Skyer, cloud og litt juss

advokat Eva I. E. Jarbekk

Hva er cloud?

Lovkrav - personvern

–Personvern – hvem er behandlingsansvarlig

–Informasjonssikkerhet

–Formkrav ved overføring av PO til utlandet

–Databehandleravtaler

–Annet man må tenke på:• Risikovurderinger

• Kontrakt – Lovvalg – håndheving - SLA – ansvarsbegrensning - etc

Rettslige utfordringer

• Advokat og partner i Brækhus Dege Advokatfirma

• Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning og personvern

• Leder av Personvernnemnda 2009-2013

• Leder advokatforeningens lovutvalg for ikt- og personvern

Bakgrunn – Eva Jarbekk

Personvern – why?

• Utgangspunkt; pol § 1

Lovens formålFormålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

Formålsparagrafen er tolkningsmoment i vurderinger med skjønn..forts.

Litt om hvorfor personvern• Sikre forsvarlig bruk av personopplysninger

– Hver enkelts personvern og kontroll med opplysninger– Opplysninger skal forbli der de forventes å befinne seg

– Forventninger om diskresjon øker behov for personvern/beskyttelse• passord øker forventing om diskresjon• E-post derfor annerledes enn sentralt lagrede dokumenter• Sosiale medier antas å være mer lukket enn de er

• Informasjonssikkerhet er en sentral del av personvern

• Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene

• Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern

Rettslig rammeverk - oversikt • Personopplysningsloven (EU-basert)• Forskrifter• Datatilsynets praksis • Personvernnemndas praksis• Noe rettspraksis• Avgjørelser fra statsadvokat og riksadvokat• Nye forskrifter om innsyn i e-post

• Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre

• Datatilsynet– Veiledningsplikt – mye på nett– Kontrollerende organ

• Personvernnemnda

All info knyttet direkte/indirekte til individ omfattes av loven

– Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes

– Reglene gjelder BÅDE sensitive og ikke-sensitive opplysninger

Personopplysningslovens virkeområde

Hva er ”behandling” av personopplysninger

Personopplysningsloven § 2,1,2:

Enhver formålsbestemt bruk av personopplysninger

Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon – definitivt cloud

Hvem er ansvarlig - begreper

• Ledelsen

• Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes

• Databehandler: gjør det avtalen med behandlingsansvarlig sier

• Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”

Problem: behandlingsansvarlig eller databehandler?

• Behandlingsanvarlig har omfattende plikter – det har ikke databehandler

• Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler – databehandleravtaler

• Hvem er hva ved bruk av skyen?

• Realiteten avgjør rollene og pliktene – Er det lett å avgjøre?– Man kan i en viss grad avtale hvor ansvaret skal ligge – Mulig at to virksomheter sammen kan være behandlingsansvarlig –

krever grundig avtale

• DT og Article 29 – gruppen – Tekniske beslutninger kan delegeres, men ikke “the essential elements

of the means”

•I utgangspunktet er sky-leverandør databehandler

– Men: En IaaS kan lettere vurderes som vurderes som en databehandler, men en SaaS kan anses som behandlingsansvarlig

•Hvis leverandøren likevel faktisk er behandlingsansvarlig– Hovedproblem: Leverandøren har ingen avtalemessig forpliktelse til

de hvis data er lagret i skyen

Behandlingsansvarlig eller databehandler?

• Uansett: avtale med sky-leverandør trengs

• Kontroll må sikres i størst mulig grad

BA eller DB

Kjært barn har mange navn

Databehandleravtaler

eller

Cloud-avtaleSaaS-avtale

Poeng er ikke navn, men innhold

Databehandleravtale

• Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes

• Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet

• Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene

• Avtalen med sky-leverandør vil bli ganske omfattende

Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om informasjonssikkerhet m.m. etterleves?

•Odense kommune - Google Apps in schools – NEI

•POF:– Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.

Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.”

TVILSOMT – BA MÅ HA EN GRAD AV KONTROLL..typiske og viktige bestemmelser

Er avtale med leverandør alltid tilstrekkelig?

Databehandleravtale – typiske best.

• hvilke personopplysninger skal behandles

• hvilke behandlinger omfattes av avtalen

• hva er rammene for databehandlers håndtering av personopplysninger ………

– … om det er rom for forhandlinger da… det varierer jo meget ….

• Eksempelvis: – Sikkerhetskopiering – speiling - redundans

– Sletting

– Tilgangskontroll

– Segmentering

– Lokasjon – tar mer om dette litt senere

Databehandleravtale – typiske best.

Sikkerhet – www.datatilsynet.no

• Databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger slik at den behandlingsansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier.

• Databehandleren kan ikke endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen, jf. risikovurdering og akseptkriterier.

Databehandleravtale – typiske best.

Bruk av underleverandør

• Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.

• Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

Databehandleravtale – lokasjon

•Er det mulig å regulere hvor data skal befinne seg?

«Databehandleravtalen skal også til enhver tid gjenspeile hvor personopplysningene blir behandlet. Dette innebærer i praksis informasjon til enhver tid om hvilken leverandør som fysisk besitter de aktuelle opplysningene i det aktuelle landet. Dette kan også være en underleverandør til den som selve tjenesten er levert av. «

www.datatilsynet.no

Hvorfor er dette viktig? – Overføring av personopplysninger til utlandet er strengt

regulert

Google til dansk kommune:

«Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google’s many homogeneous machines and located across Google's many data centers.»

Dette ble ikke akseptert av dansk DT

Dansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er god nok

..litt om Narvik kommune og så - hva er reglene?

Overføring til utland – vit hvor data er

Narvik kommune 18 mai 2011

• valgt Google som leverandør av e-post, kalender og tilhørende gruppevare

• Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemet Websak fra Acos. E-post og vedlegg kan enkelt lagres med én knapp. Denne funksjonen har de videreført med Google Apps gjennom en spesialtilpasning.

Kilde: digi.no og computerworld.no

Narvik kommune 18 mai 2011

• I tillegg skal kommunen innføre Googles gruppevare til hele utdanningssektoren

- Google har en veldig god lisensordning for opplæringssektoren. Skolen, lærere og elever får nesten samme funksjonalitet som betalvarianten, men uten noen kostnad.

Narvik kommune 18 mai 2011

- Har dere gjort dere noen tanker rundt det å bli avhengig av et utenlandsk selskap med serverpark utenfor Norges grenser, i forhold til krav om oppetid og sikkerhet?

- Vi har selvfølgelig vurdert det, men opplever at Google er en seriøs aktør som ivaretar dette. Det er også slik at informasjon som skal sikres med begrenset tilgang ikke skal gå ut på e-post eller lagres i skyen. I prinsippet er det informasjon som kan se dagens lys som benyttes i dette systemet. Det er verdt å få med at all sensitiv informasjon skal ligge i vårt internsystem.

Sensitiv informasjon vil fortsatt ligge og behandles i interne sakssystemer, men for samhandling utover saksbehandling vil vi kunne bruke Google

Overføring av PO til utlandet§ 29. Grunnleggende vilkår

      Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.

       I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.

Hovedregel

Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11);

– PO kan overføres til land innen EU og EØS-området– PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg

til Safe Harbor

Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet

Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor

Må følge ”unntakene” i § 30

I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.

Overføring av PO til utlandet§ 30. Unntak        Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig

behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.       

Overføring av PO til utlandet§ 30. Unntak          

Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.

       Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29.

Typisk: EUs standardavtalerBinding Corporate Rules (BCR)

EUs standard avtaler

• To hovedtyper avtaler

– Overføring til databehandler i utlandet

– Overføring til en annen virksomhet som skal bruke opplysningene til eget formål, 2 alternative kontrakter-foreligger

• (Controller til controller)

• Skal godkjennes av Datatilsynet i hvert enkelt tilfelle – mye arbeid

Binding Corporate Rules

• I praksis har BCR blitt godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern

• Slike regler vil særlig være praktisk der konsernet opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere av disse til filialer eller datterselskap i ett eller flere tredjeland

• Når de bindende reglene er godkjent, vil de utgjøre et gyldig grunnlag for overføringer fra samtlige EU-/EØS-land og til samtlige deler av konsernet som omfattes av reglene

• Veiledere for opprettelse av bindende konsernregler finnes på Artikkel 29 gruppens hjemmesider

Liten huskeliste

• Er det rimelig å si at leverandøren er databehandler? Har kunden kontroll over opplysningene?

• Overføring til utlandet? Hvilke utland? Hvor er underleverandører? – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU

• Revisjonsmulighet? Kontroll? Innsyn?

• Behandlingsansvaret innebærer at (databehandler)avtaler må være grundige

Takk for oppmerksomheten!

• mobil 90 05 10 11