3. Sentralt regelverk
• Personopplysningsloven og
personopplysningsforskriften
kapittel 2
• Internkontroll og
Informasjonssikkerhet
• Databehandleravtale
• Overføring av personopplysninger til
utlandet
• Artikkel 29-gruppen
• Berlin-gruppen
http://ec.europa.eu/justice/data-
protection/minisite/index.html
4. § 1. Lovens formål
• beskytte den enkelte mot at personvernet blir krenket
gjennom behandling av personopplysninger.
• bidra til at personopplysninger blir behandlet i samsvar
med grunnleggende personvernhensyn, herunder behovet
for personlig integritet, privatlivets fred og tilstrekkelig
kvalitet på personopplysninger.
EUs personverndirektiv (direktiv 95/46/EF)
”sikre vern om fysiske personers grunnleggende
rettigheter og friheter, særlig retten til privatlivets fred”
5. Personvern – vilkår for behandling av
personopplysninger
Poenget med lovhjemmel som rettslig grunnlag er at lovgiver
har vurdert de personvernmessige aspektene ved å registrere
og behandle personopplysningene.
• Informasjon om håndtering
• Rettslig grunnlag for behandling – Samtykke
• Kun bruk av relevante data
• Sikring av data
• Sletting av data
6. Hva er egentlig ”Cloud Computing”?
• Skalerbart kjøp av prosessorkraft, lagrings- og
databearbeidingskapasitet hos ekstern part med leveranse
over eksterne nettverk. Nettskyen gir en lovende
kombinasjon av kostnadseffektivitet og fleksibilitet…..
men….
• NITS sin definisjon: Cloud computing er en modell for
praktisk, on-demand nettverkstilgang til en felles pool av
konfigurerbare dataressurser
(f.eks, nettverk, servere, lagring, applikasjoner og
tjenester) som raskt kan klargjøres og utgitt med minimal
forvaltningen eller tjenesteleverandøren interaksjon.
(The National Institute of Standards and Technology)
7.
8. Veilederen har følgende fokusområder:
– Personopplysningslovens virkeområde
– Identifisering av behandlingsansvarlig og
ansvar
– Akseptkriterier
– Klarlegge juridisk ansvar for leverandør
av nettskytjenester
– Risikovurdering og informasjonssikkerhet
– Informasjonsplikt
Særlige problemstillinger:
– Sikkerhetskopiering
– Segmentering
– Tilgangsstyring
– Autorisert og uautorisert bruk
– Dokumentasjon
– Utlevering til tredjeland
9.
10. Ansvarsplassering
• Påhviler egen virksomhet
• Man kan ikke flytte ansvaret ut i skyen
• Må forvisse seg om tilfredsstillende sikkerhet i tjenesten
som kjøpes
• Hovedutfordring:
• Modenhet
• Risikovurdering
• Databehandleravtale fra start til slutt
• Revisjon
11. Informasjonssikkerhet
• Oversikt over hvilke
personopplysninger som skal
behandles i tjenesten
• Hva er egnet for – og hva er
ikke egnet for cloud?
• Gjennomføre risikovurdering
• Vurdere og beskrive
sikkerhetstiltak
• Avstemme mot leverandør
• Databehandleravtale
• Revisjon
12. Sentrale problemstillinger
Sikkerhetskopiering – Hvordan fungerer dette?
• Overføres personopplysningene til et annet land for
redundans, eksempelvis fra Irland til USA eller fra Tyskland til India.
• Er en slik redundans i henhold til de avtaler som er inngått?
• Hvordan behandles personopplysningene på det andre stedet?
Segmentering – Hvordan vil dette bli håndtert?
• Datatilsynet har uttalt ved tidligere anledninger at en
behandlingsansvarliges personopplysninger ikke skal sammenblandes
med en annen behandlingsansvarliges personopplysninger. Dette
fordi de betraktes som to separate juridiske enheter.
Tilgangsstyring –
• Hvem hos leverandøren har tilgang til personopplysningene som
behandles?
• Er tilgangstyring i henhold til lovpålagte krav, egen internkontroll
eller andre aktuelle forhold?
13. Sentrale problemstillinger forts.
Autorisert og uautorisert bruk – Tar løsningen høyde for registrering av
autorisert og uautorisert bruk i henhold til personopplysningsforskriften
§§ 2-14 og 2-16 siste ledd.
Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn på
kontroll fra offentlig myndighet, se særlig personopplysningsforskriftens
§ 2-16 første og annet ledd.
Utlevering til tredjeland – Personopplysninger kan ikke uten videre
overføres til land utenfor EØS-sonen. Reguleringen i slike tredjeland kan
være en helt annen enn i Norge og dermed kreve forholdsregler. Det vises
spesielt til personopplysningslovens § 29.
15. Noen grunnleggende kjørereglene
• Virksomheten må kjenne til og kontrollere tjenester
• Virksomheten må ha en tilstrekkelig avtale
• Virksomheten må vite hvor data lagres
• Virksomheten må med rimelighet vite hvordan egne data
håndteres i forhold andre virksomheters
• Virksomheten må med rimelighet vite hvordan data sikres
• Virksomheten må vite om hvilken økt risiko bruk av tjenesten
representerer for ulike data
• Risikovurdering må gjennomføres – kompenserende tiltak
vurderes
• Levert tjeneste, sett i sammenheng med risikovurdering, avgjør
hva tjenesten kan brukes til
16. Kan skyen brukes?
• Selvsagt – mange av oss gjøre det allerede…..
• Egnet for visse typer data, mindre egnet for andre!
• Virksomheten må ha en prosess hvor det gjøres grundige
vurderinger av hva det er forsvarlig å håndtere i ulike
tjenester skyen.
• Man bør ha i mente at selv i store driftssentre kan det gå
galt, da bør du ha orden i egne kort.
• Når man planlegger beredskap, inkluder også eventuelle
tjenester i skyen som benyttes.
17. En avgörande funktionalitet för godkännandet
av Azure är tillgången till Microsoft Trust
Center, som ger användarna insyn i hur
Microsoft behandlar personuppgifter och
säkerheten, inklusive underleverantörer
18. Oppsummering:
• Risikovurdering
• kompenserende tiltak vurderes
• Ny risikovurdering?
• Databehandleravtale
• Sikkerhetsrevisjon
• Backup/gjenoppretting
• Sletting ved avtalens opphør, exit
• Utlevering ”law enforcement”
• Overføring av personopplysninger til tredjeland
– Transfer of customer data
• Dokumentasjon
• Komplett
• Tilgjengelig
19. Oppsummering forts.
• Artikkel 29 gruppen, Draft Option on Cloud Computing
- Skytjenester må ikke gi dårligere personvernbeskyttelse
- Balanserte avtaler
- Det må gjennomføres risikoanalyser og analyseres risiko for personvern ved
ulike typer tjenester
- Det må gis en oversikt over hvor data er lagret
- Det må gjennomføres kontroll med dataene – enten av behandlingsansvarlige
eller av sertifiserte revisjonsfirma
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2012/wp196_en.pdf