SlideShare una empresa de Scribd logo

Cloud og personvern idg mai 2011

Descargar como PPT, PDF
Eva Jarbekk
Eva Jarbekk
1 de 33
Skyer, cloud og litt juss advokat Eva I. E. Jarbekk
Hva er cloud?
Lovkrav - personvern –Personvern – hvem er behandlingsansvarlig –Informasjonssikkerhet –Formkrav ved overføring av PO til utlandet –Databehandleravtaler –Annet man må tenke på: • Risikovurderinger • Kontrakt – Lovvalg – håndheving - SLA – ansvarsbegrensning - etc Rettslige utfordringer
• Advokat og partner i Brækhus Dege Advokatfirma • Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning og personvern • Leder av Personvernnemnda 2009-2013 • Leder advokatforeningens lovutvalg for ikt- og personvern Bakgrunn – Eva Jarbekk
Personvern – why? • Utgangspunkt; pol § 1 Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Formålsparagrafen er tolkningsmoment i vurderinger med skjønn ..forts.
Litt om hvorfor personvern • Sikre forsvarlig bruk av personopplysninger – Hver enkelts personvern og kontroll med opplysninger – Opplysninger skal forbli der de forventes å befinne seg – Forventninger om diskresjon øker behov for personvern/beskyttelse • passord øker forventing om diskresjon • E-post derfor annerledes enn sentralt lagrede dokumenter • Sosiale medier antas å være mer lukket enn de er • Informasjonssikkerhet er en sentral del av personvern • Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene • Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
Rettslig rammeverk - oversikt • Personopplysningsloven (EU-basert) • Forskrifter • Datatilsynets praksis • Personvernnemndas praksis • Noe rettspraksis • Avgjørelser fra statsadvokat og riksadvokat • Nye forskrifter om innsyn i e-post • Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre • Datatilsynet – Veiledningsplikt – mye på nett – Kontrollerende organ • Personvernnemnda
All info knyttet direkte/indirekte til individ omfattes av loven – Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes – Reglene gjelder BÅDE sensitive og ikke-sensitive opplysninger Personopplysningslovens virkeområde
Hva er ”behandling” av personopplysninger Personopplysningsloven § 2,1,2: Enhver formålsbestemt bruk av personopplysninger Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon – definitivt cloud
Hvem er ansvarlig - begreper • Ledelsen • Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes • Databehandler: gjør det avtalen med behandlingsansvarlig sier • Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”
Problem: behandlingsansvarlig eller databehandler? • Behandlingsanvarlig har omfattende plikter – det har ikke databehandler • Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler – databehandleravtaler • Hvem er hva ved bruk av skyen? • Realiteten avgjør rollene og pliktene – Er det lett å avgjøre? – Man kan i en viss grad avtale hvor ansvaret skal ligge – Mulig at to virksomheter sammen kan være behandlingsansvarlig – krever grundig avtale
• DT og Article 29 – gruppen – Tekniske beslutninger kan delegeres, men ikke “the essential elements of the means” •I utgangspunktet er sky-leverandør databehandler – Men: En IaaS kan lettere vurderes som vurderes som en databehandler, men en SaaS kan anses som behandlingsansvarlig •Hvis leverandøren likevel faktisk er behandlingsansvarlig – Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse til de hvis data er lagret i skyen Behandlingsansvarlig eller databehandler?
• Uansett: avtale med sky-leverandør trengs • Kontroll må sikres i størst mulig grad BA eller DB
Kjært barn har mange navn Databehandleravtaler eller Cloud-avtale SaaS-avtale Poeng er ikke navn, men innhold
Databehandleravtale • Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes • Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet • Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene • Avtalen med sky-leverandør vil bli ganske omfattende
Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om informasjonssikkerhet m.m. etterleves? •Odense kommune - Google Apps in schools – NEI •POF: – Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.” TVILSOMT – BA MÅ HA EN GRAD AV KONTROLL ..typiske og viktige bestemmelser Er avtale med leverandør alltid tilstrekkelig?
Databehandleravtale – typiske best. • hvilke personopplysninger skal behandles • hvilke behandlinger omfattes av avtalen • hva er rammene for databehandlers håndtering av personopplysninger ……… – … om det er rom for forhandlinger da… det varierer jo meget …. • Eksempelvis: – Sikkerhetskopiering – speiling - redundans – Sletting – Tilgangskontroll – Segmentering – Lokasjon – tar mer om dette litt senere
Databehandleravtale – typiske best. Sikkerhet – www.datatilsynet.no • Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger slik at den behandlingsansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier. • Databehandleren kan ikke endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen, jf. risikovurdering og akseptkriterier.
Databehandleravtale – typiske best. Bruk av underleverandør • Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. • Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Databehandleravtale – lokasjon •Er det mulig å regulere hvor data skal befinne seg? «Databehandleravtalen skal også til enhver tid gjenspeile hvor personopplysningene blir behandlet. Dette innebærer i praksis informasjon til enhver tid om hvilken leverandør som fysisk besitter de aktuelle opplysningene i det aktuelle landet. Dette kan også være en underleverandør til den som selve tjenesten er levert av. « www.datatilsynet.no Hvorfor er dette viktig? – Overføring av personopplysninger til utlandet er strengt regulert
Google til dansk kommune: «Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google’s many homogeneous machines and located across Google's many data centers.» Dette ble ikke akseptert av dansk DT Dansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er god nok ..litt om Narvik kommune og så - hva er reglene? Overføring til utland – vit hvor data er
Narvik kommune 18 mai 2011 • valgt Google som leverandør av e-post, kalender og tilhørende gruppevare • Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemet Websak fra Acos. E-post og vedlegg kan enkelt lagres med én knapp. Denne funksjonen har de videreført med Google Apps gjennom en spesialtilpasning. Kilde: digi.no og computerworld.no
Narvik kommune 18 mai 2011 • I tillegg skal kommunen innføre Googles gruppevare til hele utdanningssektoren - Google har en veldig god lisensordning for opplæringssektoren. Skolen, lærere og elever får nesten samme funksjonalitet som betalvarianten, men uten noen kostnad.
Narvik kommune 18 mai 2011 - Har dere gjort dere noen tanker rundt det å bli avhengig av et utenlandsk selskap med serverpark utenfor Norges grenser, i forhold til krav om oppetid og sikkerhet? - Vi har selvfølgelig vurdert det, men opplever at Google er en seriøs aktør som ivaretar dette. Det er også slik at informasjon som skal sikres med begrenset tilgang ikke skal gå ut på e-post eller lagres i skyen. I prinsippet er det informasjon som kan se dagens lys som benyttes i dette systemet. Det er verdt å få med at all sensitiv informasjon skal ligge i vårt internsystem. Sensitiv informasjon vil fortsatt ligge og behandles i interne sakssystemer, men for samhandling utover saksbehandling vil vi kunne bruke Google
Overføring av PO til utlandet § 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.
Hovedregel Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11); – PO kan overføres til land innen EU og EØS-området – PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor Må følge ”unntakene” i § 30 I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.
Overføring av PO til utlandet § 30. Unntak        Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig  behandling av opplysningene dersom  a) den registrerte har samtykket i overføringen,  b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller  som følge av medlemskap i internasjonal organisasjon,  c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller  for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,  d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en  tredjeperson i den registrertes interesse,  e) overføringen er nødvendig for å vareta den registrertes vitale interesser,  f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et  rettskrav,  g) overføringen er nødvendig eller følger av lov for å beskytte en viktig  samfunnsinteresse, eller  h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig  register.        
Overføring av PO til utlandet § 30. Unntak            Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er  oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern  av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.         Kongen kan gi forskrift om overføring av personopplysninger til utlandet,  herunder om å stanse eller begrense overføring til bestemte stater som ikke  tilfredsstiller kravene i § 29.  Typisk: EUs standardavtaler Binding Corporate Rules (BCR)
EUs standard avtaler • To hovedtyper avtaler – Overføring til databehandler i utlandet  – Overføring til en annen virksomhet som skal bruke opplysningene  til eget formål, 2 alternative kontrakter-foreligger • (Controller til controller) • Skal godkjennes av Datatilsynet i hvert enkelt  tilfelle – mye arbeid  
Binding Corporate Rules • I praksis har BCR blitt godtatt som grunnlag for overføring når de gir  tilstrekkelige garantier for den registrertes personvern • Slike regler vil særlig være praktisk der konsernet opererer i flere  EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller  flere av disse til filialer eller datterselskap i ett eller flere tredjeland  • Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag  for overføringer fra samtlige EU-/EØS-land og til samtlige deler av  konsernet som omfattes av reglene • Veiledere for opprettelse av bindende konsernregler finnes på Artikkel  29 gruppens hjemmesider
Liten huskeliste • Er det rimelig å si at leverandøren er databehandler? Har  kunden kontroll over opplysningene? • Overføring til utlandet? Hvilke utland? Hvor er  underleverandører?  – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig   – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU • Revisjonsmulighet? Kontroll? Innsyn?  • Behandlingsansvaret innebærer at (databehandler)avtaler må  være grundige
Takk for oppmerksomheten! • mobil 90 05 10 11

Recomendados

Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Kristian Foss
 

Recomendados

Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Kristian Foss
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeideSenter for IKT i utdanningen, redaksjon
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Senter for IKT i utdanningen, redaksjon
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterLYNX advokatfirma DA
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Geir André Strømsvold
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyeneFlemming Ottosen
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 
Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 

Más contenido relacionado

Similar a Cloud og personvern idg mai 2011

NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterLYNX advokatfirma DA
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 

Similar a Cloud og personvern idg mai 2011 (20)

NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feide
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT Datalagringsdirektivet
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekter
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekter
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjon
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyene
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
 

Más de Eva Jarbekk

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Eva Jarbekk
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptxEva Jarbekk
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 

Más de Eva Jarbekk (15)

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptx
 

Cloud og personvern idg mai 2011

  • 1. Skyer, cloud og litt juss advokat Eva I. E. Jarbekk
  • 3. Lovkrav - personvern –Personvern – hvem er behandlingsansvarlig –Informasjonssikkerhet –Formkrav ved overføring av PO til utlandet –Databehandleravtaler –Annet man må tenke på: • Risikovurderinger • Kontrakt – Lovvalg – håndheving - SLA – ansvarsbegrensning - etc Rettslige utfordringer
  • 4. • Advokat og partner i Brækhus Dege Advokatfirma • Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning og personvern • Leder av Personvernnemnda 2009-2013 • Leder advokatforeningens lovutvalg for ikt- og personvern Bakgrunn – Eva Jarbekk
  • 5. Personvern – why? • Utgangspunkt; pol § 1 Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Formålsparagrafen er tolkningsmoment i vurderinger med skjønn ..forts.
  • 6. Litt om hvorfor personvern • Sikre forsvarlig bruk av personopplysninger – Hver enkelts personvern og kontroll med opplysninger – Opplysninger skal forbli der de forventes å befinne seg – Forventninger om diskresjon øker behov for personvern/beskyttelse • passord øker forventing om diskresjon • E-post derfor annerledes enn sentralt lagrede dokumenter • Sosiale medier antas å være mer lukket enn de er • Informasjonssikkerhet er en sentral del av personvern • Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene • Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
  • 7. Rettslig rammeverk - oversikt • Personopplysningsloven (EU-basert) • Forskrifter • Datatilsynets praksis • Personvernnemndas praksis • Noe rettspraksis • Avgjørelser fra statsadvokat og riksadvokat • Nye forskrifter om innsyn i e-post • Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre • Datatilsynet – Veiledningsplikt – mye på nett – Kontrollerende organ • Personvernnemnda
  • 8. All info knyttet direkte/indirekte til individ omfattes av loven – Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes – Reglene gjelder BÅDE sensitive og ikke-sensitive opplysninger Personopplysningslovens virkeområde
  • 9. Hva er ”behandling” av personopplysninger Personopplysningsloven § 2,1,2: Enhver formålsbestemt bruk av personopplysninger Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon – definitivt cloud
  • 10. Hvem er ansvarlig - begreper • Ledelsen • Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes • Databehandler: gjør det avtalen med behandlingsansvarlig sier • Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”
  • 11. Problem: behandlingsansvarlig eller databehandler? • Behandlingsanvarlig har omfattende plikter – det har ikke databehandler • Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler – databehandleravtaler • Hvem er hva ved bruk av skyen? • Realiteten avgjør rollene og pliktene – Er det lett å avgjøre? – Man kan i en viss grad avtale hvor ansvaret skal ligge – Mulig at to virksomheter sammen kan være behandlingsansvarlig – krever grundig avtale
  • 12. • DT og Article 29 – gruppen – Tekniske beslutninger kan delegeres, men ikke “the essential elements of the means” •I utgangspunktet er sky-leverandør databehandler – Men: En IaaS kan lettere vurderes som vurderes som en databehandler, men en SaaS kan anses som behandlingsansvarlig •Hvis leverandøren likevel faktisk er behandlingsansvarlig – Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse til de hvis data er lagret i skyen Behandlingsansvarlig eller databehandler?
  • 13. • Uansett: avtale med sky-leverandør trengs • Kontroll må sikres i størst mulig grad BA eller DB
  • 14. Kjært barn har mange navn Databehandleravtaler eller Cloud-avtale SaaS-avtale Poeng er ikke navn, men innhold
  • 15. Databehandleravtale • Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes • Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet • Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene • Avtalen med sky-leverandør vil bli ganske omfattende
  • 16. Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om informasjonssikkerhet m.m. etterleves? •Odense kommune - Google Apps in schools – NEI •POF: – Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.” TVILSOMT – BA MÅ HA EN GRAD AV KONTROLL ..typiske og viktige bestemmelser Er avtale med leverandør alltid tilstrekkelig?
  • 17. Databehandleravtale – typiske best. • hvilke personopplysninger skal behandles • hvilke behandlinger omfattes av avtalen • hva er rammene for databehandlers håndtering av personopplysninger ……… – … om det er rom for forhandlinger da… det varierer jo meget …. • Eksempelvis: – Sikkerhetskopiering – speiling - redundans – Sletting – Tilgangskontroll – Segmentering – Lokasjon – tar mer om dette litt senere
  • 18. Databehandleravtale – typiske best. Sikkerhet – www.datatilsynet.no • Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger slik at den behandlingsansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier. • Databehandleren kan ikke endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen, jf. risikovurdering og akseptkriterier.
  • 19. Databehandleravtale – typiske best. Bruk av underleverandør • Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. • Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
  • 20. Databehandleravtale – lokasjon •Er det mulig å regulere hvor data skal befinne seg? «Databehandleravtalen skal også til enhver tid gjenspeile hvor personopplysningene blir behandlet. Dette innebærer i praksis informasjon til enhver tid om hvilken leverandør som fysisk besitter de aktuelle opplysningene i det aktuelle landet. Dette kan også være en underleverandør til den som selve tjenesten er levert av. « www.datatilsynet.no Hvorfor er dette viktig? – Overføring av personopplysninger til utlandet er strengt regulert
  • 21. Google til dansk kommune: «Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google’s many homogeneous machines and located across Google's many data centers.» Dette ble ikke akseptert av dansk DT Dansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er god nok ..litt om Narvik kommune og så - hva er reglene? Overføring til utland – vit hvor data er
  • 22. Narvik kommune 18 mai 2011 • valgt Google som leverandør av e-post, kalender og tilhørende gruppevare • Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemet Websak fra Acos. E-post og vedlegg kan enkelt lagres med én knapp. Denne funksjonen har de videreført med Google Apps gjennom en spesialtilpasning. Kilde: digi.no og computerworld.no
  • 23. Narvik kommune 18 mai 2011 • I tillegg skal kommunen innføre Googles gruppevare til hele utdanningssektoren - Google har en veldig god lisensordning for opplæringssektoren. Skolen, lærere og elever får nesten samme funksjonalitet som betalvarianten, men uten noen kostnad.
  • 24. Narvik kommune 18 mai 2011 - Har dere gjort dere noen tanker rundt det å bli avhengig av et utenlandsk selskap med serverpark utenfor Norges grenser, i forhold til krav om oppetid og sikkerhet? - Vi har selvfølgelig vurdert det, men opplever at Google er en seriøs aktør som ivaretar dette. Det er også slik at informasjon som skal sikres med begrenset tilgang ikke skal gå ut på e-post eller lagres i skyen. I prinsippet er det informasjon som kan se dagens lys som benyttes i dette systemet. Det er verdt å få med at all sensitiv informasjon skal ligge i vårt internsystem. Sensitiv informasjon vil fortsatt ligge og behandles i interne sakssystemer, men for samhandling utover saksbehandling vil vi kunne bruke Google
  • 25. Overføring av PO til utlandet § 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.
  • 26. Hovedregel Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11); – PO kan overføres til land innen EU og EØS-området – PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
  • 27. Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor Må følge ”unntakene” i § 30 I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.
  • 28. Overføring av PO til utlandet § 30. Unntak        Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig  behandling av opplysningene dersom  a) den registrerte har samtykket i overføringen,  b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller  som følge av medlemskap i internasjonal organisasjon,  c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller  for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,  d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en  tredjeperson i den registrertes interesse,  e) overføringen er nødvendig for å vareta den registrertes vitale interesser,  f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et  rettskrav,  g) overføringen er nødvendig eller følger av lov for å beskytte en viktig  samfunnsinteresse, eller  h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig  register.        
  • 29. Overføring av PO til utlandet § 30. Unntak            Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er  oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern  av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.         Kongen kan gi forskrift om overføring av personopplysninger til utlandet,  herunder om å stanse eller begrense overføring til bestemte stater som ikke  tilfredsstiller kravene i § 29.  Typisk: EUs standardavtaler Binding Corporate Rules (BCR)
  • 30. EUs standard avtaler • To hovedtyper avtaler – Overføring til databehandler i utlandet  – Overføring til en annen virksomhet som skal bruke opplysningene  til eget formål, 2 alternative kontrakter-foreligger • (Controller til controller) • Skal godkjennes av Datatilsynet i hvert enkelt  tilfelle – mye arbeid  
  • 31. Binding Corporate Rules • I praksis har BCR blitt godtatt som grunnlag for overføring når de gir  tilstrekkelige garantier for den registrertes personvern • Slike regler vil særlig være praktisk der konsernet opererer i flere  EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller  flere av disse til filialer eller datterselskap i ett eller flere tredjeland  • Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag  for overføringer fra samtlige EU-/EØS-land og til samtlige deler av  konsernet som omfattes av reglene • Veiledere for opprettelse av bindende konsernregler finnes på Artikkel  29 gruppens hjemmesider
  • 32. Liten huskeliste • Er det rimelig å si at leverandøren er databehandler? Har  kunden kontroll over opplysningene? • Overføring til utlandet? Hvilke utland? Hvor er  underleverandører?  – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig   – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU • Revisjonsmulighet? Kontroll? Innsyn?  • Behandlingsansvaret innebærer at (databehandler)avtaler må  være grundige
  • 33. Takk for oppmerksomheten! • mobil 90 05 10 11

Notas del editor

  1. Derfor tar vi dette inn i informasjon til dem
  2. § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
  3. § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil:
  4. § 15 er en ganske formalistisk regel – straffbart å ikke ha det .. – kan undres om dette endrer noe å sette inn en slik bestemmelse – har opplevd at driftsansvarlige dog tenker seg om .. ..vi har det i våre advokatvilkår .. Uvanlig .. Delegasjon fritar ikke for ansvar Begge kan bli ansvarlige Skal gi et eksempel på klausul på neste foil: