastsatt i lovverket, altså at sikkerheten skal være tilfredsstillende. 19

22 9.2 Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Lovgivningen stiller bestemte krav til hvordan en risikovurdering skal organiseres eller til hvilken metodikk som skal benyttes. Risikovurderinger av skytjenester kan derfor gjennomføres på mange forskjellige måter. Det avgjørende er at institusjonen har kartlagt og tatt stilling til risiko ved bruk av skytjenesten. Her er link til et reelt eksempel på risikovurdering av en konkret skytjeneste (UNINETTs risikovurdering av lagrings- og delingstjenesten «BOX»): Hvor grundige må risikovurderinger av skytjenester være? Lovverket stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten i skytjenester skal være. Institusjonen må imidlertid ha såpass god kunnskap om hvordan den aktuelle tjenesten er oppbygd og fungerer og til hvor data lagres/oppbevares - at den er i stand til å gi realistiske svar på to spørsmål: 1. Hvilke hendelser kan føre til uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, saksdokumenter, osv.) ved bruk av skytjenesten? 2. Hvor stor er risikoen for slike hendelser i forbindelse med denne skytjenesten? Det er ikke forventet at spørsmålene skal besvares med vitenskapelig nøyaktighet og grundighet. Men kunnskapen om skytjenesten må være såpass grundig at svarene baserer seg på noe mer enn gjetning eller ønsketenkning. 9.4 Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Forberedelser til risikovurderinger av skytjenester handler om to forhold: 1. Bestemme hvilke informasjonsverdier som skytjenesten skal håndtere på vegne av institusjonen. 2. Skaffe seg detaljert informasjon om skytjenestens oppbygning og virkemåte slik at spørsmålene skissert ovenfor kan besvares på en realistisk måte. Når det gjelder det første punktet, er prinsippet at jo flere og viktigere informasjonsverdier institusjonen ønsker at skytjenesten skal behandle, desto bedre skal informasjonssikkerheten i tjenesten være. Det betyr for eksempel at det skal stilles strengere krav til informasjonssikkerheten i tjenester som behandler mange taushetsbelagte opplysninger enn til tjenester som ikke gjør det (eller som gjør det i liten grad). Når det gjelder det andre punktet, kan det være utfordrende å skaffe seg detaljert informasjon om skytjenesten når (a) institusjonen ikke drifter løsningen selv og (b) institusjonen har liten (eller ingen) erfaring med bruk av tjenesten. Utfordringen kan løses ved at institusjonen setter seg inn i alt skriftlig materiale publisert av skytjenesteleverandøren som beskriver skytjenesten og hvordan informasjonssikkerheten i tjenesten blir ivaretatt. Forberedelser til risikovurderinger av skytjenester vil derfor vanligvis ta noe lengre tid og krever noe mer leseinnsats enn hva som er typisk ved tilsvarende vurderinger av interne IT-systemer eller ITtjenester. Institusjonen bør også ha mulighet til å ta direkte kontakt med skytjenesteleverandøren, for eksempel via e-post. Dette for å få nærmere svar på spørsmål som ikke besvares i det skriftlige materialet publisert av leverandøren, for eksempel konkrete forhold knyttet til tjenestens oppbygning og virkemåte eller til hvordan informasjonsverdier blir sikret mot uautorisert tilgang, endring, skade eller tap. 20

23 9.5 Må institusjonen gjennomføre flere risikovurderinger av den samme skytjenesten for å tilfredsstille kravene til slike vurderinger i ulike lovverk? En slik «løsning» frarådes: Det bør for eksempel ikke legges opp til at det først gjennomføres en risikovurdering av hvordan skytjenesten sikrer personopplysninger (etter reglene i personopplysningsloven) for deretter å gjøre den samme øvelsen på nytt, men nå med fokus på sikringen av andre taushetsbelagte opplysninger (etter reglene i e-forvaltningsforskriften). Informasjonssikkerheten i skytjenester som skal behandle ulike typer informasjonsverdier bør evalueres i én og samme risikovurdering. 9.6 Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? Hvis vurderingen viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) er uakseptabel høy, står institusjonen overfor et valg. Den kan da enten (a) bestemme seg for ikke å gå videre med tjenesten eller (b) kreve at skytjenesteleverandøren styrker informasjonssikkerheten slik at den blir tilfredsstillende. Institusjonen kan naturligvis også velge å ignorere den mangelfulle informasjonssikkerheten, men det fører til at bruken av skytjenesten er ulovlig. Det samme er tilfelle dersom skytjenesten tas i bruk uten at skytjenesteleverandøren har tatt hensyn til og gjort noe med institusjonens krav til styrking av utilfredsstillende informasjonssikkerhet. 21