Regler om personvern og avtaler 13102015

Download Regler om personvern og avtaler 13102015

Post on 13-Feb-2017

255 views

Category:

Education

4 download

Embed Size (px)

TRANSCRIPT

Hva er skytjenester? Risiko og srbarhet

Regler om personvern og avtaler ved bruk av tjenester med Feide-innlogging databehandleravtaler risikovurderinger utenlandske tjenester

Tommy TranvikSenter for IKT i utdanningen

Tjenester med Feide-innloggingReglene om personvern gjelder for alle eksterne tjenester, blant annet internasjonale skytjenester

Forutsetning tjenestene behandler opplysninger om elever, ansatte eller foreldre

Eksempler

PersonopplysningslovgivningenPersonopplysningsloven med forskrift

den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem

gjelder ved elektronisk behandling av personopplysninger

gjelder personopplysninger som inngr i manuelle personregistre

basert p EUs personverndirektiv (95/46/EC)

PersonopplysningerAlle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson

tekst, bilder, lyd og video sensitive opplysninger alminnelige opplysninger

Visse unntak fra konsesjons- og meldeplikten

Typiske personopplysninger i Feide-tjenesterOpplysninger hentet fra Feide-katalogen

Brukerproduserte opplysninger

Aktivitetslogging i tjenesten

Roller og ansvar Skoleeier er ansvarlig for all bruk av personopplysninger hos leverandrer av Feide-tjenester

skoleeier behandlingsansvarlig

leverandr databehandler

de registrerte (elever, ansatte, osv.)

Tjenesteleverandrer blir databehandlere nr skoleeier, for eksempel Feide-administrator, har bestemt at tjenesten skal brukes

Skoleeier skal da flge visse regler, spesielt:

personopplysningsloven 13 og 15personopplysningsforskriften kapittel to

Leverandrer av Feide-tjenester har et selvstendig ansvar for informasjonssikkerheten (tilfredsstillende)

OpplysningskontrollSkoleeier skal p vegne av de registrerte (elever, ansatte, osv.) ha kontroll med personopplysningene

Kontrollen skal omfatte hele behandlingskjeden

Utredningspliktvurdere om opplysningene blir tilfredsstillende sikret hos leverandren og eventuelle underleverandrer (risikovurdering)

Avtaleplikt stille skriftlige krav til leverandren og eventuelle underleverandrer om bl.a. sikringen av opplysningene (databehandleravtaler)

Oppflgingspliktsjekke av avtalevilkrene overholdes

Utredningsplikten Vurdere risikoen for unskede hendelser

konfidensialitetsbrudd uvedkommende fr tilgang til opplysningene

integritetsbrudd uautorisert registrering, endring eller sletting av opplysninger

tilgjengelighetsbrudd rette vedkommende fr ikke tilgang til opplysningene

Krever informasjon om

(i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandren har etablert og (iii) bruken av eventuelle underleverandrer

Eksempler p unskede hendelserTjenesten bruker opplysningene til forml ikke godkjent av skoleeier

Lagring av feil dokument med sensitive opplysninger

Manglende internettilgang tjenesten er borte

Manglende kompetanse/oversikt lagrer opplysninger p feil plass

Endring av bruker-/avtalevilkr uten pvirkning fra skoleeier

Utkopiering av opplysninger fra tjenesten unsket spredning via sosiale medier

Trafikk til tjenesten avlyttes

Tjenesten utleverer opplysninger til tredjepart uten godkjenning fra skoleeier

RisikohndteringIverksette tiltak der hvor risikoen (S/K) vurderes vre uakseptabel hy

interne tiltak (greit?)

eksterne tiltak (vanskelig?)

AvtalepliktenSkoleeier m selv passe p at ndvendige avtaler inngs med tjenesteleverandrene

sjekk at leverandrene tilbyr databehandleravtaler

sjekk innholdet i databehandleravtalene, jf. mal for databehandleravtaler

sjekk spesielt om leverandrene og eventuelle underleverandrer flytter opplysningene til tredjeland

Avtaleinnhold 1Avtalene br inneholde

leverandren skal bare behandle opplysningene etter instruks fra skoleeier

leverandren (og eventuelle underleverandrer) skal ikke bruke opplysningene til egne forml

informasjon (i) om hvilke underleverandrer som anvendes og (ii) i hvilke land underleverandrene er etablert

om amerikanske leverandrer og underleverandrer er tilsluttet Safe Harbor

hvordan leverandren hndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter

varsling ved alvorlige brudd p opplysningenes konfidensialitet

Avtaleinnhold 2Avtalene br inneholde

hvordan de registrertes rettigheter ivaretas

retting, sletting, sperring og eksport

hvordan leverandrer og underleverandrene ivaretar informasjonssikkerheten

beskrivelser av tilgangsstyringen hos leverandren

informasjon om (i) logging av autorisert og forsk p uautorisert bruk av tjenesten og (ii) at skoleeier sikres tilgang til loggene

sikring av at opplysninger tilhrende ulike kunder ikke blandes sammen

tilgang til rapporter fra sikkerhetsrevisjoner hos leverandren og underleverandrer

hva som skjer med opplysningene nr bruken av tjenesten opphrer

Utenlandske tjenesterVanlige regler dersom leverandrer og underleverandrer

behandler opplysningene innenfor ES-omrdetbehandler opplysninger i land godkjent av EU

Egne regler for ikke-godkjente land

EUs standardkontrakt for overfring av personopplysninger til ikke-godkjente land br benyttes

OppflgingspliktenSkoleeier skal jevnlig forsikre seg om at

opplysningene fortsatt er tilfredsstillende sikret mot unskede hendelser

Motta og gjennomg rapporter fra sikkerhetsrevisjoner hos leverandren

Ressurser Veileder i risikovurdering og mal for databehandleravtalerhttps://feide.iktsenteret.no/node/234

Datatilsynets veileder for skytjenesterhttps://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/

EU-godkjente land http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm

EUs standardkontrakt for overfring av personopplysninger til databehandlere (leverandrer) i ikke-godkjente landhttp://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_ENG.pdf

Amerikanske selskaper tilsluttet Safe Harborhttps://safeharbor.export.gov/list.aspx