Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Like dokumenter
Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Tjenester i skyen hva må vi tenke på?

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtaler

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Nettskyen, kontroll med data og ledelsens ansvar

Databehandleravtale. Charlotte Lindberg Difi

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Kan du legge personopplysninger i skyen?

Databehandleravtale. Denne avtalen er inngått mellom

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Retningslinjer for databehandleravtaler

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kommunens Internkontroll

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Databehandleravtale for NLF-medlemmer

Databehandleravtale etter personopplysningsloven m.m

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtaler. Tommy Tranvik Unit

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Personvern - sjekkliste for databehandleravtale

Skytjenester i skolen

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Arkivet i skyen Serveren på månen

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Advokaters bruk av Cloud-tjenester. Veiledning

Endelig kontrollrapport

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Endelig kontrollrapport

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Endelig kontrollrapport

Endelig kontrollrapport

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Registrerte og personopplysninger som behandles

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale etter personopplysningsloven

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Bruk av skytjenester og sosiale medier i skolen

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Endelig Kontrollrapport

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Cloud juridiske utgangspunkter. advokat Eva I.E. Jarbekk

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Skytjenester bruk dem gjerne, men bruk dem riktig

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Kunden er behandlingsansvarlig Unifaun er databehandler

Transkript:

Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011

Innledning Cloud Computing, heretter kalt Nettskyen, er en samlebetegnelse for alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparkene i Nettskyen kjennetegnes ved at de er laget for såkalt dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og ved at det som regel betales for faktisk bruk ut ifra behov. Mange eksterne serverparkene står utenfor Norges grenser og utfordringen for virksomhetene er å sørge for at avtalene er i henhold til norsk lovgivning. Det finnes ulike typer Nettsky-tjenester tilgjengelig, alt fra Infrastructure as a Service (IaaS) til Software as a Service (SaaS) 1. Datatilsynet vil i denne veilederen foreta en overordnet vurdering av Nettskyen opp mot de krav som stilles av personopplysningsloven og helseregisterloven. Det er i tillegg en god del utfordringer i forhold til inngåelse av SLA (Service Level Agreement) avtaler med leverandørene. Da dette faller utenfor Datatilsynets forvaltningsområde. De ulike leverandørene vil heller ikke bli vurdert, da veilederen er generisk og prinsipiell. Veiledren har følgende fokusområder: Personopplysningslovens virkeområde Identifisering av behandlingsansvarlig og ansvar Akseptkriterier Klarlegge juridisk ansvar for leverandør av nettsky-tjenester Risikovurdering og informasjonssikkerhet Informasjonsplikt Særlige problemstillinger o Sikkerhetskopiering/Speiling o Segmentering o Tilgangsstyring o Autorisert og uautorisert bruk o Dokumentasjon o Utlevering til tredjeland Personopplysningslovens virkeområde Personopplysningsloven får anvendelse så fremt den behandlingsansvarlige har oppfylt etableringskravet 2 i Norge og at det behandles personopplysninger i tjenesten som definert i personopplysningsloven 2 nr. 1. Behandlingsansvar Plasseringen av behandlingsansvar er ikke noe annerledes enn hvis man velger lokal leverandør av servertjenester som ikke er Internettbasert. Det er den virksomheten som kjøper tjenesten for sin behandling av personopplysninger som er behandlingsansvarlig, jf. Personopplysningsloven 2 nr. 4. 1 http://no.wikipedia.org/wiki/nettskyen 2 Etableringskravet reguleres i personopplysningslovens 4. Et sentralt forhold er hvorvidt..den behandlingsansvarlig benytter hjelpemidler i Norge

Akseptkriterier for risiko Akseptkriterier er nivå for akseptabel risiko forbundet med behandling av personopplysninger, jf. personopplysningsforskriften 2 nr. 4 første ledd og 2 nr. 2. Det skal henvises til akseptabel risiko ved gjennomføring av risikovurderinger og skal gjennomføres før elektronisk behandling av personopplysninger starter, jf. personopplysningsforksriften 2 nr. 1 og 2 nr. 4 siste ledd. Ansvar for Nettsky-leverandør Sett i sammenheng med punktet om plassering av behandlingsansvar, faller det naturlig at leverandører av elektroniske tjenester for behandling av personopplysninger på Internett ikke stiller seg annerledes enn hvilken som helst annen tradisjonell lokal leverandør for behandling av personopplysninger. I behandling legges definisjonen i personopplysningsloven 2 nr. 2 til grunn. Det leveres altså en tjeneste som man kan velge å ta i bruk som behandlingsansvarlig, hvis denne tjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige er de å anse som en databehandler, jf. Personopplysningsloven 2 nr. 5. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven 13 og forksriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar. Datatilsynet har laget en veileder og eksempel på avtaleskisser for en slik databehandleravtale. I avtaleskissen og veilederen finner man minimumskravene som det forventes at en slik avtale innholder. Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til den behandlingssansvarlige som kjøper tjenesten. Noen slike punkter kan være; sikkerhetskopiering, sletting, tilgangstyring, segmentering av databaser med videre. Databehandleravtalen skal også til enhver tid gjenspeile hvor personopplysningene blir behandlet. Dette innebærer i praksis informasjon til enhver tid om hvilken leverandør som fysisk besitter de aktuelle opplysningene i det aktuelle landet. Dette kan også være en underleverandør til den som selve tjenesten er levert av. I tillegg kan det være nødvendig med andre avtaler for regulering av behandlingen, som eksempelvis Safe Harbor. En Safe Harbor 3 avtale vil typisk være aktuelt når tjenesteleverandøren juridisk sett befinner seg utenfor EU og EØS-området. Det er anbefalt å gå igjennom Datatilsynets veiledning om overføring av personopplysninger til utlandet, mer informasjon om det finnes her: http://www.datatilsynet.no/templates/article 2620.aspx. Datatilsynet anser av den grunn en leverandør av Nettsky-tjenester som en databehandler, uavhengig av hvilken tjeneste som leveres, så fremt personopplysningsloven med forskrift har anvendelse. Risikovurdering og informasjonssikkerhet Den behandlingsansvarlige skal, som nevnt tidligere, gjennomføre en risikovurdering for behandling av personopplysninger, jf. personopplysningsforksriften 2 nr. 4. Risikovurderingen skal deretter sammenlignes med akseptkriteriene som ble laget først. På bakgrunn av dette skal det treffes 3 Datatilsynet om Safe Harbor: http://www.datatilsynet.no/templates/article 2626.aspx

adekvate tiltak for å oppnå en tilfredsstillende informasjonssikkerhet for behandling av personopplysningene. For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at tjenesten som blir tatt i bruk møter de kriterier som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Vurderingen må tillegges større vekt når man eksempelvis går fra egen drift av e-post løsninger eller lagring av opplysninger til nettskybaserte løsninger som oppnår samme formål. Det blir faktisk enda viktigere. Spørsmålet blir; Hvordan skal den behandlingsansvarlige forvisse seg at informasjonssikkerheten faktisk er tilfredsstillende? Ettersom nettskybaserte løsninger benytter Internett som hovedkanal for kommunikasjon er det ofte slik at leverandøren kommer med en avtale som kjøper skal signere på. Avtalen innholder vanligvis en del som omhandler informasjonssikkerhet. Det er ikke gitt at en slik avtaler god nok for å forvisse seg om en tilfredsstillende informasjonssikkerhet. Erfaringer fra Danmark viser at leverandører ikke alltid innfrir rimelige forventninger. I en konkret og prinsipiell viktig sak har det danske Datatilsynet tatt stilling i en sak mot en dansk kommune for lagring av sensitive personopplysninger i Nettskyen. Kommunen kunne ikke legge en avtale fra leverandøren til grunn for å si at informasjonssikkerheten var god nok. Tilsynsmyndigheten mente at kommunen med rimelighet måtte forvisse seg om at så var tilfelle. Personopplysningsforksriftens kapittel 2 om informasjonssikkerhet har i tillegg en særlig bestemmelse vedrørende sikkerhetsrevisjon; Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres. Datatilsynet er derfor av den oppfatning at: Databehandler må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger slik at behandlingssansvarlig kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier. Databehandler kan ikke endre informasjonssikkerhetstiltak uten at den behandlingsansvarlig er blitt informert skriftlig og har godkjent endringen, jf. risikovurdering og akseptkriterier.

Informasjonsplikt Det følger av personopplysningsloven 19 at den registrerte skal ha informasjon fra den behandlingsansvarlige om blant annet navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, jf 18 om rett til innsyn. Den behandlingsansvarlige må kunne håndtere de rettigheter den registrerte har etter nevnte bestemmelser. Særlige problemstillinger Nettskyen har i utgangspunktet fordeler i forhold til tradisjonelle leverandører av servertjenester kan Nettskyen tilby mer fleksible og interoperative løsninger. Men slike fordeler fører også med seg noen særlige problemstillinger som kan være nødvendig å adressere hvis man velger en nettsky-basert løsning. Sikkerhetskopiering/Speiling Hvordan fungerer dette? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India. Er en slik redundans i henhold til de avtaler som er inngått, er det nødvendig med en Safe Harbor avtale? Hvordan behandles personopplysningene på det andre stedet? Segmentering Datatilsynet har uttalt ved tidligere anledninger at en behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges personopplysninger. Dette fordi de betraktes som to separate juridiske enheter. Hvordan vil dette bli håndtert? Tilgangsstyring Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangstyring i henhold til lovpålagte krav, egen internkontroll eller andre aktuelle forhold? Se særlig avsnittet over om risikovurdering og informasjonssikkerhet. Autorisert og uautorisert bruk Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften 2-14 og 2-16 siste ledd. Dokumentasjon Er løsningen tilstrekkelig dokumentert med hensyn på kontroll fra offentlig myndighet, se særlig personopplysningsforskriftens 2-16 første og annet ledd. Utlevering til tredjeland Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen. Reguleringen i slike tredjeland kan være en helt annen enn i Norge og dermed kreve forholdsregler. Det vises spesielt til personopplysningslovens 29.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding