Skytjenester NOTAT. Flere ting å passe på: Tjenestespesifikasjon og driftsgarantier. Hvor mye arbeid mister du dersom leverandøren blir borte?

Like dokumenter
Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Nettskyen, kontroll med data og ledelsens ansvar

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Ta opp, spill av; eller spill opp, ta av? Svalbardkonferansen, Longyearbyen, Ingrid Melve, Teknisk direktør, tjenester, UNINETT

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring for Søknadsweb

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Arkiv skal ikkje førast ut or landet

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Arkivsystemer med skyløsninger

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personvernerklæring for Søknadsweb

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Personvernerklæring for Fagpersonweb

Personvernerklæring for Søknadsweb

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Personvernerklæring for Studentweb

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Skytjenester (Cloud computing)

Skytjenester i skolen

CRM-løsninger i skyen - hva har du lov til å lagre?

Oslo kommune Utdanningsetaten

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

GDPR Konkrete problemstillinger fra institusjonene. Ingrid Olsen Fossum og Sadia Zaka Jurister ved Unit FS-Brukerforum 2018

Retningslinjer for databehandleravtaler

Skytjenester. - Gevinster og utfordringer. Petter Kongshaug, UNINETT

Morgendagens digitale muligheter: programmet ecampus

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Skytjenester og eksterne IT-tjenester i grunnopplæringen

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

Personvern - sjekkliste for databehandleravtale

Prioriteringer for USIT i IT-direktør Lars Oftedal

Personvernerklæring for Studentweb

Kan du legge personopplysninger i skyen?

Databehandleravtale for NLF-medlemmer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Personvernerklæring for Studentweb

Prioriteringer for USIT i 2017

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Skytjenester bruk dem gjerne, men bruk dem riktig

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Bruk av skytjenester og sosiale medier i skolen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Prioriteringer for USIT i 2017

Mål og prioriteringer i USITs årsplan for

Sikkerhet og personvern i skole og klasserom

Databehandleravtaler. Tommy Tranvik Unit

GDPR- hva betyr dette for NTNU

Personvernerklæring for Cristin (Current Research Information System in Norway)

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Personvernerklæring Urkund

Personvernerklæring for EVUweb - søkere

Internkontroll og informasjonssikkerhet lover og standarder

Digitalisering former samfunnet

Sluttrapport for Feide på G Suite (tidligere GAFE)

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR Prosjektgjennomføring Sjekkliste

Perspektiver og planer ved Universitetet i Oslo

Cloud computing. Bruk av skytjenester krever en klar strategi

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Personvernerklæring for Brage

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Personvernerklæring for EVUweb - søkere

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Databehandleravtaler m.m. etter GDPR

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Uninett konferansen desember UNINETT- Program. Tjenester og samarbeid i en åpen arkitektur. Konferansen Universitetet i Stavanger

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Databehandleravtaler

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

e-campus kan teknisk infrastruktur gi grunnlag for innovativ e-læring ved høyere utdanning i Norge?

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale etter personopplysningsloven

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Kommunens Internkontroll

Transkript:

Til: IT-folk på universiteter og høgskoler Fra: ecampus Forfatter: Ingrid Melve Kopi: Dato: 27.06.2012 Gjelder: Skytjenester og krav til bruk i høgere utdanning Skytjenester Dokumentet gir råd om skytjenester, med konkret informasjon om overordnede problemstillinger for skytjenester i høgere utdanning. Terminologi for skytjenester forutsettes kjent, og følger bruken i Bak skyene er himmelen alltid blå? en innføring i Cloud Computing for skoleeiere 1 fra IKT-senter for utdanning. Målgruppe: IT-avdelinger og andre som tar avgjørelser om bruk av skytjenester på vegne av utdanningsinstitusjoner i høgere utdanning. 2 Dokumentet omhandler bare de krav som settes når det er en institusjon som tar i bruk skytjenester. For skytjenester som tas i bruk av enkeltpersoner, er det hver person som må gjøre sine vurderinger av vilkår skyen tilbyr. Det er i praksis stor forskjell på det enkeltpersoner kan gjøre og det en institusjon kan gjøre med og for sine brukere. I dagens situasjon for skytjenester: 1. Bruk skytjenester! Det er mange gode tjenester i skyen, men se på totalkostnader over tid. La gjerne enkeltpersoner utforske skytjenester for skaffe institusjonen erfaring. 2. Ikke bruk skytjenester til sensitive data, med mindre du har gått en ekstra runde med juridisk hjelp på din side, og er trygg på sikkerhetsvurderingen din. 3. Gjør risikovurdering av leverandør: dersom du putter dine data inn hos en leverandør som går konkurs (eller blir kjøpt opp) og skrur av tjenesten, hvor står du? 4. Be leverandøren om Feide-innlogging for SaaS, slik at han sparer brukerstøtte og du reduserer eksponering av brukerinformasjon. Ting å passe på før en høgskole eller et universitet tar i bruk skytjenester: Gjør en edruelig risikovurdering. Sammenlign med dagens situasjon. Sjekk vilkårene for bruk av skytjenester. Det er vanlig at sky-leverandører forbeholder seg retten til å ensidig endre avtaleteksten, noe som ikke er lov i databehandleravtaler. Det er også vanlig at du ikke får nok revisjonstilgang til å oppfylle norske krav. Databehandleravtale om personopplysninger må på plass. Se opp for innelåsing. Pass på at du kan hente ut igjen data, helst på standardiserte dokumenterte formater. Flere ting å passe på: Tjenestespesifikasjon og driftsgarantier. Hvor mye arbeid mister du dersom leverandøren blir borte? 1 http://iktsenteret.no/aktuelt/bak-skyene-er-himmelen-alltid-bl-ny-utgivelse-om-cloud-computing 2 Dette verk er lisensieret under en Creative Commons Navngivelse-DelPåSammeVilkår 3.0 Norge lisens. 1

Klassifisering av data: Sensitive data må særbehandles, da disse har egne krav, blant annet til kryptering ved overføring. Åpne data kan uten problemer legges i skyen. Alle tjenester levert av offentlig virksomhet til enkeltpersoner skal være i samsvar med Standardkatalogens krav. Dette gjelder ikke for tjenester rettet mot ansatte, men formidlingsdelen av høgere utdanning omfattes. Arkivverdig materiale må kunne arkiveres, enten i skytjenesten eller i egne arkivsystemer. Begge alternativer må oppfylle krav i arkivloven Institusjonen eller enkeltpersoner i skyen? Gråsonen mellom tjenester rettet mot enkeltpersoner og tilbud fra institusjoner er ikke kartlagt. Et eksempel på dette er når en foreleser kun tilbyr informasjon via Facebook i sitt fag, noe som i praksis tvinger studentene til å godta Facebooks brukervilkår for å gjennomføre det aktuelle faget. Dette området trenger mer arbeid, både for å finne hvor gråsonene ligger, og for å kartlegge regelverket på området. Sikkerhetslovgivning og informasjonssikkerhet Anbefalt IKT-sikkerhetsarkitektur i UH-sektoren, UFS122 3, gir overordnet oversikt over sikkerhetsproblemstillingene knyttet til nettsikkerhet, men tar ikke opp skytjenester der sikre soner administrativt flyttes til eksterne leverandører. UFS126 4, Information Security Policy, tar opp problemstillinger knyttet til tredjepartsleverandører, herunder også skytjenester. Helsesektorens krav Norm for informasjonssikkerhet i helsesektoren 5 omfatter de deler av høgere utdanning som berører helsesektoren. ENISA har laget en analyse Benefits, risks and recommendations for information security 6 som også har praktiske råd for bruk av skytjenester. Gode sjekklister finnes i en rapport fra det australske forsvarsdepartementet Cloud Computing Security Consideration 7 Dataeier har ansvar for klassifisering av data, og har ansvar for at data blir forsvarlig håndtert. Hos en leverandør som har ISO27001 sertifisering bør man kunne forlange å få se revisjonsrapportene som er gjort av dem som etterprøver sertifiseringen. For tjenestespesifikasjon/sla er det viktig å se på hvor mye arbeidstid eller andre tap institusjonen lider dersom en tjeneste får driftsforstyrrelser, og å bed om innsyn inn skyleverandørens beredskapsplaner og prosedyrer for håndtering av driftshendelser. For å beskytte brukerenes passord, bør innlogging skje enten gjennom Feide, til lokal LDAP eller gjennom bruk-og-kast-kontoer. Det siste alternativet er erfaringsmessig ingen god løsning, da normale mennesker enten skriver ned passord eller gjenbruker fra andre steder, og dette gir ikke god nok sikkerhet. Ved innkjøp av SaaS på institusjonsnivå bør det settes krav til Feide, av PaaS/IaaS til innlogging i institusjonens brukerløsninger. 3 http://www.uninett.no/sites/drupal.uninett.no.uninett/files/webfm/_produkter%20og%20tjenester/campustjeneste r/@campus/ufs/pdf/ufs122.pdf 4 http://www.uninett.no/sites/drupal.uninett.no.uninett/files/webfm/_produkter%20og%20tjenester/campustjeneste r/@campus/ufs/pdf/gn3-na3-t4-ufs126.pdf 5 http://www.helsedirektoratet.no/samspill/informasjonssikkerhet/norm_for_informasjonssikkerhet_i_helsesektore n_232354 6 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullreport 7 http://www.dsd.gov.au/publications/cloud_computing_security_considerations.pdf 2

Det gjøres arbeid med private skyer, men organisasjoner i norsk høgere utdanning er ikke store nok til å få stordriftsfordelene av en privat sky på egen hånd. Hybride skyer, med både private og offentlige deler, er ikke i vanlig bruk i UH-sektoren i dag. Arbeidsdeling mellom private, sektorskyer, hybrid skyer og åpne skyer er under utvikling, men det er for lite avklart til å gi meningsfulle råd på området utover å holde øye med utviklingen og samspillet mellom sektorsamarbeid og åpne skyer. Personvern IKT-senter for utdanning har utgitt en veileder Skytjenester og eksterne IT-tjenester i grunnopplæringen 8 som går igjennom rettslige krav i personopplysningsloven med forskrift. Denne veilederen er nyttig også for høgere utdanning. Selv om forskningsproblemstillinger ikke er med, så er kravene i lovverket overførbare. Når et individ velger å bruke en skytjeneste, er det skytjenesten som er behandlingsansvarlig. Når en utdanningsinstitusjon velger å bruke en skytjeneste, er det institusjonen som er behandlingsansvarlig for personopplysningene til individene, og skytjenesten som er databehandler. Tre forhold som er spesielle for skytjenester i forhold til annen outsourcing: 1. Hvor lagres personopplysninger: innenfor EU/EØS er mindre komplisert, ved lagring utenfor EU/EØS må det inngås særskilte avtaler eller gis mer omfattende samtykke fra hver enkelt bruker. 9 2. Inngåelse av databehandleravtaler: Avtaletekster må være forståelige (eller gjennomgått av jurist på dine vegne), underleverandører skal framgå av avtalen, ikke lov med ensidig endring av avtalevilkår. Sjekk gjerne med Datatilsynets veileder 10 3. Overholdelse av avtalevilkårene: plikt til dokumentasjon og revisjonstilgang Universell utforming Kravene til universell utforming og tilrettelegging av læringsmiljø gjelder også ved bruk av skytjenester. Disse kravene er mest relevante for SaaS-tjenester, som henvender seg direkte til sluttbrukerene enten disse har spesielle behov eller ikke. Universell utforming vil som regel gi bedre brukeropplevelser og enklere utforming av tjenester. Mer informasjon om problemstillingene finnes hos universell.no 11 Åpne data Tilgang til åpne offentlige data 12 er også mulig gjennom skytjenester. Mange åpne forskningsdata er tilgjengelige gjennom skytjenester. Bruk av skytjenester for tilgang til data er viktig for forskningsmiljøene. Big data er en trend som forventes å føre til sterkere bruk av åpne data i skytjenester, og også til mer bruk av skytjenester for prosessering av data. Nett-tilgang: alltid på Skytjenester forutsetter at nettet alltid er tilgjengelig for de brukerne som skal nå tjenester i skyen, uavhengig av hvilken type skytjenester vi snakker om. Forskningsnettet sørger for dette på campus, men til mobil, studiesenter og i hjemmesituasjonen bør det gjøres en 8 http://iktsenteret.no/ressurser/skytjenester-og-eksterne-it-tjenester-i-grunnopplaeringen 9 http://www.datatilsynet.no/templates/article 2620.aspx 10 http://www.datatilsynet.no/templates/article 2742.aspx 11 http://universell.no/ 12 http://www.difi.no/ikt-samordning/opne-data 3

vurdering av om brukerne har nok nett tilgjengelig. Utbygging av eduroam kan være nødvendig. Innkjøp og innkjøpsregler Innkjøp i offentlig sektor er omfattet av eget innkjøpsreglement, med krav til innsyn og offentlige anbud. Store deler av høgere utdanning omfattes av kravene, som blant annet innebærer at anbudsutlysinger må forholde seg til skytjenester. Mange skytjenester rettet mot individer har en forretningsmodell der inntekten enten er knyttet til reklame eller innsamling av brukerinformasjon. Når du ikke betaler, er du produktet. Institusjoner bør vurdere kostnad (og risiko) også for disse aspektene når man tar i bruk skytjenester. Skytjenester har som regel lav oppstartskostnad både i penger og tid. For å gjøre en kostnadsvurdering er det viktig å se hele tjenestekostnaden i sammenheng, inkludert å vurdere kostnader dersom noe går galt, for eksempel at leverandøren forsvinner, eller at ting går veldig bra og bruken øker dramatisk. Fleksibiliteten i skyen, med at man bruker kun for forbruk, og enkelt kan skalere opp/ned, gjør at skyer egner seg godt for eksperimentell bruk og prosesser som har høy bruk over kort tid. De største økonomiske gevinstene finnes likevel ved overgang fra innkjøp av ITsystemer til innkjøp av brukervennlige selvbetjeningsløsninger på web. 13 Stordriftsfordelene gjør at åpne skyer gir kosteffektive løsninger for mange bruksområder. Ofte er det enkeltpersoner som tar i bruk skytjenester for deler av sin virksomhet mer eller mindre på vegne av institusjonen. Dette forholdet drøftes ikke her, utover at institusjonen bør være oppmerksom på kostnader som kommer desentralisert, og at informasjon som virksomheten eier kan gå tapt eller bli utilgjengelig over lang tid når bruken er forankret hos enkeltpersoner. Det store omfanget på prosjektsamarbeid ut over organisasjonsgrensene gjør at skytjenester er i større bruk i høgere utdanning enn førsteinntrykket man får på administrativ side, da skyene ofte tas i bruk av prosjekter eller enkeltpersoner. Kompetanse på bruk av skytjenester vil også være fordelt i organisasjonen i henhold til bruksmønster, mens formalisering av bruk krever forankring inn i administrative rutiner. Risikovurdering Både lovverk og andre regler forutsetter at det skal gjøres risikovurderinger av tjenesten. Uninett informasjonssikkerhetsaktivitet arbeider med maler for risikovurderinger, inntil disse er ferdige kan man benytte Difis Veiledning i risikovurdering av elektronisk kommunikasjon. 14 Formålet med risikovurdering er finne ut hvilke risikoelementer som eksisterer, og deretter ta valg på hvordan disse skal håndteres. Risikoappetitt varierer med tjenestetype, og er høyere for en åpen webside enn for et lønnssystem. Driftssikkerhet i skytjenester er ofte bedre enn det som er mulig å få til i små IT-avdelinger, siden store sky-leverandører har folk på jobb døgnet rundt. Risikovurderingen skal dokumentere hvilke valg som gjøres. En løsning som er 99.9 % uten risiko er sannsynligvis enten lite brukervennlig, svært dyr eller lite funksjonell. Risikovurderinger må være pragmatiske og dokumenterte, gjerne i det lokale kvalitetssikringssystemet. 13 http://www.microsoft.com/presspass/presskits/cloud/docs/the-economics-of-the-cloud.pdf 14 http://www.difi.no/artikkel/2010/01/veiledning-i-risikovurdering-av-elektronisk-kommunikasjon 4

Beredskapsplaner bør omfatte planer for flytting/bytting av leverandør, og dette er umulig dersom løsninger ikke er standardisert og dokumenterte. Integrasjonskostnader blir også svært store dersom grensesnitt inn mot skytjenester ikke er veldokumenterte og så enkel som mulig. Standardisering og dokumentasjon av grensesnitt Standarder for bruk i offentlig sektor 15, med Referansekatalog for IT-standarder i offentlig sektor 16, peker på både obligatoriske og anbefalte IT-standarder for ulike bruksområder. En viktig følge av IKT arkitekturprinsippene for offentlig sektor 17 er at grensesnitt for innlegging og uthenting av data skal være dokumenterte, helst åpne. Innelåsing bør unngås, dette er spesielt viktig i de tilfeller der datastrukturene og tjenesteutformingen er like viktig som selve dataene. Skalering Skyen kan gi mange maskiner over kort tid, enten for lagring eller for bruk av mange prosessorer. For en PC-lab som skal vare et semester, og der du trenger mange maskiner kan IaaS eller PaaS være kosteffektive løsninger som lar studenter bruke sine egne kjente maskiner med virtuelle maskiner fra skyen til læringssituasjonen. 15 http://standard.difi.no 16 http://standard.difi.no/forvaltningsstandarder/referansekatalogen-html-versjon 17 http://www.difi.no/ikt-samordning/it-arkitektur/arkitekturprinsipper 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding