Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Like dokumenter
Skytjenester bruk dem gjerne, men bruk dem riktig

Bjørn Erik Thon Direktør

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Kan du legge personopplysninger i skyen?

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Databehandleravtale etter personopplysningsloven m.m

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Er offentlig sektor bevisst farene ved bruk av teknologi? Bjørn Erik Thon Direktør Datatilsynet

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Bilag 14 Databehandleravtale

Deres referanse Vår referanse Dato 15/ /JSK

Databehandleravtaler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Retningslinjer for databehandleravtaler

Personvern-rett H2016

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale for NLF-medlemmer

Skytjenester i skolen

Nettskyen, kontroll med data og ledelsens ansvar

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Vår referanse (bes oppgitt ved svar)

Databehandleravtaler. Tommy Tranvik Unit

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Databehandleravtale etter personopplysningsloven

POWEL DATABEHANDLERAVTALE

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Tjenester i skyen hva må vi tenke på?

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale etter personopplysningsloven

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Arkivsystemer med skyløsninger

Databehandleravtale etter personopplysningsloven

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Databehandleravtale digitale arkiv og uttrekk for deponering

Registrerte og personopplysninger som behandles

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Bruk av skytjenester og sosiale medier i skolen

Personvern - sjekkliste for databehandleravtale

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Arkiv skal ikkje førast ut or landet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale etter personopplysningsloven

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Public 360 Online Datasikkerhet

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Personvern i skyen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Databehandleravtale etter personopplysningsloven

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Pålegg om stans av behandling av personopplysninger - Gator AS

Arkivet i skyen Serveren på månen

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Transkript:

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss Bjørn Erik Thon

God informasjonssikkerhet er viktigere enn noen gang 16.10.2012 Side 2

16.10.2012 Side 3

16.10.2012 Side 4

16.10.2012 Side 5

16.10.2012 Side 6

Narvik-saken, og bruk av Google Apps - Saken har vært behandlet som en tradisjonell forvaltningssak - Hvilke personopplysninger behandles i Google Apps? - Den risikovurdering kommunen har fortatt - Kopi av avtalen + ev databehandleravtale - Segmentering av data - Lagringssted - Hvem har tilgang hos Google? - sett i lys av bl.a. sikkerhetsforskriftens krav til risikovurdering og sikkerhetsrevisjon 16.10.2012 Side 7

Nettskyen Narvik-saken Google Apps - Varsel om vedtak mot kommunen i januar 2012 - Usikkerhet rundt risikovurderinger - Ingen databehandleravtale (avtalen hensikt, formål, plikter, forhold til underleverandør, sikkerhet, revisjon mv) - Vet ikke i hvilket land dataene er lagret - Kan ikke gjennomføre sikkerhetsrevisjoner - Hvem har tilgang hos Google? - Uklarhet rundt segmentering 16.10.2012 Side 8

Hva er endret i tjenesten siden januar? - Risikovurderinger - Databehandleravtale - Revisjon av tredjeparter - Databehandleravtalen må trumfe Googles generelle vilkår - Klarhet om overføring til utlandet 16.10.2012 Side 9

Risikovurderinger Personopplysningsforskriftens 2-4 Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. 16.10.2012 Side 10

Risikovurderinger Narvik kommune: En flytting av e-postløsning til Google Apps vil på enkelte aspekter gi likt risikobilde som for gammel, men på mange områder innebærer ny løsning redusert risiko. Lagring av e- post data utenfor kommunens datasenter vil gi en lavere risiko med hensyn til konfidensialitet, integritet og tilgjengelighet. 16.10.2012 Side 11

Risikovurderinger Datatilsynet anser risikovurderingen som tilfredsstillende men ønsker å påpeke viktigheten av at kommunen gjennomfører ny risikovurdering ved endringer som har betydning for informasjonssikkerheten I tillegg: Viktig hvilken type opplysninger som behandles i tjenesten 16.10.2012 Side 12

Revisjon fra tredjeparter - Loven stiller krav om at det skal gjennomføres sikkerhetsrevisjoner og at resultatet av sikkerhetsrevisjonen skal offentliggjøres - Berlin gruppen og WP29 har åpnet for at sikkerhetsrevisjoner kan gjennomføres av tredjeparter - Tredjepartsrevisjonen må tilfredsstille en del vilkår - Uavhengig, regelmessig, kommunen må motta rapporter som er relevant for de data som behandles pva kommunen osv 16.10.2012 Side 13

Databehandleravtaler - Rettslig grunnlag: POL 15 - Grunnkrav til databehandleravtaler: Avtalens hensikt, formål, databehandlers plikter, bruk av underleverandør, sikkerhet, sikkerhetsrevisjoner, avtalens varighet, ved opphør, meddelelser, samt lovvalg og verneting. - Særlig viktig: Formålsavgrensninger, forbud mot å utlevere data til andre, informasjonssikkerhetstiltak - Datatilsynet fant at databehandleravtalen oppflyte lovens krav 16.10.2012 Side 14

Databehandleravtalen må trumfe Google/Microsofts generelle vilkår 16.10.2012 Side 15

16.10.2012 Side 16

16.10.2012 Side 17

Nye personvernvilkår 16.10.2012 Side 18

Klarhet om overføring til utlandet - Lovens krav: Data kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. - I praksis vil dette si at overføring av persondata til andre land enn medlemsstatene i EU og EØS-landene, som hovedregel er utelukket. - Unntak: For eksempel kan dataeksportøren gi individuelle garantier, eller EU-kommisjonen kan ha besluttet at visse enkeltstater er trygge mottakerstater. - Safe Harbour 16.10.2012 Side 19

Hva nå? 16.10.2012 Side 20

Er det fritt fram? - Nei - Gode risikovurderinger er helt sentralt - I sammenheng med dette; særlig viktig hvilke type data som skal lagres i skyen - Det er stor forskjell på leverandørenes seriøsitet - Det er stor forskjell på skytjenestene - Dette er fortsatt et nytt marked

Datatilsynets informasjonsmateriale om skytjenester 16.10.2012 Side 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding