Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA
Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester Personvernlovgivning Taushetsplikt, Krav til konfidensiell behandling av informasjon Krav til risikovurderinger og datasikkerhet Krav til lokal lagring f. eks av bokføringsopplysninger og bilag for kontrollformål, eller for arkivformål Jeg vil gjennomgå noen sentrale bestemmelser der lovgivningen stiller krav til sikkerhet Langt fra uttømmende 2
Bakgrunn forretningsmessige drivere Effektiv bruk av IKT er grunnleggende for å fremme Økonomisk vekst, Høy sysselsetting i Norge Globaliseringen av verdensøkonomien gjør det mulig for høykostland å utnytte fordelen ved leveranseplattformer som består av kombinasjoner av ressurser i lavkostland, og ressurser i høykostland som Norge 3
Bakgrunn forretningsmessige drivere Leveransemodeller basert på en kombinasjon av nasjonale og offshore baserte ressurser Er kostnadseffektivt Bidrar til å holde ITkostnadene lavere enn ved bruk av rent nasjonale ressurser Samtidig som man bevarer en lokal touch og forankring av leverandør/- kundeforholdet 4
Norge og global sourcing En hovedutfordring i Norge vil i overskuelig fremtid være Tilgang på ressurser i Norge Mangel på menneskelige ressurser Høye personalkostnader Kun ca 3,000 IT ressurser uteksamineres årlig fra universitetene Betydningen av IT vil bare øke i tiden som kommer 07.12.2012 5
Norge og global sourcing Fokus på leveransemodeller med lokal forankring av Kundeforhold Kunnskap om rammebetingelser og interaksjon med omverdenen Arkitektur og integrasjon Prosjektledelse Kombinert med ressurser i lavkostland «Nearshoring» Ukraina India og Kina blir (er) supermakter grunnet Den store befolkningen, En massiv satsing på teknisk og realfagorientert utdannelse Afrika og Sør-Amerika er de nye vekstkontinentene for offshoring av tjenester 07.12.2012 6
Økt globalisering og behandling av data på tvers av landegrenser har økt utfordringene med etablering av tilstrekkelig datasikkerhet og håndtering av personvern. Ytterligere et nivå av kompleksitet oppstår når data overføres til flere jurisdiksjoner som et ledd i tjenesteyting og databehandling, som f. eks ved sourcing av driftstjenester i lavkostland eller i en cloudløsning
Outsourcing hva er rollene? Selskap som sourcer sin databehandling utenfor egen organisasjon, f. eks i the Cloud er gjerne Databehandlingsansvarlige De har ansvar for oppfyllelse av personvern-lovgivningen og andre rammebetingelser Hvilke lands lover Hvordan overholde restriktivt Europeisk personvernregime Fragmentarisk oppbygget Leverandører vil oftest være Databehandlere Hvor er data Hvem kontrollerer data Hvem har rettigheter til data Hvor godt sikret er data Er flytting av data til Outsourcing- leverandør gjort i overensstemmelse med Personvern-lovgivningen og annen relevant lovgivning? 8
Manglende compliance - stor risiko Eksponerer virksomheten for økonomisk risiko F.eks forsinket gjennomføring og ekstra kostnader ved å skulle gjøre løsningen compliant i etterhånd Kan føre til tap av eller skade på omdømme Regulatører/tilsyn er raske til å bekjentgjøre brudd på rammebetingelser i media, og det kan skade overtreder Kan føre til pålegg fra kontrollmyndighet Prosjekt kan bli stanset, eller det blir stillet krav til endringer i leveransmodell mv. Kan utsette virksomheten for straff Gebyr eller bøter ilagt av kontrollmyndigheten Straffesak reist av politi/påtalemyndigheter 07.12.2012 9
Outsourcing livsløp
Lovgivning knyttet til bank og finans På bank og finansområdet har lovgivningen en rekke krav til risikovurderinger og sikkerhet Betalingssystemloven (LOV 1999-12-17 nr 95: Lov om betalingssystemer m.v.) inneholder i 3-2 et krav om meldeplikt til Finanstilynet om etablering og drift av system for betalingstjenester Denne meldeplikten innebærer også en plikt til å melde fra ved outsourcing av oppgaver knyttet til slik etablering og drift Verdipapirregisterloven 5-1medfører et krav om godkjennelse fra Finanstilsynet ved Outsourcing av tjenester knyttet til drift av verdipapirregister 11
Lovgivning knyttet til bank og finans Hvitvaskingsloven 12 inneholder detaljerte krav om outsourcing av kundekontroll Bokføringsloven 13 pålegger krav om hvor data kan lagres Regnskapsmateriale som nevnt i første ledd nr. 1 til 4 skal oppbevares i Norge i ti år etter regnskapsårets slutt. Unntak er gjort for lagring i land Norge har bilateral avtale om kontroll med skatteopplysninger med. Sverige, Danmark, Island og Finland 12
Lovgivning knyttet til bank og finans IKT-forskriften forvaltes av Finanstilsynet (2003-05-21 nr 630: Forskrift om bruk av informasjonsog kommunikasjonsteknologi (IKT)) Inneholder viktige krav vedr bruk av IKT- teknologi i virksomheter som Finanstilsynet er tilsynsmyndighet for Eksempler på sentrale bestemmelser er 2 om planlegging og organisering av IKTvirksomheten, 3 om Risikoanalyse 12 om Utkontraktering (Outsourcing) 13
IKT-Forskriften 2 Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 14
IKT-Forskriften 3 Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. 15
IKT-Forskriften 12 Utkontraktering - Ansvar Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. 16
Internkontrollforskriften 5 2008-09-22 nr 1080: Forskrift om risikostyring og internkontroll Utkontraktering Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert Det skal foreligge en skriftlig avtale som sikrer dette Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen 17
Personopplysningsloven (POL) kommer til anvendelse Når et norsk offentlig organ eller et privat foretak som er etablert i Norge, behandler personopplysninger Også ved sourcing og offshoring Det organet eller foretaket som kjøper tjenesten, er juridisk ansvarlig «Databehandlingsansvarlig»
Behandlingsansvar Behandling av personopplysninger ved outsourcede tjenester, cloud computing og offshoring omfattes alle av reglene i POL Hvis tjenesten gjennomfører en behandling på vegne av den behandlings-ansvarlige, er de å anse som en databehandler. En leverandør av nettskytjenester som omfatter behandling av Personopplysninger, er således en databehandler, uavhengig av hvilken tjeneste som leveres.
Krav om «Databehandleravtale» Dersom et foretak behandler personopplysninger på vegne av et annet, slik at det førstnevnte blir å regne som det andre foretakets databehandler, jf. lovens 2 nr. 5, følger det av lovens 15 at selskapene må inngå en databehandleravtale. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar. 20
POL 15 - Databehandleravtale En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. 21
POL 13 Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 22
POL 13 Informasjonssikkerhet (forts) En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. 23
Informasjonssikkerhet (POL-forskriften kapittel 2) 2-5 Bestemmelse om sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres.
Datatilsynet krever jfr Microsoft 365 i Moss Kommune: Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger, slik at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier Databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen 25
Risikovurdering og informasjonssikkerhet (Datatilsynet) Den behandlingsansvarlige skal gjennomføre en risikovurdering for sin behandling av personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende informasjonssikkerhet. For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at tjenesten som blir tatt i bruk møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Vurderingen må tillegges større vekt når man går fra egen drift til nettskybaserte løsninger, siden personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Hvordan skal den behandlingsansvarlige forvisse seg at informasjonssikkerheten faktisk er tilfredsstillende?
Databehandleravtalen Skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillende informasjonssikkerhet
Informasjonsplikt Det følger av personopplysningsloven 19 at den registrerte skal ha informasjon fra den behandlingsansvarlige om: Navn og adresse på den behandlingsansvarlige, Formålet med behandlingen, Opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, Det er frivillig å gi fra seg opplysningene, og Annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven.
Særlige problemstillinger Leverandører av nettskytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester, f. eks i form av mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen særlige problemstillinger
Sikkerhetskopiering/Speiling Hvordan fungerer løsningen? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India? Er en slik redundans regulert og beskrevet i de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført?
Segmentering Datatilsynet har uttalt at den behandlingsansvarliges personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig. Hvordan vil dette bli håndtert i en cloudløsning Noe uklart hva Datatilsynet mener med «Sammenblanding»
Tilgangsstyring Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndteres risikovurdering og informasjonssikkerhet.
Autorisert og uautorisert bruk Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsfor skriften 2-14 Dokumentasjon Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter?
The End Arve Føyen Advokat - Partner Mobile: +47 91 81 99 62 E-mail: arve.foyen@foyen.no Internet: www.foyen.no 34