Juridiske utfordringer med digitalisering

Like dokumenter
Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Skyløsninger. Sikkerhet og leveransemodell

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Skytjenester (Cloud computing)

HVA ER SKYTJENESTER? Balanserte anskaffelser 19.juni

Nettskyen, kontroll med data og ledelsens ansvar

Azure Stack. - når skyen blir lokal. Foredragsholder: Odd Egil Bergaust

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Tredjepartsvilkår. Charlotte Lindberg Difi

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Personvern i skyen Medlemsmøte i Cloud Security Alliance

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Dataforeningens nye Avtale for Skytjenester

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Veiledning ved anskaffelse av nettskytjenester

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Nye kontraktsreguleringer i vår digitale virkelighet - et innblikk i utviklingen som skjer med Statens standardavtaler

PRAKTISKE ERFARINGER MED DATAFORENINGENS SKYTJENESTEAVTALE. IT-kontraktsdagen 2017

Systemleverandører anno 2011

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Smarte bygg og personvern

Arkivsystemer med skyløsninger

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

GDPR Prosjektgjennomføring Sjekkliste

Public 360 Online Datasikkerhet

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

DATABEHANDLERAVTALE. 1. Bakgrunn

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

KS FoU-prosjekt : Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Bjørn Erik Thon Direktør

Presentasjon avtale om løpende tjenestekjøp (SSA-L)

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

«Datamaskinen» - et datasenter

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Ny personvernlovgivning

Vekstkonferansen: Vekst gjennom verdibaserte investeringer. Thina Margrethe Saltvedt, 09 April 2019

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Kampanje Event EU GDPR Advokat Rune Opdahl

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Juridiske aspekter ved publisering i åpne institusjonelle arkiv

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Bilag 14 Databehandleravtale

GDPR og ny lov om personvern

Studierektor/Associate Dean Handelshøyskolen BI Institutt for ledelse og organisasjon Bedriftsrådgiver BHC A/S

Skytjenester i skolen

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi

Arkiv skal ikkje førast ut or landet

Rammeavtalen Rammeavtale om kjøp av varer og tjenester innen IKT og konsulenttjenester

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller:

GDPR FOR EIENDOMSSELSKAPER

GDPR. Advokat Kari Gimmingsrud

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

6105 Windows Server og datanett

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

6105 Windows Server og datanett

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Arkivet i skyen Serveren på månen

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Agenda. 1. Hvilke regler gjelder ved markedsføring. 2. Typetilfelle: Annonsering på nettsteder og i sosiale medier

Barns personvern spesielt samtykke til behandling av personopplysninger

Hvordan forene GDPR-kravene til samtykker med kommersielle behov?

GDPR krav til innhenting av samtykke

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Transkript:

Juridiske utfordringer med digitalisering 1_Tittellysbilde Advokatene Lars Giske, Knut Olav Fiane og Jarle Langeland 1

Hovedutfordringer Juridiske hindre i lov Dårlige avtaler 2

Noen klassiske regulatoriske rammebetingelser som skaper utfordringer for kundesiden. Rammebetingelser i finanssektoren IKT-forskriften om utkontraktering Krav til lokal stedlig inspeksjon hos Amazon, Google, Microsoft osv? Markedsføringslovgivningen forbrukerbeskyttelse Elektronisk markedsføring Regler om oppbevaring av regnskapsmateriale (i Norge) Arkivloven Persondatalovgivning Krav om behandling av personopplysninger i «land med tilfredsstillende nivå av personvernlovgivning» 3

Regulatoriske rammebetingelser for nye produkter/tjenester Et vell av ulike regler kan påvirke muligheten for å lansere nye disruptive produkter/tjenester Avhenger av hva som er forretningsmodellen Kartlegg på et tidlig tidspunkt om digitaliseringen utfordrer Aktuelle og potensielle aktører involvert Data og datakilder involvert (både persondata og andre data) Aktuelle personkategorier berørt (kunder, ansatte, leverandører, tredjeparter) Relevante rammebetingelser og regelverk som må overholdes Finn ut (kartlegg) hva som er handlingsrommet i Gjeldende regelverk Regelverk under utarbeidelse Forsøk å påvirke kommende regelutforming 4

Avtalemessige utfordringer Alle de klassiske utfordringene gjelder fortsatt Bruk tid på å sondere markedet, forstå hva du trenger Lag en god kravspesifikasjon fokuser på hva og ikke hvordan Vært presis i kravstilling Osv, osv 5

Skytjenester Datatilsynet https://www.datatilsynet.no/teknologi/skytjenester---cloud-computing/hva-er-nettskytjenester/ Ulike former for skytjenester Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er: Programvare som tjeneste (software as a service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter. Plattform som tjeneste (platform as a service - PaaS), hvor kunden innfører applikasjoner utviklet/kjøpt av kunden i leverandørens nettsky-infrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter. Infrastruktur som tjeneste (infrastructure as a service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden). Skytjenester kan i tillegg deles inn i leveransemodeller som: Allmenn tilgjengelig sky (public cloud), hvor skytjenestene gjøres tilgjengelige av leverandøren for alle kunder. Privat tilgjengelig sky (private cloud), hvor skytjenestene gjøres tilgjengelige kun for de virksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky. Hybridsky (hybrid cloud), som kan være en blanding av modellene over. Tittel på presentasjon 6

Cloud avtalevilkår - eksempler Dataforeningens skytjenesteavtale SSA-L Cloud leverandørs vilkår Amazon Salesforce Tittel på presentasjon 7

Dataforeningens skytjenesteavtale https://www.dataforeningen.no/skybaserte-tjenester.400562.no.html «Skytjenesteavtalen skal dekke behovet for kunder som ønsker at en leverandør skal tilpasse, utvikle og integrere en eller flere standard skytjenester, både egne og fra en eller flere underleverandører. Skytjenesteavtalen vil typisk inkludere tjenester som eller inngår i drifts- og vedlikeholdsavtaler kombinert med IT-utvikling og -tilpasning.» Avtalen fordrer en integrator som er villig til å ta et mellomansvar. Hensiktsmessighet? Tittel på presentasjon 8

Statens Standardavtale Løpende tjenestekjøp https://www.anskaffelser.no/it/skytjenester-cloud/hvilke-kontrakter-egner-seg-ved-anskaffelser-av-skytjenester.. best egnet for tjenester som er utviklet av Leverandøren (og ikke av tredjepart) og for enkle Saas-tjenester med begrensede eller ingen tilpasninger. Under denne avtalen er avtalemekanismen at tredjeparts lisensvilkår i et slikt tilfelle kan vedlegges, men ikke øvrige avtalevilkår. Leverandørens ansvar under denne avtalen begrenses delvis av tredjeparts lisensvilkår vedrørende disposisjonsrett. Videre begrenses Leverandørens ansvar av tredjeparts lisensvilkår ved eventuelle rettsmangler samt ved feil i standardprogramvaren som krever tilgang til kildekoden for å kunne rettes, jf. SSA-L punkt 2.1.2. Leverandøren vil imidlertid under denne avtalen være ansvarlig for eventuelle avvik mellom tjenestevilkårene og avtalens vilkår. Tittel på presentasjon 9

Salesforce https://www.salesforce.com/company/legal/agreements.jsp Salesforce Master Subscription Agreement Ytelse 3.1 SLA.commercially reasonable efforts.. 9.2 Our warranties:. We will not materially decrease the overall security of the Services.. We will not materially decrease the overall functionality of the services Kommersielt 4.1 / 4.2 abonnements tjeneste usage limits hva skjer ved overforbruk? Suspensjon av tjeneste 6.4 Suspension - We will give you at least 10 days prior written notice that your account is overdue.before suspending services to you. Lovvalg og verneting 13.1 - England Tittel på presentasjon 10

Amazone https://aws.amazon.com/agreement/ AWS Customer Agreement Ytelse Endringe av ytelse kap 2.1. We may change or discontinue any or all of the Service Offerings or change or remove functionality of any or all of the Service Offerings from time to time. We will notify you of any material change to or discontinuation of the Service Offerings. Kommersielt Endring av avtale kap 12 Leverandør kan ensidig andre avtalevilkår akseptert av kunde ved fortsatt bruk av tjenesten. Opp til 90 dagers varsel ved større endringer Prisendring kap 5 Leverandør kan ensidig endre pris på 30 dagers varsel. Suspensjon / oppsigelse Suspension kap 6 bred adgang til å suspendere tjenestene, inkludert for ethvert mislighold. Oppsigelse kap 7 Leverandør kan si opp avtalen med 30 dagers varsel Lovvalg og verneting kap 13.4 Laws of state of Washington Kap. 13.5 voldgift basert på American Arbitration Association Tittel på presentasjon 11

Oppsummering Akseptere at man kjøper «public cloud» og dermed akseptere utgangspunkt i cloud leverandørs standardavtale og standard tjeneste. Les og vurder standard skytjenestevilkår nøye ut fra behov bak anskaffelsen. Identifiser fallgruver, showstoppere mv og legg en strategi for å forhandle ønskede endringer med relevante cloud leverandører avhengig av hva man må endre kan det være mulig. Sikre at behovene faktisk blir levert til rett pris er det hensiktsmessig med integrator som mellommann? Bruk evalueringskriterier for å skille mellom skytjenestenes kvalitet og vilkår Tittel på presentasjon 12

Personopplysninger over alt Digitalisering betyr mer data inkludert flere personopplysninger Lovgivningen oppdateres personopplysningsforordningen og kommunikasjonsvernforordningen er EUs svar på utviklingen Komplekse regelverk, med større nedslagsfelt enn hva man skulle tro Også i bilen til Knut 13

14

15

16

Personvernrettens krav Virksomheten må ha full kontroll over hvilke personopplysninger som behandles, på egne vegne og for andre (GDPR art. 30) Krav til databehandleravtaler med kunder og underleverandører (også av firmabilen?) (GDPR artikkel 28) Behandlingsgrunnlag (GDPR artikkel 9) Informasjon til den registrerte (GDPR artikkel 17 og 18) 17

Kontroll på all behandling av personopplysninger GDPR artikkel 30: Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information: (a) the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer; (b) the purposes of the processing; (c) a description of the categories of data subjects and of the categories of personal data; (d) the categories of recipients ( ) 18

Databehandleravtaler Med alle som behandler personopplysninger på bedriftens vegne Mer tilpassede tjenester, analyse og fjerntilgang -> mer behandling av personopplysninger Printere Sensorer Bilen til Knut? Skjerpede krav til databehandleravtaler fra mai 2018 (GDPR artikkel 28) Kan din leverandør levere på disse? Høyt bøtenivå for manglende databehandleravtaler Ansvarsbegrensninger 19

Behandlingsgrunnlag Etter personopplysningsloven og General Data Protection Regulation må all behandling av personopplysninger ha et behandlingsgrunnlag Samtykke fra den registrerte er ofte eneste mulighet, og i økende grad krevende å få til riktig Frivillig, informert, uttrykkelig, og utvetydig Skal kunne trekkes tilbake til enhver tid Automatiserte løsninger er ofte å foretrekke («Privacy Dashboard») Samtykke ved innstillinger i utstyr og skilting - kommunikasjonsvernsforordningen 20

21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding