Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014



Like dokumenter
Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Kan du legge personopplysninger i skyen?

Bruk av skytjenester og sosiale medier i skolen

Skytjenester og nytt personvernregelverk

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Tjenester i skyen hva må vi tenke på?

Ny personvernlovgivning er på vei

FORSVARLIG DIGITALISERING

Standarder med relevans til skytjenester

Barns personvern spesielt samtykke til behandling av personopplysninger

Skytjenester bruk dem gjerne, men bruk dem riktig

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Bjørn Erik Thon Direktør

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Nettskyen, kontroll med data og ledelsens ansvar

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Privacy Shield og Skytjenester

GDPR. Advokat Kari Gimmingsrud

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Tilbakemelding - Bruk av nettskyen Microsoft Office Moss kommune

Nye personvernregler

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Kan de nye reglene implementeres med bruk av standarder?

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Stordata og offentlige tjenester personvernutfordringer?

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern i skyen

OUTSOURCING OG PERSONVERN

Vanlige spørsmål om GDPR og helseforskning

Nye personvernregler

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Bestemmelsen i GDPR art. 25 om innebygd personvern

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

DIFI - Seminar om Skytjenester

Et treårig Interreg-prosjekt som skal bidra til økt bruk av fornybare drivstoff til persontransporten. greendriveregion.com

IOT SIKKERHET ELLER OVERVÅKING

Ny personvernforordning

Ny personvernlovgivning er på vei

Arkivering i skyen Faggruppe arkiv, Fagforbundets fagdager onsdag 3. september 2014 Anne Mette Dørum, spesialrådgiver, KS

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Hacking av MU - hva kan Normen bidra med?

EFPIA Disclosure Code - Kort introduksjon og spørsmål til implementering

En praktisk anvendelse av ITIL rammeverket

Improving Customer Relationships

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Informasjonssikkerhet i forordningen

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Blokkering av innhold på internett

Nye personvernregler (GDPR)

Public roadmap for information management, governance and exchange SINTEF

Internet of things. Kari Gimmingsrud

Ansvarlighetsprinsippet og virksomhetens plikter

Internationalization in Praxis INTERPRAX

Ny personvernlovgivning er på vei

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Erfaringer fra en Prosjektleder som fikk «overflow»

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

KIS - Ekspertseminar om BankID

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

Internkontroll og informasjonssikkerhet lover og standarder

Må man være syk i hodet for å ha helseopplysninger i skyen?

GDPR krav til innhenting av samtykke

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler (GDPR)

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Public 360 Online Datasikkerhet

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Rammeverk og metode for aktsomhetsvurdering m.h.t. menneskerettigheter, miljø og korrupsjon hva innebærer det for oppdragsgivere og leverandører?

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Kampanje Event EU GDPR Advokat Rune Opdahl

CRM-løsninger i skyen - hva har du lov til å lagre?

Skytjenester - Risikohåndtering og compliance

Databehandleravtaler. Tommy Tranvik Unit

Transkript:

Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er et syn vi deler med øvrige personvernmyndigheter 17.03.2014 Side 2

Kort om Cloud Computing Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rokker ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler CC betyr ikke fravær av kontroll (i så fall er det uforenelig med regelverket) 17.03.2014 Side 3

Informasjonsverdier Informasjonsverdien som skal sikres er personopplysninger Det er virksomhetens personopplysninger Personopplysningsloven gjelder Hva den ansatte gjør privat er utenfor scope (Men hun gjør det ikke med virksomhetens personopplysninger) 17.03.2014 Side 4

Kort om Cloud Computing (2) Avgrenser oss mot forbrukertjenester (her) Bildelagring på nett Treningsloggen 17.03.2014 Side 5

www.datatilsynet.no 17.03.2014 Side 6

The case against the Municipality of Narvik 17.03.2014 Side 7

Bakgrunn Nettskytjenester hos Narvik Kommune (Google Apps) og Moss kommune (Microsoft Office 365) 2011 Klage på Narviks bruk av Google Apps. Datatilsynet varslet vedtak om opphør Moss kommune: Veiledningsspor Dialog med kommunene og leverandørene 17.03.2014 Side 8

17.03.2014 Side 9

Resultat Åpner for bruk av nettskyen Ingen blancofullmakt Behandlingsansvarlig har ansvaret Skal gjøre selvstendige vurderinger Skal ha kontroll med underleverandører Skal ha tilfredsstillene informasjonssikkerhet Noen forutsetninger: 17.03.2014 Side 10

Forutsetninger 1. Grundige risiko- og sårbarhetsanalyser (POL 13, POF 2-4) 2. Databehandleravtale som er i tråd med norsk regelverk (POL 15 og 13, jf POL 2-15) 3. Sikkerhetsrevisjoner Bruk av tredjepart? (POL 13 jf. POF 2-5, samt POL 14) 4. Databehandleravtalen gjelder! Ikke eventuelle drøye standardvilkår 17.03.2014 Side 11

Problemstillinger 1. Åpenhet 2. Overføring til utlandet 3. Kompliserte avtaler 4. Oppfølging av leverandøren 5. Sikkerhetstiltak (mot eksterne og «mot» leverandøren) 6. Skille mellom ulike behandlingsansvarliges data 7. Dataportabilitiet 8. Databehandleravtalen gjelder! 17.03.2014 Side 12

Ansvaret Ligger ikke i skyen! 17.03.2014 Side 13

Internasjonalt

Internasjonale kilder Article 29 Working Party (Art. 29 WP), Opinion 5/2012 Etterlevelse av personverndirektivet International Conference of Data Protection and Privacy Commissioners, Resolution October 2012 Overordnet Berlin gruppen (the International Working Group on Data Protection in Telecommunications (IWGDPT)), Sopot Memorandum April 2012 Best Practice - kulepunkter 17.03.2014 Side 15

Internasjonale kilder Industrien Arbeider med en Code of Conduct Vil gå gjennom en prosess med Article 29 https://ec.europa.eu/digital-agenda/en/cloudselect-industry-group-code-conduct Nytt regelverk på vei forordningen Gjennom parlialmentet 12/3-14 Neste stop er Rådet http://europa.eu/rapid/press-release_memo-14-186_en.htm 17.03.2014 Side 16

34th International Conference - Resolution the 34th International Conference of Data Protection and Privacy Commissioners recommends that: Cloud computing should not lead to a lowering of privacy and data protection standards as compared with other forms of data processing; Data controllers carry out the necessary privacy impact and risk assessments (if necessary, by using trusted third parties) prior to embarking on CC projects; 17.03.2014 Side 17

34th International Conference Resolution (2) Cloud service providers ensure that they provide appropriate transparency, security, accountability and trust in CC solutions in particular regarding information on data breaches and contractual clauses that promote, where appropriate, data portability and data control by cloud users; cloud service providers, when they are acting as data controllers, make available to users, where appropriate, relevant information about potential privacy impacts and risks related to the use of their services. 17.03.2014 Side 18

34th International Conference Resolution (3) Further efforts be put into research, third party certification, standardisation, privacy by design technologies and other related schemes in order to achieve a desired level of trust in CC; to build privacy thoroughly and effectively into cloud computing adequate measures should be embedded into the architecture of IT systems and business processes at an early stage (privacy by design); 17.03.2014 Side 19

34th International Conference Resolution (4) Legislators assess the adequacy and interoperability of existing legal frameworks to facilitate cross-border transfer of data and consider additional necessary privacy safeguards in the era of CC, and Privacy and Data Protection Authorities continue to provide information to data controllers, cloud service providers and legislators on questions relating to privacy and data protection issues. 17.03.2014 Side 20

Datatilsynet - i front for retten til selvbestemmelse, integritet og verdighet. 17.03.2014 Side 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding