nkul 2015 - bruk skytjenester riktig! harald torbjørnsen og tommy tranvik
TRANSCRIPT
Bruk skytjenester riktig!o databehandleravtale o risikovurdering i praksis o håndtering av internasjonale tjenester
Tommy TranvikHarald Torbjørnsen
Enkel definisjon
Datatjenester som tilbys over internett, både norske og utenlandske
Den vanligste tjenestemodellen er ”programvare som en tjeneste” (SaaS)
Alle Feidegodkjente tjenester
Eksempler
Grunnopplæringen
Stor usikkerhet
• «hva kan vi legge i skyen?»
• «hvilke rettslige krav gjelder?»
Personopplysningslovgivningen
Personopplysningsloven med forskrift
• den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem
• gjelder ved elektronisk behandling av personopplysninger
• gjelder personopplysninger som inngår i manuelle personregistre
Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson
• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger
Skoleeiers ansvar
Ansvarlig for all bruk av personopplysninger i skytjenester
• skoleeier – behandlingsansvarlig
• skytjenesteleverandør – databehandler
Pålagt å følge visse regler, spesielt:
• personopplysningsloven §§ 13 og 15• personopplysningsforskriften kapittel to
Opplysningskontroll
Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha kontroll med personopplysningene
Kontrollen skal omfatte hele behandlingskjeden
• Utredningsplikto vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle
underleverandører (risikovurdering)
• Avtaleplikt o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen av
opplysningene
• Oppfølgingsplikto sjekke av avtalevilkårene overholdes
Utredningsplikten
Vurdere risikoen for uønskede hendelser
• konfidensialitetsbrudd – opplysningene tilflyter uvedkommende
• integritetsbrudd – uautorisert endring/redigering eller sletting av opplysningene
• tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene
Krever informasjon om
• (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandøren har etablert og (iii) bruken av eventuelle underleverandører
Risikohåndtering
Avtaleplikten
Skoleeier må selv passe på at nødvendige avtaler inngås med skytjenesteleverandøren
• sjekk at leverandøren tilbyr databehandleravtale
• sjekk innholdet i databehandleravtelen, jf. mal for databehandleravtaler
• sjekk spesielt om leverandøren og eventuelle underleverandører flytter opplysningene til tredjeland
Avtaleinnhold 1
Avtalene bør inneholde
• forsikringer om at leverandøren (og eventuelle underleverandører) ikke bruker opplysningene til egne formål
• tilfredsstillende informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke land underleverandørene er etablert
• informasjon om amerikanske leverandører og underleverandører er tilsluttet Safe Harbor
• tilfredsstillende informasjon om hvordan leverandøren håndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter i ulike land
• bestemmelser om at institusjonene skal varsles ved alvorlige brudd på opplysningenes konfidensialitet
Avtaleinnhold 2
Avtalene bør inneholde
• informasjon som sannsynliggjør at leverandører og underleverandørene ivaretar informasjonssikkerheten på en tilfredsstillende måte
• tilfredsstillende beskrivelser av tilgangsstyringen hos leverandøren
• bestemmelser om (i) logging av autorisert og forsøk på uautorisert bruk av tjenestene og (ii) at skoleeier sikres tilgang til loggene
• tilfredsstillende sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen
• bestemmelser om tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører
• bestemmelser om hva som skjer med opplysningene når bruken av tjenesten opphører
Skytjenester i utlandet
«Vanlige» regler dersom leverandører og underleverandører
• behandler opplysningene innenfor EØS-området• behandler opplysninger i land godkjent av EU• opplysningene behandles i USA av selskaper tilsluttet Safe
Harbor
Egne regler for ikke-godkjente land
• EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land bør benyttes
Oppfølgingsplikten
Skoleeier skal jevnlig forsikre seg om at
• opplysningene fortsatt er tilfredsstillende sikret mot uønskede hendelser
Motta og gjennomgå rapporter fra sikkerhetsrevisjoner hos leverandøren
Ressurser
Veileder i risikovurdering og mal for databehandleravtalerhttps://feide.iktsenteret.no/node/234
Datatilsynets veileder for skytjenesterhttps://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/
EU-godkjente land http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm
EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente landhttp://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_ENG.pdf
Amerikanske selskaper tilsluttet Safe Harborhttps://safeharbor.export.gov/list.aspx
Hvordan gå fram?
Nytteverdi og konsekvenser
Hva er mål og hensikt?• Hvilken informasjon skal legges ut?• Hvordan skal endring av praksis
realiseres?
Konsekvenser på sikt?• Vil prosessen i realiteten kunne
reverseres?
Skytjenester – beslutning og ansvar
Fundamenter avgjørelsen på høyt nivå.
• rådmann/skolesjef• ansvaret ligger hos
skoleeier
18
Gjennomfør risikovurdering
Vurder ulike sikkerhetssenarioer
• hva kan inntreffe?• hva vil konsekvensen kunne bli?• hvor stor risiko innebærer det?• hvilke tiltak kan redusere
risikoen?
Databehandleravtale
• Inngås mellom skoleeier og tjenesten
• Skoleeiers kontroll med tjenesten
• Vær en krevende kunde
Internkontrollen
Kvalitetssikre bruken av IKT i skolen
• rutiner holdes oppdatert• avtaler følges opp• ansvar er plassert og dedikert• risikovurderinger følges opp
Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
Hvordan gå fram?
1. Vurder nytteverdien1. Vurdering av informasjon som legges ut2. Vurder de langsiktige konsekvensene
2. Fundamenter bruken på ledernivå.3. Risikovurder bruken av tjenesten4. Etterspør databehandleravtale5. ”Internkontrollen”
1. Inkluder risikovurderingen2. Etterspør sikkerhetsrevisjoner
Noen kilder å benytte
Les datatilsynets veileder for bruk ”Skytjenester”.
Les Senter for IKT i utdanningen sin veileder.