Egenerklæring uten penn og papir. 27. april 2011 Unni Solås

Like dokumenter
Juridiske problemstillinger ved avskaffelsen av papirskjema

HVA INNEBÆRER DET Å VÆRE.NO REGISTRAR? Grunnkurs Våren 2007 Marit Østlyng

Innføring av domeneregistreringer med elektroniske egenerklæringer

HVA INNEBÆRER DET Å VÆRE.NO-REGISTRAR? Grunnkurs Høsten 2006 Ingrid Ofstad

Registrarordningen i teori og praksis. Norids registrarseminar 8. November 2006 Hilde Thunem

Hvordan skrive en søknad? Grunnkurs Oslo, 25. april 2007 Unni Solås

BEHANDLING AV KUNDEDATA Oversikt over Norids behandling av data om domeneabonnenter. Innhold. Norids behandling av kundedata. Dato:

VELKOMMEN SOM REGISTRAR FOR.NO

Aktuelt fra Norid. 27. April 2011 Hilde Thunem

Hvordan skrive en søknad? Grunnkurs Høsten 2006 Unni Solås

Registrarmodellen. Hilde Thunem NORID. Norids registrarseminar

Omlegging til nytt registreringssystem. 25. august 2010 Unni Solås

Registrarordningen i fokus Norids registrarseminar 11. november 2005 Hilde Thunem

Fra Dot-Enno: Peter Larsen, Kristian Ørmen, Benny Samuelsen Fra Norid: Elisabeth Farstad, Jarle Greipsland, Monika Hassel, Unni Solås

Gjengangere fra kundesenteret. Grunnkurs Høsten 2006 Unni Solås & Trond Haugen

3. Hvordan og hvor mye bruker registrarene Whois? (Norid v/rs)

JURIDISKE UTFORDRINGER

3. Norid: Åpning av.no for privatpersoner. Synspunkter på prosessen og kampanjen?

Referat. Saksliste. Referat. Møte mellom Norid og Dot-Enno. Dato: kl Norids kontor i Oslo

Klageordningen for.no. Grunnkurs Høsten 2006 Unni Solås

Registrarundersøkelsen Registrarseminar Oslo, 21. november 2007 Marit Østlyng

Nye tider og nye modeller Norids registrarseminar 26. oktober 2004 Hilde Thunem

Referat. Saksliste. Referat. 1. Godkjenning av referat fra siste møte 12. juni Gjennomgang av aksjonslista

Personvernerklæring for Webstep AS

Prosedyre for personvern

GDPR Prosjektgjennomføring Sjekkliste

«Digitalisering i nytt regelverk krav og muligheter»

Brukerundersøkelse blant Norids registrarer. Grafikkrapport med kommentarer. Statskonsult

VERDIGRUNNLAG. Visjon.no-domenet skal forvaltes til samfunnets beste

Diabetesforbundet. Personvernerklæring

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

24. mai 2018 Web telefonterror.co.no er forpliktet til å beskytte og respektere ditt privatliv

DOK fortumnett.no

Hva vil det si å være registrar i 2008? Og hva med fremtiden? Norids registrarseminar 27. november 2008 Hilde Thunem

DNSSEC-prosjektet Trond Haugen Prosjektleder DNSSEC

Behandlingsansvarlig Daglig leder i Enovate AS er øverste behandlingsansvarlig for personopplysningene vi behandler om deg.

PROEX.NO. En webbasert samhandlingsløsning. Utviklet av Eskaler as. Rogaland Kunnskapspark Postboks 8034 Postterminalen 4068 Stavanger

Noen klagesaker er opplagte, som da Domeneklagenemnda fikk inn en klage fra den kjente dekkforhandleren Sharifs Dekksenter i Skedsmo.

Referat. Saksliste. Referat. 1. Godkjenning av referat fra siste møte 5. mars Gjennomgang av aksjonslista

Personvernerklæring Meldal Regnskapskontor SA

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Draupne Norids nye registrysystem

Video om xid er tilgjengelig her:

Mal for innhenting av informert samtykke

Policy for oppbevaring av ansattes personopplysninger

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

STIKKORD: travprat.no/ Domeneforskriften 4 og 7, Norids regelverk pkt og vedlegg H

Oppbevaring og sletting av kundeopplysninger. Complianceseminar VFF 1. september 2015 Cecilie Kvalheim

PERSONVERNERKLÆRING OG RETNINGSLINJER FOR BRUK AV INFORMASJONSKAPSLER

Lydopptak og personopplysningsloven

Hva må registraren passe på? -varemerke-foretaksnavn-domenenavn

DOK somsenter.no

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Barn og unges personopplysninger: Retningslinjer for innhenting og bruk

Personvern og kundedata

3. Status fra forprosjektet med målgruppeanalyse for utvikling av Norid-weben (Norid v/ef)

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

GDPR i et nøtteskall

De opplysningene vi henter inn skal være tilstrekkelige og relevante for å behandle saken din. Opplysningene skal være av så god kvalitet som mulig.

Brukerveiledning for kontaktpersoner i kommuner og fylkeskommuner

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Hvis du ikke forstår deler av betingelsene, anbefaler vi at du tar kontakt med salgsadministrasjonen, før du begynner å bruke hjemmesiden.

Barn og unges personopplysninger: Veiledning for innhenting og bruk

EN VEILEDER FOR DOMMERE, PÅTALEMYNDIGHET, DOMENEKONFLIKTER I RETTSSYSTEMET

DOK segwaytourstavanger.no

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

DOK pizbuin.no

Utvekslingsavtale for ehandelsmeldinger

Hvis vi gjør større endringer i vår personvernerklæring, vil vi gi deg beskjed, og ved behov be om ditt samtykke på nytt.

Insights Grants. Søknadsportal for BUFDIR og Fordelingsutvalget

Fakturering og fornying av domener. Grunnkurs Høsten 2006 Marit Østlyng

Digitale signaturer Kostnadsbesparelsen ved å eliminere papirbaserte godkjennelser er mer enn kr pr. ansatt med fullmakt til å signere pr. år!

Bilag 14 Databehandleravtale

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Net Design Media forplikter seg til å gjøre produktet tilgjengelig for deg innen avtalt tid etter bestilling.

Domenenavn under.no - Konkurranseanalyse

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Vedlegg 2 Fullmakt ved operatørbytte

Hvordan bruke Helsegris for produsenter Innhold:

DOK finnogspar.no

Registrerte og personopplysninger som behandles

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Brukerundersøkelse. Utført blant 600 domeneabonnenter i mars 2005

Dokumentasjon for seriøsitet nytt felles europeisk egenerklæringsskjema

Derfor trenger du BankID på nettstedet ditt

EN VEILEDER FOR DOMMERE, PÅTALEMYNDIGHET, DOMENEKONFLIKTER I RETTSSYSTEMET

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

DNSSEC arbeidsmøte Trond Haugen Prosjektleder DNSSEC

Personvernerklæring for Clemco Norge AS

Internasjonale aktører i domeneverden. Registrarseminar 8. november 2006 Hilde Thunem

STIKKORD: abus.no/ Domeneforskriften 4 og 7,

Personopplysningsloven

DOK listerregnskap.no

STIKKORD: inbound.no, Domeneforskriften 4 og 7,

Hvordan kvitte seg med papirveldet?

Sekretariatets vurdering av om klagen skal tas under behandling

GDPR (personopplysningsloven)

Transkript:

Egenerklæring uten penn og papir 27. april 2011 Unni Solås

Agenda Hvorfor er vi her? Hvorfor blir vi ikke helt kvitt egenerklæringen? Modell 1 Modell 2 2

Hva handler dette møtet om? Papir og håndsignatur har vært i bruk ved registrering, sletting og bytte av abonnent siden 01.12.99 Trygt og solid for alle parter, men veldig ressurs- og tidkrevende Norid bruker nesten ett helt årsverk på behandling av slette- og overføringssøknader! Ca ½ årsverk på kontroll av egenerklæringer 3 Sterkt ønske fra registrarene om forenklede rutiner og mindre papir (ca siden 1999 ) Norid ønsker mer automatisk saksbehandling Vi vil ha bort papirene og strømlinjeforme prosessene i alle ledd!

Mange hensyn å ta Domenenavn er virksomhetskritisk for veldig mange bedrifter i Norge Viktig at Norid har et solid system slik at brukerne er sikret en trygg behandling av domenene sine 4 Systemet må ta hensyn til Norid, registrarene, kundene, myndighetene og samfunnet for øvrig, med spesielt fokus på disse kravene:

Krav til ordningen ansvarsfordelingen mellom Norid, registraren og søker/abonnent må være tydelig og det må være dokumenterbart at alle parter har fått tilstrekkelig informasjon om sine rettigheter og plikter egenerklæringen må avgis iht. domeneforskriften og må sikre tillatelse fra søker til at Norid kan publisere personopplysninger i whois (personvernlovgivningen) 5 det må være (juridisk) etterprøvbart at erklæring faktisk er avgitt av organisasjonen/personen den gjelder ressurs- og kostnadseffektive prosesser for registrarene og Norid enkelt og begripelig for søker/abonnent sikkerheten til abonnenten må ivaretas

Hva er målet med møtet? Presentere to ulike modeller for innhenting av egenerklæring og samtykke til publisering av persondata Ikke en avstemning, Norid tar den endelige avgjørelsen etter at registrarene har gitt sine innspill Få innspill fra registrarene om 6 Momenter vi har glemt Ting som kan/bør endres Momenter som kan/bør droppes Varianter av modellene Andre muligheter

Agenda Hva er målet med møtet? Hvorfor blir vi ikke kvitt egenerklæringen? Modell 1 Modell 2 7

Hvorfor blir vi ikke kvitt egenerklæringen? Ikke formkrav til egenerklæringen i domeneforskriften Forskriften presiserer noen punkter for å etablere krav om en utforming av materiell og rutiner som sikrer at søker faktisk får med seg alt 8 Innholdet må være så presist at det i ettertid ikke kan stilles tvil om at søker hadde fått riktige og fullstendige opplysninger om konsekvenser og plikter. Mao.: det må kunne dokumenteres

Hvorfor blir vi ikke kvitt egenerklæringen?(2) For å kunne publisere persondata i whois (fullt navn og kontaktinformasjon for legal-c) krever personvernlovgivningen at søkeren gir aktivt samtykke til slik publisering Et minstekrav er at det er mulig å etterprøve at søker har avgitt samtykke Registrering av domenet er i denne forbindelse en indikasjon, men er ikke tilstrekkelig som bevis Må ha en form for logg, dagens format er papir med håndsignatur (egenerklæringen) 9

Agenda Hva er målet med møtet? Hvorfor blir vi ikke kvitt egenerklæringen? Modell 1 Modell 2 10

Modell 1 - Intro Registrarene lager sine egne systemer for innhenting av egenerklæring og samtykke til publisering av persondata Det må kunne dokumenteres at både egenerklæring og samtykke faktisk er avgitt 11 Erklæring om sletting og bytte av abonnent utgår

Modell 1 Norid og registrarene Egenerklæring og samtykke til publisering av persondata må hentes inn før registreringen av domenet finner sted Registrarene kan lage sine egne løsninger som kan være elektroniske eller papirbaserte eller annet de finner hensiktsmessig 12 For at samtykke til publisering av persondata skal være juridisk etterprøvbart, må det logges

Modell 1 Norid og registrarene (2) Registrarenes løsninger må tåle kontroll fra Norid i forbindelse med stikkprøver, feil eller konfliktsaker, og ved oversendelse av arkivet hvis registrarforholdet avsluttes Konkrete krav til ordningen må samordnes med myndighetenes krav Viktig at ordningen er pålitelig og solid både i forhold til brukerne og lovverket 13

Modell 1 Norid og registrarene (3) For at det skal være mulig for Norid å gjøre kontroller, må vi sette noen rammer for registrarenes opplegg (bl.a. formater, hvilke data som må logges) Vi må kunne verifisere at det eksisterer en erklæring og et samtykke for hvert eneste domene som er registrert Vi kan lage et enkelt verktøy som registrarene kan bruke hvis de ikke ønsker eller har kapasitet til å utvikle sitt eget opplegg, ala den webbaserte EPP-klienten 14

Modell 1 Norid og registrarene (4) Må justere på EPP slik at slettinger og overføringer behandles automatisk, samt å ev. programmere inn tvungen karantenetid I tillegg vil Norid trenge opplegg for å hente inn erklæring/samtykke direkte fra abonnenten i tilfeller der dette ikke finnes fra før (f.eks. ved opphør av registraravtale pga konkurs) 15 konvertere arkiver/logger vi får fra registrarene arkivsystem som håndterer formatene til de forskjellige registrarene justeringer i dagens kontrollrutiner

Modell 1 Søkere og abonnenter Prosessen med å registrere domenenavn mye enklere, ditto for sletting og bytte av abonnent Slipper å vente mens registraren (og Norid) prosesserer papirer Slipper stort sett å forholde seg til Norid Regelverket for.no, som er avtalen mellom søker og Norid, blir mindre synlig for søkeren Sletting og overføring uten signaturer kan oppfattes som mindre sikkert. Lettere at noe glipper. 16

Modell 1 Søkere og abonnenter (2) Kan ikke lenger få dokumentasjon på hvem som har bestilt/signert for slettingen/overføringen fra Norid, dette hviler nå kun på registraren Kan passordbeskytte domenet sitt, da er det kun registraren (sponsor) som kan gjøre endringer det. Det vil si at i praksis burde ikke fjerning av erklæringene gjøre prosedyrene mye mindre trygge for abonnentene 17 Kan fremdeles sette utfasingstid og karantene Utfordringen er å få kommunisert ut hva abonnentene kan gjøre for å sikre domenene sine

Modell 1 Søkere og abonnenter (3) Kan øke sikkerheten ved å sperre domenet for nyregistrering etter sletting (f.eks. i 30 dager) abonnenten får da f.eks. plass til et nytt domene på kvoten tilfredsstiller avtale/pålegg om øyeblikkelig sletting kan få domenet tilbake hvis slettingen var en feil Om en tilsvarende (1-2 dagers forsinkelse) ordning vil være nyttig ved bytte av abonnent, er usikkert. En overføring er uansett mye enklere å omgjøre enn en sletting der domenet har blitt registrert på nytt av en uskyldig tredjepart 18

Modell 1 Oppsummering fordeler Norid: slutt på kontroll og oppbevaring av papirerklæringer (ut over de som eksisterer allerede), slutt på manuell behandling av slettinger og abonnentbytter, mer enhetlig EPP-system (færre prosesser som henger i pending) registrarene: større frihet til å utvikle skreddersydde løsninger for innhenting av egenerklæring og samtykke til publisering av persondata, slutt på kontroll og oppbevaring av papirerklæringer, sletting og abonnentbytter går automatisk 19 søker/abonnent: raskere registrering av domener, raskere sletting, raskere abonnentbytter, slipper å forholde seg til papirskjema fra Norid

Modell 1 Oppsummering ulemper Norid: må føre kontroll med at informasjonsplikten overfor partene overholdes, kontrollere at egenerklæring og samtykke til publisering av persondata innhentes i tråd med forskrift og lovverk, bygge opp tekniske systemer som kan lese de forskjellige dataformatene, må kunne konvertere registrarenes data til noe Norid kan lese, bygge nye arkivsystem som kan lagre ulike arkiver registrarene: bundet av Norids retningslinjer for innhenting av egenerklæring og samtykke, større krav til verifisering av kunden, må selv sørge for ryggdekning i forbindelse med slettinger og abonnentbytter 20 søker/abonnent: kan ikke lenger enkelt verifisere hvem som godkjente sletting eller abonnentbytte ved å få erklæringen fra Norid eller registraren, får ikke den ekstra tenkerunden det er å signere på et papir, kan føle seg mer utrygg på systemet enn i dag

Agenda Hva er målet med møtet? Hvorfor blir vi ikke kvitt egenerklæringen? Modell 1 Modell 2 21

Modell 2 Intro Norid setter opp og drifter en sentral maskin der søker må inn via et webgrensesnitt og lese og godkjenne Norids vilkår, inkludert samtykke til publisering av personopplysninger i whois Arkivering/logging skjer i en egen database på maskinen EPP-systemet sjekker mot denne databasen når søknaden kommer inn, og hvis dataene matcher godkjennes søknaden. Uten match, avvises søknaden 22

Modell 2 Intro (2) Erklæring om sletting og abonnentbytte er enkelt å bygge inn i et eksisterende verktøy, vi står dermed ganske fritt til å velge hvordan vi vil gjøre det, f.eks.: vi kan fjerne begge vi kan beholde begge 23 vi kan beholde erklæring om bytte av abonnent (en europeisk undersøkelse tyder på at bytte av abonnent oppfattes som mer viktig å sikre med signaturer e.l. enn sletting av domener) vi kan si at øyeblikkelig sletting krever at abonnenten må innom Norids verktøy og avgi en elektronisk erklæring (avbrudd i tjenesten kan koste dyrt for den kunden det gjelder) for å gjøre prosessen sikrere og lettere å etterprøve. Sletting med utfasingstid og karantene går automatisk

Modell 2 Norid og registrarene Registraren sender søkeren til Norids webgrensesnitt Søkeren må minimum oppgi navn på søker (organisasjon eller person) organisasjonsnummer eller PID (generert i forkant) domenenavnet han søker om navnet sitt (kontaktperson) vi kan også logge IP-adressen for hver enkelt erklæring Søker får kvittering i form av en ferdig utfylt erklæring som han foreviser registraren sin 24

Modell 2 Norid og registrarene (2) Variant: verktøyet genererer en skjema-id som søker gir til registraren Registraren kryssjekker IDen mot Norids database via en innloggingstjeneste Registraren kan sjekke om kombinasjonen "skjema-id, domenenavn, legal-navn, domeneoperasjon" er gyldig eller ikke. 25

Modell 2 Norid og registrarene (3) Norid må bygge inn en sjekk i registreringssystemet som kontrollerer at det finnes en egenerklæring for kombinasjonen (domenenavn + søker) når søknaden prosesseres. medfører endringer i EPP-oppsettet som registrarene må tilpasse sine systemer til 26 Mulige varianter: søker ønsker å registrere flere domener i slengen og avgir én erklæring som dekker disse søker avgir én erklæring per domene

Modell 2 Søkere og abonnenter Elektronisk løsning uten printer/skanner/faks vil være langt enklere og raskere å bruke enn dagens mer omstendelige prosedyrer En ulempe kan være at søker må forholde seg til to webløsninger; registrarens og Norids kan løses ved å gjøre det enkelt for kunden å returnere til registraren etter å ha fått kvittering for generert erklæring, f.eks. ved at registraren lett kan bygge Norids automat inn i egne løsninger ala det som er tenkt med PID-automaten 27 Det at erklæring avgis på Norids system kan gi søker/abonnent en ekstra følelse av trygghet; erklæringene finnes på ett eneste sted og det er enkelt å finne ut når ting er bestilt og av hvem

Modell 2 Søkere og abonnenter (2) Ulempen med clickwrap-avtaler folk leser dem sjelden om de skummer gjennom teksten så er vilkår, frister og klagemuligheter ofte glemt etter kort tid Ikke spesielt for domeneregistrering og i forhold til jussen så er clickwrap-avtaler like bindende som andre avtaler Uansett så må vi gjøre det vi kan for å gjøre vilkårene så tydelige som mulig for kunden, både når det gjelder egenerklæringen og innsamlingen av persondata 28

Modell 2 Søkere og abonnenter (3) Hvis erklæring om bytte av abonnent beholdes, må både gammel og ny abonnent inn i verktøyet og avgi erklæring, akkurat som de i dag må signere på hvert sitt papirdokument. Verktøyet må håndtere det, må være enkelt for registrarene å veilede kundene i bruken av det For sletting blir mekanismen helt analog med egenerklæring/samtykke. 29 Trygghet rundt sporbarhet er trolig enda viktigere i forbindelse med sletting og overføring. Det er mye færre spørsmål om hvem som har bestilt et domene, enn om hvem som har bestilt sletting eller overføring Kan bruke samme sikkerhetsmekanisme i tilfelle feilslettinger som i modell 1 (sperre navnet for nyregistrering) AuthInfo

Modell 2 Oppsummering fordeler Norid: slutt på kontroll og oppbevaring av papirerklæringer (ut over de som eksisterer allerede), slutt på manuell behandling av slettinger og abonnentbytter, mer strømlinjeforming av EPP-systemet (færre prosesser som henger i pending), alle avgitte erklæringer/samtykker er like, lett å etterprøve om erklæring/samtykke er avgitt, lett å dokumentere overfor myndighetene at kravene i forskriften er fulgt registrarene: slutt på kontroll og oppbevaring av papirerklæringer, sletting og abonnentbytter går automatisk, slipper å vente å Norid, ikke behov for å utvikle egne løsninger for å ta innhente samtykke/erklæring 30 søker/abonnent: raskere registrering av domener, raskere sletting, raskere abonnentbytter, slipper å forholde seg til papirskjema fra Norid, får sikkerheten ved at erklæring og samtykke registreres og lagres i en sentral database

Modell 2 Oppsummering ulemper Norid: må sette opp og drifte en ekstra tjenestemaskin for egenerklæring og samtykke, ansvarsfordelingen mellom Norid, registraren og søker/abonnent blir mindre tydelig både for partene og for utenforstående registrarene: større ansvar mht. verifisering av kunden, større ansvar mht. å informere kunden om rettigheter og plikter (merk at dette ansvaret har ligget hos registraren hele tiden, men med denne ordningen blir det enda viktigere) 31 søker/abonnent: blir sendt til en webside som ikke tilhører registraren for å avgi egenerklæring og samtykke, ansvarsfordelingen mellom Norid og registraren blir mindre tydelig og kan føre til usikkerhet om hvor man skal henvende seg, clickwrap går fort kanskje på bekostning av at man faktisk setter seg inn i de pliktene og rettighetene man har,

www.norid.no 32

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding