Cloud Computing. Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016

Like dokumenter
Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Retningslinjer for databehandleravtaler

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Smarte bygg og personvern

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Skytjenester. Forside og Databehandleravtale. Telenor Norge

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Skytjenester i skolen

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

POWEL DATABEHANDLERAVTALE

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvern - sjekkliste for databehandleravtale

Kan du legge personopplysninger i skyen?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nettskyen, kontroll med data og ledelsens ansvar

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale for NLF-medlemmer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtaler

Informasjon interesseorganisasjoner

Arkivet i skyen Serveren på månen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Prosedyre for personvern

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

CRM-løsninger i skyen - hva har du lov til å lagre?

Databehandleravtale etter personopplysningsloven

Bilag 14 Databehandleravtale

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

GDPR og ny lov om personvern

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Arkiv skal ikkje førast ut or landet

Skytjenester bruk dem gjerne, men bruk dem riktig

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernerklæring for Portal Travel AS

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern og informasjonssikkerhet

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Nye personvernregler

Personvern-rett H2016

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtaler. Tommy Tranvik Unit

PERSONVERNERKLÆRING Behandling av personopplysninger i Øst-Revisjon DA

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Skytjenester (Cloud computing)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Arkivsystemer med skyløsninger

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014

Bruk av skytjenester og sosiale medier i skolen

Databehandleravtale for Visma Avendo Webtime

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Endelig kontrollrapport

PERSONVERNERKLÆRING LOFOTREVISJON AS

Policy for personvern

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Henvendelse om vår behandling av personopplysninger kan rettes til:

Transkript:

Cloud Computing Hva skal til for at din bedrift kan bruke skytjenester? Industrijuristseminaret 2016

Agenda Først litt om hva Cloud Computing er Så: Hva skal til for at din bedrift kan bruke Cloud Computing?

Hva er Cloud Computing?

Nok et buzzword i IT bransjen?

Internett

Gamlemåten

Cloud Computing

Noen karakteristikka IT ressurser levert over Internett Standardiserte løsninger og vilkår Stordriftsfordeler Skalerbarhet Distribuert infrastruktur Felles infrastruktur for flere kunder

Ulike typer basert på ressursomfang

Eller for å bruke en analogi

Ulike skytjenester basert på geografi Privat sky Offentlig sky Hybrid sky

Noe nytt?

IT tjenester har vært levert eksternt i mange år Service Bureau 1960 og 70 tallet Eks. Fellesdata (nå EVRY (Financial Services) Application Service Provider (ASP) 1990-tallet Eks. Telecomputing Ekstern drift, forvaltning og utvikling («tradisjonell outsourcing») Eks. IBM, Accenture, Tata Consultancy Services, HCL.

Dette er nytt

Kjært barn har mange navn

Det er realiteten som teller

En titt under panseret er nødvendig Due Diligence

Noen typiske fordeler og ulemper ved skytjenester Fordeler Forretningsmessige gevinster Dårligere avtalevilkår Ulemper Enklere, raskere og billigere å kjøpe Begrensede forhandlingsmuligheter Enklere, raskere og billigere å installere Begrensede muligheter for tilpasninger Enklere, raskere og billigere å skalere Tap av operativ kontroll I noen tilfeller: Bedre sikkerhet Ofte dårligere oppetidsgarantier og brukerstøtte Merk: Fordeler og ulemper må vurderes konkret fra sak til sak

Hva skal til for at din bedrift kan bruke Cloud Computing?

To hovedspørsmål Lovlig? Forretningsmessig klokt/forsvarlig?

Er det lovlig?

Rettslige skranker Ingen egen lov eller forskrift om skytjenester Men: En eller flere lover og forskrifter som regulerer håndtering av data vil som regel være aktuelle Generelle (eks) Personopplysningsloven med forskrift Bokføringsloven med forskrift Sektorspesifikke (eks) IKT forskriften Helseregisterloven Arkivloven Sikkerhetsloven Avtalemessig regulering av datahåndtering Konfidensialitetsavtaler Databehandleravtaler Krav til oppfyllelse av kunders lovkrav

Overføring og behandling av data overordnede sjekkpunkter Er det overhodet snakk om å overføre data? Hva slags data er det aktuelt å overføre? Hvilke regler gjelder for overføring av disse? Klarer man å oppfylle reglene, eller må man endre strategi?

Nærmere om personvern i skyen

Betydningen av personvern compliance kan ikke overvurderes Betydelig og økende fokus hos tilsynsmyndighetene i media Ny personvernforordning implementeres i løpet av de nærmeste 2 årene Styrking av personvernet på en rekke områder Bøter på inntil 4% av virksomhetens globale omsetning Tilpasning til det nye regimet bør starte allerede nå Mange tilbydere av skytjenester er ikke compliant, og det er lite sannsynlig at din virksomhet alene klarer å forhandle frem avtaleforpliktelser som gjør at de blir compliant Det handler om å identifisere hvilke tilbydere man ikke kan handle med (beroende på kundens egen risikovurdering)

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Personopplysninger Personopplysninger opplysninger og vurderinger som kan knyttes til enkeltperson (pol. 2 nr. 1) Personnavn Personnummer Telefonnummer Kontonummer Foto/video Sensitive personopplysninger (pol. 2 nr. 8) Rase/etnisk bakgrunn Politisk/filosofisk/religiøs oppfatning Straffbare forhold Helseforhold Seksuelle forhold Fagforening Kunderegister E-post Nettaktivitet Lokasjonsdata

Overføring? Overføring, og lagring av personopplysninger hos leverandør i utlandet? Ja Transit? Neppe (analogi fra direktivets art. 4, 1(c)) Fjernaksess? Antakelig (analogi fra direktivets art. 4, 1(c), til tross for Lindqvist dommen (C- 101/01))

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Behandlingsansvarlig eller databehandler? Behandlingsansvarlig Databehandler bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes behandler personopplysninger på vegne av den behandlingsansvarlige Eksempel: Cloud kunde Eksempel: Cloud leverandør

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Ansvar i forbindelse med eksport av data Behandlingsansvarlig Databehandler bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes behandler personopplysninger på vegne av den behandlingsansvarlige 1: Orden i eget hus 2: Stille krav til behandlingen (databehandleravtale) Behandling i samsvar med databehandleravtale

Orden i eget hus? Foreligger det lovlig grunnlag for behandlingen (pol 8 og 9)? Er behandlingen i samsvar med formålet, og er dette saklig begrunnet i virksomhetens forhold? Er personopplysningene tilstrekkelige og relevante for formålet med behandlingen? Er personopplysningene korrekte og oppdatert, og ikke lagret lengre enn det som er nødvendig for formålet med behandlingen? Har din virksomhet sørget for tilstrekkelig informasjonssikkerhet (pol 13)? Etablering av sikkerhetsmål og sikkerhetsstrategi Har din virksomhet etablert og dokumentert internkontrollrutiner som sikrer planlagte og systematiske tiltak som er nødvendige for å oppfylle lovens krav, herunder sikre personopplysningenes kvalitet (pol 14)? Har din virksomhet foretatt en fornyet sikkerhetsvurdering i forbindelse med bruk av den aktuelle skytjeneste?

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Databehandleravtale Kunden må sikre at leverandøren oppfyller lovens krav til behandling - på vegne av kunden. Bl.a. Krav til leverandørens informasjonssikkerhet og dokumentasjon av dette Kun behandling som avtalt med kunden Sikre tilgang til data for innsyn, retting og sletting Sikre mulighet for sikkerhetsrevisjon av bruk av informasjonssystemet I hvor stor grad oppfyller leverandørens standardavtaler disse kravene, og hva er mulig å få inn i avtalene?

Sjekkpunkter i forhold til personvern Er det aktuelt å overføre personopplysninger? Er din virksomhet behandlingsansvarlig eller databehandler for personopplysningene? Er din virksomhets egen behandling som behandlingsansvarlig OK etter loven? Har din virksomhet etablert en databehandleravtale med skytjeneste leverandøren? Hvor skal dataene behandles?

Eksport av personopplysinger er OK hvis: Overføring skjer til stater som sikrer et forsvarlig beskyttelsesnivå (pol. 29) eller Lovbestemt adgang (pol. 30 (1)) (upraktisk) eller Behandlingsansvarlig garanterer for datasubjektets rettigheter (pol. 30 (2) og Datatilsynet informeres om dette (pof. 6-3)

Hvilke stater sikrer et forsvarlig beskyttelsesnivå? Færøyene Canada Isle of Man Guernsey Jersey Andorra USA Sveits Israel Australia Uruguay Argentina New Zealand Norge EØS/EU EU-godkjente tredjepartsland (Sveits, Canada, Argentina, Uruguay, Guernsey, Jersey, Isle of Man, Andorra, Færøyene, Israel, Australia og New Zealand) EU-US Privacy Shield skal implementeres gjennom en såkalt adequacy decision, dvs. forhåndsgodkjenning Advokatfirmaet Haavind 2016

Hvordan garantere for datasubjektets rettigheter Inngå en eksportavtale basert på EUs modellkontrakt Ulike modellkontrakter for overføring til hhv. behandlingsansvarlig og databehandler Overføring til behandlingsansvarlig: 2 ulike (fra 2001 og 2003) Overføring til databehandler: Ny modellkontrakt i 2010 bedre egnet for cloud computing (bruk av underleverandører) Binding Corporate Rules For konserninterne overføringer (særlig aktuelt for interne tjenesteleveranser)

Forretningsmessig klokt/forsvarlig?

Datasensitivitet Beror dels på en risikovurdering Forretningskritikalitet

dels på et business case Kostnadsbesparelser Inntektsøkninger? Nye/skjulte kostnader Lavere enhetskostnader Avskrivning av egen infrastruktur Lavere anskaffelseskostnader? Økt standardisering Økt mobilitet Økt produktivitet Nye forretningsmuligheter Byttekostnader Implementerings- og integreringskostnader Språkversjoner Premium support Backup kostnader Lagringskostnader Test- og utviklingsmiljø

som resultat av en due diligence Teknisk infrastruktur/sikkerhet: Hvor prosesseres og lagres data? Brukes underleverandører? Hvor befinner underleverandørene seg? Hvilke sikkerhetsmekanismer har leverandøren og underleverandørene implementert? Hvordan er man sikret mulighet for sikkerhetsrevisjon og tilgang til data? Med mer.. Juridiske forhold Compliance ift. regulatoriske krav, særlig personvern Les avtalevilkårene nøye i lys av forretningens behov, risikoappetitt og de kommersielle forhold (you get what you pay for) Ikke les vilkårene på «autopilot» Eks. Ansvarsbegrensninger kan være drøye men likevel akseptable Kommersielle forhold Abonnementsmodell Pris per bruker eller komponent? Volumcommitment? Prisbeskyttelse ved fornyelse?

Oppsummering

Din bedrift kan bruke skytjenester hvis: Tjenesten muliggjør compliance ift. regulatoriske krav din bedrift er underlagt Personvern compliance er sentralt, særlig knyttet til overføring av personopplysninger til utlandet og underleverandører Det er forretningsmessig fornuftig og forsvarlig i lys av: Et positivt business case målt opp mot alternativet (dagens situasjon) En risikoanalyse med akseptabelt utfall En due diligence av operative, kommersielle og juridiske forhold Lykke til!

Espen Werring Partner Haavind T: +47 997 97 676 espen.werring@haavind.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding