Spørsmålsliste til Microsoft og Office 365

Like dokumenter
Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Personvern - sjekkliste for databehandleravtale

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Public 360 Online Datasikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale etter personopplysningsloven

Databehandleravtale for NLF-medlemmer

Retningslinjer for databehandleravtaler

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Tjenester i skyen hva må vi tenke på?

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtaler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Registrerte og personopplysninger som behandles

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

POWEL DATABEHANDLERAVTALE

Retningslinjer for personvern og markedsføring

Skytjenester i skolen

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Personvernerklæring for Portal Travel AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

DATABEHANDLERAVTALE. mellom. [Kunde] (heretter kalt "Behandlingsansvarlig") PayEx Norge AS, org nr (heretter kalt "Databehandler")

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. Denne avtalen er inngått mellom

Personvernerklæring for Eurofins norske selskaper

Databehandleravtale digitale arkiv og uttrekk for deponering

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale etter personopplysningsloven

Arkivsystemer med skyløsninger

Bilag 14 Databehandleravtale

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Databehandleravtale etter personopplysningsloven

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

3. Databehandleravtale

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Informasjon interesseorganisasjoner

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtaler. Tommy Tranvik Unit

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

EGA Svar på spørsmål, oppdatert pr

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Transkript:

Spørsmålsliste til Microsoft Live@edu og Office 365 Spørsmål fra Moss kommune Kommentar fra DNV Svar fra Microsoft Office 365 Svar fra Microsoft Live@EDU Sikkerhetsdokumentasjon og beskrivelser av løsningen, for å tilfredsstille personopplysningsloven. På Live@edu og office365. (Vi har fått en del på den versjonen som finnes, men ikke for 365). Nøyaktig hvilken dokumentasjon vil komme frem fra risikovurderingen, som det arbeides med i samarbeid med DnV. Kan Microsoft oversende rapport fra revisjon i forbindelse med sertifisering i hht. ISO 27001, SAS 70 og Safe Harbor? Ja. Via Deloitte &Touche Ellers alle sertifiseringer dokumentert på www.globalfoundationservices.co m DnV har mottatt SAS 70 auditrapport på BPOS (Office 365 skal etter plan sertifiseres til SSAE 16 snarest etter lansering). DnV har mottatt auditrapport ISO 27001 for BPOS. MK har mottatt EAS avtale, Databehandleravtalen for EAS, Online Amendment (som omtaler Safe harbour) og SLA. Ift håndtering av personopplysninger møter Microsoft kravene fra EU direktiv 95/46/EC omtales i dataprosessoravtalen. Moss kommune har mottatt Dataprosessoravtale for Live@edu som omtaler de gitte sertifiseringene. Ift håndtering av personopplysninger møter Microsoft kravene fra EU direktiv 95/46/EC omtales i dataprosessoravtalen.

Segmentering - Datatilsynet har uttalt at en behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges Hvilke mekanismer benytter Microsoft for å skille data fra ulike kunder i online services? Hvilke ressurser deles? Eksempelvis: personopplysninger. Hvordan blir dette håndtert i denne løsningen. Er det dedikerte virtuelle maskiner til hver kunde? Speiling eller utlevering av opplysninger til 3.land (for eksempel backup til 3.land) Finnes det tredje parter, eventuelle hvilke kontrakter og avtaler finnes her Hvordan skilles kunder i AD? I MS O365 Security and Continuity Service Description p. 5 beskrives det at OU benyttes til dette. Hvordan benyttes separasjon av forest mellom ulike kunder? Deles databaser? I hvilken grad speiles data fra Moss kommune til land utenfor EU/EØS? Hva kreves for utlevering av data til tredjeland som USA? Hvilke rutiner og prosedyrer følger Microsoft Irland i forhold til dette? Skillet mellom kunder er basert på logisk sikkerhet, det vil si at kundens data er beskyttet gjennom rettigheter og tilgang til data. Det vil ikke være dedikerte virtuelle maskiner for hver kunde, og vi kan heller ikke garantere egne databaser for hver kunde. Hver tjeneste lagrer data på forskjellig vis. Avtalen må være basert på at kunder er ok med Microsoft sin sikkerhetspolicy og ikke en spesifikk fysisk struktur, ettersom fremtidige versjoner av tjenesten kan benytte andre lagringsstrukturer en dagens. SafeHarbor (som er beskrevet i Online Amendment). Se Dataprosessoravtale side 2 pkt E. Potensielle 3 dje parter må overholde de samme standardene som Microsoft. Beskrevet i Dataprosessoravtalen under pkt 11. Skillet mellom kunder er basert på logisk sikkerhet, det vil si at kundens data er beskyttet gjennom rettigheter og tilgang til data. Det vil ikke være dedikerte virtuelle maskiner for hver kunde, og vi kan heller ikke garantere egne databaser for hver kunde. Hver tjeneste lagrer data på forskjellig vis. Avtalen må være basert på at kunder er ok med Microsoft sin sikkerhetspolicy og ikke en spesifikk fysisk struktur, ettersom fremtidige versjoner av tjenesten kan benytte andre lagringsstrukturer en dagens. SafeHarbor (som er beskrevet i Online Amendment side 1 pkt 3) Potensielle 3 dje partner må overholde de samme standardene som Microsoft. Beskrevet i Dataprosessoravtalen under pkt 11.

Tilgangsstyring Hvem hos Microsoft har tilgang til våre data. Er tilgangsstyring i henhold til lovpålagte krav, egen internkontroll eller andre aktuelle forhold. Hvilke roller i Microsoft har tilgang til Moss kommunes data? Hvor mange personer er tildelt slike roller/autorisasjon? Microsoft er ikke datakontroller, men dataprosessor. Våre driftsteam er delt på prosessering og datalagring. Kun kundens admin + MS support Microsoft er ikke datakontroller, men dataprosessor. Våre driftsteam er delt på prosessering og datalagring. Kun kundens admin + MS Innsyn fra brukere til gammel e-post, brukere som har sluttet. Så lenge e- posten finnes hos Microsoft kan eier når som helst kreve innsyn, dette gjelder også tidligere ansatte. Og ved slik innsyns begjæring skal slik tilgang skje uten grunnet opphold. Har Microsoft rutiner for dette. Finnes slette-, backup- og recovery rutiner, disse må dokumenteres. Er en e-postkonto som slettes av administrator i Moss kommune tilgjengelig for restore? I så fall, hvor lenge etter sletting er dette mulig? Kan Moss kommune foreta dette selv? Vi har foreløpig ikke mottatt avtaletekstene og vi antar at det er beskrevet noe rundt slette-, backkup og recovery rutiner. Kan dere oversende teksten til dette i avtaleutkastet? Områder av interesse: Hvor lang tidsperiode med data kan gå tapt? Hvor lenge er en backup tilgjengelig? o Både for eksisterende kontoer og avsluttede kan få tilgang til data. Det er mulig å gjenopprette en slettet e-post inntil XX dager etter sletting. Microsoft supporterer ikke gjenoppretting av slettede e- postkonti. Det er kun hver enkelt bruker som har innsyn i sine e- poster, og har denne retten så lenge brukernavn og passord er gyldig. Dette beskrives i Office 365 Sercurity Description fra side 14-17. support kan få tilgang data. Det er mulig å gjenopprette en slettet e-post inntil 10 dager etter sletting. Microsoft supporterer ikke gjenoppretting av slettede e-postkonti. Det er kun hver enkelt bruker som har innsyn i sine e-poster, og har denne retten så lenge brukernavn og passord er gyldig. Det finne stil en hver tid 3 kopier av mailboksen som finnes i datasenteret og det alternative datasenteret i Nederland.

Tilgang til elektronisk bevis i tvistesaker, straffesaker m.m. hvordan håndteres dette. Se Dataprosessoravtale side 9/10. Terms of Use er underlagt amerikansk rett (Washington State) med King County som tvisteløsningsmekanisme, ref TOU punkt 12 (g). Avtalen (TOU + databehandlervedlegg) inngås med Microsoft i USA. Hva gjelder personopplysninger så forplikter Microsoft seg til ovennevnte TOU punkt 4 siste avsnitt. Safe Harbour er et akseptert grunnlag for flytting av personopplysninger iht EU direktivet som er implementert i norsk rett gjennom personopplysningsloven. Videre påtar Microsoft seg i live@edu databehandleravtale-vedlegget å prosessere personopplysninger iht personopplysningsloven, se SLA mellom Microsoft og Moss kommune må utarbeides. Microsoft har en finansielt backet SLA, dvs. at man får redusert pris ved SLAbrudd. Hvor står dette i avtaletekstene, må oversendes til DNV/Moss kommune. Se SLA, tilbakebetaling etter ulike grader av tjenesteavbrudd er beskrevet per tjeneste. dets punkt 3 annet avsnitt. Finnes ikke for Live@edu Tilbakelevering av våre data ved avslutning av kontraktsforhold, finnes det rutiner for dette. Er det regulert hvilket format/hvilke web services/apier som støttes for en migrering bort fra tjenesten? Hva er regulert? Det er ingen sperrer for utlevering av data. I service description for hver enkelt tjeneste finnes det beskrivelser av hvilke webservices som benyttes Se Dataprosessoravtale side 1 punkt 3

Vi må ha fysisk adgang til kontroll, revisjon og innsyn for å kunne forsikre oss om at lovens krav følges, Individuelle avtaler bør være på plass, innhold eks. Hvilket lands lovgivning gjelder, hvor skal eventuelle saker føres, finnes det avtaler om gjensidig anerkjennelser av dommer i sivile saker Hvordan rapporteres sikkerhetsbrister hos Microsoft til Moss kommune. Rutine for avviksrapportering, må vises Moss kommune. Postkasse full hva gjøres da? (kan jo skje selv ved 25 GB) Hvordan er det sikret at man innsynsrett i forhold til lovens krav? Hva sier avtalene om dette punktet? Det må være tilgang på revisjonsrapporter ifbm sertifisering når disse foreligger. Hvilken jurisdiksjon ligger avtalepartneren inn under? Avtaler som regulerer dette må oversendes DNV/Moss kommune Det er ikke adgang for Microsofts kunder til å fysisk kontrollere våre datasentre. Kunde kan når som helst be om revisjonsrapport fra 3 dje parts revisjonsselskap. Microsoft skriver ikke individuelle avtaler med kunder, og Dataprosessoravtalen (side 9/10) regulerer rettigheter og plikter for Data exporter og Data importer Moss Kommune har gjennom sitt Service Health dashboard tilgang til de ulike tjenestenes status. Ellers vil kundesenteret være tilgjengelig for Ad Hoc henvendelser Iht til ISO sertifiseringer Som ved Exchange On Premises. Varsel ved nesten full mailboks. Read only når grensen nærmer seg. Ved kontakt med kundesenter Iht til ISO sertifiseringer Som ved Exchange On Premises. Varsel ved nesten full mailboks. Read only når grensen nærmer seg.

Finnes rutine for rapportering om endringer av avtaler, sikkerhetstiltak? Og hvordan skal slike endringer godtas av Moss kommune. Avtalen bør inneholde regulering av hva som kan endres uten å endre avtalen. Hvordan håndteres endringer? Avtaler inngår med Moss kommune vil gjelde for hele avtaleperioden og iht til avtaletekst. Våre patche- /oppgraderingsrutiner dokumenteres og sendes kunde til info. Ingen mulighet for reservasjon fra kundens side. Ved versjonsoppgraderinger gis 12 mnd. oppgraderingsvindu for Avtaler inngår med Moss kommune vil gjelde for hele avtaleperioden og iht til avtaletekst. Hva med logging Autorisert og uautorisert bruk: Se 2-14 og 2-16 siste ledd i personopplysningsforskriften. Hindre uautorisert bruk, registrere det. Samt tiltakene ikke skal kunne omgås. Opplysningen må lagres i minst 3 måneder, dette gjelder også andre hendelser med betydning for informasjonssikkerheten. Vil sky -kalenderen bli synkronisert med Trio (sentralbordet) Eventuelle vedlegg i e-post, hvordan behandles disse og hvor lagres disse Hvilken informasjon logges? Hvilken logginformasjon vil være tilgjengelig for Moss (online og på forespørsel)? Hvordan håndteres dette hos Microsoft? kunden. Logging av hendelser og endringer ift ISO 27001 (Microsoft Solution Framework). For hvilke data som logges se Security Service Description side 9 Se Security Service description. Dette er summen av tiltak Microsoft følger for å sikre kundens data. Gjennom Dataprosessoravtalen sikres det at Microsoft behandler data iht EU 95/46/EC mtp personopplysningsloven Kan gjøres ved integrasjon (ikke som standard). Lagres i mail-store. Logging av hendelser og endringer ift ISO 27001 (Microsoft Solution Framework). Kan gjøres ved integrasjon (ikke som standard). Lagres i mail-store.

En tegning og forklaring av sikkerhet i www.globalfoundationservices.c løsningen om Det er et behov for en overordnet beskrivelse og illustrasjon av sikkerhetsløsningene i løsningen. For eksempel hvordan Forefrontløsninger spiller inn (er disse også plassert i Irland?). I hvilken grad er Forefront inkludert eller en tilleggsopsjon? AV/AS er inkludert i tjenesten. Se www.globalfoundationservices.co m

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding