Fagspesifikasjon. Krav til bruk av skytjenester
|
|
- Marthe Endresen
- 7 år siden
- Visninger:
Transkript
1 Fagspesifikasjon Krav til bruk av skytjenester
2 Krav til bruk av skytjenester UFS nr.: 150 Versjon: 1.0 Status: Utkast Dato: 24. jun Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat for informasjonssikkerhet i UH-sektoren Ansvarlig: UNINETT Kategori: Anbefaling
3 Adresse: 7465 Trondheim Sentralbord: E-post: Web:
4 SAMMENDRAG I Denne UFSen omhandler rettslige krav til bruk av skytjenester og skal bidra til at universiteter og høyskoler kan anvende skytjenester på lovlig måte. UFSen retter seg primært mot personell med et særskilt ansvar for institusjonens bruk av slike tjenester (admin/it), men den passer også for andre med interesse for spørsmål knyttet til rettslig regulering av skytjenester. UFSen gir innsikt i lover og regler som gjelder ved bruk av skytjenester, samt konkrete råd og eksempler på hvordan dette kan gjøres i praksis. Merk at det kun er lover og regler som er særlig relevante for skytjenester behandles i UFSen. UFSen består av fire hoveddeler: lovverket, utredningsfasen, avtalefasen og forvaltningsfasen. En kort oppsummering av hver av disse finner du nedenfor. 1 LOVVERKET Reglene i lovverket innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. 1.1 Personopplysningsloven Personopplysningsloven har blant annet regler om sikring av personopplysninger i skytjenester (informasjonssikkerhet), inngåelse av avtaler med databehandleren (skytjenesteleverandøren) og hvordan behandlingsansvarlig (institusjonen) skal følge opp den daglige bruken av skytjenester. 1.2 E-forvaltningsforskriften E-forvaltningsforskriften har regler om sikring av informasjonsverdier i skytjenester (informasjonssikkerhet) når institusjonen benytter slike tjenester til kommunikasjon med (a) enkeltpersoner eller (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen 1.3 Arkivloven Arkivloven har regler som, i følge Riksarkivet, setter forbud mot at arkivdatabasen og sikkerhetskopier av databasen oppbevares hos skytjenesteleverandører som lagrer materiale i utlandet (uten at det er gitt særskilt samtykke fra Riksarkivaren). 2
5 1.4 Økonomi- og regnskapsregler For institusjoner som er underlagt regnskaps- og bokføringsloven, gjelder regler som i utgangspunktet setter forbud mot lagring av regnskapsmateriale på datamaskiner plassert i land utenfor Norden (Danmark, Finland, Sverige og Island). For institusjoner som er underlagt økonomiregelverket for staten gjelder også regler om lagring av oppbevaringspliktige regnskapsdata i utlandet. Men for disse institusjonene vil det være ulovlig å benytte skytjenester som lagrer oppbevaringspliktig regnskapsdata på datamaskiner utenfor Norges grenser 2 UTREDNINGSFASEN Før skytjenesten tas i bruk har institusjonen plikt til å utrede om det er forsvarlig å anvende den aktuelle skytjenesten (iht. Personopplysningsloven, e-forvaltningsforskriften og Reglement for økonomistyring i staten med bestemmelser). Det rettslige kravet er at skytjenesten lovlig kan tas i bruk dersom informasjonssikkerheten til de data/opplysninger som behandles i tjenesten er tilfredsstillende. Det innebærer at institusjonens utredning må konkludere med at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, endring, skade eller tap av personopplysninger og andre informasjonsverdier) ved bruk av tjenesten er akseptabel. Institusjonen må selv definere hvor stor risiko for brudd på informasjonssikkerheten den kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke skytjenesten brukes på lovlig måte. Lovverket stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten til data i skytjenester skal være. Institusjonen må imidlertid ha så god kunnskap om hvordan den aktuelle skytjenesten er oppbygd og fungerer at den er i stand til å gi realistiske svar på to spørsmål: 1. Hvilke hendelser kan føre til uautorisert tilgang, eksponering, endring, skade eller tap av institusjonens informasjonsverdier? 2. Hvor stor er sannsynligheten for og konsekvensene av slike hendelser? 3 AVTALEFASEN Avtalefasen er perioden etter at risikovurderingen av skytjenesten er ferdigstilt, men før tjenesten tas i bruk av institusjonen. Dersom risikovurderingen viser at det er forsvarlig å anvende skytjenesten (informasjonssikkerheten er tilfredsstillende), skal institusjonen i denne fasen inngå visse avtaler med skytjenesteleverandørene. Dersom det er snakk om behandling av personopplysninger, skal institusjonen inngå en databehandleravtaler med skytjenesteleverandøren. Følgende momenter bør være med i databehandleravtaler med skytjenesteleverandører: Databehandleravtalen sin hensikt. At vilkår i databehandleravtalen går foran vilkår spesifisert i andre avtaler. Hvilke personopplysninger eller tjenester avtalen gjelder for. Institusjonen har eierskap til sine egne data. Leverandøren skal følge instrukser gitt av institusjonen. Leverandørens råderett over personopplysninger er tydelig begrenset. Institusjonen gis tilgang til nødvendig dokumentasjon av skytjenesten. Krav til bruk av eventuelle underleverandører. Krav til informasjonssikkerheten. Krav til sikkerhetsrevisjoner. 3
6 Krav til sletting av personopplysninger. Krav til tilbakeføring av personopplysninger. Avtalens varighet. Lovvalg og verneting. Institusjonen må også melde bruken av skytjenesten til Datatilsynet før den tas i bruk, eventuelt søke konsesjon fra Datatilsynet dersom det er meningen av skytjenesten skal behandle sensitive personopplysninger. For institusjoner som er underlagt regnskapslovgivningen (bokføringsloven) kan det i denne fasen være aktuelt å søke Skattedirektoratet om dispensasjon fra reglene om langtidslagring av regnskapsdata i utlandet. 3.1 Skytjenester i tredjeland Personopplysningsloven inneholder regler for hva institusjonen må gjøre for at overføring av personopplysninger til tredjeland, det vil si land utenfor EØS-området, skal være lovlig. Disse reglene må institusjonen påse at den følger før skytjenester tas i bruk. Dersom personopplysninger overføres til en skytjenesteleverandør (og eventuelle underleverandører) etablert i land innenfor EØS-området (alle EU-land pluss Norge, Island og Liechtenstein), trenger ikke institusjonen å ta hensyn til reglene om overføringer av personopplysninger til tredjeland. Det samme gjelder dersom skytjenesteleverandøren (og eventuelle underleverandører) er etablert i land utenfor EØS-området, men som er godkjent av EU-kommisjonen. Dette er land som, ifølge EUkommisjonen, har like god personvernlovgivning som land innenfor EØS-området. Overføring av personopplysninger til en skytjenesteleverandør (og eventuelle underleverandører) i land utenfor EØS-området som ikke er godkjent av EU-kommisjonen, er i utgangspunktet ikke tillatt. Slike overføringer kan likevel skje på lovlig måte under visse betingelser. Den enkleste måten å overføre personopplysninger til slike skytjenesteleverandører (og eventuelle underleverandører) på, er å anvende EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland. 3.2 Safe Harbor 2.0 USA er et land utenfor EØS-området som ikke er godkjent av EU-kommisjonen. Fram til oktober 2015 kunne opplysninger om borgere i EØS-området likevel overføres lovlig til skytjenesteleverandører i USA dersom leverandøren hadde sluttet seg til Safe Harbor-programmet. Men i oktober 2015 avsa EUdomstolen en dom som gjorde det ulovlig å overføre personopplysninger til skytjenesteleverandører i USA med grunnlag i Safe Harbor. I februar 2016 ble EU og USA enige om Safe Harbor 2.0 (EU-US Privacy Shield). Per mars 2016 er ikke Safe Harbor 2.0 offisielt godkjent av EU. Inntil en eventuell godkjenning er klar, bør overføring av personopplysninger til skytjenesteleverandører i USA skje med grunnlag i EUs standardkontrakt nevnt ovenfor. 4 FORVALTNINGSFASEN Forvaltningsfasen omfatter hele perioden fra institusjonen første gang benytter skytjenesten og helt frem til bruken av tjenesten avsluttes. I forvaltningsfasen har institusjonen visse løpende plikter, det vil si lovpålagte oppgaver som institusjonen skal utføre med jevne mellomrom gjennom hele avtaleperioden: 4
7 4.1 Avtaleoppfølging. Sjekke at skytjenesteleverandøren overholder vilkårene i databehandleravtalen, eventuelt også vilkårene i EUs standardkontrakt for overføring av personopplysninger til tredjeland. 4.2 Risikovurderinger. Foreta risikovurderinger ved (a) viktige endringer i tjenestens oppbygning og funksjonalitet og (b) revidere eksisterende risikovurderinger for å sjekke at risikoen for uautorisert tilgang, endring, skade eller tap av personopplysninger eller andre informasjonsverdier fortsatt er akseptabel. 4.3 Rutinekontroll. Sjekke at institusjonens rutiner for overholdelse av reglene om langtidslagring av arkiv- og regnskapsmateriale i utlandet overholdes. 4.4 Melding til Datatilsynet. Sende melding til Datatilsynet dersom uvedkommende har fått innsyn i de personopplysningene som behandles i skytjenesten. 5
8 Innholdsfortegnelse DEL I SAMMENDRAG Lovverket Personopplysningsloven E-forvaltningsforskriften Arkivloven Økonomi- og regnskapsregler Utredningsfasen Avtalefasen Skytjenester i tredjeland Safe Harbor Forvaltningsfasen Avtaleoppfølging Risikovurderinger Rutinekontroll Melding til Datatilsynet DEL II INTRODUKSJON Avgrensinger Oppbygning Endringer i denne revisjonen DEL III LOVVERKET Kort om rettslige krav ved anskaffelse og bruk av skytjenester Personopplysningsloven E-forvaltningsforskriften Arkivloven Bokføringsloven Økonomiregelverket i staten Oppsummering DEL IV UTREDNINGSFASEN Grunnlaget for beslutninger om bruk av skytjenester Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Hvor grundige må risikovurderinger av skytjenester være? Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Må institusjonen gjennomføre flere risikovurderinger av den samme skytjenesten for å tilfredsstille kravene til slike vurderinger i ulike lovverk? Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? DEL V AVTALEFASEN Inngåelse av databehandleravtaler med skytjenesteleverandører innenfor EØS-området() Er hensikten med databehandleravtalen spesifisert? Fremgår det av databehandleravtalen at vilkårene skal gå foran vilkår i andre avtaler inngått mellom institusjonen og skytjenesteleverandøren? Fremgår det hva databehandleravtalen omfatter, det vil si hvilke personopplysninger eller tjenester som avtalen gjelder for? Fremgår det av avtalen at institusjonen har eierskap til sine egne data? Fremgår det av avtalen at skytjenesteleverandøren skal følge instrukser fra den behandlingsansvarlige? Er skytjenesteleverandørens råderett over opplysningene tydelig begrenset?
9 10.7 Hvordan ivaretas sluttbrukernes (de registrertes) rettigheter i avtalen? Sier avtalen at institusjonen kan få tilgang til nødvendig dokumentasjon hos skytjenesteleverandøren? Stiller avtalen krav til skytjenesteleverandørens bruk av eventuelle underleverandører? Stiller avtalen eksplisitte krav til informasjonssikkerheten hos skytjenesteleverandøren? Fremgår det av avtalen hvordan skytjenesteleverandøren vil håndtere henvendelser fra politimyndigheter om å få tilgang til sluttbrukernes personopplysninger? Stiller avtalen krav til sikkerhetsrevisjoner hos skytjenesteleverandøren? Regulerer avtalen sletting av personopplysninger hos skytjenesteleverandøren? Regulerer avtalen hvordan personopplysninger skal tilbakeføres til institusjonen? Reguleres avtalens varighet? Reguleres lovvalg og verneting? Hvordan skal institusjonen forholde seg til annen informasjon om tjenesten, for eksempel på skytjenesteleverandørens hjemmeside? Skytjenesteleverandører som overfører personopplysninger til land utenfor EØS (tredjeland) Hvordan kan institusjonen finne ut om personopplysninger overføres til datasentre eller underleverandører i land utenfor EØS-området? Hva skal institusjonen passe på dersom personopplysninger overføres til land utenfor EØSområdet, som er godkjent av EU-kommisjonen? Hva skal institusjonen passe på dersom personopplysninger overføres til land utenfor EØSområdet, som ikke er godkjent av EU-kommisjonen? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som er tilsluttet Safe Harbor? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som ikke er tilsluttet Safe Harbor? Hva skal institusjonen passe på dersom personopplysninger overføres til en amerikansk skytjenesteleverandør som har underleverandører i andre ikke-godkjente land? Hva skal institusjonen passe på dersom personopplysninger overføres til amerikanske skytjenesteleverandør som har underleverandører i USA? Hva skal institusjonen passe på dersom personopplysninger overføres til skytjenesteleverandør i andre ikke-godkjente land enn USA? Vil overføring av personopplysninger til skytjenesteleverandører i ikke-godkjente land være lovlig uten at det er gjennomført en risikovurdering av tjenesten? Melding, konsesjon og dispensasjon Hvordan kan institusjoner uten personvernombud ivareta meldeplikten til Datatilsynet? Hvordan kan institusjonen ivareta konsesjonsplikten hvis skytjenester ønskes brukt til behandling av sensitive personopplysninger? Hvordan kan institusjonen søke Skattedirektoratet om dispensasjon fra forbudet mot oppbevaring av regnskapsdata på datamaskiner utenfor Norden? Hvordan kan institusjonen søke Riksarkivaren om dispensasjon fra forbudet mot oppbevaring av arkiv- og regnskapsdata på datamaskiner utenfor Norge? DEL VI FORVALTNINGSFASEN Om forvaltningsfasen Hvordan kan institusjonen forsikre seg om at vilkårene i lovpålagte avtaler med skytjenesteleverandøren overholdes? Hva skal institusjonen gjøre dersom det viser seg at skytjenesteleverandøren ikke overholder avtalene? Hvor ofte skal institusjonen gjennomføre risikovurderinger av bruken av skytjenesten? Hva skal institusjonen gjøre dersom nye risikovurderinger viser at informasjonssikkerheten ikke lenger er tilfredsstillende? Hvordan kan institusjonen forsikre seg om at rutiner for lagring av arkiv- og regnskapsmateriale overholdes av sluttbrukerne?
10 13.6 Hvordan kan institusjonen melde uautorisert tilgang til eller eksponering av personopplysninger i skytjenesten til Datatilsynet? DEL VII REFERANSER
11 Endringslogg: Versjon Dato Kapittler Endring Ansvarlig Godkjent Alle Første versjon av innhold klar til TT gjennomlesing Alle Gjennomlesing og kommentarer RSN/TT/SS/OIS Alle Lagt til sammendrag SS Alle Innhold ferdig TT Alle Lagt over i UFS formatet MS Alle Ryddet etter gjennomlesing MS/IM Alle Ny versjon basert Safe Harbor 2.0 MS/TT Alle Publisert versjon MS Arbeidsgruppen som har jobbet med denne UFSen er Sekretariat for informasjonssikkerhet i UHsektoren og personer fra ecampus prosjektet på digital eksamen. Tommy Tranvik, UiO Rolf Sture Normann, UNINETT Simon Skrødal, UNINETT Ingrid Melve, UNINETT Magnus Strømdal, UNINETT 9
12 INTRODUKSJON I I Universiteter eller høyskoler som ønsker å ta i bruk skytjenester i administrasjon, undervisning, formidling eller forskning, skal følge enkelte lover og regler. Lovverket som gjelder legger visse føringer og setter enkelte begrensninger for bruken av skytjenester til slike formål. Det er derfor ikke fritt frem til å benytte hvilke skytjenester som helst, men lovverket inneholder heller ikke forbud mot bruken av slike tjenester. Lovlig bruk av skytjenester betinges av at institusjonen etablerer tilfredsstillende styring og kontroll med hva skytjenesteleverandøren og eventuelle underleverandører gjør med de informasjonsverdiene som leverandøren behandler på institusjonens vegne. Dersom institusjonen har etablert styring og kontroll med skytjenesteleverandøren, har den et betydelig mulighetsrom for bruk av skytjenester. Vektleggingen av tilfredsstillende styring og kontroll innebærer at den viktigste barrieren mot lovlig bruk av skytjenester verken er teknisk eller juridisk. Kartlegginger i sektoren indikerer isteden at hovedbarrieren er kompetanse og organisering.(1) Dette dreier seg særlig om tre forhold: 1. Kunnskap om de viktigste lover og regler som gjelder ved bruk av skytjenester. 2. Kjennskap til hvordan de viktigste lovene og reglene kan anvendes ved bruk av skytjenester. 3. Hensiktsmessig organisering av arbeidet med anskaffelse og forvaltning av skytjenester. Institusjonen må ha kompetanse på begge punktene for å kunne anvende skytjenester på en lovlig måte. Formål Formålet med UFSen er å bidra til å styrke kompetansen på hvilke rettslige krav som gjelder når universiteter og høyskoler ønsker å ta i bruk skytjenester. Dette gjøres på tre måter: 1. For det første ved at UFSen gir oversikt over de viktigste reglene som gjelder ved bruk skytjenester, og hva reglene krever av institusjonen. 2. For det andre ved at UFSen stiller og besvarer sentrale spørsmål om hvordan reglene kan anvendes ved bruk av skytjenester. 3. For det tredje ved at UFSen gir konkrete eksempler på hvordan reglene kan ivaretas i praksis. Målgruppe UFSen retter seg primært mot IT-ansatte på universiteter og høyskoler, og ansvarlige for informasjonssikkerhet og personvern. UFSen kan også leses av andre ansatte som har et særlig ansvar for at bruken av skytjenester skjer på lovlig måte. 1 Se forskningsrapporten «Styring av informasjonssikkerheten i universiteter og høyskoler», tilgjengelig på 10
13 5 AVGRENSINGER UFSen har ikke til formål å gjøre rede for regler som gjelder for all elektronisk behandling av personopplysninger og andre informasjonsverdier. Fokuset rettes mot de reglene som er særlig relevante i en skysammenheng. Det betyr for eksempel at grunnkrav til behandling av personopplysninger i personopplysningsloven og generelle regler om informasjonssikkerhet i e-forvaltningsforskriften ikke blir drøftet.(2) Anskaffelsesregelverket (lov og forskrift om offentlige anskaffelser) blir ikke drøftet i denne UFSen. Her må institusjonen gjøre en skjønnsmessig vurdering av «skyanskaffelsens» verdi over hele avtaleperioden for å avgjøre hvilke deler av regelverket som kommer til anvendelse. Vurderingen må blant annet ta i betraktning (a) hva slags skytjeneste det dreier seg om, (b) hvor mange som skal anvende tjenesten, (c) hvor omfattende bruken av tjenesten vil være og (d) planlagte endringer (utvidelser) i bruken av tjenesten. For nærmere informasjon om anskaffelsesregelverket, se fagsidene om offentlige anskaffelser hos Direktoratet for Forvaltning og IKT ( eller Dataforeningens veileder om anskaffelse av skytjenester ( Regler eller vilkår for bruk av skytjenester til behandling av forskningsdata, spesielt uttrekk fra helseregistre og andre typer helseopplysninger, drøftes ikke særskilt. Foregangsmåten som gjelder for bruk av skytjenester generelt og som beskrives i UFSen vil imidlertid også i stor grad gjelde ved behandling av forskningsdata i skyen. Institusjonen må likevel være oppmerksom på at avtaler med eksterne informasjonsleverandører (helseregistre, Statistisk Sentralbyrå eller andre offentlige etater) kan inneholde særlige vilkår som har betydning for behandling av forskningsdata i skyen. I tillegg kan godkjenningsorganer, for eksempel regionale komiteer for medisinsk og helsefaglig forskningsetikk eller Rådet for taushetsplikt og forskning, bestemme vilkår for institusjonens behandling av forskningsdata. Vilkårene som slike informasjonsleverandører og godkjenningsorganer stiller til bruken av forskningsdata kan begrense mulighetene for anvendelse av enkelte typer skytjenester. Det kan for eksempel være at det settes forbud mot at visse forskningsdata overføres til og lagres i utlandet. Slike særlige forhold må avklares av prosjektleder (og forskningsadministrasjonen) ved oppstart av hvert enkelt forskningsprosjekt. 6 OPPBYGNING UFSen består av fire deler: Del 1 gir en kort innføring i de viktigste lovene og reglene som gjelder ved anskaffelse og bruk av skytjenester. Del 2 fokuserer på institusjonens utredningsplikter, det vil si hva den er pålagt å gjøre og ta stilling til før skytjenester tas i bruk. Del 3 gir en innføring i hva lovpålagte avtaler med skytjenesteleverandøren, spesielt databehandleravtaler, bør inneholde. Her gis også eksempler på hvordan slike avtaler kan utformes i praksis. Del 4 behandler rettslige krav som stilles til institusjonens forvaltning av skytjenester, det vil si hva den er pålagt å gjøre etter at skytjenester er tatt i bruk. 2 Her er link til UNINETTs forslag til styringssystem for informasjonssikkerhet i UH-institusjoner: 11
14 7 ENDRINGER I DENNE REVISJONEN Dette er en oppdatert versjon av førsteutgaven av denne UFSen basert på veilederen Rettslige krav til bruk av skytjenester utarbeidet av Sekretariat for informasjonssikkerhet i UH-sektoren og personer fra ecampus programmet i UNINETT. UFSen kan bli oppdatert. Dette til primært skje ved endringer i de lovene og reglene som drøftes i UFSens del 1, eller når det kommer nye bestemmelser fra EU som legger føringer for institusjonens bruk av skytjenester. 12
15 LOVVERKET III 8 KORT OM RETTSLIGE KRAV VED ANSKAFFELSE OG BRUK AV SKYTJENESTER Det er spesielt personopplysningsloven, e-forvaltningsforskriften, arkivloven og ulike økonomi- og regnskapsregler (bokføringsloven og Reglement for økonomistyring i staten med bestemmelser) som legger føringer på og setter enkelte begrenser for institusjonens bruk av skytjenester. Nedenfor følger først en kort gjennomgang av disse føringene og begrensningene. I del 2-4 av UFSen følger en gjennomgang av hvordan institusjonen kan forholde seg til de føringene og begrensningene som lovverket inneholder. 8.1 Personopplysningsloven Personopplysningsloven med forskrift regulerer behandling av personopplysninger(3) som helt eller delvis skjer ved bruk av elektroniske hjelpemidler(4). De fleste sektorer og bransjer i samfunnet omfattes av reglene i personopplysningsloven, inkludert institusjoner innenfor høyere utdanning. Hensiktene med reglene er å ivareta personvernet til de som opplysningene gjelder, for eksempel ansatte, studenter eller informanter og respondenter i forskningsprosjekter. I henhold til personopplysningsloven, regnes universiteter og høyskoler som anvender skytjenester (hvor personopplysninger behandles) som behandlingsansvarlige. Det innebærer at institusjonen er rettslig ansvarlig for at skytjenesteleverandøren (og eventuelle underleverandører) håndterer personopplysningene i henhold til reglene i loven. Dette gjelder uavhengig av om skytjenesteleverandøren er norsk eller utenlandsk og uten hensyn til om det dreier seg om betalings- eller gratistjenester. Leverandører av skytjenester hvor personopplysninger behandles, regnes som databehandlere. Databehandlere er selvstendige virksomheter (offentlige eller private) som forvalter opplysninger om enkeltpersoner (ansatte, studenter, deltakere i forskningsprosjekter, osv.) på vegne av (eller etter bestilling fra) institusjonen. Selv om institusjonen (behandlingsansvarlig) er rettslig ansvarlig for at skytjenesteleverandøren (databehandler) behandler personopplysninger på lovlig måte, har skytjenesteleverandøren også et selvstendig ansvar for at informasjonssikkerheten i tjenesten er tilfredsstillende. Skytjenesteleverandøren har i tillegg ansvar for at vilkår i avtaler inngått med institusjonen overholdes. 3 Med personopplysninger menes alle opplysninger og vurderinger enten i form av tekst, lyd, bilder eller video som kan knyttes til en bestemt enkeltperson (for eksempel ansatte, studenter eller deltakere i forskningsprosjekter). Reglene i personopplysningsloven gjelder ikke dersom opplysninger om enkeltpersoner er forsvarlig anonymisert, det vil si at det ikke lenger er mulig å identifisere hvem opplysningene gjelder. 4 Med behandling av personopplysninger menes all bruk av opplysninger som kan knyttes til en bestemt enkeltperson, for eksempel registrering, lagring, sammenstilling, overføring, publisering eller sletting. 13
16 Det spiller ingen rolle hvilken type skytjeneste institusjonen anvender (SaaS, PaaS, IaaS, osv.) for at reglene i personopplysningsloven skal gjelde. Det avgjørende er at skytjenesteleverandøren forvalter personopplysninger på vegne av institusjonen. Dersom det er tilfelle, er skytjenesteleverandøren databehandler for institusjonen. Personopplysningsloven krever at databehandleren (skytjenesteleverandøren) bare forvalter personopplysningene slik som den behandlingsansvarlige (institusjonen) har bestemt. Dette betyr at loven ikke forbyr bruk av skytjenester, men legger visse føringer på måten skytjenester skal brukes på. Så lenge reglene i personopplysningsregelverket følges, vil anskaffelse og bruk av skytjenester (hvor personopplysninger behandles) være lovlig. Det er institusjonen som har plikt til å sørge for at bruk av skytjenester skjer på lovlig måte, ikke skytjenesteleverandøren. Institusjonen vil derfor være ansvarlig for lovbrudd som skytjenesteleverandøren gjør seg skyldige i. Institusjonen vil også være ansvarlig for lovbrudd som skytjenesteleverandørens underleverandører har begått. Institusjonen står derfor ansvarlig for alt som skjer med personopplysningene i hele produksjonskjeden (egne brukeres anvendelse av skytjenesten og hva som skjer med opplysningene hos skytjenesteleverandøren og eventuelle underleverandører), og uansett hvor i verden skytjenesteleverandøren (eller eventuelle underleverandører) har sine datasentre. Institusjonen skal gjennomføre risikovurderinger av skytjenesten før tjenesten tas i bruk. Dette for å forsikre seg om at informasjonssikkerheten er god nok, det vil si at personopplysningene er tilfredsstillende sikret mot uautorisert tilgang, endring, skade eller tap. Dersom risikovurderingen viser at sikkerheten i skytjenesten er for dårlig (ikke tilfredsstillende), vil det ikke være lovlig å ta tjenesten i bruk. Men dersom risikovurderingen konkluderer med at informasjonssikkerheten er god nok (tilfredsstillende), kan det være lovlig å anvende skytjenesten. Skulle risikovurderingen vise at det er forsvarlig å anvende den aktuelle skytjenesten (informasjonssikkerheten er tilfredsstillende), er institusjonen pålagt å inngå en skriftlig avtale en databehandleravtale med skytjenesteleverandøren. Databehandleravtalen skal inneholde institusjonens instrukser til skytjenesteleverandøren. Dersom en slik avtale ikke inngås eller avtalen ikke har det innholdet den skal ha vil det være ulovlig å anvende skytjenesten. Personopplysningsloven vektlegger spesielt at databehandleravtalen regulerer hvordan skytjenesteleverandøren ivaretar informasjonssikkerheten til personopplysningene. Avtalene skal derfor inneholde krav om at skytjenesteleverandøren (og eventuelle underleverandører) sikrer personopplysningene på en tilfredsstillende måte mot uautorisert tilgang, endring, skade eller tap(5). Den skal også sette klare begrensninger for hva leverandøren (og eventuelle underleverandører) kan gjøre med personopplysninger som institusjonen er ansvarlig for. Bruken av skytjenester som innebærer overføring av personopplysninger til land utenfor EØS-området og som ikke er godkjent av EU-kommisjonen (land som ikke har tilfredsstillende personvernlovgivning), kan bare skje på visse vilkår. Det mest anvendelige og sikreste vilkåret for slik overføring er EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland. Institusjonen skal varsle Datatilsynet dersom EUs standardkontrakt anvendes til overføring av personopplysninger til ikkegodkjente land. Dersom institusjonen benytter skytjenester til behandling av personopplysninger, skal bruken vanligvis meldes til Datatilsynet (minst 30 dager før bruken av skytjenesten begynner)(6). Institusjoner med per- 5 Jf. personopplysningsloven 15. Skytjenesteleverandøren databehandleren har også et selvstendig ansvar for å sørge for at opplysningene er tilfredsstillende sikret mot brudd på informasjonssikkerheten, jf. personopplysningsloven Fornyet melding skal sendes hvert tredje år. 14
17 sonvernombud er fritatt fra meldeplikten. Isteden skal personvernombudet varsles om bruken av skytjenesten. Hvis institusjonen benytter skytjenester til behandling av sensitive personopplysninger, skal Datatilsynet vanligvis søkes om konsesjon. Konsesjonsplikten gjelder uavhengig av om institusjonen har personvernombud eller ikke(7). Behandling av alminnelige og sensitive personopplysninger som gjelder studenter og som enten skjer (i) med grunnlag i lov om universiteter og høyskoler eller (ii) samtykke fra den enkelte student, er unntatt fra melde- og konsesjonsplikten. I tillegg er visse typer opplysninger som arbeidsgiver (universitet eller høyskole) behandler om sine ansatte unntatt fra konsesjons- eller meldeplikten(8). Disse reglene vil gjelde ved bruk av skytjenester. NB: EU har vedtatt et nytt personvernregelverk som vil erstatte dagens personopplysningslov. Dette er derfor et område hvor det vil komme lovendringer, men de vil sannsynligvis ikke tre i kraft før våren/sommeren UFSen vil bli oppdatert når det er klart hvilke konsekvenser det nye regelverket får for bruken av skytjenester. 8.2 E-forvaltningsforskriften Reglene i e-forvaltningsforskriften gjelder for institusjonens bruk av skytjenester dersom tjenestene benyttes til kommunikasjon med (a) enkeltpersoner eller private virksomheter, (b) andre forvaltningsorganer eller (c) i den interne saksbehandlingen(9). E-forvaltningsforskriften skiller seg fra personopplysningsloven ved at den gjelder for all elektronisk informasjonsbehandling som skjer ved kommunikasjon med og i forvaltningen og i forbindelse med saksbehandling i forvaltningsorganet (institusjonen). Reglene i e-forvaltningsforskriften gjelder derfor selv om institusjonen bruker skytjenester til behandling av andre informasjonsverdier enn personopplysninger. Dette kan for eksempel være taushetsbelagte opplysninger om tekniske innretninger, saksdokumenter som er unntatt offentlighet eller andre informasjonsverdier som er viktig for institusjonen(10) På tilsvarende måte som personopplysningsloven, krever e-forvaltningsforskriften at informasjonssikkerheten i skytjenesten skal være tilfredsstillende for at bruken skal være lovlig. Institusjonen må derfor gjennomføre en risikovurdering for å forsikre seg om at dette er tilfelle, og risikovurderingen skal gjennomføres før skytjenesten tas i bruk. E-forvaltningsforskriften inneholder særlig regler om risikovurderinger på enkelte områder som også er relevante ved bruk av skytjenester: Risikoen for uberettiget tilgang til personopplysninger og opplysninger underlagt taushetsplikt dersom henvendelser skal sendes til skytjenester som institusjonen anvender. 7 Med sensitive personopplysninger regnes opplysninger om rasemessig eller etnisk bakgrunn; politisk, religiøs eller filosofisk oppfatning; straffbare handlinger; helseforhold; seksuelle forhold; medlemskap i fagforeninger. Alle andre typer av personopplysninger regnes som alminnelige. Legg merke til at elektronisk behandling av personopplysninger om studenter som skjer med hjemmel i universitets- og høyskoleloven eller som studentene har samtykket til er unntatt fra melde- og konsesjonsplikten, jf. personopplysningsforskriften Det er imidlertid svært uklart hvilke behandlinger av personopplysninger om studenter som kan sies å være hjemlet i universitets- og høyskoleloven. Dersom studentene ikke har avgitt samtykke, anbefales det derfor at melde- og konsesjonsplikten overholdes. 8 Se personopplysningsforskriften 7-16 og E-forvaltningsforskriften er hjemlet i forvaltningsloven 15a og i e-signaturloven For nærmere informasjon om e-forvaltningsforskriften og forholdet mellom forskriften, personopplysningsloven og andre lovverk, se 15
18 Risikoen for uberettiget tilgang til enkeltvedtak dersom institusjonen anvender skytjenester til formidling av slike vedtak. Risikoen for at det gis uberettiget innsyn i personopplysninger, andre opplysninger underlagt taushetsplikt og saksdokumenter dersom institusjonen bruker skytjenester i sin saksbehandling. I tillegg pålegges institusjonen å informere om risikoen ved å sende personopplysninger eller opplysninger underlagt taushetsplikt til skytjenester som institusjonen anvender. NB: Det er nedsatt et lovutvalg som skal revidere dagens forvaltningslov. Utvalget skal legge frem forslag til ny lov innen 1. november Revisjonen vil trolig også berøre e-forvaltningsforskriften. 8.3 Arkivloven Arkivloven inneholder regler som setter visse begrensninger for institusjonens bruk av skytjenester. Dette gjelder regelen som i utgangspunktet setter forbud mot å føre arkivmaterialet ut av landet (uten at det er gitt særskilt samtykke til dette fra Riksarkivaren)(11). For skytjenester innebærer dette, ifølge Riksarkivaren, at arkivdatabasen må være lagret på datamaskiner i Norge, og at arkivmateriale derfor ikke kan lagres lovlig i skytjenester som oppbevarer arkivdatabasen i utlandet. Riksarkivaren mener altså at det ikke er tilstrekkelig at arkivdatabasen er tilgjengelig fra Norge via internettet, men at den må befinne seg innenfor landets grenser. Forbudet mot oppbevaring av arkivdatabaser på datamaskiner i utlandet gjelder også for sikkerhetskopier av databasen(12). Dette innebærer for eksempel at dersom institusjonen anvender en utenlandsk skytjeneste til saksbehandling, skal arkivverdig informasjon eller dokumenter overføres til og lagres i en arkivdatabase i Norge så fort saksbehandlingen er avsluttet. Riksarkivet mener imidlertid at kopier av enkeltdokumenter som er arkivverdige likevel kan oppbevares hos skytjenesteleverandører i utlandet så lenge selve arkivdatabasen og sikkerhetskopier av denne befinner seg i Norge. NB: Riksarkivet har varslet at det er behov for å se nærmere på reglene om lagring av arkivdatabaser og sikkerhetskopier i utlandet. Dette er derfor et område hvor det kan forventes lovendringer eller endringer i lovtolkningen. Det er likevel uklart når slike endringer eventuelle vil skje og hva endringene vil innebære. UFSen vil bli oppdatert når eventuelle regelendringer foreligger. 8.4 Bokføringsloven Institusjoner som er underlagt regnskaps- og bokføringsloven trenger å være oppmerksom på at loven inneholder regler som setter visse begrensninger for bruken av skytjenester. Dette gjelder regelen om at bokføringsmateriale i utgangspunktet ikke kan lagres permanent på datamaskiner plassert i utlandet. Det er likevel noen unntak fra denne regelen: 11 Arkivmateriale kan, ifølge Riksarkivet, kun føres ut av landet midlertidig i forbindelse med behandling av enkeltsaker, se brev fra Riksarkivet til Kunnskapsdepartementet av , side 3 («Lagring av elektroniske arkiver på servere i utlandet fortolkning av arkivloven 9 bokstav b»), tilgjengelig på 12 Se /Riksarkivaren-seier-nei-til-skyarkivering-i-utlandet og 16
19 For det første kan regnskapsmaterialet lagres permanent på datamaskiner plassert i Norden (Danmark, Finland, Sverige og Island) dersom det sendes melding om dette til Skattedirektoratet(13). For det andre kan institusjonen søke Skattedirektoratet om dispensasjon fra reglene om langtidsoppbevaring av regnskapsmateriale i utlandet. For det tredje kan regnskapsmateriale lagres midlertidig på datamaskiner i land utenfor Norden. Regnskapsmateriale må da overføres til permanent lagring i Norge eller Norden innen én måned etter fastsetting av årsregnskapet, og senest sju måneder etter regnskapsårets slutt(14). 8.5 Økonomiregelverket i staten Institusjoner som er underlagt Reglement for økonomistyring i staten og Bestemmelser om økonomistyring i staten må være oppmerksom på at dette regelverket ikke har tilsvarende regler som bokføringsloven om hvor regnskapsdata kan oppbevares reglementet og bestemmelsene er tause på dette punktet. Imidlertid kommer reglene i arkivloven om oppbevaring av arkivdata i utlandet til anvendelse. Det betyr at oppbevaringspliktig regnskapsdata som skal tas vare på etter reglene i økonomiregelverket i staten ikke kan overføres til datamaskiner eller i datasentre i utlandet for langtidslagring. Det samme vil gjelde for sikkerhetskopier av slike data. Økonomiregelverket åpner likevel for at oppbevaringspliktig regnskapsdata kan lagres hos nasjonale eller internasjonale skytjenesteleverandører så lenge leverandørene ikke overfører og lagrer slike regnskapsdata i utlandet. Hvordan bruk av nasjonale eller internasjonale skytjenesteleverandører til drift av økonomisystemer (og eventuelt hjelpesystemer) skal foregå, reguleres i Bestemmelser om økonomistyring i staten, punkt Reglene i punkt som er relevante i denne sammenheng, er de som gjelder for arbeidsdelingsmodell II. Reglene for arbeidsmodell II innebærer at institusjonen skal inngå skriftlig avtale med den nasjonale eller internasjonale skytjenesteleverandøren som drifter institusjonens økonomisystem (og eventuelle hjelpesystemer). Avtalen skal blant annet inneholde bestemmelser som tydeliggjør oppgave- og ansvarsforhold mellom institusjonen og tjenesteleverandøren, stiller krav til kvaliteten på tjenesten, ivaretar datasikkerheten i tjenesten. Institusjonen skal sende skriftlig melding til Finansdepartementet når avtalen med skytjenesteleverandøren er inngått. Uten avtale som nevnt ovenfor og melding til Finansdepartementet vil det ikke være lovlig å anvende leverandørens økonomisystem (og eventuelle hjelpesystemer). NB: Dersom det skjer endringer i arkivlovens regler om lagring av arkivdatabaser og sikkerhetskopier i utlandet, kan dette få betydning for bruken av skybaserte økonomisystemer (og eventuelle hjelpesystemer). UFSen vil bli oppdatert når eventuelle regelendringer foreligger. 13 Forskrift om oppbevaring av elektronisk regnskapsmaterialet i andre EØS-land (tilgjengelig på 14 Se uttalelse fra Skattedirektoratet tilgjengelig på 17
20 8.6 Oppsummering Reglene i personopplysningsloven, e-forvaltningsforskriften, arkivloven og bokføringsloven innebærer at institusjonen må ivareta ulike rettslige forhold før, under og etter at skytjenesten er tatt i bruk. I utredningsfasen før skytjenesten tas i bruk gjelder følgende: 1. Skaffe seg tilstrekkelig informasjon om hvordan skytjenesten er oppbygd og fungerer (inkludert hvilke land opplysningene overføres til). 2. Gjennomføre risikovurderinger av informasjonssikkerheten for å avgjøre om det er forsvarlig å ta den aktuelle skytjenesten i bruk. 3. Vurderingen må både omfatte (a) risikoen for brudd på sikkerheten ved behandling av personopplysninger og (b) risikoen for uberettiget tilgang til enkeltvedtak, taushetsbelagt informasjon eller opplysninger, og uberettiget innsyn i saksdokumenter. I avtalefasen mens anskaffelse av skytjenesten foregår gjelder følgende: 1. Inngå lovpålagt avtaler med skytjenesteleverandøren, inkludert å underskrive EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland (dersom det er aktuelt). 2. Sjekke at avtalen og kontrakten inneholder de nødvendige kravene til skytjenesteleverandørens behandling og sikring av personopplysninger. 3. Varsle Datatilsynet ved bruk av EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land utenfor EØS-området. 4. Melde bruken av skytjenesten til Datatilsynet hvis personopplysninger behandles i tjenesten. 5. Søke Datatilsynet om konsesjon dersom skytjenesten behandler sensitive personopplysninger. 6. Sende melding til Finansdepartementet om inngått avtale med leverandør av økonomisystem (og eventuelle hjelpesystemer). 7. Eventuelt å søke Skattedirektoratet eller Riksarkivaren om dispensasjon for oppbevaring av arkiveller regnskapsmateriale i utlandet (for institusjoner som er underlagt bokføringsloven). I forvaltningsfasen etter at skytjenesten er tatt i bruk gjelder følgende: 1. Følge opp avtalene for å forvisse seg om at skytjenesteleverandøren (og eventuelle underleverandører) overholder avtalevilkårene. 2. Kreve at skytjenesteleverandørene (og eventuelle underleverandører) lukker avvik fra avtalevilkårene. 3. Avslutte bruken av skytjenesten og flytte personopplysningene eller andre informasjonsverdier dersom vesentlige avvik ikke lukkes(15). 4. Gjennomføre nye risikovurderinger av skytjenesten ved vesentlige endringer i tjenesten eller i institusjonens bruk av den. 5. Sørge for at arkivverdig informasjon og dokumentasjon ikke blir lagret på datamaskiner i utlandet. 6. Sørge for at oppbevaringspliktig regnskapsdata ikke langtidslagres på (a) datamaskiner utenfor Norge, Danmark, Finland, Sverige eller Island (gjelder for institusjoner underlagt regnskaps- og bokføringsloven) eller (b) datamaskiner utenfor landets grenser (gjelder for institusjoner underlagt økonomiregelverket i staten). Resten av UFSen vil fokusere på hvordan hvert av punktene i utrednings-, avtale- og forvaltningsfasen kan ivaretas i praksis. 15 Eksempler på vesentlige avvik kan være at leverandøren bruker personopplysningene ut over det avtalen tillater eller overfører opplysningene til andre virksomheter uten at institusjonen har godtatt dette. Andre eksempler kan være at informasjonssikkerheten ikke er tilfredsstillende, for eksempel som følge av gjentatte brudd på opplysningenes konfidensialitet eller tilgjengelighet, eller at institusjonen ikke får tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren (eller nektes å gjennomføre egne revisjoner av leverandørens sikkerhetsløsninger dersom det er avtalt). 18
21 IV UTREDNINGSFASEN 9 GRUNNLAGET FOR BESLUTNINGER OM BRUK AV SKYTJENESTER I utredningsfasen, det vil si før skytjenesten tas i bruk, har institusjonen plikt til å undersøke om det er forsvarlig å anvende den aktuelle tjenesten. Utredningsplikten innebærer derfor en plikt til å undersøke om skytjenesten er i god stand eller om den har mangler som gjør det uforsvarlig (og ulovlig) å anvende tjenesten. Ovenfor har vi sett at utrednings- eller undersøkelsesplikten i særlig grad følger av reglene i personopplysningsloven og e-forvaltningsforskriften. Plikten handler primært om at undersøkelsen skal skje i form av en risikovurdering av at informasjonssikkerheten i tjenesten er tilfredsstillende (uten vesentlige mangler). Vurderinger av informasjonssikkerheten i skytjenesten betyr at institusjonen retter et kritisk søkelys mot risikoen for at personopplysninger og andre informasjonsverdier, kanskje spesielt opplysninger som omfattes av taushetsplikten, utsettes for uautorisert tilgang, endring, skade eller tap. Det rettslige kravet er at skytjenesten bare kan tas i bruk dersom undersøkelsen (risikovurderingen av informasjonssikkerheten i skytjenesten) konkluderer med at risikoen for uautorisert tilgang, endring, skade eller tap av data og personopplysninger er tilfredsstillende. Det vil ikke være lovlig å anvende skytjenesten dersom undersøkelsen (risikovurderingen) gir motsatt konklusjon: informasjonssikkerheten i tjenesten er såpass mangelfull at den ikke kan sies å være tilfredsstillende. Nedenfor følger svar på en del sentrale spørsmål som institusjonen bør stille seg i utredningsfasen. 9.1 Hvem skal bestemme hva som er «tilfredsstillende informasjonssikkerhet» i skytjenesten? Det er institusjonen som skal avgjøre hva som menes med «tilfredsstillende informasjonssikkerhet» ved bruk av skytjenester. Institusjonen må derfor selv definere hvor stor risiko for uautorisert tilgang, endring, skade eller tap av informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) den kan akseptere ved bruk av skytjenester. Kravene til tilfredsstillende informasjonssikkerhet ved bruk av skytjenester skal fastsettes av den administrative eller faglige ledelsen ved institusjonen før risikovurderinger av konkrete tjenester gjennomføres. Dersom vurderingen av en skytjeneste viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier er uakseptabel høy (oppfyller ikke institusjonens egendefinerte krav til informasjonssikkerheten), kan ikke skytjenesten brukes på lovlig måte. Dette fordi skytjenesten ikke oppfyller kravet til informasjonssikkerhet fastsatt i lovverket, altså at sikkerheten skal være tilfredsstillende. 19
22 9.2 Hvilke krav stilles til organisering og metodikk ved gjennomføring av risikovurderinger? Lovgivningen stiller bestemte krav til hvordan en risikovurdering skal organiseres eller til hvilken metodikk som skal benyttes. Risikovurderinger av skytjenester kan derfor gjennomføres på mange forskjellige måter. Det avgjørende er at institusjonen har kartlagt og tatt stilling til risiko ved bruk av skytjenesten. Her er link til et reelt eksempel på risikovurdering av en konkret skytjeneste (UNINETTs risikovurdering av lagrings- og delingstjenesten «BOX»): Hvor grundige må risikovurderinger av skytjenester være? Lovverket stiller ingen bestemte krav til hvor grundig risikovurderinger av informasjonssikkerheten i skytjenester skal være. Institusjonen må imidlertid ha såpass god kunnskap om hvordan den aktuelle tjenesten er oppbygd og fungerer og til hvor data lagres/oppbevares - at den er i stand til å gi realistiske svar på to spørsmål: 1. Hvilke hendelser kan føre til uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, saksdokumenter, osv.) ved bruk av skytjenesten? 2. Hvor stor er risikoen for slike hendelser i forbindelse med denne skytjenesten? Det er ikke forventet at spørsmålene skal besvares med vitenskapelig nøyaktighet og grundighet. Men kunnskapen om skytjenesten må være såpass grundig at svarene baserer seg på noe mer enn gjetning eller ønsketenkning. 9.4 Hvordan skal institusjonen forberede seg til risikovurderinger av skytjenester? Forberedelser til risikovurderinger av skytjenester handler om to forhold: 1. Bestemme hvilke informasjonsverdier som skytjenesten skal håndtere på vegne av institusjonen. 2. Skaffe seg detaljert informasjon om skytjenestens oppbygning og virkemåte slik at spørsmålene skissert ovenfor kan besvares på en realistisk måte. Når det gjelder det første punktet, er prinsippet at jo flere og viktigere informasjonsverdier institusjonen ønsker at skytjenesten skal behandle, desto bedre skal informasjonssikkerheten i tjenesten være. Det betyr for eksempel at det skal stilles strengere krav til informasjonssikkerheten i tjenester som behandler mange taushetsbelagte opplysninger enn til tjenester som ikke gjør det (eller som gjør det i liten grad). Når det gjelder det andre punktet, kan det være utfordrende å skaffe seg detaljert informasjon om skytjenesten når (a) institusjonen ikke drifter løsningen selv og (b) institusjonen har liten (eller ingen) erfaring med bruk av tjenesten. Utfordringen kan løses ved at institusjonen setter seg inn i alt skriftlig materiale publisert av skytjenesteleverandøren som beskriver skytjenesten og hvordan informasjonssikkerheten i tjenesten blir ivaretatt. Forberedelser til risikovurderinger av skytjenester vil derfor vanligvis ta noe lengre tid og krever noe mer leseinnsats enn hva som er typisk ved tilsvarende vurderinger av interne IT-systemer eller ITtjenester. Institusjonen bør også ha mulighet til å ta direkte kontakt med skytjenesteleverandøren, for eksempel via e-post. Dette for å få nærmere svar på spørsmål som ikke besvares i det skriftlige materialet publisert av leverandøren, for eksempel konkrete forhold knyttet til tjenestens oppbygning og virkemåte eller til hvordan informasjonsverdier blir sikret mot uautorisert tilgang, endring, skade eller tap. 20
23 9.5 Må institusjonen gjennomføre flere risikovurderinger av den samme skytjenesten for å tilfredsstille kravene til slike vurderinger i ulike lovverk? En slik «løsning» frarådes: Det bør for eksempel ikke legges opp til at det først gjennomføres en risikovurdering av hvordan skytjenesten sikrer personopplysninger (etter reglene i personopplysningsloven) for deretter å gjøre den samme øvelsen på nytt, men nå med fokus på sikringen av andre taushetsbelagte opplysninger (etter reglene i e-forvaltningsforskriften). Informasjonssikkerheten i skytjenester som skal behandle ulike typer informasjonsverdier bør evalueres i én og samme risikovurdering. 9.6 Hva skal institusjonen gjøre dersom risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten ikke er tilfredsstillende? Hvis vurderingen viser at risikoen for uautorisert tilgang, endring, skade eller tap av institusjonens informasjonsverdier (personopplysninger, taushetsbelagte opplysninger, osv.) er uakseptabel høy, står institusjonen overfor et valg. Den kan da enten (a) bestemme seg for ikke å gå videre med tjenesten eller (b) kreve at skytjenesteleverandøren styrker informasjonssikkerheten slik at den blir tilfredsstillende. Institusjonen kan naturligvis også velge å ignorere den mangelfulle informasjonssikkerheten, men det fører til at bruken av skytjenesten er ulovlig. Det samme er tilfelle dersom skytjenesten tas i bruk uten at skytjenesteleverandøren har tatt hensyn til og gjort noe med institusjonens krav til styrking av utilfredsstillende informasjonssikkerhet. 21
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerKrav til bruk av skytjenester
Krav til bruk av skytjenester UFS nr.: 150 Versjon: 0.6 Status: Utkast Dato: 8. sep. 2015 Tittel: Krav til bruk av skytjenester Arbeidsgruppe: Sekretariat for informasjonssikkerhet i UH-sektoren Ansvarlig:
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerSammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie
KS FoU-prosjekt 144008: Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie April 2015 Advokatfirmaet Føyen Torkildsen -1- 1 Innledning Bruk av nettskyløsninger
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerCloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011
Cloud computing og offshoring Juridiske sjekkpunkter for overføring av data til utlandet Espen Werring, 1. desember 2011 Er dette noe å bry seg om? Betydelig vekst innen offshoring de seneste årene Alle
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og
DetaljerGo to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.
INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerSkytjenester i skolen
Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerEr du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerArkiv skal ikkje førast ut or landet
Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller
DetaljerDatabehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle
Databehandleravtale Denne avtalen ("Databehandleravtalen") inngås som et tillegg til avtale om lisens og bruk av Styreplan og andre produkter og tjenester fra Systemfabrikken AS ("Tjenesteavtalen"), og
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:
DetaljerDatabehandleravtaler. Tommy Tranvik Unit
Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerDatabehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.
Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse
DetaljerDATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")
DATABEHANDLERAVTALE mellom [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") og Mattilsynet (heretter kalt "Databehandler") Vedrørende Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig
DetaljerDatabehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg
I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerDatabehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerPersonvern-rett H2016
Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerEksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerDatabehandleravtale Pilot Digitalt Bortsettingsarkiv
Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt
DetaljerVedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016
Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
DetaljerHvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen
Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen 2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte
DetaljerSkytjenester. Forside og Databehandleravtale. Telenor Norge
Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerDATABEHANDLERAVTALE. 1. Bakgrunn
DATABEHANDLERAVTALE Denne databehandleravtalen (Avtalen) er inngått mellom: (i) [selskapsnavn og organisasjonsnummer til behandlingsansvarlig] (Behandlingsansvarlig), og (ii) KulturIT AS, org.nr. 915 168
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerDatabehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.
Databehandleravtale I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale mellom Behandlingsansvarlig Tjenesteleverandøren Iris skolefoto as Postboks
DetaljerDatabehandleravtale etter personopplysningsloven
Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig
DetaljerDeres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015
Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene
DetaljerPersonvernerklæring for Cristin (Current Research Information System in Norway)
Personvernerklæring for Cristin (Current Research Information System in Norway) Sist endret: 15.06.2018 Innhold: 1) Kort om Cristin (Current Research Information System in Norway) 2) Hva er en personvernerklæring?
DetaljerRegistrerte og personopplysninger som behandles
Databehandleravtale i henhold til Personopplysningsloven 15. juni 2018 nr 38 og EUs personvernforordning 2016/679 («GDPR»), mellom: Behandlingsansvarlig og Norsk kulturskoleråd (Kor Arti ) Databehandler
DetaljerUtredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA
Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA Mandat - behov KS har fått flere henvendelser fra kommuner og
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerDatabehandleravtale Kontorvarehuset Møre og Romsdal AS
Databehandleravtale Kontorvarehuset Møre og Romsdal AS I henhold til personopplysningslovens 13, jf. 15, personopplysningsforskriftens kapittel 2 og EUs personvernforordning (GDPR). mellom Navn på kunde..
DetaljerPolicy for personvern
2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...
DetaljerMin bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...
Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt
DetaljerPersonvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper
Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning
DetaljerDATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»
DATABEHANDLERAVTALE MELLOM, org.nr. «Behandlingsansvarlig» og Info Vest Forlag, org.nr. 992 603 747 «Databehandler» Databehandleravtalen gjelder: lagring av data knyttet til bruk av digitale observasjons
DetaljerAdvokat Arve Føyen Advokatfirmaet FØYEN Torkildsen
1_Tittellysbilde Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen 1 Tema - bakgrunnsteppe Behovet for global sourcing og bruk av Skytjenester Rollene ved bruk av Skytjenester Krav til internkontroll
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerDatabehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler
(versjon 1) I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig og. databehandler 1. Avtalens hensikt Avtalens hensikt er å regulere
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerArkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no
Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerSkytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet
Skytjenester Status for Riksarkivets arbeid Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim Olav Sataslåtten Riksarkivet 1 Utfordringene Arkivloven pålegger offentlige organer å ha
DetaljerPERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS
PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS Denne personvernerklæringen forteller hvordan BWAS Group AS samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon
DetaljerPersonvernerklæring for Flyt Høgskolen i Molde
Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for
DetaljerMellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:
Databehandleravtale for Økonomibistand I henhold til "Personopplysninger" betyr all informasjon om en identifisert eller identifiserbar fysisk person, som nærmere definert i gjeldende lov og EU-forordning
DetaljerMed forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.
Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
DetaljerPersonvernerklæring for Edvarda (Consortia Manager)
Personvernerklæring for Edvarda (Consortia Manager) Innhold: 1) Kort om Edvarda (Consortia Manager) 2) Hva er en personvernerklæring? 3) Hva regnes som personopplysninger? 4) Formålet med og rettslig grunnlag
DetaljerArkivsystemer med skyløsninger
Arkivsystemer med skyløsninger Erfaringer fra Ruter Svein Winje og Svend Wandaas, Brukerforum Stavanger Tema 1. Behovet for ny sak og arkivløsning 2. Juridiske utgangspunkt. 3. Krav i konkurransen og besvarelse
DetaljerImplementering av det nye personvernregelverket ved UiB
Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale
DetaljerEndringer i universitets- og høyskoleloven og EUs nye personvernforordning
Endringer i universitets- og høyskoleloven og EUs nye personvernforordning Sadia Zaka Juridisk seniorrådgiver Kunnskapsdepartementets tjenesteorgan 13.04.2018 1 Viktige definisjoner/begreper Personopplysning:
DetaljerDatabehandleravtale. Fellesforbundet avdeling.. Fellesforbundet
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:
DetaljerPersonvernerklæring om behandling av personopplysninger Felleskatalogen AS
Personvernerklæring om behandling av personopplysninger Felleskatalogen AS Innledning Denne personvernerklæringen beskriver hvordan Felleskatalogen AS behandler personopplysninger. Erklæringen beskriver
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerINF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen
INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerDatabehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale
tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere
DetaljerDatabehandleravtale. Denne avtalen er inngått mellom
Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
Detaljer