Legal cloud computing
Post on 25-Jun-2015
804 Views
Preview:
DESCRIPTION
Transcript
!
!
Skytjenester Morgenmøte!7.!mai!2013!
v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!
L!v"#$ br%& 'v
datatilsynet ”Virksomheter!som!tar!i!bruk!
neFskytjenester!er!juridisk!ansvarlig,!
og!må!sørge!for!at!
personopplysningene!behandles!i!tråd!
med!personvernregelverket.”!
Dagens tema 1. !Hva!er!skytjenester!
2. !Et!lite!utvalg!av!tjenestevilkår!
3. !LiF!om!personvernreglene!
4. !Hvorfor!er!personopplysninger!så!interessante?!
5. !Informasjonssikkerhet!
6. !Risikovurderingen!
7. !Databehandleravtaler!
8. !Overføring!av!data!Wl!utlandet!
9. !BYOD!policy!og!databehandleravtaler!
10.!Kryptering!
Europeiske!menneskere\ghetskonvensjon!
Art$8.$Re)en$+l$respekt$for$privatliv$og$
familieliv$!
”Enhver!har!reF!Wl!respekt!for!siF!privatliv!og!
familieliv,!siF!hjem!og!sin!korrespondanse.”!
U(f!r)r#*$ Lovlig håndtering av
på tvers av jurisdiksjoner personopplysninger!
M'+&#*v'r, !$ -r!$r'.v'r, ",v,r( +!.
en tjeneste
S&/(0,*,+(,r
Applikasjoner plattform
infrastruktur
Author:!Sam!Johnston!
Salesforce!
Office365!
Google!apps!
!
MS!Azure!
Amazon!EC2!
SaaS#
PaaS#
IaaS#
Tjenestemodeller
Noen egenskaper ved skytjenester
Fordeler#• Lav!pris!• Tilgjengelighet!av!informasjon!
• Datasikkerhet!• Skalerbarhet!for!ytelse!og!lagring!
• Abonnement!vs!eie!
Ulemper#• Datasikkerhet!• Innlåsing!av!data!• Standardisert!/!lite!fleksibelt!
• Håndtering!av!personvern!
!
!
tjenestevilkår E( "#(, %(v'"$ 'v
Tjenestene!er!
interessante,!men!
både!bransjen!og!
tjenestevilkårene!
fremstår!i!dag!som!
Tilgjengelighet!
Forpliktelser!
Sikkerhet!
Personvern!
Erstatning!
Jurisdiksjon!
Data!innelåst!
OpphavsreF!
Sv'&, v#"&år
Lovvalg & verneting Switzerland!if!domiciled!in!Europe!
California,!USA!
Kunde:!Irland!–!Microsoh:!kundens!hjemWng!
Laws!of!California,!San!Fransisco!legal!venue!
Norge!
Switzerland!
Oppetid Available!24!hours!a!day,!7!days!a!week!
99.9%!
99.9%!
strives!for!100%!upWme!and!availability!
eFerstrebe!god!kvalitet!på!tjenesten!Wl!enhver!Wd!
The!Service!Is!Available!“As!Is”!
Tap av data
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!
DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!
You!are!responsible!for!maintaining!and!protecWng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!
corrupWon!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!
påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!
YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!
OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!
ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!
LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
ERSTATNING $500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!
INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!
MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!
MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!
$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!
TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!
under!ingen!omstendighet!utbetale!noen!erstatning!som!oversWger!det!
Kunden!har!innbetalt!siste!12!måneder!
SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!
TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!
PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
Personvern- L#(( !.
reglene!!
Menneskerettighetsutvalget Ny#GRL#§#102##Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!KommunikaWon.!!
!
Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn!om!den!personlige!Integritet!og!om!personlige!Oplysninger.!SystemaWsk!IndhenWng,!Opbevaring!og!Brug!af!Oplysninger!om!Andres!personlige!Forhold!kan!kun!finde!Sted!i!Henhold!Wl!Lov.!!
!
Personopplysningsloven §$1.$Lovens$formål$
!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!enkelte!mot!at!personvernet!blir!krenket!gjennom!behandling!av!personopplysninger.!
!!!!!!!Loven!skal!bidra!Wl!at!personopplysninger!blir!behandlet!i!samsvar!med!grunnleggende!personvernhensyn,!herunder!behovet!for!personlig!integritet,!privatlivets!fred!og!Wlstrekkelig!kvalitet!på!personopplysninger.!!
!
§ 2 Personopplysning
”Opplysninger!og!
vurderinger!som!kan!
knyFes!Wl!en!
enkeltperson”!
Behandling ”enhver!bruk!av!
personopplysninger,!som!f.eks.!
innsamling,!registrering,!
sammensWlling,!lagring!og!
utlevering!eller!en!kombinasjon!
av!slike!bruksmåter”!
Behandlingsansvarlig ”den!som!bestemmer!formålet!
med!behandlingen!av!
personopplysninger!og!hvilke!
hjelpemidler!som!skal!brukes”!
databehandler ”den!som!behandler!
personopplysninger!på!vegne!av!
den!behandlingsansvarlige”!
Sensitive personopplysninger
a)!rasemessig!eller!etnisk!bakgrunn,!eller!
poliWsk,!filosofisk!eller!religiøs!oppfatning,!
b)!at!en!person!har!vært!mistenkt,!siktet,!
Wltalt!eller!dømt!for!en!stravar!handling,!
c)!helseforhold,!
d)!seksuelle!forhold,!
e)!medlemskap!i!fagforeninger!
§ 8 Vilkår for å behandle personopplysnger
dersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!
er!adgang!Wl!slik!behandling,!eller!behandlingen!er!nødvendig!for!
a) å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uwøre!
gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,!
b) at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig!
forpliktelse,!
c) å!vareta!den!registrertes!vitale!interesser,!
d) å!uwøre!en!oppgave!av!allmenn!interesse,!
e) å!utøve!offentlig!myndighet,!eller!
f) at!den!behandlingsansvarlige!eller!tredjepersoner!som!
opplysningene!utleveres!Wl!kan!vareta!en!bere\get!interesse,!og!
hensynet!Wl!den!registrertes!personvern!ikke!oversWger!denne!
interessen.!
§ 9 Behandling av sensitive opplysninger
a) den!registrerte!samtykker!i!behandlingen,!
b) det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!
c) behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den!
registrerte!ikke!er!i!stand!Wl!å!samtykke,!
d) det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har!
gjort!alminnelig!kjent,!
e) behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et!
reFskrav,!
f) behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre!
sine!arbeidsreFslige!plikter!eller!re\gheter,!
g) behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk!
diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av!
helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,!
eller!
h) behandlingen!er!nødvendig!for!historiske,!staWsWske!eller!vitenskapelige!formål,!
og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversWger!ulempene!
den!kan!medføre!for!den!enkelte.!
personvernprinsippene
1. Samtykke!eller!annet!reFslig!grunnlag!
2. Proporsjonalitet!3. Formålsbestemthet!
4. Relevans!og!minimalitet!
5. Fullstendighet!og!kvalitet!6. Informasjon!og!innsyn!
7. Informasjonssikkerhet!
8. Særlig!strenge!regler!ved!behandling!av!sensiWve!personopplysninger!
9. Anonymitet!og!sporfri!ferdsel!
Grunnleggende personvernprinsipper ReFmessig!og!rexerdig!behandling!
• All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta!
Wlbørlig!hensyn!Wl!den!registrertes!bere\gede!personverninteresser.!SensiWve!personopplysninger!er!
underlagt!strengere!vern!enn!alminnelige!personopplysninger.!
Brukermedvirkning!og!kontroll!
• Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at!
denne!gjøres!i!stand!Wl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Wl!å!ivareta!sine!
personverninteresser.!
Formålsbestemthet!
• Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og!
uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.!
Minimalitet!
• Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå!
formålet!med!behandlingen!av!opplysningene.!
Datakvalitet!
• Personopplysninger!skal!ha!Wlstrekkelig!kvalitet!i!forhold!Wl!det!formålet!de!skal!anvendes!Wl.!DeFe!
innebærer!blant!annet!at!opplysningene!skal!være!Wlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp!
mot!formålet!med!behandlingen.!
Informasjonssikkerhet!
• Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!WlfredssWllende!informasjonssikkerhet!
med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet!ved!behandling!av!personopplysninger.!
NOU 2009:1
EU directive
1. No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!
collected;!
2. Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for!
any!other!purposes;!
3. Consent—data!should!not!be!disclosed!without!the!data!subject’s!
consent;!
4. Security—collected!data!should!be!kept!secure!from!any!potenWal!
abuses;!
5. Disclosure—data!subjects!should!be!informed!as!to!who!is!collecWng!
their!data;!
6. Access—data!subjects!should!be!allowed!to!access!their!data!and!make!
correcWons!to!any!inaccurate!data;!and!
7. Accountability—data!subjects!should!have!a!method!available!to!them!
to!hold!data!collectors!accountable!for!following!the!above!principles.!
International Safe Harbor Privacy Principles
1. No9ce!}!Individuals!must!be!informed!that!their!data!is!being!collected!and!about!how!it!will!be!used.!
2. Choice!}!Individuals!must!have!the!ability!to!opt!out!of!the!collecWon!and!forward!transfer!of!the!data!to!third!parWes.!
3. Onward#Transfer!}!Transfers!of!data!to!third!parWes!may!only!occur!to!other!organizaWons!that!follow!adequate!data!protecWon!principles.!
4. Security!}!Reasonable!efforts!must!be!made!to!prevent!loss!of!collected!informaWon.!
5. Data#Integrity!}!Data!must!be!relevant!and!reliable!for!the!purpose!it!was!collected!for.!
6. Access!}!Individuals!must!be!able!to!access!informaWon!held!about!them,!and!correct!or!delete!it!if!it!is!inaccurate.!
7. Enforcement!}!There!must!be!effecWve!means!of!enforcing!these!rules.!
!
!
personopplysninger Hv!rf!r ,r
+å #*(,r,++'*(,?
Hvor!er!mine!personopplysninger?!
!
Hvem!får!Wlgang!Wl!dem?!
Hvis du ikke betaler for tjenesten Deilig!med!
gra+s!mat!og!
hus!
Er du neppe kunden
D% ,r Produktet
BIG DATA Mulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
• Samler!mer!informasjon!enn!du!selv!publiserer!
• Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!
• Hver!gang!du!åpner!appen!på!mobilen!blir!du!
geotagget!
• Endrer!tjenestepremissene!fortløpende!
• FlyFer!stadig!grensene!for!hva!anser!som!privat!
• ”Home”!for!Android!syndikerer!mange!tjenester,!
f.eks.!Ip}telefoni,!meldinger!mm.!
Facebook samler og analyserer
Google Glass !
SluFen!på!
personvernet?!
CC}BY!MarWn!Missfeldt!
Projiserer et lag oppå det brukeren ser
S-ør+.å" !. (#) KonWnuerlig!
streaming!og!
søk!
IdenWfisering!
Posisjonering!
Tagging!
Historikk!
Big!data!
Nettskyen P,r+!*v,r* #
Del 2
Bruk av nettskytjenester må skje i samsvar med personvernregelverk
!
Private!og!offentlige!virksomheter!etablert!i!Norge!må!følge!personvernregelverket.!!
!
Behandlingsansvarlig!som!lar!andre!få!Wlgang!Wl!personopplysninger,!plikter!å!sørge!for!!at!databehandler!har!WlfredssWllende!informasjonssikkerhet,$jf!pol.§!13!og!pof.!§2!
!
DataWlsynet:!!
neFskyleverandør!er!databehandler!uavhengig!tjeneste!
!
!
!
!
!
!
Personopplysninger i nettskyen krever risikovurdering
!
Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!implementering!av!neFskytjenester.!
!
Risikovurderingen!skal!baseres!på!akseptkriterier!for!risiko.!
!
Utgangspunkt!for!Wltak!for!å!oppnå!WlfredssWllende!informasjonssikkerhet.!!
Hva er tilfredsstillende informasjonssikkerhet?
!
Avhenger!av!type!personopplysninger.!
!
Forholdsmessig!krav!om!behandling!av!personopplysninger!med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet,!jf.!pol.!§13!!
!
!
}der!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!sikkerhetsWltak!jf.!pof.!§2}1!
!
! !!
!
Informasjonssikkerhet
Konfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!
innsyn!i!personopplysningene.!Sammenblanding!av!data!
!
Integritet:!personopplysningene!ikke!endres!eller!benyFes!Wl!
andre!formål!enn!opprinnelig!avtalt!
!
Tilgjengelighet:!personopplysningene!er!Wlgjengelige!ved!
behov.!Sikkerhetskopiering!
!
!Selvstendig!ansvar!for!databehandler!
Tilgang til sikkerhetsdokumentasjon
DataWlsynet:!
Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uworming!og!sikkerhetsløsninger.!!
Databehandler!plikter!å!gi!behandlingsansvarlig!Wlgang!Wl!sin!sikkerhetsdokumentasjon,!og!bistå!slik!at!behandlingsansvarlig!kan!ivareta!siF!eget!ansvar!eFer!lov!og!forskrih.!
!
UTFORDRING TILGANG TIL INFORMASJON OM
SIKKERHETSNIVÅ.
Disclaimer The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. For the latest version of this document visit: http://www.microsoft.com/download/en/details.aspx?id=26647
Standard#Response#to#Request#for#Informa9on#(Security#and#Privacy)#
Sikkerhetsdokumentasjon
!
!
!
!
!
!
!
Safe Harbor Kun!for!virksomheter!i!USA!
Prinsipper!for!håndtering!av!personopplysninger:!
!Opplysningsplikt!
!Valgfrihet!!
!Overføring!
!Sikkerhet!
!Integritet!
!Håndhevelse!
SelvserWfisering!
Gyldig!for!et!år!!
!!
ISO 27001 Standard!for!styring!av!informasjonssikkerhet!
Internasjonal!brukergruppe!
Tiltak!!
!Etablering!av!sikkerhetspolicy!
!Plassering!av!ansvar!
!Fysisk!sikring!
!Tilgangskontroll!
!Drih!
!
Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!idenWfikasjon!av!sikkerhetsbehov!
!
!
Safe Harbor og iso 27001
USTEU#Safe#Harbor#Framework#
ISO#27001#
Dropbox!! (Next!CerWficaWon:!
2/16/2014!)!
__!
!
Microsoh!!! (Next!CerWficaWon:!
6/29/2013)!
Review!every!year!
Salesforce!!! (Next!CerWficaWon:!
8/1/2013)!!
May!2008!(conWnously!
review)!
Google! (Next!CerWficaWon:!
10/15/2013)!!
Google!Apps!(May!2012)!
Datatilsynets vurderinger Microsoh!Office!365}Moss!
SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere!Wltak.!
!
”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$
USA$er$en$del$av$MicrosoB$Corp.$og$således$utgjør$en$
del$av$det$Safe$HarborHser+fiserte$foretaket,$vil$
overføring$av$personopplysninger$fra$Norge$+l$disse$
datasentrene$være$i$samsvar$med$
personopplysningsloven$§$29.”!
!
!
!
Datatilsynets vurderinger Google!Apps}Narvik!kommune:!
Security!White!Paper!
!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!
”Under!forutsetning!av!at!samtlige!aktuelle!Googles$
datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!
Harbor}serWfiserte!foretaket!Google!Inc.,!vil!overføring!
av!personopplysninger!fra!Norge!Wl!disse!datasentrene!
være!i!samsvar!med!personopplysningsloven!§!29.”!!
!
!
GO!or!NO?!
Outsourcing av personopplysninger krever databehandleravtale
Personopplysningsloven!§15,!jf.!§13!!
!
!
!
!
!
!
!
Behandlingsansvarlig!jf.!§!2!(4)!Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene!
Ansvarlig!uavhengig!bruk!av!databehandler.!
Databehandler!jf.!§!2!(5)!Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig!
Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.!
Har!ikke!selvstendig!rådereF!over!data.!
”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$
det$som$er$skriBlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$
heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$
bearbeidelse.$
I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$
databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$
13.”$
Innhold i databehandleravtale Veileder!fra!DataWlsynet:!
!
1. Formål!
2. Beskrivelse!av!behandling!
3. Bruk!av!underleverandør!
4. Innsyn!
5. Informasjonssikkerhet!
6. Varighet!
7. Overføring!Wl!utlandet!
8. Opphør!
1. FORMÅL
Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!
formålet!med!behandlingen!av!personopplysningene.!!
Databehandler!bundet!av!formålsangivelsen.!
DataWlsynet!!om!formål!i!«Moss`!bruk!av!Microsoh!Office!365»:!
!
«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$
formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$
Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$
omfa)et$av$Office$365».!
2. Beskrive hvordan personopplysninger Skal behandles
Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!personopplysningene.!
Må!regulere!utlevering!Wl!eksterne!parter!og!vilkår!for!deFe!(underleverandør)!
DataWlsynet!i!«Moss}!Office!365».!
!• «Microsoh!kan!ikke!utlevere!data!Wl!andre!uten!eFer!godkjennelse!fra!kommunene….!
• Microsoh!kan!utlevere!opplysninger!Wl!«law!enforcement(authoriWes)!eks.!ved!eFerforskning!av!stravare!forhold.»!
• Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og!ikke!i!strid!med!norsk!lov.!
3. Bruk av underleverandør
Angi!formål!med!bruk!av!underleverandør!!
!
Underleverandør!må!være!forpliktet!Wlsvarende!leverandørens!forpliktelser!i!databehandleravtalen!!!
!
Leveandør!må!være!ansvarlig!for!underleverandør!!
!
Kunden!bør!ha!innsyn!i!avtale!med!underleverandør!!
!
Underleverandør Leverandør Kunde
Bruk av underleverandør krever skriftlig forhåndssamtykke til databehandleren. WP29 om cloud computing: «the processor can subcontract its activites only on the basis of the consent of the controller wihch may be generally given at the beginning of the service»
Support Microsoft Kunde
Forhandler
Avtaleforpliktelse!
Wlsvarende!
Databehandleravtale!
Databehandleravtale!
4. Innsyn
Informasjonsplikt!jf.!personopplysningsloven!
§19:!
!!
!Når!det!samles!inn!opplysninger!fra!den!
!registrerte!selv,!!skal!den!
!behandlingsansvarlige!!gi!informasjon!Wl!den!
!registrerte!om!opplysningene!vil!bli!utlevert,!
!og!eventuelt!!hvem!som!er!moFaker.!
!
7. Overføring til utlandet
Personopplysningsloven § 29 Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
ANDRE OVERFØRINGSGRUNNLAG
Personopplysningsloven!§30,!samtykke!fra!registrert!!
!
DataWlsynet!har!WllaF!overføringen!(Binding!Corporate!Rules,!Data!Transfer!Agreements)!
!
Overføring!Wl!virksomhet!som!eFerlever!Safe!Harborprinsippene(jf.!pof.!§!6}1)!
!
Unntak!for!mellomlagring(!)!
8.Opphør (VARIGHET)
Databehandleravtalen!må!inneholde!beskrivelse!
av!hva!som!skal!skje!med!personopplysningene!
ved!databehandleravtalens!opphør!
!
!Tilbakeføring!
!Sle\ng!
BYOD & DPA Br#*$ /!% !w* ),v#1,
B,2'*)"#*$+'*+v'r"#$ ,r !$+å '*+v'r"#$ f!r -,r+!*!--"/+*#*$,r -å '*+'((,+ ,*2,(,r
• Hvilke!type!data,!hvor!lagret,!hvordan!overført,!overholdelse!av!sikkerhetspolicy!
• Innsyn,!av!ulike!grunner,!blir!vanskeligere!• BYOD!har!også!en!side!mot!håndtering!av!
forretningshemmeligheter!hFp://www.ico.org.uk/for_organisaWons/data_protecWon/topic_guides/online/byod!
kryptering
Kryptering GjenoppreFer!balansen!mellom!
personvern!og!andres!Wlgang!Wl!individets!
privatliv!
!
Krypterte!personopplysninger!er!fremdeles!
personopplysninger!
Inger Anne Folkestad Tornes Kjell Steffner
• Advokat,$partner$• Særskilt!bransjekompetanse!
innen!IKT!
• God!forståelse!for!teknologi,!prosjektmetodikk!og!strategi!
• Jobber!med!kontraktsreF,!
forhandlinger,!offentlige!
anskaffelser!og!personvern!
• Tlf.!905!11!901!}!ks@lynxlaw.no!
• AdvokaZullmek+g$
• Rådgivning!for!IKT}sektoren!• Jobber!med!kontraktsreF,!
personvern!og!e}handel,!samt!
offentlige!anskaffelser!
• Tlf.!970!99!524!}!ih@lynxlaw.no!
LYNX#advokaYirma#DA#Hieronymus!Heyerdahls!gate!1!
N}0160!Oslo!
!
hFp://lynxlaw.no/!
!
top related