Personvern i skyen - Foredrag for Dataforeningen 10. september 2013 Bjørn Erik Thon Direktør www.personverbloggen.no @bjornerikthon www.datatilsynet.no
Datatilsynet - Håndhever personopplysningsloven, helseregisterloven, helseforskningsloven+ annet lovverk - Vi vil få tilsyn med deler av ekomloven ( datalagringsdirektivet) og politiregisterloven - Saksbehandling, tilsyn/kontroll, veiledning og informasjon - Ombudsrollen tale personvernets sak - 40 ansatte
Vi manøvrerer i et krevende landskap - Teknologiens uendelige muligheter Big data - Overvåkning og registrering - PRISM - Sosiale mediers altomfattende tilstedeværelse - Internasjonalisering regulatorisk og geografisk - Utflytting av data lagring i nettskyen - Formålsutglidning samles inn til et formål, brukes til noe annet - Inngangskontroll blir til oversikt over når arbeidstager kom og gikk - Helseopplysninger gitt til fastlege brukes til forskning - Datalagringsdirektivet og fortsettelsen.. - Informasjonssikkerhet fiendtlige angrep 11.09.2013 Side 3
God informasjonssikkerhet er viktigere enn noen gang 11.09.2013 Side 4
11.09.2013 Side 5
11.09.2013 Side 6
11.09.2013 Side 7
11.09.2013 Side 8
11.09.2013 Side 9
Og mengden data er enorm
Big data
Hvordan utfordrer big data personvernet? - Formålsbegrensning - Dataminimalisering - Big Data handler om datamaksimalisering og bruk av data til nye formål
PRINSIPPER PERSONVERN BIG DATA Formål Dataminimalitet Bare til klart definerte formål Ikke mer enn du trenger Overskuddsinfo skal slettes Til flere formål Når bestemmes formålet? Spar dataene du vet ikke hva du får bruk for Samtykke Informasjon og Innsyn Den enkeltes «informerte, uttrykkelige og frivillige» samtykke er sentralt Rett til innsyn Særlige krav til informasjon ved bruk av personprofiler Informert samtykke problematisk Samtykke til hva? Hvordan få dette til i praksis og innsyn i hva? Den som ikke mottar tilbud vil aldri få vite det Integritet Opplysningene skal være korrekte Korrekte på individnivå? Konsekvens av feil? Anonymitet Anonymisér så langt mulig Anonym hva? Re-identifisering 11.09.2013 Side 13
Hvordan kan personvernet ivaretas i en big data verden?
Hvordan kan personvernet ivaretas? - Anonymisering - Oppdatert lovverk - Brukerkontroll retten til å bli glemt og dataportabilitet - Krypteringsløsninger - Innebygd personvern
Nærmere om skytjenester 11.09.2013 Side 16
Kan skytjenester medføre økt risiko? - Mindre kontroll med dataene kan gjøre det vanskeligere å avsløre avvik - Data kan overføres til land med dårligere beskyttelsesnivå enn vårt - Avtalene er kompliserte og vanskelig å trenge inn i / overskue konsekvensene av - Det er vanskelig å kontrollere om databehandleren bruker dataene for egne formål - Ansvarskjeden: Skytjenester innebærer bruk av underleverandører, og er de like troverdige og aktsomme som hovedleverandøren? - Tilsyn med egne data kan bli vanskeligere - Utenlandske myndigheters tilgang til data 11.09.2013 Side 17
Informasjonssikkerhet Ansvar for informasjonssikkerheten påhviler egen virksomhet Man kan ikke flytte ansvaret ut i skyen Må forvisse seg om tilstrekkelig sikkerhet i produktet som kjøpes 11.09.2013 Side 18
Er skytjenester usikre? - På generelt grunnlag nei - Informasjonssikkerheten skyleverandørene tilbyr kan være bedre enn hva en liten kommune kan - Men hovedoverskriften på vårt arbeid er allikevel informasjonssikkerhet og de kravene som loven stiller opp for å sikre god informasjonssikkerhet 11.09.2013 Side 19
Narvik-saken, og bruk av Google Apps - Saken har vært behandlet som en tradisjonell forvaltningssak - Hvilke personopplysninger behandles i Google Apps? - Den risikovurdering kommunen har fortatt - Kopi av avtalen + ev databehandleravtale - Segmentering av data - Lagringssted - Hvem har tilgang hos Google? - sett i lys av bl.a. sikkerhetsforskriftens krav til risikovurdering og sikkerhetsrevisjon 11.09.2013 Side 20
Nettskyen Narvik-saken Google Apps - Varsel om vedtak mot kommunen i januar 2012 - Usikkerhet rundt risikovurderinger - Ingen databehandleravtale (avtalen hensikt, formål, plikter, forhold til underleverandør, sikkerhet, revisjon mv) - Vet ikke i hvilket land dataene er lagret - Kan ikke gjennomføre sikkerhetsrevisjoner - Hvem har tilgang hos Google? - Uklarhet rundt segmentering 11.09.2013 Side 21
Hva ble endret i Narvik-saken fra den startet til den ble avgjort? - Risikovurderinger - Databehandleravtale - Revisjon av tredjeparter - Databehandleravtalen må trumfe Googles generelle vilkår - Klarhet om overføring til utlandet 11.09.2013 Side 22
Risikovurderinger Personopplysningsforskriftens 2-4 Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. 11.09.2013 Side 23
Risikovurderinger Narvik kommune: En flytting av e-postløsning til Google Apps vil på enkelte aspekter gi likt risikobilde som for gammel, men på mange områder innebærer ny løsning redusert risiko. Lagring av e- post data utenfor kommunens datasenter vil gi en lavere risiko med hensyn til konfidensialitet, integritet og tilgjengelighet. 11.09.2013 Side 24
Risikovurderinger Datatilsynet anser risikovurderingen som tilfredsstillende men ønsker å påpeke viktigheten av at kommunen gjennomfører ny risikovurdering ved endringer som har betydning for informasjonssikkerheten I tillegg: Viktig hvilken type opplysninger som behandles i tjenesten 11.09.2013 Side 25
Revisjon fra tredjeparter - Loven stiller krav om at det skal gjennomføres sikkerhetsrevisjoner og at resultatet av sikkerhetsrevisjonen skal offentliggjøres - Berlin gruppen og WP29 har åpnet for at sikkerhetsrevisjoner kan gjennomføres av tredjeparter - Tredjepartsrevisjonen må tilfredsstille en del vilkår - Uavhengig, regelmessig, kommunen må motta rapporter som er relevant for de data som behandles pva kommunen osv 11.09.2013 Side 26
Databehandleravtaler - Rettslig grunnlag: POL 15 - Grunnkrav til databehandleravtaler: Avtalens hensikt, formål, databehandlers plikter, bruk av underleverandør, sikkerhet, sikkerhetsrevisjoner, avtalens varighet, ved opphør, meddelelser, samt lovvalg og verneting. - Særlig viktig: Formålsavgrensninger, forbud mot å utlevere data til andre, informasjonssikkerhetstiltak - Datatilsynet fant at databehandleravtalen oppflyte lovens krav 11.09.2013 Side 27
Databehandleravtalen må trumfe Google/Microsofts generelle vilkår -.når det gjelder utveklsing av data på tvers av disse ( og andre) selskapers tjenester 11.09.2013 Side 28
11.09.2013 Side 29
11.09.2013 Side 30
Klarhet om overføring til utlandet - Lovens krav: Data kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. - I praksis vil dette si at overføring av persondata til andre land enn medlemsstatene i EU og EØS-landene, som hovedregel er utelukket. - Unntak: For eksempel kan dataeksportøren gi individuelle garantier, eller EU-kommisjonen kan ha besluttet at visse enkeltstater er trygge mottakerstater. - Safe Harbour 11.09.2013 Side 31
Amerikanske justismyndigheters mulighet til å skaffe adgang til norske data ( foil fra mars 2013 ) - Foreign Intelligence Surveillance Act (FISA) - Patriot Act - Det er bekymringsfullt at justismyndighetene i USA i medhold av dette regelverket kan gis tilgang til norske borgeres data, og for FISAs vedkommende uten forutgående varsling - Dette må imidlertid reguleres på mellomstatlig nivå 11.09.2013 Side 32
11.09.2013 Side 33
11.09.2013 Side 34
11.09.2013 Side 39
Bjart Kvarme ( adm.dir i Basefarm) forteller at personvern på en helt annen måte har kommet på agendaen til kundene siden avsløringene i sommer. - Både hos eksisterende kunder og potensielle kunder er personvern blitt et svært viktig tema. Fokuset er at kundene vil ha kontroll på hvor dataene er lagret. Også utenlands har vi sett en økende interesse, sier Basefarm-sjefen og fortsetter: - Norge oppleves som en trygg havn. Og det har definitivt blitt et konkurransefortrinn. 11.09.2013 Side 40
Hva sier avtalene Microsoft - Microsoft believes that its customers should control their own information whether stored on their premises or in a cloud service. Accordingly, we will not disclose Customer Data to a third party (including law enforcement, other government entity or civil litigant) except as you direct or required by law. Should a third party contact us with a demand for Customer Data, we will attempt to redirect the third party to request it directly from you. As part of that, we may provide your basic contact information to the third party. If compelled to disclose Customer Data to a third party, we will use commercially reasonable efforts to notify you in advance of a disclosure unless legally prohibited from doing so.
11.09.2013 Side 42
11.09.2013 Side 44
Hva sier rapportene? - Hvor mange henvendelser om utlevering som kommer fra ulike land om myndighetene - I hvor mange tilfelle det leveres ut data - Hva myndighetene er ute etter? Innholdsdata, opplysninger om abonnenten - Trolig vil rapportene bli innholdmessig utviklet 11.09.2013 Side 45
Hva nå? 11.09.2013 Side 46
Er det fritt fram? - Nei - Gode risikovurderinger er helt sentralt og faktisk enda mer sentralt etter avsløringene i PRISM-saken - I sammenheng med dette; særlig viktig hvilke type data som skal lagres i skyen - Det er stor forskjell på leverandørenes seriøsitet - Det er stor forskjell på skytjenestene - Dette er fortsatt et nytt marked
Datatilsynets informasjonsmateriale om skytjenester 11.09.2013 Side 49