3. Lovkrav - personvern
–Personvern – hvem er behandlingsansvarlig
–Informasjonssikkerhet
–Formkrav ved overføring av PO til utlandet
–Databehandleravtaler
–Annet man må tenke på:
• Risikovurderinger
• Kontrakt – Lovvalg – håndheving - SLA –
ansvarsbegrensning - etc
Rettslige utfordringer
4. • Advokat og partner i Brækhus Dege
Advokatfirma
• Partner i FAKTUM NoR AS – tverrfaglig
informasjonssikkerhet, granskning og
personvern
• Leder av Personvernnemnda 2009-2013
• Leder advokatforeningens lovutvalg for ikt- og
personvern
Bakgrunn – Eva Jarbekk
5. Personvern – why?
• Utgangspunkt; pol § 1
Lovens formål
Formålet med denne loven er å beskytte den enkelte mot at
personvernet blir krenket gjennom behandling av personopplysninger.
Loven skal bidra til at personopplysninger blir behandlet i samsvar
med grunnleggende personvernhensyn, herunder behovet for
personlig integritet, privatlivets fred og tilstrekkelig kvalitet på
personopplysninger.
Formålsparagrafen er tolkningsmoment i vurderinger med skjønn
..forts.
6. Litt om hvorfor personvern
• Sikre forsvarlig bruk av personopplysninger
– Hver enkelts personvern og kontroll med opplysninger
– Opplysninger skal forbli der de forventes å befinne seg
– Forventninger om diskresjon øker behov for personvern/beskyttelse
• passord øker forventing om diskresjon
• E-post derfor annerledes enn sentralt lagrede dokumenter
• Sosiale medier antas å være mer lukket enn de er
• Informasjonssikkerhet er en sentral del av personvern
• Bruken av reglene skal balansere effektiv informasjonsbehandling og
hensynet til individene
• Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
7. Rettslig rammeverk - oversikt
• Personopplysningsloven (EU-basert)
• Forskrifter
• Datatilsynets praksis
• Personvernnemndas praksis
• Noe rettspraksis
• Avgjørelser fra statsadvokat og riksadvokat
• Nye forskrifter om innsyn i e-post
• Særlovgivning;
– helsepersonell
– arbeidsmiljølov
– politiets registre
• Datatilsynet
– Veiledningsplikt – mye på nett
– Kontrollerende organ
• Personvernnemnda
8. All info knyttet direkte/indirekte til individ
omfattes av loven
– Alt fra telefonnummer til medarbeidersamtaler og
sykehistorikk omfattes
– Reglene gjelder BÅDE sensitive og ikke-sensitive
opplysninger
Personopplysningslovens virkeområde
9. Hva er ”behandling” av
personopplysninger
Personopplysningsloven § 2,1,2:
Enhver formålsbestemt bruk av personopplysninger
Innsamling, registrering, sammenstilling, lagring og
utlevering eller en kombinasjon – definitivt cloud
10. Hvem er ansvarlig - begreper
• Ledelsen
• Behandlingsansvarlig: den som bestemmer hvordan PO skal
brukes og hvilke hjelpemidler som skal brukes
• Databehandler: gjør det avtalen med behandlingsansvarlig sier
• Ved ekstern delegasjon/outsourcing MÅ ansvaret for
opplysningene omtales, jfr. § 15, i en såkalt
”databehandlerklausul”
11. Problem: behandlingsansvarlig eller
databehandler?
• Behandlingsanvarlig har omfattende plikter – det har ikke
databehandler
• Behandlingsansvarlig sikrer sine forpliktelser via avtaler med
databehandler – databehandleravtaler
• Hvem er hva ved bruk av skyen?
• Realiteten avgjør rollene og pliktene
– Er det lett å avgjøre?
– Man kan i en viss grad avtale hvor ansvaret skal ligge
– Mulig at to virksomheter sammen kan være behandlingsansvarlig
– krever grundig avtale
12. • DT og Article 29 – gruppen
– Tekniske beslutninger kan delegeres, men ikke “the essential elements
of the means”
•I utgangspunktet er sky-leverandør databehandler
– Men: En IaaS kan lettere vurderes som vurderes som en
databehandler, men en SaaS kan anses som behandlingsansvarlig
•Hvis leverandøren likevel faktisk er behandlingsansvarlig
– Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse til
de hvis data er lagret i skyen
Behandlingsansvarlig eller databehandler?
13. • Uansett: avtale med sky-leverandør trengs
• Kontroll må sikres i størst mulig grad
BA eller DB
14. Kjært barn har mange navn
Databehandleravtaler
eller
Cloud-avtale
SaaS-avtale
Poeng er ikke navn, men innhold
15. Databehandleravtale
• Den behandlingsansvarlige er fremdeles ansvarlig selv om
databehandler brukes
• Databehandler kan bare råde over opplysningene slik det er
skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre
noe annet
• Datatilsynet har veileder om databehandleravtaler (DBA) og
utkast til DBA på hjemmesidene
• Avtalen med sky-leverandør vil bli ganske omfattende
16. Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om
informasjonssikkerhet m.m. etterleves?
•Odense kommune - Google Apps in schools – NEI
•POF:
– Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.
Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og
bruk av kommunikasjonspartner og leverandører.”
TVILSOMT – BA MÅ HA EN GRAD AV KONTROLL
..typiske og viktige bestemmelser
Er avtale med leverandør alltid
tilstrekkelig?
17. Databehandleravtale – typiske best.
• hvilke personopplysninger skal behandles
• hvilke behandlinger omfattes av avtalen
• hva er rammene for databehandlers håndtering av
personopplysninger ………
– … om det er rom for forhandlinger da… det varierer jo meget ….
• Eksempelvis:
– Sikkerhetskopiering – speiling - redundans
– Sletting
– Tilgangskontroll
– Segmentering
– Lokasjon – tar mer om dette litt senere
18. Databehandleravtale – typiske best.
Sikkerhet – www.datatilsynet.no
• Databehandleren må kunne legge frem dokumentasjon for
informasjonssystemets utforming og sikkerhetsløsninger slik at
den behandlingsansvarlige kan forvisse seg om at løsningen
har tilfredsstillende informasjonssikkerhet sett opp mot
risikovurdering og akseptkriterier.
• Databehandleren kan ikke endre informasjonssikkerhetstiltak
uten at den behandlingsansvarlige er blitt informert skriftlig
og har godkjent endringen, jf. risikovurdering og
akseptkriterier.
19. Databehandleravtale – typiske best.
Bruk av underleverandør
• Dersom databehandler benytter seg av underleverandør eller
andre som ikke normalt er ansatt hos databehandler skal dette
avtales skriftlig med behandlingsansvarlige før
behandlingen av personopplysninger starter.
• Samtlige som på vegne av databehandler utfører oppdrag
der bruk av de aktuelle personopplysningene inngår, skal
være kjent med databehandlers avtalemessige og lovmessige
forpliktelser og oppfylle vilkårene etter disse.
20. Databehandleravtale – lokasjon
•Er det mulig å regulere hvor data skal befinne seg?
«Databehandleravtalen skal også til enhver tid gjenspeile hvor
personopplysningene blir behandlet. Dette innebærer i praksis
informasjon til enhver tid om hvilken leverandør som fysisk besitter de
aktuelle opplysningene i det aktuelle landet. Dette kan også være en
underleverandør til den som selve tjenesten er levert av. «
www.datatilsynet.no
Hvorfor er dette viktig?
– Overføring av personopplysninger til utlandet er strengt
regulert
21. Google til dansk kommune:
«Google applications run in a multi-tenant, distributed environment. Rather
than segregating each customer's data onto a single machine or set of
machines, Google Apps data from all Google customers (consumers, business,
and even Google's own data) is distributed amongst a shared infrastructure
composed of Google’s many homogeneous machines and located across
Google's many data centers.»
Dette ble ikke akseptert av dansk DT
Dansk DT: avtalen ikke nok – kommunen må kunne
etterprøve/forvisse seg om at sikkerheten er god nok
..litt om Narvik kommune og så - hva er reglene?
Overføring til utland – vit hvor data er
22. Narvik kommune 18 mai 2011
• valgt Google som leverandør av e-post, kalender og tilhørende
gruppevare
• Kommunen har gjennom Lotus Notes en integrasjon mot
internsakssystemet Websak fra Acos. E-post og vedlegg kan
enkelt lagres med én knapp. Denne funksjonen har de
videreført med Google Apps gjennom en spesialtilpasning.
Kilde: digi.no og computerworld.no
23. Narvik kommune 18 mai 2011
• I tillegg skal kommunen innføre Googles gruppevare til
hele utdanningssektoren
- Google har en veldig god lisensordning for
opplæringssektoren. Skolen, lærere og elever får nesten samme
funksjonalitet som betalvarianten, men uten noen kostnad.
24. Narvik kommune 18 mai 2011
- Har dere gjort dere noen tanker rundt det å bli avhengig av et
utenlandsk selskap med serverpark utenfor Norges grenser, i
forhold til krav om oppetid og sikkerhet?
- Vi har selvfølgelig vurdert det, men opplever at Google er en
seriøs aktør som ivaretar dette. Det er også slik at informasjon
som skal sikres med begrenset tilgang ikke skal gå ut på e-post
eller lagres i skyen. I prinsippet er det informasjon som kan se
dagens lys som benyttes i dette systemet. Det er verdt å få med at
all sensitiv informasjon skal ligge i vårt internsystem.
Sensitiv informasjon vil fortsatt ligge og behandles i interne
sakssystemer, men for samhandling utover saksbehandling vil
vi kunne bruke Google
25. Overføring av PO til utlandet
§ 29. Grunnleggende vilkår
Personopplysninger kan bare overføres til stater som sikrer en
forsvarlig behandling av opplysningene. Stater som har
gjennomført direktiv 95/46/EF om beskyttelse av fysiske
personer i forbindelse med behandling av personopplysninger
og om fri utveksling av slike opplysninger, oppfyller kravet til
forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig måte,
skal det bl.a. legges vekt på opplysningenes art, den planlagte
behandlingens formål og varighet samt de rettsregler, regler for
god forretningsskikk og sikkerhetstiltak som gjelder i
vedkommende stat. Det skal også legges vekt på om staten har
tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om
personvern i forbindelse med elektronisk behandling av
personopplysninger.
26. Hovedregel
Utgangspunkt: POLs generelle krav til behandling av
personopplysninger er oppfylt (§§8,9,11);
– PO kan overføres til land innen EU og EØS-området
– PO kan overføres til land som Europakommisjonen har godkjent
– PO kan overføres til enkeltbedrifter i USA som har sluttet seg
til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må
beskrives i konsesjonssøknad eller melding knyttet til
hovedformålet
27. Overføring til andre tredjeland og
vsh i USA utenfor Safe Harbor
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan
brukes.
28. Overføring av PO til utlandet
§ 30. Unntak
Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig
behandling av opplysningene dersom
a) den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller
som følge av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller
for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en
tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et
rettskrav,
g) overføringen er nødvendig eller følger av lov for å beskytte en viktig
samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig
register.
29. Overføring av PO til utlandet
§ 30. Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er
oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern
av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Kongen kan gi forskrift om overføring av personopplysninger til utlandet,
herunder om å stanse eller begrense overføring til bestemte stater som ikke
tilfredsstiller kravene i § 29.
Typisk:
EUs standardavtaler
Binding Corporate Rules (BCR)
30. EUs standard avtaler
• To hovedtyper avtaler
– Overføring til databehandler i utlandet
– Overføring til en annen virksomhet som skal bruke opplysningene
til eget formål, 2 alternative kontrakter-foreligger
• (Controller til controller)
• Skal godkjennes av Datatilsynet i hvert enkelt
tilfelle – mye arbeid
31. Binding Corporate Rules
• I praksis har BCR blitt godtatt som grunnlag for overføring når de gir
tilstrekkelige garantier for den registrertes personvern
• Slike regler vil særlig være praktisk der konsernet opererer i flere
EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller
flere av disse til filialer eller datterselskap i ett eller flere tredjeland
• Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag
for overføringer fra samtlige EU-/EØS-land og til samtlige deler av
konsernet som omfattes av reglene
• Veiledere for opprettelse av bindende konsernregler finnes på Artikkel
29 gruppens hjemmesider
§ 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
§ 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
§ 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil: