Cloud juridiske utgangspunkter advokat Eva I.E. Jarbekk
Utvalgte temaer Hva er cloud Hvorfor hvorfor ikke? Personvern Hvem er behandlingsansvarlig - Databehandleravtaler - Overføring av personopplysninger Fl utlandet Annet man må tenke på: Risikovurderinger Kontrakt Lovvalg håndheving - SLA ansvarsbegrensning - etc 2
Hva er cloud Mange navn Cloud Skyen Fjernlagring IaaS SaaS Privat sky Offentlig sky Hybrid sky 3
Typisk Tilgang Fl it- tjeneste via InterneV- oppkobling; LinkedIn, Facebook, GoogleApps, TwiVer, etc EffekFv og rimelig pga standarisert løsning; en kilde betjener mange brukere EffekFv pga lev Flknytning mobilitet Stor skalerbarhet for brukere kjøp mer kapasitet ved behov God back- up (hos store leverandører) o^e reservelagring i annet land/ konfnent av sikkerhetsårsaker Leverandør disponerer hele skyen og flyver data rundt ever behov transborder data flow 4
Hva er cloud? 5
Ulike definisjoner basert på type tjeneste IaaS - Infrastuktur as a Service leverandør Flbyr enklere infrastruktur - typisk lagring og servere PaaS Pladorm as a Service typisk lagring, servere og databaser So^ware as a Service Leverandør Flbyr applikasjoner mer komplekst og leverandøren har mer kontroll typisk lagring, servere, databaser, sikkerhet og applikasjoner (programmer) Fyller funksjonen Fl lisensavtaler, o^e billigere med hyppigere oppdateringer 6
Inndeling ever geografisk/eiermessig struktur Privat sky eier kontrollerer det hele Helsevesenet i England Offentlig sky leverandøren Flbyd alle å knyve seg Fl og geografisk utstrekning er stor og man vet ikke hvor data er lagret fysisk Microso^, Google Hybrider - Microso^ sier de utvikler en private cloud 7
Hvorfor hvorfor ikke? Raskt Rimelig Trygt? Vanskelig iit personvern Hvordan trygge seg om sikkerhet? Sjelden gode oppefdsgaranfer Vanskelig å vite HVOR data er Begrenset forhandlingsrom for individuell Flpassing 8
Loven i skyen 9
Hvorfor personvern? Sikre forsvarlig bruk av personopplysninger Hver enkelts personvern og kontroll med opplysninger Forventninger om diskresjon og passord øker forven0ngen Liten fak0sk kunnskap hos brukerne om hva som kan gjenfinnes kan være problemafsk Logg av internev- bruk, sosiale medier Slenng av e- post, status- felt Bruken av skjønnsbaserte regler skal balansere effekfv informasjonsbehandling og hensynet Fl individene Personvern er informasjonssikkerhet både teknisk og menneskelig 10
ReVslig rammeverk - oversikt Personopplysningsloven, EU- basert, endringer er foreslåv og alle nåværende hovedprinsipper videreføres Forskri^er DataFlsynets praksis Personvernnemndas praksis Noe revspraksis Særlovgivning; helsepersonell arbeidsmiljølov polifets registre DataFlsynet Veiledningsplikt mye på nev Kontrollerende organ Personvernnemnda 11
Personopplysningslovens virkeområde All info knyvet direkte/indirekte Fl individ omfaves av loven Alt fra telefonnummer Fl medarbeidersamtaler, venner på mobiltelefonens kontaktliste og sykehistorikk omfaves Reglene gjelder BÅDE sensifve og ikke- sensifve opplysninger 12
Hva er behandling av personopplysninger? Personopplysningsloven 2,1,2: Enhver formålsbestemt bruk av personopplysninger Innsamling, registrering, sammensflling, lagring og utlevering eller en kombinasjon DeVe omfaver defini0vt lagring i cloud fordi det bare er et ny: medium 13
Hvem er ansvarlig - begreper Ledelsen Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes Databehandler: gjør det avtalen med behandlingsansvarlig sier Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. 15, i en såkalt databehandlerklausul 14
Problem: behandlingsansvarlig eller databehandler? Behandlingsansvarlig har omfavende plikter det har ikke databehandler Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler databehandleravtaler Hvem er hva ved bruk av cloud? Realiteten avgjør rollene og pliktene Er det lev å avgjøre? Man kan i en viss grad avtale hvor ansvaret skal ligge Mulig at to virksomheter sammen kan være behandlingsansvarlig krever grundig avtale 15
Behandlingsansvarlig eller databehandler? DT og ArFcle 29 gruppen Tekniske beslutninger kan delegeres fra BA Fl DB, men ikke the essenfal elements of the means I utgangspunktet er cloud- leverandør en databehandler Men: En IaaS kan levere vurderes som vurderes som en databehandler, men en SaaS kan anses som behandlingsansvarlig Hvis leverandøren likevel fakfsk er behandlingsansvarlig Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse Fl de personene hvis data er lagret i skyen 16
BA eller DB UanseV: avtale med cloud- leverandør trengs Kontroll må sikres i størst mulig grad 17
Kjært barn har mange navn Databehandleravtaler eller Cloud- avtale SaaS- avtale Poeng er ikke navn, men innhold 18
Databehandleravtale Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes Databehandler kan bare råde over opplysningene slik det er skri^lig avtalt med den behandlingsansvarlige kan ikke gjøre noe annet DataFlsynet har veileder om databehandleravtaler (DBA) og utkast Fl DBA på hjemmesidene Avtalen med cloud- leverandør vil bli ganske omfavende 19
Er avtale med leverandør allfd Flskrekkelig? Er avtale med leverandøren allfd Flstrekkelig Fl å sikre at kravene om informasjonssikkerhet m.m. everleves? Odense kommune - Google Apps in schools NEI Narvik kommune først NEI så JA Anne MeVe tar mer om deve personopplysningsforskri7en: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfa<e vurdering av organisering, sikkerhets6ltak og bruk av kommunikasjonspartner og leverandører. Behandlingsansvarlig MÅ HA EN GRAD AV KONTROLL..typiske og vikmge bestemmelser 20
Databehandleravtale typiske best. Hvilke personopplysninger skal behandles Hvilke behandlinger omfaves av avtalen Hva er rammene for databehandlers håndtering av personopplysninger om det er rom for forhandlinger da det varierer jo meget. Eksempelvis: Sikkerhetskopiering speiling - redundans Slenng Tilgangskontroll Segmentering Lokasjon tar mer om deve liv senere 21
Databehandleravtale typiske best. Sikkerhet www.data0lsynet.no Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets unorming og sikkerhetsløsninger slik at den behandlingsansvarlige kan forvisse seg om at løsningen har MlfredssMllende informasjonssikkerhet se7 opp mot risikovurdering og akseptkriterier. Databehandleren kan ikke endre informasjonssikkerhets6ltak uten at den behandlingsansvarlige er bli7 informert skri:lig og har godkjent endringen, jf. risikovurdering og akseptkriterier. 22
Databehandleravtale typisk best. Bruk av underleverandør Dersom databehandler benyver seg av underleverandør eller andre som ikke normalt er ansav hos databehandler skal de:e avtales skriblig med behandlingsansvarlige før behandlingen av personopplysninger starter. Samtlige som på vegne av databehandler udører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene ever disse. 23
Databehandleravtale - lokasjon Er det mulig å regulere hvor data skal befinne seg? «Databehandleravtalen skal også 6l enhver 6d gjenspeile hvor personopplysningene blir behandlet. De<e innebærer i praksis informasjon 6l enhver 6d om hvilken leverandør som fysisk besi7er de aktuelle opplysningene i det aktuelle landet. De<e kan også være en underleverandør Ml den som selve tjenesten er levert av. «www.datamlsynet.no Hvorfor er de:e vik0g? Overføring av personopplysninger Fl utlandet er strengt regulert 24
Overføring av personopplysninger Fl utlandet 25
Overføring av PO Fl utlandet 29 Grunnleggende vilkår Personopplysninger kan bare overføres Fl stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direkfv 95/46/EF om beskyvelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet Fl forsvarlig behandling. I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de revsregler, regler for god forretningsskikk og sikkerhetsfltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har Fltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger. 26
Hovedregel Utgangspunkt: POLs generelle krav Fl behandling av personopplysninger er oppfylt ( 8,9,11); PO kan overføres Fl land innen EU og EØS- området PO kan overføres Fl land som Europakommisjonen har godkjent PO kan overføres Fl enkeltbedri^er i USA som har sluvet seg Fl Safe Harbor Ikke konsesjonsplikfg i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyvet Fl hovedformålet 27
Safe Harbor Safe Harbor- avtalen er en særavtale mellom EU og USA fra 2000 som regulerer overføring av personopplysninger Formålet er å få amerikanske behandlingsansvarlige Fl å FlfredssFlle kravet Fl et Flstrekkelig vernenivå (POL 29) Kun amerikanske selskaper underlagt Federal Trade Commission (FTC) eller The Department of TransportaFon (DoT) En selvreguleringsavtale som amerikanske virksomheter frivillig inngår Virksomhetene forplikter overfor seg United States Department of Commerce Fl å oppfylle syv prinsipper Enkeltperson kan klage Fl FTC eller DoT FTC og DoT kan kontrollere virksomhetene og reise Fltale mot virksomhetene 28
Safe Harbor Syv prinsipper omtales som Safe Harbor- avtalen: 1. Informasjon Fl de registrerte om behandling om dem 2. Valgfrihet hva gjelder bruk av PO Fl annet enn opprinnelig innsamlet 3. Utlevering Fl tredjepart krever informasjon og opt- out mulighet 4. Informasjonssikkerhet 5. Relevant bruk 6. Innsyns- og revemulighet for den registrerte 7. Enforcement hvp://eur- lex.europa.eu/lexuriserv/site/en/oj/2000/l_215/l_21520000825en00070047.pdf 29
Overføring Fl andre tredjeland og vsh i USA utenfor Safe Harbor Må følge unntakene i 30 I utgangspunktet er overføring ikke 0lla: med mindre unntak kan brukes. 30
Overføring av PO Fl utlandet 30 Unntak Personopplysninger kan også overføres Fl stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt Fl å overføre opplysningene ever folkerevslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å udøre gjøremål ever den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastseve, gjøre gjeldende eller forsvare et revskrav, g) overføringen er nødvendig eller følger av lov for å beskyve en vikfg samfunnsinteresse, eller h) det er fastsav i lov at det er adgang Fl å kreve opplysninger fra et offentlig register. 31
Overføring av PO Fl utlandet 30 Unntak DataFlsynet kan Fllate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir Flstrekkelige garanfer for vern av den registrertes rengheter. DataFlsynet kan seve vilkår for overføringen. Kongen kan gi forskri^ om overføring av personopplysninger Fl utlandet, herunder om å stanse eller begrense overføring Fl bestemte stater som ikke FlfredssFller kravene i 29. Typisk: EUs standardavtaler Binding Corporate Rules (BCR) PBCR (nye) 32
EUs standard avtaler Overføring 0l databehandler i utlandet (kontrollen beholdes i Norge) - (controller Fl processor) Overføring 0l en annen virksomhet som skal bruke opplysningene 0l eget formål, 2 alterna0ve kontrakter foreligger (controller Fl controller) Skal godkjennes av DataFlsynet i hvert enkelt Flfelle mye arbeid 33
EUs standard avtaler Overføring 0l databehandler i utlandet (ny 2010) Vanlige definisjoner, applicable law Applicable law (der data exporter er etablert) på personvern skal overholdes PO skal kun brukes slik data exporter kan Informasjonssikkerhet overholdes For sensifve data; den registrerte er informert/informeres om overføring Fl tredjeland (Clause 4f) Bruk av underleverandører krever skri^lig samtykke (Clause 5h) Avtalen skal ikke endres Governing law is the law where the data exporter is established Den registrerte skal få se avtalen og hovedtrekk i sikkerhetsfltak (Clause 4h) 34
EUs standard avtaler Overføring 0l en annen virksomhet som skal bruke opplysningene 0l eget formål (Controller 0l controller) 2 alterna0ve kontrakter / vedleggsse: forskjell på: audit bestemmelser, exporørens ansvar for å kontrollere at importer er kompetent og liability Virksomheten kan selv velge den kontrakten som passer best. Det er FllaV å gjøre endringer i standardkontraktene for å Flpasse disse Fl virksomhetenes behov, men DataFlsynet anbefaler at de benyves i uendret form 35
EUs standard avtaler Overføring controller 0l controller (avtale I) Applicable law (der data exporter er etablert) på personvern skal overholdes Informasjonssikkerhet overholdes For sensifve data; den registrerte er informert/informeres om overføring Fl tredjeland (Clause 4b) Governing law is the law where the data exporter is established VEDLEGG ANGIR: Formål m overføring Other recipients /utlevering Storage limit (months/years) 36
Binding Corporate Rules Aktuelt når konsern opererer i flere EU- /EØS- land, og ønsker å overføre personopplysninger fra disse 0l filialer eller da:erselskap i land utenfor EU/EØS Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirekfvet eller i personopplysningsloven I praksis godtav som grunnlag for overføring når de gir Flstrekkelige garanfer for den registrertes personvern revslig grunnlag i pol 30 annet ledd (godkjenning av DT) arfkkel 29 gruppen har retningslinjer for fremgangsmåten DT er posifve Mange konsern vurderer deve mange i EU har begynt med ansave- opplysninger (levere å kartlegge) og ikke kundeopplysninger mange synes det er like lev å bruke standardavtalene videre BCR tar lang Fd 37
Binding Corporate Rules Konsekvenser Godkjent BCR er gyldig grunnlag for overføringer fra samtlige EU- /EØS- land Slipper administrasjon av standardavtaler eller kontroll av at annet overføringsgrunnlag finnes standardavtalene krever en avtale for hver type overføring og ved mange overføringer kan deve bli mye administrasjon BCR kan udormes mer generelt Fri flyt av personopplysninger Lik praksis i konsernet Enklere internkontroll og compliance Gjelder kun innenfor konsernet tredjepartsselskaper omfaves ikke 38
Binding Corporate Rules typisk innhold Personvernprinsipper GjennomsikFghet Datakvalitet Informasjonssikkerhet Verktøy som sikrer at BCR- ene får effekt i praksis Internkontroll, opplæring internt Klagebehandling Ansvar Element som viser at BCR- ene er bindende Unilaterale erklæringer Bilaterale avtaler mellom selskapene Se sjekklister fra ar0kkel 29- gruppen, særlig WP108 innledningsvis og husk utkast 0l art 43 i ny forordning fra EU 39
Binding Corporate Rules prosedyre Utpeke Lead Authority Utgangspunktet: Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert - naturlig det norske DataFlsynet Eventuelt: Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger Fl tredjeland 40
Takk for oppmerksomheten! mobil 90 05 10 11 eva.jarbekk@kluge.no 41