Privacy Shield og Skytjenester

Like dokumenter
Kan du legge personopplysninger i skyen?

Personvern i skyen

Bruk av skytjenester og sosiale medier i skolen

Skytjenester og nytt personvernregelverk

Informasjonssikkerhet i forordningen

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Bedre personvern i skole og barnehage

Personvern og informasjonssikkerhet ved anskaffelser

Nye personvernregler fra 2018

Nye personvernregler (GDPR)

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Nye personvernregler (GDPR)

Nøkkelen til morgendagens personvern innebygd personvern

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Personvern og informasjonssikkerhet i UH sektoren

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nye personvernregler

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Nye personvernregler fra mai 2018, hva nå?

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Tjenester i skyen hva må vi tenke på?

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

DIFI - Seminar om Skytjenester

Personvern-rett H2016

GDPR. Advokat Kari Gimmingsrud

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nytt personvernregelverk på 1-2-3

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Personvern barnehagen

Nye personvernregler fra mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Nye personvernregler og innebygd personvern

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Skytjenester bruk dem gjerne, men bruk dem riktig

GDPR og samtykke. DSOP, 29. august 2017

Nye personvernregler

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Kampanje Event EU GDPR Advokat Rune Opdahl

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

OUTSOURCING OG PERSONVERN

Databehandleravtaler. Tommy Tranvik Unit

Underbygger lovverket kravene til en digital offentlighet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Databehandleravtale for NLF-medlemmer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Utelukkelse Utlendingsloven 31

Nåværende EU-rett Dir 96/3/EC

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personvernforordning

Internkontroll og informasjonssikkerhet lover og standarder

Personvern for apputviklere

Utelukkelse Mars 2010

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Ny personvernforordning. ny hverdag for bransjen?

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Oppfordring til utviklere

Blokkering av innhold på internett

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personopplysningsloven og annet «snacks»

Personvern - sjekkliste for databehandleravtale

Nye personvernregler

Retten til behandling etter grove menneskerettighetsbrudd

GDPR Nye personvernregler i 2018

GDPR - viktige prinsipper og rettigheter

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Et treårig Interreg-prosjekt som skal bidra til økt bruk av fornybare drivstoff til persontransporten. greendriveregion.com

Nye personvernregler fra mai 2018, hva nå?

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Ny personopplysningslov (GDPR) Etter snart 8 måneder, hva har skjedd?

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Transkript:

Privacy Shield og Skytjenester

Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 46 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv) Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og sletting på nett) Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.) Faggruppe 4 (helse, forskning) Informasjonsavdeling Administrasjonsavdeling 2

Agenda Personopplysninger Privacy Shield hva nå Skytjenester Problemstillinger som må vurderes Thinkstock.com 3

Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com 4

Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 5

Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 6

EU U.S. Privacy Shield

Safe Harbor, og Schrems-dommen Snowden avsløringene som start Hva myndighetene i USA faktisk samler inn og har lovlig tilgang til 96 As has been found in particular in paragraphs 71, 73 and 74 of the present judgment, in order for the Commission to adopt a decision pursuant to Article 25(6) of Directive 95/46, it must find, duly stating reasons, that the third country concerned in fact ensures, by reason of its domestic law or its international commitments, a level of protection of fundamental rights essentially equivalent to that guaranteed in the EU legal order, a level that Mangel på åpenhet, forskjell på borgere og utlendinger Vide tilganger til kommunikasjon Mangel på effektive juridiske rettsmidler For å ha is en apparent tilstrekkelig in particular beskyttelse from the preceding for europeiske paragraphs of borgere the present må et tredjeland 94 judgment. In particular, legislation permitting the public authorities to have access kunne vise on a til generalised en beskyttelse basis to the av content personopplysninger of electronic communications som er ekvivalent must be til den borgere har regarded 95 i Likewise, (EU)Europa. as compromising legislation the not essence providing of the for fundamental any possibility right for to an respect for private individual life, to as pursue guaranteed legal by remedies Article 7 of in the order Charter to have (see, access to this to effect, personal judgment data relating Digital to him, Rights or to Ireland obtain and the Others, rectification C-293/12 or erasure and C-594/12, of such data, EU:C:2014:238, does not respect paragraph the essence 39). of the fundamental right to effective judicial protection, as enshrined in Article 47 of the Charter. The first paragraph of Article 47 of the Charter requires everyone whose rights and freedoms guaranteed by the law of the European Union are violated to have the right to an effective remedy before a tribunal in compliance with the conditions laid down in that article.

Født som - Safe Harbor 2.0 Viktig for mange parter Arbeidet startet lenge før Schrems-dommen En viktig forskjell er at den nye avtalen har noen som skal etterse at den overholdes. 9

Hva er Privacy Shield 10

Blir bedre Safe Harbor Privacy Shield Bare basert på selvsertifisering Ikke noen klagemulighet Ikke noen tilsynsmyndighet Ikke forpliktelser fra offentlige instanser Sertifisering OG kontroll med at vilkårene følges. Flere, DoC, FTC, Ombudsmann FTC - kontaktpunkt Årlig gjennomgang av adekvans beslutningen og innholdet i avtalen. Joint Review mekanisme

Ekvivalent ivaretar essensielle prinsipper 1. Behandling av personopplysninger skal skje i henhold til lov og på klare, presise og tilgjengelige regler: dette betyr at alle som er rimelig informert bør være i stand til å forutse hva som kan skje med hennes / hans data, og hvor de blir overført; 2. Nødvendighet og forholdsmessighet skal være til stede med hensyn til de legitime formål som søkes nådd og det skal være dokumentert en balanse mellom hensynet til dataene som er samlet inn og brukes og rettighetene til den enkelte; 3. En uavhengig tilsynsmekanisme må være tilgjengelig som både er effektiv og upartisk: Dette kan enten være en dommer eller en annen uavhengig instans, så lenge den har tilstrekkelig evne til å gjennomføre nødvendige kontroller; 4. Effektive forfølgningsmåter må være tilgjengelig for den enkelte: alle bør ha rett til å forsvare hans / hennes rettigheter overfor et uavhengig organ. 12

Hva nå? Privacy Shield er oppe og går! Adekvansbeslutning fra EU-kommisjonen Article 1 1. For the purposes of Article 25(2) of Directive 95/46/EC, the United States ensures an adequate level of protection for personal data transferred from the Union to organisations in the United States under the EU-U.S. Privacy Shield. 2. The EU-U.S. Privacy Shield is constituted by the Principles issued by the U.S. Department of Commerce on 7 July 2016 as set out in Annex II and the official representations and commitments contained in the documents listed in Annexes I, III to VII. 3. For the purpose of paragraph 1, personal data are transferred under the EU- U.S. Privacy Shield where they are transferred from the Union to organisations in the United States that are included in the Privacy Shield List, maintained and made publicly available by the U.S. Department of Commerce, in accordance with Sections I and III of the Principles set out in Annex II. 13

Noen deler gjenstår Felles og ensartet kommunikasjon med DoC «informal panel of DPAs» Forutsatt i EU US Privacy Shield «EU cetralized body» WP 29 har hatt dette spørsmålet oppe Blir antagelig en gruppe knyttet til WP 29 Senere EDPB (som følger av GDPR) EU tilsynsmyndigheter (DPAer) og Joint Review Tenke over hva vi ønsker skal sees på Kontakt mellom presidenten i WP 29 og DoC og FTC 14

Skytjenester

Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rettslig endrer det ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 16

Ulike typer av skytjenester Kilde: Enisa «Cloud Security Guide for SMEs» 17

Outsourcing av oppgaver er forskjellig i ulike tjenestetyper Kilde: Enisa «Cloud Security Guide for SMEs» 18

Viktige lovkrav ved bruk av skytjenester Internkontroll pol 14 og pof kapittel 3 Informasjonssikkerhet pol 13 og pof kapittel 2 Databehandlere pol 15 og 13 pof 2-15 og hele kapittel 2 Andre relevante krav pol 11 b) «uttrykkelig angitt formål» pol 29, 30 - overføring til utlandet pol = personopplysningsloven pof = personopplysningsforskriften 19

Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 21

Hvem og hva kan vi kontrollere Behandlingsansvarlig - virksomheten Databehandler - leverandør av skytjeneste Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandlers plikter Sikkerhetskrav 22

Risikovurdering Thinkstock.com 23

Sikkerhetsrevisjon istock.com

Erfaringer fra tilsyn 25

Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding