Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler. 27.10.2011 Advokat Herman Valen

Like dokumenter
Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Tjenester i skyen hva må vi tenke på?

Arkiv skal ikkje førast ut or landet

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Public 360 Online Datasikkerhet

Databehandleravtale for NLF-medlemmer

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Personvernerklæring for Vesterålsprodukter AS

CRM-løsninger i skyen - hva har du lov til å lagre?

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Kan du legge personopplysninger i skyen?

Skyløsninger. Sikkerhet og leveransemodell

Deres referanse Vår referanse Dato 15/ /JSK

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

OM PERSONVERN TRONDHEIM. Mai 2018

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Nettskyen, kontroll med data og ledelsens ansvar

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Arkivet i skyen Serveren på månen

Personopplysningslovens saklige og geografiske virkeområde, samt spørsmålet om overføring av personopplysninger. Dag Wiese Schartum, AFIN

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale etter personopplysningsloven

Datasikkerhetserklæring Kelly Services AS

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Personvernerklæring Samtykke Direktechat Informasjonskapsler Skreddersydde e-poster til markedsføringsformål

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Personvern-rett H2016

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Retningslinjer for databehandleravtaler

Skytjenester (Cloud computing)

Oslo kommune Utdanningsetaten

Databehandleravtaler

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Cloud juridiske utgangspunkter. advokat Eva I.E. Jarbekk

Endelig kontrollrapport

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Databehandleravtale etter personopplysningsloven

Samfunnsnytte og belastninger for den registrerte

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvern - sjekkliste for databehandleravtale

Vedlegg til søknad om konsesjon for behandling av

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Databehandleravtale. Denne avtalen er inngått mellom

Henvendelse om vår behandling av personopplysninger kan rettes til:

Forslag til ny lov om behandling av personopplysninger

Fravær og fraværsoppfølging. Karen Helene Eriksen

Kort innføring i personopplysningsloven

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

[start kap] Innholdsoversikt

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Personvern i arkivene. Grunnleggende elementer og noen eksempler

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014

INTEGRITETSPOLICY REKRUTTERING

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

PERSONVERNPOLICY. Sist oppdatert den 15. januar 2010

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Skytjenester i skolen

Behandling av personopplysninger i Revisjon Vest AS

Krav til behandlingsgrunnlag for behandling av personopplysninger. DR1010 Mona Naomi Lintvedt

Brukerinstruks Informasjonssikkerhet

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Bedre helse og sikkerhet med EPJ

Azure Stack. - når skyen blir lokal. Foredragsholder: Odd Egil Bergaust

GDPR HVA ER VIKTIG FOR HR- DATA

Arkivsystemer med skyløsninger

Databehandleravtale. Charlotte Lindberg Difi

Arkivering i kjelleren eller i skyen? Nokios 2011 Workshop Jon Bjerkelien og Bjørn Kummeneje

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Transkript:

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler 27.10.2011 Advokat Herman Valen

2 Innledning Regelverket for offentlige anskaffelser Kjennetegnet ved cloud-tjenester Standardiserte tjenester Selvbetjening Standardiserte priser Standardiserte vilkår Opp og nedskalering

3 Innledning Public cloud Privat cloud Community cloud (G-cloud) Hybrid cloud Combined cloud Hosted (driftsleverandør)

SOA Public cloud Exchange HR Økono mi Kritisk app Privat cloud Commun ity cloud PaaS IaaS

Kundens modenhet Kunden må vurdere hvilke applikasjoner og andre tjenester som kan leveres som cloudtjenester. Gå igjennom arbeidsprosesser for å se om disse kan endres eller tilpasses for å kunne supporteres med standard programvare Definere leveringsmåte

6 Kundens modenhet Vurdere sikkerhet Vurdere hvilket behov man har for tilgjengelighet, oppetid osv Hvem har behov for de enkelte tjenestene, f.eks vil man kun ha behov for MS project i konkrete prosjekter og til de aktuelle deltakere i prosjektet

7 Juridiske problemstillinger i skyen Datasikkerhet og personvern regulatoriske problemstillinger Kontraktsmessige problemstillinger

Regulatoriske problemstillinger Datasikkerhet Ansvar for datasikkerhet er et juridisk forhold Implementering av datasikkerhet handler om teknologi Dataeier mister den fysiske kontrollen over data avhengig av utenforstående og overlater kontroll til andre Uavhengig av egne investeringer i utstyr og i lokaler mv for utstyr Data lagres i datasentre som er plassert utenfor Kundens kontroll Viktig med avtalemessig sikring av at implementeringen blir tilfredsstillende Leverandører av verktøy for å sikre datasikkerhet både før og under Kunden tar steget ut i skyen

9 Regulatoriske problemstillinger Personvern og datasikkerhet Lovgivning stiller krav om oppbevaring og sikring og av data, f. eks Sikkerhetsloven ( 3-3 i forskriften tilknytning til internett utgjør en sårbarhet for sikkerheten) Personopplysningsloven Bokføringsloven (oppbevaring i Norge) Personalopplysninger (eks kryptering av sensitive opplysninger) Helseregisterloven Skatteopplysninger arkivloven Lovgivningens krav til oppbevaring kan representere hindringer for overføring av opplysninger

Personopplysninger Behandling av personopplysninger Overføring av personopplysninger til utlandet Forskjell på krav for private eller statlige bedrifter? Kontroll på informasjonen? http://ec.europa.eu/justice/policies/privacy/th ridcountries/index_en.htm

Personopplysningsloven 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. 30. Unntak Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. 30 (2): Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.

Hvor er dataene lagret? Så lenge man vet hvor dataene lagres, er alt ok? EU-land Third countries Fullstendig cloud hva da?

Bokføringsloven 13. Oppbevaring Primærdokumentasjon skal oppbevares i Norge i ti år etter regnskapsårets slutt. Sekundærdokumentasjon skal oppbevares i Norge i tre år og seks måneder etter regnskapsårets slutt. Bokførte opplysninger som i utgangspunktet er tilgjengelig elektronisk, skal være tilgjengelig elektronisk i tre år og seks måneder etter regnskapsårets slutt. Oppbevaringspliktig regnskapsmateriale skal oppbevares ordnet og være betryggende sikret mot ødeleggelse, tap og endring. Regnskapsmaterialet skal kunne fremlegges for offentlig kontrollmyndighet i hele oppbevaringstiden i en form som muliggjør etterkontroll.

Avtaler i nettskyen Tjenesteleverandør Hvem er ansvarlig for hvem? Cloudleverandør Kunden/sluttbruker

15 Anskaffelsesrettslige problemstillinger Cloud-tjenester er standardiserte produkter. Dette legger føringer for. Kravspesifikasjon Avtaletype SLA krav Prisstruktur

16 Avtalehensyn Leveringsansvar og SLA Priser og prisingsstruktur Sikkerhet og kontroll med data Personvern - databehandleravtale Lagring hvor? Kontroll og oppfølging revisjonsadgang Lovvalg og jurisdiksjon Ansvar og ansvarsfraskrivelse

Levering og ansvar Hvordan beskrives tjenesten? Ansvaret as is? SaaS ikke lenger kjøp av et produkt, men en tjeneste. Kjøpsloven ikke lenger gjelde. Viktig å se på garantier for leveranse Oppetidsgarantier og SLA med responstider Vedlikehold oppgraderinger og skalerbarhet

Prising og prisstruktur As a service Betaling for bruk Mekanismer for opp- og nedskalering Forutsigbarhet Ensidige endringer av prisene Avslutning kostnader forbundet med dette?

Sikkerhet og kontroll med data Partene må avtale hvilket nivå sikkerheten skal ligge på, etter en analyse av behov i forhold til hva slags data som behandles Sikre at sikkerheten er på plass før tjenesten settes i gang Vurdere behov ut fra: Risiko Krav til oppbevaring Krav til behandling mm

Personvern - databehandleravtale Avtale hvem som skal ha ansvaret for overholdelse av reglene Databehandleravtale: Angi formålet Beskrive hvordan dataene skal oppbevares Databehandler/databehandlingsansvarlig Sikring Varighet Overføring av data ved avslutning av avtaleforholdet

Lagring hvor overføring av opplysninger til tredjeland er det mulig? Mottaker skriver under en av EUs standardkontrakter Mottaker (i USA) er tilsluttet Safe Harbor avtalen Mottakerland godkjent av EU Skjønnsmessig vurdering: Opplysningens art: Jo mer sensitiv karakter opplysningene har, jo mer kreves det av reguleringen i mottakerlandet. Behandlingens formål: Når behandlingen ikke medfører noen konsekvenser for den opplysningene gjelder, kan man godta et dårligere vern enn når behandlingen kan medføre konsekvenser. Tidsperspektiv: Jo lenger tid behandlingen går over, jo bedre vern av personopplysningene kreves. Regler som oppveier personvernulempene: Finnes det innenfor bransjen atferdsnormer, sikkerhetstiltak eller liknende som kan ivareta personvernet

Kontroll og revisjon Avtalen må legge opp til at kravene til kontroll med dataene oppfyldes Rett til tilgang Retting Sletting osv

Lovvalg og jurisdiksjon Dersom man har kontroll alltid norsk Avtale både jurisdiksjon og domstol Eksempel Salesforce: for land i Europa gjelder Sveitsisk rett med domstol i Sveits

Ansvar og ansvarsfraskrivelse I og med at ansvaret ofte er as is begrenset ansvar Ansvarsfraskrivelser Bør skrive individuelle avtaler

Spørsmål å stille seg 25 Hva slags data skal lagres i skyen? Fra hvor sendes dataene? Hvor lagres dataene? Hvor befinner serverne seg? Skal data transporteres mellom lokasjoner, og hvis; til hvor? Kan noen data begrenses til visse geografiske områder? Hvilken sikkerhetsplan har du for slike overføringer av data? Er leverandørene klare for å tilfredsstille kundenes behov for oppfyllelse av regulatoriske krav?

Spørsmål å stille seg 26 Kontraktsavsluttning Sørg for å avtale overføring av data tilbake til ny leverandør eller til kunden. Strukturert i XLM format

Kontakt 27 Herman Valen, Partner Mobil: +47 91 57 22 44 e-post: hv@simonsenlaw.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding