Nettskyen, kontroll med data og ledelsens ansvar

Like dokumenter
Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Skytjenester (Cloud computing)

Skytjenester bruk dem gjerne, men bruk dem riktig

Tjenester i skyen hva må vi tenke på?

Kan du legge personopplysninger i skyen?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Skytjenester i skolen

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Internkontroll og informasjonssikkerhet lover og standarder

Skyløsninger. Sikkerhet og leveransemodell

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Databehandleravtaler. Tommy Tranvik Unit

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Arkivet i skyen Serveren på månen

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Databehandleravtale etter personopplysningsloven

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Bruk av skytjenester og sosiale medier i skolen

Veiledning ved anskaffelse av nettskytjenester

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Skytjenester NOTAT. Flere ting å passe på: Tjenestespesifikasjon og driftsgarantier. Hvor mye arbeid mister du dersom leverandøren blir borte?

HVA ER SKYTJENESTER? Balanserte anskaffelser 19.juni

POWEL DATABEHANDLERAVTALE

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Kommunens Internkontroll

Juridiske utfordringer med digitalisering

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtaler

Arkivsystemer med skyløsninger

Bedre personvern i skole og barnehage

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Bilag 14 Databehandleravtale

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Cloud computing. Bruk av skytjenester krever en klar strategi

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Personvern-rett H2016

Public 360 Online Datasikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Databehandleravtale for NLF-medlemmer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Retningslinjer for databehandleravtaler

Registrerte og personopplysninger som behandles

Personvern - sjekkliste for databehandleravtale

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Bjørn Erik Thon Direktør

Databehandleravtale etter personopplysningsloven

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

HVEM ER JEG OG HVOR «BOR» JEG?

Transkript:

Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM

2

Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet etter behov elastisk! Betaler for faktisk bruk 3

Nettsky - tjenestemodeller SaaS Software as a Service 4 PaaS Platform as a Service IaaS Infrastructure as a Service

Tjenestemodeller - ansvarsforhold 5

Nettsky - distribusjonsmodeller Offentlig + Stort innsparingspotensiale - Høy sikkerhetsrisiko Privat + Lavere sikkerhetsrisiko - Redusert innsparingspotensiale Brukergrupper En privat sky delt av beslektede grupper i hensikt å oppnå det beste fra de to ovennevnte modellene Hybrid Kombinerer offentlig og privat. 6

Drivkrefter for å velge nettskyen Utforske muligheter for nye forretningsområder Redusere investeringer Frigjør kapital til bedriftens kjernevirksomhet Redusere driftskostnader Forutsigbarhet Frigjøre IT-personell til andre oppgaver Trangt arbeidsmarked, kan kjøpe kompetanse i stedet Muligheter for å bedre driftsstabilitet og katastrofeberedskap Grønn IT kjør kollektivt! 7

8

Er det så fritt fram? 9

10

Er det så fritt fram? Sett fra et sikkerhetsmessig ståsted: -> I det man flytter data ut i skyen gir man samtidig fra seg kontrollen! 11 -> Man må finne ut hva som er den egentlige risikoen for å kunne ha et noenlunde trygt utgangspunkt for å vurdere hvorvidt man bør flytte data ut i skyen eller ei

Rammebetingelser Hvilken risiko er virksomheten villig til å akseptere? 12 Regulatoriske krav Tjenestenivå (SLA)

Repetisjon av grunnpilarene i informasjonssikkerhet Konfidensialitet Sikkerhet for at informasjon kun er tilgjengelig for autorisert personell og at den ikke avsløres til uvedkommende Integritet Sikkerhet for at informasjon og behandling av denne er fullstendig, nøyaktig, gyldig og et resultat av autoriserte og kontrollerte aktiviteter Tilgjengelig Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet slik at aktuell informasjon er tilgjengelig for autoriserte personer ved behov 13

Grunnleggende kartlegging Skaffe seg oversikt over hvilke informasjonseiendeler som finnes i virksomheten Klassifisere informasjonseiendelene 14 Tilordne eierskap All informasjon skal ha en definert eier, og eier tilordner rettigheter Dette gjelder for all informasjon i virksomheten og det er ledelsens ansvar at dette blir utført!

Klassifisering Med hensyn til sensitivitet: Sensitiv Intern Åpen 15 Med hensyn til viktighet ( kritikalitet ): Høy Middels Lav

Akseptkriteria for risiko Ledelsens toleransegrense for hva virksomheten kan tåle av uønskede hendelser og skadevirkninger Dette gir føringer for hvilke beskyttelsestiltak man må sette i verk Separate sett av akseptkriteria for ulike klassifiseringer Risiko = sannsynlighet * konsekvens 16

17

Eksempel på hva som kan skje ved mangelfull styring SaaS type skyløsninger har ingen eller svært små oppstartskostnader Enkeltpersoner og miljøer tar i bruk skytjenester på eget initiativ uten å koordinere dette med resten av virksomheten Viktig informasjon kan bli plassert utenfor rekkevidde av virksomhetens internkontroll Medfører betydelig risiko for at viktig informasjon kan forsvinne når enkeltpersoner slutter, og en uoversiktlig situasjon mht hvem som kan lese eller endre informasjonen 18

Regulatoriske krav Virksomheten til UH er omfattet av en rekke lover og forskrifter Et av våre hovedprodukter er uteksaminerte kandidater Mye av den informasjonen vi håndterer inneholder personopplysninger Personopplysningsloven med forskrift blir følgelig en sentral rammebetingelse 19

Behandling av personopplysninger Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes (POL 2 nr 4.) Datatilsynets fortolkning er at den behandlingsansvarlige er identisk med virksomhetens leder Hvis man som behandlingsansvarlig ønsker å sette ut oppgaver til en tredjepart, så er denne å betrakte som en databehandler (POL 2 nr. 5) 20

Databehandleravtale En databehandler kan ikke behandle personopplysninger på annen måte enn avtalt med behandlingsansvarlig (Databehandleravtale, POL 15) 21 Databehandleravtalen skal blant annet gjenspeile hvor personopplysningene blir behandlet. Dette gjelder også for eventuelle underleverandører

Databehandleravtale (2) Andre viktige punkter i en slik avtale: Sikkerhet i løsningen Sikkerhetsrevisjoner Segmentering Tilgangsstyring Autorisert og uautorisert bruk Dokumentasjon Opphør av avtale 22

Myggen og elefanten? Vil man kunne få gjennomslag for å få etablert en skreddersydd databehandleravtale, eller vil man bli møtt med leverandørens standardvilkår? 23 I det siste tilfellet er det grunn til å tenke seg godt om..

Personopplysninger og nettskyen Det danske datatilsynet har nedlagt foreløpig forbud mot å bruke Google Apps i Odense kommune 24 Datatilsynet oppfordrer til forsiktighet med hensyn til å flytte personopplysninger ut i skyen: Vurderer også forbud mot enkelte skyløsninger Narvik kommune

Tjenestenivå (SLA) De store leverandørene tilbyr standardvilkår og forbeholder seg ofte rett til å endre disse Man har i utgangspunktet liten kontroll med leverandøren. Virksomheten kan selges, gå konkurs eller de kan endre strategi Vær OBS på kundebinding ( Lock-in ) problemer med å få tilbake sine data ved opphør av avtalen 25

5 viktige spørsmål til potensielle leverandører Hvilken grad av innsyn i tilbudt løsning er dere villig til å gi meg som kunde? Hvilke tilgjengelighetsgarantier har dere, og hvordan bygger dere høytilgjengelighet? Hvilke garantier for risikohåndtering og sikkerhet er dere villig til å yte? Hvordan beskytter dere tilbudt løsning og mine tjenester fra tjenestenektangrep? Hvor omfattende og moden er sikkerhetsprogrammene og risikostyringen i din organisasjon? 26

Kontrakt Sørg for å forhandle fram en kontrakt som ivaretar virksomhetens interesser i alle faser av engasjementet 27 Vurder å trekke inn juridisk kompetanse i dette arbeidet

Oppsummering Nettskyen er kommet for å bli! En rekke anvendelser kan antakelig settes ut i skyen med godt resultat 28 Men IKKE uten å ha gjort hjemmeleksa først!

Seier venter den, som på forhånd har alle sakene i orden, folk kaller det flaks. 29 Nederlag er sikret den, som ikke i tide har truffet de nødvendige forholdsregler, folk kaller det uflaks Roald Amundsen

Takk for oppmerksomheten! Spørsmål? 30 per.a.enstad@uninett.no

Referanser Cloud Computing Security Considerations http://www.dsd.gov.au/publications/cloud_computing_security_considerations.pdf Cloud Computing en veileder i bruk av nettskytjenester http://www.datatilsynet.no/templates/article 3829.aspx 31 Databehandleravtaler etter personopplysningsloven og helseregisterloven http://www.datatilsynet.no/upload/dokumenter/veiledere/databehandleravtale/veileder_databehandleravtaler- 26052009.pdf

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding