hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
DESCRIPTION
Foredraget handler om hvordan man må håndtere HR-opplysninger i nettskyen/cloud samt om BCR i privat og offentlig sektor.TRANSCRIPT
Lovlig bruk av opplysninger i nettskyen – oglitt om nykommeren «BCR»
HR-Norges arbeidsrettskonferanse 2013
Advokat Eva I. E Jarbekk
Dagens tema
• Bruk av HR-opplysninger i nettsky
• Juridiske utfordringer og hovedregler
• Binding corporate rules - BCR
April 13, 20232
Eva
• Advokat og assosiert partner i Kluge – IKT og arbeidsrett
• Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning og personvern
• Leder av Personvernnemnda 2009-2017 – klageorgan for Datatilsynet
• Advokat for Spesialenheten for politisaker
• Leder advokatforeningens lovutvalg for ikt- og personvern
April 13, 20233
Hva er HR-opplysninger?• Personopplysninger
• Ikke om selskaper, men individer• Enkeltmannsselskaper i en gråsone• BÅDE sensitive og ikke-sensitive opplysninger
• Indirekte identifikasjon
• «Anonyme opplysninger» - et presist begrep og en trend i begge retninger• «tilstrekkelig anonym»• Aksept for at indirekte identifikasjon ofte kan gjøres
April 13, 20234
Hva er HR-opplysninger?
• Personopplysningsloven gjelder – alltid
• «Behandling» av personopplysninger• Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon • Dette omfatter definitivt lagring i cloud – nettskyen er bare et nytt medium
• Ledelsen er ansvarlig
• Ansvar forsvinner ikke ved oursourcing e.l.
April 13, 20235
HR-opplysninger i nettskyen
• Hva er en nettsky? Eller en cloud-løsning?
• Informasjon som finnes PÅ BAKKEN, men er tilgjengelig fra mange steder via Internett
April 13, 20236
Eksempler på nettskyer
• Linkedin, Facebook
• Google Apps – kalender, epost, dokumenter, etc
• Microsoft 365 – alt MS tilbyr – via nett
April 13, 20237
Praktisk?• Ja• Både for offentlig og for private virksomheter
• Hvorfor?
• Kostnadsbesparende, tidsbesparende, bedre (?) sikkerhet, bedre løsninger• God back-up (hos store leverandører) – ofte reservelagring i annet land/kontinent av
sikkerhetsårsaker• Leverandør disponerer hele skyen og ”flytter data rundt” etter behov – overføring av
personopplysninger
April 13, 20238
Nettskyer tvinger seg frem pga effektivitet og kostnadsbesparelser
Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
April 13, 20239
Offentlig sektor Privat sektor
2010 11% 17%
2011 33% 38%
2012
Ulike definisjoner basert på type tjeneste• IaaS - Infrastuktur as a Service – leverandør tilbyr ”enklere” infrastruktur - typisk
lagring og servere
• PaaS – Platform as a Service – typisk lagring, servere og databaser
• Software as a Service – Leverandør tilbyr applikasjoner – mer komplekst og leverandøren har mer kontroll – typisk lagring, servere, databaser, sikkerhet og applikasjoner (programmer)
• Private skyer, offentlige skyer, hybrider, etc…..
April 13, 202310
Virginia with backup in WashingtonUnited StatesCanadaMexico Puerto Rico
Dublin with backup in Amsterdam
Austria Belgium Czech Republic Denmark Finland France Germany Greece Hungary Ireland Italy
Israel Netherlands Norway Poland Portugal Romania Spain Sweden Switzerland UK
Singapore with backup in Hong Kong
Australia China Hong Kong India Japan Malaysia
Brazil with backup in Chile
Brazil ChileColombia
New Zealand Singapore South Korea Taiwan
Behandlingsansvarlig eller databehandler?• Hvem er hva ved bruk av cloud?
• Behandlingsansvarlig har omfattende plikter – det har ikke databehandler
• Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler – databehandleravtaler
• I utgangspunktet er leverandør av nettskyer en databehandler
April 13, 202312
Er avtale med leverandør alltid tilstrekkelig?Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om informasjonssikkerhet m.m. etterleves?
•Odense kommune - Google Apps in schools
•personopplysningsforskriften:• Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal
omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.”
Behandlingsansvarlig MÅ HA EN GRAD AV KONTROLL
April 13, 202313
Overføring til utland – vit hvor data er
Google til Odense kommune:
«Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google’s many homogeneous machines and located across Google's many data centers.»
Dette ble ikke akseptert av dansk DT
Dansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er god nok
..litt om Narvik kommune og så - hva er reglene?
April 13, 202314
Historien om Narvik
• Google som leverandør av e-post, kalender, mm
• Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemet Websak fra Acos
April 13, 202315
Historien om Narvik – hva var problemet
• Databehandleravtale?• Kontrollmulighet?• Exit-mulighet, håndtering av data?• Hvordan bruker Google selv dataene – selges de?• Hvem har tilgang?• Kryptering, sikring?• Hvor lenge oppbevares back-up• Segregeres data?
• Overføring av personopplysninger til utlandet
• Innsynsbegjæring fra tredjeland – Patriot Act fra USAApril 13, 202316
Regler om overføring av personopplysninger til utlandet
April 13, 202317
Hovedregel i § 29
Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8, 9, 11);
• PO kan overføres til land innen EU og EØS-området• PO kan overføres til land som Europakommisjonen har godkjent (liste)• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
April 13, 202318
Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes
April 13, 202319
Overføring av PO til utlandet§ 30 UnntakPersonopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av
opplysningene dersom a)den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av
medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den
registrertes interesse, e)overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
April 13, 202320
Overføring av PO til utlandet§ 30 Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Typisk: EUs standardavtalerBinding Corporate Rules (BCR)Processor Binding Rules (PBCR)
April 13, 202321
Artikkel 29-gruppens hjemler for overføring til utlandet
Utenfor EU/Safe Harbour:
•Modellavtaler – standardavtaler•BCR
April 13, 202322
EUs standard avtaler/modellavtaler
To hovedtyper avtaler
• Overføring til databehandler i utlandet
• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål• 2 alternative kontrakter• Forskjellige erstatningsbestemmelser
April 13, 202323
EUs standardavtalerPresise bestemmelser om
•Hvilke typer opplysninger som kan overføres•Hva opplysningene kan brukes til•Hvor de skal lagres•Hvor lenge•De registrerte skal informeres ifbm sensitive PO
•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen ikke bli godkjent
Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes
Mye arbeid, tar tid i DT
April 13, 202324
Binding Corporate Rules - konsern• Fra artikkel 29-gruppen
• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern
• Praktisk der konsern opererer i og utenfor EU-/EØS-land• «19000 overføringsavtaler eller en BCR?»
• Veiledere på Artikkel 29-gruppens hjemmesider
• Videreføres i ny EU-forordning
• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCR
April 13, 202325
Binding Corporate Rules - forvaltning
• Processor Binding Corporate Rules - PBCR
• Grunnlag for bruk av databehandler som lagrer opplysninger utenfor EU/EØS
• Ingen godkjent pt
• Informasjonsplikt til de registrerte?
• Veiledere på Artikkel 29-gruppens hjemmesider
April 13, 202326
Tilbake til Narvik
April 13, 202327
Historien om Narvik – Narviks svar til DT
• Klart om hvilke opplysninger som behandles – ikke sensitive• Solid ROS-analyse• Databehandler – ekstensiv,• Hvor lagres data (EU og USA – Safe Harbour)• Sikkerhet: back-up, googles tilgang, sikkerhetsrevisjon, segmentering., sletting,
logging etc
Datatilsynet: OK • Hvis Google slår sammen data med andre forretningsområder – f eks gmail –
mulig annen konklusjonApril 13, 202328
Huskeliste for nettskyer
April 13, 202329
Huskeliste for lovlig bruk av nettsky
Ordentlig ROS-analyse og databehandleravtale, pol § 15
Databehandleravtale må angi:
•Databehandlers rådighet over PO - finalitetsprinsippet
•Databehandlers plikt til å sørge for informasjonssikkerhet
April 13, 202330
Huskeliste for lovlig bruk av nettsky
April 13, 202331
• Konkrete krav til informasjonssikkerhet; fysisk og teknisk, logging
• Tilgangskontroll
• Segmentering
• Revisjonsmulighet/transparens
• Bruk av underleverandører
• Exit-håndtering
• Avvikshåndtering
• Håndtering av endringer; Varslingsplikt? Samtykke?
• Garantier for sikkerhet til data
• Sletteregler
• Lokasjon av data
• Lovlig overføringshjemmel
April 13, 202332
Kommisjonens oppfatning• Ønsker økt bruk av nettskyer• Sikkerhet og personvern er et problem• Liten forhandlingsmakt selv for store brukere• «Take it or leave it» – kontrakter er et utbredt problem
EU planlegger:• Standariserte vilkår• Sertifiseringsordning• Samarbeid for offentlig sektor
• PBCR er viktig
April 13, 202333
Lokasjonsbestemmelser i anbudskontrakter
April 13, 202334
Dette bør man ha tenkt på før utlysing av konkurranse
• Geografisk begrensning av datalokasjon?• Lav prising grunnet bruk av ressurser i land man ikke vet om
godkjennes, hva gjør man da?
Begrense geografisk i anbud?
• Fristende ifht pol’s regler
• General Procurement Agreement • GPA-avtalen• plurilateral avtale, omfatter 41 av WTOs medlemmer• Likebehandling og ikke-diskriminering for tjenester mellom landene• Kan ikke ekskludere GPA-medlemmer
GPA-avtalen
• Omfatter datatjenester
• Vanskelig å sette en begrensning i konkurransegrunnlaget om at plattformen kun kan etableres i EU
• Selv om GPA-land må inkluderes, kan Datatilsynet sette begrensninger på eventuelle overføringer
Ser ny tilnærming ved anbud – relevant også ved nettskyer
• Aktuelle land må forhåndsgodkjennes av Datatilsynet
• Tar lengre tid
• Mer arbeid
• Gir kontroll
Oppsummering – slik reglene er nå
• Kunden har ansvar for å overholde reglene, ikke cloud-leverandøren
• Kunden må velge en leverandør som har god sikkerhet, tillater revisjoner, klar lokasjon av data for å sikre hjemmel for overføring
• Kunden må sikre at avtalen med leverandøren oppfyller lovkrav
• Noen leverandører kan ha akseptable avtaler, men det må vurderes konkret
April 13, 202339
• Takk for oppmerksomheten!
April 13, 202340