Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner

276 visualizaciones

Publicado el

Datalovgivningen overtrædes hver dag. Få ti gode råd til din cloudaftale

Publicado en: Datos y análisis
  • Sé el primero en comentar

Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner

  1. 1. 10 gode råd Cloud - sikkerhed
  2. 2. Introduktion Hvem er jeg? - Advokat, partner i Plesner - Specialist i persondatabeskyttelse, 10+ års erfaring, leder af Danmarks største team med i alt 4 dedikerede specialister Hvorfor dagens emne? - Det er vigtigt af kommercielle grunde - Krav under persondataloven - Der kommer en Persondataforordning (formentlig) fra 1. januar 2018 - Bøder op til 5% af global omsætning eller 100 mio. Euro! 13. marts 20152
  3. 3. 1 Skriftlig aftale • Der er krav om indgåelse af en skriftlig aftale ved brug af datacentre • Skal indeholde en række bestemmelser, bl.a. vedrørende • Hvad må datacentret bruge data til • Hvor længe gælder aftalen • Overholdelse af compliancekrav og sikkerhedskrav • Opfølgning og auditering • Underleverandører Og meget mere. Husk at læse den, inden du indgår en cloud aftale! 13. marts 20153
  4. 4. 2 Er der styr på compliance og sikkerhed? • Man kan ikke vurdere om man kan/må bruge en databehandler, uden at kende kravene til sit eget niveau • Derfor: Er der styr på din egen forretning? Start med at se på din egen risikovurdering: • Complianceprogram: F.eks. oplysningspligt, behandlingsgrundlag, indsigtsret og slettefrister • Sikkerhedsprogram: Ekstern sikkerhed, intern sikkerhed (f.eks. rollestyring) • Særlige vilkår stillet af Datatilsynet i en tilladelse, eller af andre myndigheder! • Der er pligt til at foretage en vurdering af compliance og sikkerhed ved brug af cloud INDEN man begynder at bruge tjenesten • Benchmark mod kundens eget program/niveau! • Adgang til de nødvendige oplysninger? • Pligt til at overholde danske krav, selv om man bruger en databehandler uden for Danmark • I øvrigt også pligt for databehandleren til at overholde sikkerhedskrav i sit hjemland 13. marts 20154
  5. 5. 3 Cloud er dødt Også kendt som: Hvor er mine data? • Krav om, at kunden har mulighed for at kende den præcise beliggenhed af datacentre inden aftaleindgåelse – og hvordan kan kunden gennemføre en risikovurdering uden at havde disse oplysninger? • Ok med en dynamisk kontrakt, hvor kunden får oplyst beliggenhed for datacentre ved aftaleindgåelsen, sammen med en mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye datacentre (sammen med en mulighed for at udtræde af kontrakten) • Et servicecenter er også et datacenter! Læseadgang svarer til opbevaring • Krav om, at kunden altid har adgang til den præcise adresse for alle datacentre 13. marts 20155
  6. 6. 4 Er der ret til at bruge underleverandører? • Krav om, at kunden ved og godkender brugen af underleverandører (i det mindste, at det kan ske) • Hvis generelt samtykke, som ikke kan tilbagekaldes, krav om mekanisme i kontrakten, hvor kunden gives et rimeligt varsel om nye underleverandører (sammen med en mulighed for at udtræde af kontrakten) • Underleverandøren skal leve op til alle de formelle krav. Krav om, at kunden har de påkrævede juridiske rettigheder også over for underleverandøren. • Kunden skal have ret til at modtage en kopi af den formelle del af aftalen mellem leverandør og underleverandør, sådan at kunden kan kontrollere ovenstående • Pas på underleverandører uden for Danmark 13. marts 20156
  7. 7. 5 Forlader dine data EU/EØS? • Overførsel til lande uden for EU/EØS (3L) kræver et særligt grundlag • Både relevant for datacentre og servicecentre • Kun få sikre 3L • Safe Harbor (lidt endnu?) • Binding Corporate Rules for processors • Model Clause contracts (pas på, hvem der bliver parter til aftalen) • Overvej om der er anmeldelsespligt til Datatilsynet 13. marts 20157
  8. 8. 6 Opfølgning Krav om, at kunden løbende følger op på aftalen, både ift compliance og sikkerhed • Husk, hvad benchmark var! Hvis det ændrer sig – og det bør det gøre - så ændrer kravene til leverandøren sig også. • I praksis ved at leverandøren indhenter erklæringer en gang årligt • Men kontrakten skal give kunden ret til at sende egne eksperter ind på datacentre • Krav om pligt for leverandøren til at stille alle relevante oplysninger til rådighed for kunden, sådan at kunden kan overholde sine forpligtelser • Gælder tilsvarende for underleverandører! 13. marts 20158
  9. 9. 7 Andre myndighedskrav • Anmeldelse af databehandler, hvis man har en tilladelse fra Datatilsynet • Må data forlade Danmark? • Krigsreglen for offentlige dataansvarlige • Særregler for private, f.eks. om opbevaring af regnskabsoplysninger • Kan leverandøren slette data, hvis kunden beder om det? • Lyder simpelt, men det er det ikke! 13. marts 20159
  10. 10. 8 Er der tale om en koncern? Pas på, hvis der er tale om brug af cloud, initieret af et moderselskab, men reelt på vegne af hele koncernen, som kan bruge tjenesten • Tendens til at glemme, at danske og udenlandske datterselskaber kan være underlagt andre krav end dem, som gælder for moderselskabet  Tilbage til punkt 2, 5 og 7, denne gang for hvert enkelt selskab • Husk interne aftaler (Intra-Group Agreement)  Tilbage til punkt 1 13. marts 201510
  11. 11. 9 For ikke at nævne… ALLE de andre forhold • Tekniske forhold • Forhandling af kontrakten, hvis den ellers er til forhandling… • Service levels • Ophørsassistance • Hvad gør du, hvis udbyderen går konkurs? • Dansk IT / Danske IT Advokater har udgivet: Vejledning om juridiske, kommercielle og tekniske forhold i aftaler om Cloud Computing • http://dit.dk/Om_DIT/Organisation/~/media/Files/Publikationer/Gratis_pu blikationer/CloudComputing_vejledning_final.ashx 13. marts 201511
  12. 12. 10 Det sidste gode råd er derfor Tal med din advokat Cloud er nemt af mange grunde - men de samme grunde gør det juridisk og teknisk meget mere komplekst end jeres egen server i kælderen 13. marts 201512
  13. 13. Læs mere Datatilsynet Microsoft 365 afgørelsen http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behandling-af- personoplysninger-i-cloud-loesningen-office-365/ Artikel 29 Gruppen Opinion 05/2012 on Cloud Computing (WP 196) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp196_en.pdf 13. marts 201513
  14. 14. Spørgsmål? PLESNER Advokat, partner Michael Hopp mho@plesner.com Tlf. 29993014 13. marts 201514

×