Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.



Like dokumenter
Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Kan du legge personopplysninger i skyen?

Tjenester i skyen hva må vi tenke på?

Internkontroll og informasjonssikkerhet lover og standarder

Skyløsninger. Sikkerhet og leveransemodell

Kommunens Internkontroll

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler

Bilag 14 Databehandleravtale

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Bruk av skytjenester og sosiale medier i skolen

Nettskyen, kontroll med data og ledelsens ansvar

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern - sjekkliste for databehandleravtale

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Skytjenester i skolen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Personopplysninger og opplæring i kriminalomsorgen

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Databehandleravtale. Denne avtalen er inngått mellom

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale for NLF-medlemmer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Skytjenester (Cloud computing)

Databehandleravtale. Charlotte Lindberg Difi

Databehandleravtale etter personopplysningsloven m.m

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

VIRKE. 12. mars 2015

Endelig kontrollrapport

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Public 360 Online Datasikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Arkiv skal ikkje førast ut or landet

Skytjenester bruk dem gjerne, men bruk dem riktig

Endelig kontrollrapport

Endelig kontrollrapport

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Advokaters bruk av Cloud-tjenester. Veiledning

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Retningslinjer for databehandleravtaler

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale etter personopplysningsloven

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Endelig Kontrollrapport

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Underbygger lovverket kravene til en digital offentlighet

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Nytt personvernregelverk på 1-2-3

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Transkript:

CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014

Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. Hvis du som privatperson skal bruke denne typen nettbaserte lagringsløsninger, bør du særlig vurdere hvor sikker løsningen er.

3 Innhold Hva er skytjenester?... 4 Ulike former for skytjenester... 4 Virksomheten har behandlingsansvaret... 4 Internkontroll... 5 Risikovurdering og informasjonssikkerhet... 5 Spesielle problemstillinger... 6 Sjekkliste... 7 Privat bruk av skytjenester... 8

4 Hva er skytjenester? Skytjenester, eller Cloud Computing, er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparkene kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for det den faktisk bruker. Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjenesteleverandøren er i samsvar med norsk lovgivning. Ulike former for skytjenester Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er: Programvare som tjeneste (Software as a Service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter. Plattform som tjeneste (Platform as a Service - PaaS), hvor kunden innfører applikasjoner utviklet/kjøpt av kunden i leverandørens nettskyinfrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter. Infrastruktur som tjeneste (Infrastructure as a Service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden). Skytjenester kan i tillegg deles inn i leveransemodeller som: Allmenn tilgjengelig sky (Public Cloud), hvor skytjenestene gjøres tilgjengelige av leverandøren for alle kunder. Privat tilgjengelig sky (Private Cloud), hvor skytjenestene gjøres tilgjengelige kun for de virksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky. Hybridsky (Hybrid Cloud), som kan være en blanding av modellene over. Virksomheten har behandlingsansvaret Når det gjelder behandling av personopplysninger og behandlingsansvar gjelder de samme reglene for leverandører av elektroniske tjenester på internett som for mer tradisjonelle virksomheter. Behandling defineres i personopplysningsloven 2 nr. 2. Det er den behandlingsansvarlige som velger å ta i bruk skytjenesten. Hvis tjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige, er leverandøren å anse som en databehandler. Datatilsynet anser derfor en leverandør av skytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres. Behandlingsansvarlig Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar. Datatilsynet har laget en veileder om og eksempel på avtaleskisser for en slik databehandleravtale. Dette finnes på datatilsynet.no. I avtaleskissen og veilederen finnes oversikt over minimumskravene som Datatilsynet forventer at en slik avtale inneholder.

5 Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til den behandlingssansvarlige som kjøper tjenesten. Noen slike punkter kan være; sikkerhetskopiering, sletting, tilgangsstyring og segmentering av databaser. Internkontroll En velfungerende internkontroll er avgjørende for å sikre forsvarlig behandling av personopplysninger. Datatilsynet har utarbeidet en veileder om internkontroll og informasjonssikkerhet, som er tilgjengelig på datatilsynet.no. Veilederen hjelper virksomheten gjennom prosessen med å innføre internkontroll og informasjonssikkerhet, og vi vil her kun nevne noen av rutinene som er viktig å gjennomføre før man tar i bruk skytjenester. Kartlegg virksomhetens behandlinger Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Den danner også grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved risikovurderinger. Hva skal oversikten inneholde Oversikten skal gi kortfattet informasjon om: hvilke opplysninger som behandles og formålet med behandlingen hjemmelsgrunnlag for å behandle opplysningene klassifikasjon av hvorvidt personopplysningene er sensitive eller ikke teknologiske sikkerhetstiltak med angivelse av sone eller nettverk hvor opplysningene lagres og om de overføres via eksterne media personopplysningenes omfang eventuell avdeling som behandler personopplysningene systemeier og/eller dataeier Rutiner for internkontroll Virksomheten skal ha rutiner for internkontroll og noen av de mest relevante rutinene er for: - innsyn - retting og supplering - sletting - informasjon - samtykke Mer utfyllende informasjon om rutiner og hvordan man kan utarbeide rutinene, finnes i veilederen for internkontroll og informasjonssikkerhet på datatilsynet.no. Vi minner om at de samme pliktene gjelder for behandlingsansvarlig uansett om den bruker skytjenester eller ikke. Risikovurdering og informasjonssikkerhet Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet. Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet. For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at skytjenesten møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Virksomheten må tillegge vurderingen større vekt når den går fra egen drift til skybaserte løsninger, ettersom personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Spørsmålet blir: Hvordan skal den behandlingsansvarlige forvisse seg om at informasjonssikkerheten faktisk er tilfredsstillende? Databehandleravtalen skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne. Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillende informasjonssikkerhet.

6 Sikkerhetsrevisjon Personopplysningsforskriftens kapittel 2 om informasjonssikkerhet har en bestemmelse om sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres. Datatilsynet er derfor av den oppfatning at: Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger. Dette for at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier. Databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen. Les mer på datatilsynet.no om informasjonssikkerhet og internkontroll. Spesielle problemstillinger Leverandører av skytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester. For eksempel kan skytjenestene gi mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen spesielle problemstillinger som den behandlingsansvarlige må ta stilling til: Sikkerhetskopiering/Speiling: Hvordan fungerer dette? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India? Er en slik redundans i henhold til de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført? Tilgangsstyring: Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Se avsnittet over om risikovurdering og informasjonssikkerhet. Autorisert og uautorisert bruk: Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften 2-14? Dokumentasjon: Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter? Hvor lagres data? Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen, men engangsoverføringer kan forhåndsgodkjennes av Datatilsynet. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. Virksomheter som vil overføre personopplysninger til utlandet må følge bestemmelsene i personopplysningsloven kapittel 5 og personopplysningsforskriften kapittel 6. Sletting: Blir personopplysningene slettet i «rimelig tid»? Databehandler har ikke noen rett til å behandle personopplysninger etter at det er bedt om sletting fra behandlingsansvarlig. Bruk til egne formål: Har databehandleren et punkt i avtalen om at data kan brukes til egne formål (for eksempel forbedre egne tjenester)? Virksomheten må sørge for at databehandleravtalen veier høyest, og at leverandøren ikke har en personvernerklæring som kan overgå denne. Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, slik det står i personopplysningsloven 11 b. Underleverandører: Bruker databehandler underleverandører? Alle eventuelle underleverandører skal være kjent og godkjent av virksomheten. Dette relaterer til problemstillingen over om hvor data lagres og om det overføres data til tredjeland. Segmentering: Datatilsynet har uttalt at den behandlingsansvarliges personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig. Hvordan håndterer leverandøren dette?

7 Sjekkliste Gjennomfør en risiko- og sårbarhetsanalyse Kartlegg alle systemer i virksomheten som inneholder personopplysninger. Grader deretter opplysningene fra sensitive til ikke-sensitive. Evaluer hva som kan gå galt. Vurder hvilke følger det kan få om noe går galt, for eksempel at personopplysninger kommer på avveier. Lag en oversikt over hvilke sikkerhetstiltak som er iverksatt for å håndtere eventuelle hendelser. Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten. Tilfredsstiller tjenesten kravene etter risikovurderingen? Sørg for å ha en databehandleravtale med leverandøren av skytjenestene Du har plikt til å ha en databehandleravtale med leverandøren av skytjenestene, og sørge for at denne er i tråd med norsk regelverk. Det er virksomhetens ansvar at lovens krav følges. Viktige momenter som må dekkes i avtalen er blant annet: sikkerhetskopiering, sletting, tilgangsstyring og segmentering av informasjon. Hvordan fungerer sikkerhetskopiering/speiling? Når slettes opplysninger hos leverandøren? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndterer leverandøren det at personopplysninger ikke skal sammenblandes mellom ulike behandlingsansvarlige? Kartlegg om leverandøren kan bruke virksomhetens data til egne formål Sørg for at leverandørens personvernvilkår (eller andre vilkår), ikke går utover databehandleravtalen Sørg for å regulere leverandørens bruk av underleverandører, og at virksomheten har oversikt og kontroll over disse. Kartlegg om leverandøren kan bruke opplysningene for egne formål. Gjennomfør en revisjon av databehandleren Bruken av skytjenester må revideres jevnlig. Det vil si at dere selv eller en uavhengig tredjepart gjennomfører en sikkerhetsrevisjon for å sikre at databehandleravtalen følges. Dersom avtalen sier at en tredjepart skal utføre revisjon krev å få se rapporten fra utført revisjon. Sørg for at overføring av data følger loven Overføring til tredjeland: Personopplysninger kan ikke uten videre overføres til land utenfor EØS, men Datatilsynet kan forhåndsgodkjenne overføringer. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. Dataportabilitet. Kan data overføres til ny tjenesteleverandør hvis det er ønskelig? Sørg for sikker kommunikasjon og kryptering Blir opplysningene kryptert før de lagres i nettskyen? Er kommunikasjonen mellom behandlingsansvarlig og databehandler kryptert? Er kommunikasjonen mellom databehandler og underleverandør/datasenter kryptert Hvem sitter på krypteringsnøklene? Få på plass nødvendig dokumentasjon Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll?

8 Privat bruk av skytjenester Hvis du som privatperson skal bruke nettbaserte lagringsløsninger, bør du stille deg følgende spørsmål: Brukervilkår: Hva sier brukervilkårene? Bør jeg være bekymret for noen av dem? Forstår jeg vilkårene? Seriøsitet: Hvor seriøs fremstår tjenesteleverandøren? Kjenner jeg noen som kan gi meg et råd om bruk av tjenesten er forsvarlig for formålet mitt? Sikkerhet: Hvordan ser det ut til at tjenesteleverandøren har ivaretatt sikkerheten? Hvor enkelt ser det ut til for at uvedkommende kan skaffe seg tilgang? Er sikkerheten godt nok ivaretatt for det jeg ønsker å lagre? Søk gjerne råd hos andre som har greie på sikkerhet. Passord: Hvis tjenesteleverandør stiller krav til kvalitet på passordet er dette et godt tegn. Virker det som leverandør har ivaretatt dette på en god måte? Rettigheter: Hvilke rettigheter har jeg om all informasjonen jeg har lagret blir borte? Sies det noe om det i vilkårene? Har jeg en egen sikkerhetskopi? Lovgivning: Hvilket land er tjenesteleverandøren hjemmehørende i? Hvem kan hjelpe meg hvis noe skulle gå galt? Informasjonen på nettbaserte løsninger kan i utgangspunktet være lagret hvor som helst i verden, og andre regler kan gjelde i utlandet i forhold til i Norge.

9 Besøksadresse: Tollbugata 3, 0152 Oslo Postadresse: Postboks 8177 Dep., 0034 Oslo postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding