Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet



Like dokumenter
Arkiv skal ikkje førast ut or landet

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Skytjenester - utfordringer for Arkivverket og for offentlige organ underlagt arkivlova. Arkivloven

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Arkivloven og -forskriften

Arkivlovgivning i endring

Kartlegging av hindringer i regelverk for bruk av skytjenester

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Public 360 Online Datasikkerhet

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Revidering av lover med betydning for arkiv

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Høringsvar Ny forskrift om offentlige arkiv

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Høring - ny forskrift om offentlige arkiv

Nettskyen, kontroll med data og ledelsens ansvar

Arkivforskriften og Riksarkivarens forskrift. Ikrafttredelse

FRA KALVESKINN TIL DATASJØ ARKIVLOVUTVALGETS NOU 2019:9 MEDLEMSMØTE I NA REGION VEST 7. JUNI 2019 NY LOV OM SAMFUNNSDOKUMENTASJON OG ARKIVER

Vi viser til Kulturdepartementets brev med vedlegg.

Bevaring av nettsider

Hva gjør Arkivverket for å følge opp Riksrevisjonens rapport? Norsk arkivråds kommuneseminar 15. Februar 2011 Anne Mette Dørum, Riksarkivet

Nye arkivforskifter. Monika Kurszus Håland Fagdag onsdag 30.mai 2018

Databehandleravtale. Denne avtalen er inngått mellom

Høringssvar fra Arkivverket - arkivforskriften

Databehandleravtale. Charlotte Lindberg Difi

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Gjeldende forskrift har ingen punkt på utførsel. Om dagens praksis, se pkt. 3.2 nedenfor.

Kan du legge personopplysninger i skyen?

Innføring av earkiv i offentlig forvaltning

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Reviderte forskrifter pr : Arkivforskriften Riksarkivarens forskrift

Reviderte arkivforskrifter

Arkivverket Dokumentasjonsforvaltning - ny struktur. Kjetil Reithaug Fagdirektør Seksjon for Dokumentasjonsforvaltning,

Arkivforskriften og skytjenester eller Kanskje vi åpner for arkivering i skyen snart?

Tilsyn med arkiv i kommunal sektor

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

ARKIVVERKETS EARKIV- PROSJEKT : STATUS

KS FoU-prosjekt : Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

ARKIVLOVUTVALGET BAKGRUNN - MANDAT STATUS

Reviderte forskrifter pr : Arkivforskriften - Riksarkivarens forskrift. Kommentar til endringer og prioritering av arbeid framover.

Arkivplan og tilsyn. - Erfaringer fra Statsarkivet i Trondheim

Vi viser til tilsendte høringsdokumenter av med forslag til endring av forskrift om offentlige arkiver (arkivforskriften).

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Skytjenester bruk dem gjerne, men bruk dem riktig

Velkommen til Riksarkivarens undersøkelse for kommunale arkivtjenester 2015 (Storbyundersøkelsen)

Arkivlovutvalget har levert!

Digitale arealplaner. Arkivloven Lars-Jørgen Sandberg, Riksarkivet

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

KONGELIG RESOLUSJON. Kulturdepartementet Ref.nr.: 16/1984 Statsråd: Linda Hofstad Helleland Dato: 15. desember 2017

I paragrafenes tegn. Revisjon av arkivloven med forskrifter

Endelig tilsynsrapport og pålegg om utbedringer

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Skytjenester (Cloud computing)

Skyløsninger. Sikkerhet og leveransemodell

Arkivhistorie i Norge

Endelig rapport - internrevisjon av arkiv- og dokumentasjonsforvaltning i

Ny forvaltningslov. Noen kommentarer og spørsmål fra Arkivverket 8. Arkivmøte april 2019

Nettskyen utfordringer og muligheter

Endelig tilsynsrapport og pålegg om utbedringer

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Prosjektet «forsvarlig behandling av dokumentasjon i barnevernet» Ålesund, 1. juni Kari Remseth

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Hva vil vi egentlig måles på? - et moderne arkivtilsyn

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Retningslinjer for databehandleravtaler

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Stortingsmelding om arkiv -kva no? Geir Håvard Ellingseter, nestleder Norsk Arkivråd

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Tilsyn med arkiv i kommunal sektor funn og erfaringer.

Bakgrunn: Mandat og sammensetning

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvern - sjekkliste for databehandleravtale

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Personvernpolicy for markedsføringsregister

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Innspill til utvalget for ny Arkivlov om endringer i Arkivlova og tilhørende organisering og forskrifter

Digital agenda for Norge - IKT for en enklere hverdag og økt produktivitet

Høring - ny forskrift om offentlige arkiver

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Revisjon av arkivloven med forskrifter

Transkript:

Skytjenester Status for Riksarkivets arbeid Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim Olav Sataslåtten Riksarkivet 1

Utfordringene Arkivloven pålegger offentlige organer å ha arkiv og følge nærmere bestemte regler for arkivhold i lovens kapittel II med forskrifter. Forpliktelsene oppfattes som tyngende og vanskelige Ønsker om bedre og billigere arkivløsninger, - særlig for digitalt skapt arkivmateriale. 2

Flere utfordringer Vedlikeholdet av digitalt skapt arkivmateriale er krevende for forvaltningsorganet. Det er betydelig risiko for at arkivmateriale kan gå tapt slik ordningen er i dag. 3

Hvorfor skal vi lagre offentlige organers arkiver? Kjernen i arkivlovens 1 om lovens formål er å tryggja arkiv. Arkivene skal gi trygg tilgjengelighet til offentlige dokumenter når dokumentene er i aktiv bruk i forvaltningen Dette gjelder også for fremtiden. 4

Hva kjennetegner skytjenester og hvordan kan de brukes til lagring av arkiver? Samlebetegnelse som vanligvis brukes om virtuelle tjenester som leveres via internett av eksterne tjenesteleverandører. Tjenestene kan omfatte levering av operativsystem, nettverk, diskplass eller selve programvaren. Den fysiske lagringen finner gjerne sted på flere geografisk spredte servere, i motsetning til at dataene lagres lokalt hos virksomheten. 5

Variasjonene En nettsky kan være to servere plassert ett eller flere steder i Norge. Den kan være et stort antall servere fordelt på flere forskjellige land. Skytjenester kan også organiseres på andre måter. Dokumentene må ikke nødvendigvis sendes over Internett Forvaltningsorganet kan selv etablere en sky uten bruk av ekstern leverandør. 6

Hva kjennetegner skytjenester og hvordan kan de brukes til lagring av arkiver? Enkel og tilgjengelig tilgang til felles ressurser. Behovsbasert ( on demand ) Nettverkstilgang Ressursdeling, lokasjonsuavhengig Elastisk Programvare, plattform, infrastruktur som tjeneste (SaaS, PaaS og IaaS) Privat sky, gruppesky, allmenn sky og hybridsky er alternative tilbud. 7

Hva kjennetegner skytjenester og hvordan kan de brukes til lagring av arkiver? Det er ikke fastlagt hva skylagring innebærer som teknisk løsning Det er ikke fastlagt hva de rettslige rammene innebærer Det er ikke utarbeidet internasjonalt regelverk eller standarder Avtaler om skylagringstjenester er svært komplekse. 8

Arkivloven som juridisk hinder for bruk av skytjenester i offentlig forvaltning Skylagring av offentlige organers arkiver er ikke eksplisitt regulert i arkivloven og heller ikke omtalt i forarbeidene. Samtidig er loven generelt utformet Den gjenspeiler i stor grad overordnede prinsipper som gjør seg gjeldende uavhengig av om formatet er papir eller digitalt materiale. 9

Arkivloven som juridisk hinder for bruk av skytjenester i offentlig forvaltning Vil arkivlovens formål kunne realiseres selv det ikke finnes forbudsbestemmelse som rammer skylagring av offentlige organers arkivmateriale? Vil de offentlige organene kunne ivareta de pliktene som følger av loven hvis de velger å bruke skytjenester til sine arkiver? Vil lovens regler om tilsyn kunne fungere etter hensikten hvis arkivene er lagret i skyen?. 10

Arkivloven som juridisk hinder for bruk av skytjenester i offentlig forvaltning Skylagring av offentlige organers arkiver reiser problemstillinger knyttet til: hvordan arkivplikten kan ivaretas, om forbudsbestemmelsene brytes, om Riksarkivarens tilsynsmyndighet må innrettes på annen måte hvordan påleggs- og straffebestemmelser kan brukes. 11

Andre rettslige hindre Arkivloven 9 bokstav b: arkivmateriale kan ikke føres ut av landet med mindre det er nødvendig for den forvaltningsmessige eller rettslige bruken av dokumentene. Forbudet gjenspeiler en oppfatning om hva som er nødvendig for å ha kontroll med arkivmaterialet. Forvaltningsorganet skal ha data sovereignty. Strenge krav til langsiktighet og nasjonal kontroll for offentlige organers arkiver. 12

Opsjon Forvaltningsorganets vurdering av hensiktsmessighet ved valg av skytjenester for lagring. Nødvendig for den forvaltningsmessige bruken av dokumentene Omfattet av lovens unntak fra forbudet. Skylagring vil ikke nødvendigvis innebære at arkivmaterialet blir liggende på server i utlandet over lang tid Utførselen kan være av midlertidig karakter. 13

Er skylagring av offentlige organers arkivmateriale i strid med arkivlovens regler om arkivansvar? Arkivlovens regulering: Lovens system bygger på at arkivansvaret enten ligger hos forvaltningsorganet eller hos Riksarkivaren. Praksis for at eksterne på oppdrag kan utføre arkivoppgaver. Forutsetningen er at arkivskaper fortsatt ivaretar ansvaret. Oppgaver kan bare settes ut til andre på en slik måte at den arkivansvarlige faktisk er i stand til å ivareta ansvaret. 14

Kan arkivansvaret ivaretas gjennom avtaler med leverandører av skyløsninger? Kontrakter beskytter først og fremst interessene til tjenesteleverandører De kommer i stor grad til kort mht. å sikre behovene for arkivdanning som kundene til tjenesteleverandørene har. Det er grunn til å vurdere nærmere om avtalemekanismen fungerer godt nok til å sikre trygghet for offentlige myndigheters arkiv ved skylagring. 15

Kan arkivansvaret ivaretas gjennom avtaler med leverandører av skyløsninger? Arkivloven har ingen lignende regulering av adgangen til å overlate arkivoppgaver til andre. Alminnelige regler om arkivansvar i arkivloven med forskrifter sett i sammenheng med alminnelige regler om offentlige myndigheters avtaler og delegasjonsregler som skal gjelde. 16

Hvilket lands lovgivning vil gjelde for arkivet i skyen? Utgangspunktet er at arkivmaterialet er underlagt den nasjonale lovgivningen i det landet det befinner seg. Ved skylagring kan det være flere lands jurisdiksjon som er inne i bildet Det kan være vanskelig å vite i hvilket land opplysningene er til enhver tid. 17

Manglende kontroll med hvor informasjonen lagres Selv om det finnes en avtale mellom skytjenesteleverandør og kunde om hvor informasjonen skal lagres, kan den flyttes mellom ulike land og verdensdeler. Situasjoner kan oppstå der politi- og etterretningsmyndigheter i et annet land har krav på innsyn selv om de etter norsk rett ikke vil ha det. Det er ikke inngått internasjonale avtaler om dette. 18

Sentrale hindre for skytjenester blir derfor ofte lovgivningen som finnes i ulike land: Hvordan informasjon kan håndteres og lagres Lovgivning om: taushetsplikt, datasikkerhet, personopplysninger, lisens- og kopieringsregler. 19

Kryptering og tilgjengelighet Kryptering kan sikre konfidensialitet for arkivmaterialet. Samtidig kan kryptering vanskeliggjøre tilgjengelighet til dokumentasjonen. Arkivmaterialet skal være tilgjengelig både i samtid og ettertid Kryptering kan skape store problemer for tilgjengelighet på sikt. 20

Hvordan vil offentlige organers bruk av skytjenester til arkiv påvirke Riksarkivarens tilsynsvirksomhet? Vi går ut i fra at tilsynet med arkivdanningen vil skje hos/overfor arkivskaper selv Skylagringen reiser dermed ikke særegne problemstillinger Holder det med dokumentbasert tilsyn?. 21

Hvordan vil offentlige organers bruk av skytjenester til arkiv påvirke Riksarkivarens tilsynsvirksomhet? Skal tilsynet være systembasert? Skal det gjennomføres «stedlig tilsyn»? Må Riksarkivaren ha tilgang til alle serverne som inngår i skylagringen? Hvordan kan tilsyn gjennomføres når det ikke er kjent hvor dokumentene er?. 22

Datatilsynets anbefaling av tredjepartsrevisjon Revisjon utført av en uavhengig tredjepart for å sikre at databehandleravtalen følges. I praksis er det denne typen kontroll skytjenesteleverandørene åpner for. Leverandørene vil ikke ha arkivskaper selv pluss ulike tilsynsmyndigheter inne i sine systemer. Vil slik tredjepartsrevisjon kunne tilfredsstille behovet for tilsyn og kontroll med offentlige organers arkiver?. 23

Videre om revisjon Offentlige organer kan engasjere eksterne leverandører av revisjon for å drive egenkontroll. I tillegg fastsetter flere ulike regelverk at andre offentlige organer skal drive kontroll. Riksrevisjonen, men også et stort antall tilsynsmyndigheter. Slike kontrollfunksjoner kan ikke det enkelte offentlige organ bestemme at heller skal utføres av andre. 24

Erstatte Riksarkivarens tilsyn? Det offentlige organet kan ikke selv velge å erstatte Riksarkivarens tilsyn med organets arkiv med en uavhengig tredjepartsrevisjon av databehandleravtalen. Hvis en slik løsning skal godtas, må det være åpning for det i loven. Pr i dag åpner ikke loven for dette. 25

Andre rettslige hindre for bruk av skylagringstjenester for offentlige organers arkiver Taushetsplikt: Passivitetsplikten: en som har taushetsplikt har plikt til å la være å formidle informasjonen til andre Aktivitetsplikt: plikt til å handle aktivt for å forhindre at uvedkommende skal få tilgang til informasjonen. I aktivitetsplikten ligger organisatorisk ansvar på lederne i offentlige organer for å legge til rette teknisk og praktisk slik at taushetsplikten blir ivaretatt. 26

Personopplysningsloven Åpner for overføring av personopplysninger til utlandet på nærmere angitte vilkår. Internasjonale standarder for safe harbour for personopplysninger. Datatilsynet: to kommuners bruk av skytjenester for deler av sin virksomhet kan være innenfor rammen av personvernlovgivningen. Dette vil imidlertid måtte vurderes fra sak til sak. 27

Sikkerhetsloven Dokumenter som er gradert i henhold til sikkerhetsloven kan ikke lagres i sky selv om annen dokumentasjon fra forvaltningen eventuelt kan lagres på denne måten. Nasjonal sikkerhetsmyndighet skal gi sikkerhetsmessig godkjenning av informasjonssystemer før de tas i bruk for skjermingsverdig informasjon, jf. 13. 28

Interne dokumenter. Forvaltningens interne dokumenter kan unntas fra offentlighet. Hvor strenge sikkerhetskrav som skal gjelde for lagring av slik dokumentasjon er det opp til organet selv å bestemme. 29

Hva er løsningen? Fjerne forbudet i arkivloven? Norske myndigheter kan oppheve forbudet mot skylagring av offentlige organers arkiver i utlandet. Dersom regelverket skal åpne for skylagring av offentlige organers arkiver, blir det viktig å sikre at de underliggende hensynene bak arkivloven fortsatt blir ivaretatt. 30

Fjerne øvrige krav i arkivloven som ikke vil bli oppfylt med skylagringsløsninger? Dersom utførselsforbudet skal fjernes, må vi også vurdere å endre andre deler av regelverket. Hvordan skal Riksarkivarens tilsyn være innrettet? Hva skal regelverket si om arkivansvaret?. 31

Lempe på arkivplikten? Arkivplikten for offentlige organer kan lempes ved endringer i regelverket. Gjelder nå fra et dokument er oppstått, enten ved at det er kommet inn til organet, sendt ut fra organet eller ferdigstilt i organet. Deretter kan dokumentene eventuelt arkivavgrenses eller kasseres, mens det resterende skal bevares. 32

En mer vidtgående endring La det være opp til forvaltningsorganet selv hva som skal inngå i arkivet. Først etter avlevering til Riksarkivet gjelder kassasjonsforbud, utførselsforbud mv. Holde alle former for interne dokumenter utenfor arkivplikten, også de som er ferdigstilt. 33

Konsekvenser Vesentlig lemping i arkivplikten vil fort komme i strid med hensynet til kontroll med forvaltningen Det gjelder både internkontroll, overordnedes kontroll, tilsynsorganers kontroll, pressens kontroll og folkevalgt kontroll. Samtidig vil en modernisert måte å tenke bevaring/kassasjon på (Retention) være påkrevet etter overgangen fra analoge til digitale dokumenter. Revisjon av gjeldende krav til klassifikasjon av saksdokumenter vil være et viktig grep for at man skal kunne gjøre effektiv vurdering av retention. 34

Beholde gjeldende regelverk og satse på at markedet finner løsninger som er lovlige? Skyteknologien kan brukes på mange måter. Det vil kunne utvikles løsninger som er bedre egnet til å trygge arkiver enn dem vi ser i dag. Skyløsninger vil trolig kunne tilbys uten at det er nødvendig å sende dokumentasjonen til utlandet. 35

Åpne for at dokumentasjon finnes både i sky og i arkiv utenom sky?. Arkivlovgivningen sier ikke noe om arkivskapernes adgang til å lagre dokumentasjon på flere måter. I prinsippet er det åpnet for at et offentlig organ kan lagre dokumenter i en skyløsning: -legge til rette for samhandling i en saksbehandlingsprosess, -så lenge dokumentasjonen også ligger i et arkiv som oppfyller kravene i arkivlovgivningen. 36

Tilby nye tekniske løsninger fra Riksarkivet som letter oppfyllelsen av arkivplikten? Riksarkivaren har i januar 2015 levert et satsningsforlag til Kulturdepartementet om utviklingen av earkiv. earkiv kan i seg selv fungere som en skytjeneste, eller som en sentral komponent i en skytjeneste 37

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding