SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid
Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare mf. Databehandleravtale Som databehandler for Kunden skal Leverandøren behandle personopplysninger slik det fremgår av databehandleravtalen avtalen. Leverandøren kan ikke behandle personopplysningene på annen måte.
Hovedprinsipper Driftsavtale Informasjonssikkerhet Personopplysninger Adskillelse av data Databehandleravtale Avvikshåndtering Avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger Tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring Andre krav som fremkommer av forskriftens kapittel 2: Taushetsplikt Sikkerhetsrevisjoner fysiske sikringstiltak Hvordan rutiner og lignende skal dokumenteres Personell hos partene som skal ha tilgang til personopplysningene
Ansvarsplassering Påhviler egen virksomhet Man kan ikke flytte ansvaret Må forvisse seg om tilfredsstillende informasjonssikkerhet og personvern i tjenester som kjøpes og forvaltes Hovedutfordring: Risikovurdering Driftsavtale og databehandleravtale fra start til slutt Revisjon
Driftsavtaler Statens standardavtale for IT-anskaffelser SSA-D Avtale om kjøp av driftstjenenester
Driftsavtale Informasjonssikkerhet Leverandøren skal dokumentere at Leverandøren følger alminnelig anerkjente standarder for informasjonssikkerhet på de områder som er aktuelle etter driftstjenestens art. Kunden kan stille særskilte krav til informasjonssikkerhet og dokumentasjon. Hvis det oppstår nye krav om dokumentasjon av etterlevelse av rettslige krav, etter at avtalen ble inngått, skal Kunden fremme det som en endringsordre.
Driftsavtale Personopplysninger Kunden er behandlingsansvarlig for personopplysninger som behandles ved hjelp av driftstjenesten. Leverandøren er databehandler og behandler personopplysninger på vegne av Kunden. Som databehandler for Kunden skal Leverandøren behandle personopplysninger slik det fremgår av denne avtalen. Leverandøren kan ikke behandle personopplysningene på annen måte. Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf. personopplysningslovens 13. Leverandøren skal dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal på forespørsel være tilgjengelig for Kunden og dennes revisorer, samt for Datatilsynet og Personvernnemnda. Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv., er angitt i bilag 1 og 2. Partene kan ha inngått egen databehandleravtale. Ved motstrid går databehandleravtalen foran denne avtalen når det gjelder behandling av personopplysninger.
Driftsavtale Personopplysninger Leverandøren kan ikke overlate personopplysninger til andre for lagring, bearbeidelse eller sletting uten etter avtale med Kunden. Underleverandører som er godkjent av Kunden, skal fremgå av bilag 6. Leverandøren skal sørge for at eventuelle underleverandører som Leverandøren benytter, og som behandler personopplysninger, påtar seg tilsvarende forpliktelser som i dette punkt 9.3. Personopplysninger skal ikke overføres til land utenfor EØS-området uten at dette er skriftlig avtalt med Kunden på forhånd. I den utstrekning Leverandøren opptrer i rollen som selvstendig behandlingsansvarlig, og behandler personopplysninger om Kundens ansatte eller kunder, skal Leverandøren behandle personopplysninger i henhold til de regler som følger av personopplysningsloven og personopplysningsforskriften. Hvis Leverandøren er etablert i et annet EØS-land, skal personopplysninger behandles iht. personverndirektivet (direktiv 95/46/EF) og lokal lovgivning som implementerer dette.
Driftsavtale Segmentering av data Leverandøren skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av alle data, herunder tiltak for å sikre at data ikke kommer på avveie, sikre innsyn fra uvedkommende. det iverksettes forholdsmessige tiltak for å sikre mot utilsiktet endring og sletting av data og mot angrep av virus og annen skadevoldende programvare. Leverandøren plikter å holde Kundens data logisk atskilt fra kal eventuelle tredjeparters data for å eliminere faren for beskadigelse av data og/eller innsyn i data. Med logisk atskilt forstås at nødvendige tekniske tiltak som sikrer data mot uønsket endring og innsyn, er iverksatt og opprettholdt. Som uønsket endring og innsyn anses også tilgang fra ansatte hos Leverandøren eller andre som ikke har behov for informasjonen i sitt arbeid for Kunden.
Databehandleravtale Angi formålet med behandlingen Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. Databehandler skal kun behandle opplysningene i henhold til formålet den behandlingsansvarlige har definert. Typiske eksempler på databehandlerrelasjoner er makulering av papirdokumenter, IT-drift, fakturering, kameraovervåkning, håndtering av personalopplysninger som utbetaling av lønn og lignende. Beskriv hvordan personopplysningene skal behandles Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene. Skal de kun oppbevares/lagres for framtidig bruk (arkivinstans), eller skal de bearbeides? Avtalen skal også klart regulere/avklare om det skal skje andre behandlinger, som for eksempel kobling med andre personopplysninger/registre ellerlignende. Konkrete rutiner for bruk av personopplysningene Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål. Regler for utlevering av personopplysningene Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette.
Databehandleravtale Bruk av underleverandør skal reguleres i avtalen Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. Personopplysningsforskriften stiller i 2-15 krav til sikkerheten hos andre virksomheter kontraktsparten. Ivareta den registreres rettigheter Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. Typeeksemplet er at den behandlingsansvarlige mottar en henvendelse, videreformidler denne til databehandler som oppfyller den registrertes forespørsel. Dette kan for eksempel gjelde spørsmål om innsyn, se personopplysningslovens 18 retting og sletting, se personopplysningslovens 27 og 28
Databehandleravtale Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet Det fremkommer av personopplysningslovens 13 at det stilles krav om tilfredsstillende informasjonssikkerhet. Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet for behandling av personopplysninger, jf. personopplysningsforskriftens kapittel 2. Hva skal gjøres for å ivareta: Konfidensialitet: Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet: Sikre at personopplysninger ikke endres uautorisert eller utilsiktet Tilgjengelighet: Sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig
Databehandleravtale Avtalen bør inneholde bestemmelser om: Avvikshåndtering, jfr. forskriftens 2-6 (avviksmelding). Avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger Tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring Andre krav som fremkommer av forskriftens kapittel 2: Taushetsplikt Sikkerhetsrevisjoner fysiske sikringstiltak Hvordan rutiner og lignende skal dokumenteres Personell hos partene som skal ha tilgang til personopplysningene Begge parter har et selvstendig ansvar etter personopplysningslovens 13, jfr. personopplysningsforskriftens kapittel 2, og avtalen kan regulere arbeidsdelingen mellom partene.
Databehandleravtale Ansvar og myndighet Behandlingsansvarlige Behandlingsansvarlig bestemmer formålet med behandlingen og er formelt ansvarlig for at behandlingene utføres i henhold til Lov om behandling av personopplysninger og tilhørende forskrifter. Behandlingsansvarlig skal forsikre seg om at databehandler har tilstrekkelig kjennskap til egne krav og gjeldende myndighetskrav for behandling av informasjon (jfr. POF 2-15 - 4. ledd) og jevnlig forsikre seg om at driftsteamets sikkerhetsstrategi er tilstrekkelig og at den følges. Dette gjøres ved at sikkerhetsansvarlig innkalles til møter der sikkerhetsstrategien hos databehandler er tema. Fysisk sikring Databehandler skal gjøre seg kjent med og etterleve innholdet i Pof 2-10. Dokumentasjon på fysisk sikring skal beskrives. Risikovurdering Før løsningen som skal implementeres i organisasjonen skal behandlingsansvarlig ha gjennomført risikovurdering jfr. Pof 2-4. Behandlingsansvarlig er også ansvarlig for å fastsette kriterier for akseptabel risiko. Disse kriteriene skal gjøres kjent for databehandler som må ta høyde for dette under sin løsningsspesifikasjon. Risikovurderingen skal være dokumentert.