O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
!!SkytjenesterMorgenmøte!7.!mai!2013!v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!Lovlig bruk av
datatilsynet”Virksomheter!som!tar!i!bruk!neFskytjenester!er!juridisk!ansvarlig,!og!må!sørge!for!at!personopplysningene!beh...
Dagens tema1. !Hva!er!skytjenester!2. !Et!lite!utvalg!av!tjenestevilkår!3. !LiF!om!personvernreglene!4. !Hvorfor!er!person...
Europeiske!menneskereghetskonvensjon!Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reF!Wl!respekt!for!s...
UtfordringLovlig håndtering avpå tvers av jurisdiksjonerpersonopplysninger!
Maskinvare og programvare levert somen tjeneste
SkytjenesterApplikasjonerplattforminfrastruktur
Author:!Sam!Johnston!Salesforce!Office365!Google!apps!!MS!Azure!Amazon!EC2!SaaS#PaaS#IaaS#Tjenestemodeller
Noen egenskaper ved skytjenesterFordeler#•  Lav!pris!•  Tilgjengelighet!av!informasjon!•  Datasikkerhet!•  Skalerbarhet!fo...
!!tjenestevilkårEt lite utvalg av
Tjenestene!er!interessante,!men!både!bransjen!og!tjenestevilkårene!fremstår!i!dag!som!
Tilgjengelighet!Forpliktelser!Sikkerhet!Personvern!Erstatning!Jurisdiksjon!Data!innelåst!OpphavsreF!Svake vilkår
Lovvalg & vernetingSwitzerland!if!domiciled!in!Europe!California,!USA!Kunde:!Irland!–!Microsoh:!kundens!hjemWng!Laws!of!Ca...
OppetidAvailable!24!hours!a!day,!7!days!a!week!99.9%!99.9%!strives!for!100%!upWme!and!availability!eFerstrebe!god!kvalitet...
Tap av dataYOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT...
ERSTATNING$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!...
Personvern-Litt omreglene!!
MenneskerettighetsutvalgetNy#GRL#§#102##Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!Kommuni...
Personopplysningsloven§$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!enkelte!mot!at!personvernet!blir...
§ 2 Personopplysning”Opplysninger!og!vurderinger!som!kan!knyFes!Wl!en!enkeltperson”!
Behandling”enhver!bruk!av!personopplysninger,!som!f.eks.!innsamling,!registrering,!sammensWlling,!lagring!og!utlevering!el...
Behandlingsansvarlig”den!som!bestemmer!formålet!med!behandlingen!av!personopplysninger!og!hvilke!hjelpemidler!som!skal!bru...
databehandler”den!som!behandler!personopplysninger!på!vegne!av!den!behandlingsansvarlige”!
Sensitive personopplysningera)!rasemessig!eller!etnisk!bakgrunn,!eller!poliWsk,!filosofisk!eller!religiøs!oppfatning,!b)!at!...
§ 8 Vilkår for å behandle personopplysngerdersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!er!adgan...
§ 9 Behandling av sensitive opplysningera)  den!registrerte!samtykker!i!behandlingen,!b)  det!er!fastsaF!i!lov!at!det!er!a...
personvernprinsippene1.  Samtykke!eller!annet!reFslig!grunnlag!2.  Proporsjonalitet!3.  Formålsbestemthet!4.  Relevans!og!...
Grunnleggende personvernprinsipperReFmessig!og!rexerdig!behandling!•  All!behandling!av!personopplysninger!krever!reFslig!...
EU directive1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!collected;!2.  Purpose—data!should!only...
International Safe Harbor Privacy Principles1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being!collected!an...
!!personopplysningerHvorfor erså interessante?
Hvor!er!mine!personopplysninger?!!Hvem!får!Wlgang!Wl!dem?!
Hvis du ikke betaler for tjenestenDeilig!med!gra+s!mat!og!hus!Er du neppe kunden
Du er Produktet
BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
•  Samler!mer!informasjon!enn!du!selv!publiserer!•  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!•  Hver!gang!du!åpner...
Google Glass!SluFen!på!personvernet?!
CC}BY!MarWn!Missfeldt!Projiserer et lag oppå det brukeren ser
Spørsmål om tidKonWnuerlig!streaming!og!søk!IdenWfisering!Posisjonering!Tagging!Historikk!Big!data!
NettskyenPersonvern iDel 2
Bruk av nettskytjenester må skje isamsvar med personvernregelverk!Private!og!offentlige!virksomheter!etablert!i!Norge!må!fø...
Personopplysninger i nettskyen kreverrisikovurdering!Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!i...
Hva er tilfredsstillendeinformasjonssikkerhet?!Avhenger!av!type!personopplysninger.!!Forholdsmessig!krav!om!behandling!av!...
InformasjonssikkerhetKonfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!innsyn!i!personopplysningene.!Sammenblanding!av!...
Tilgang til sikkerhetsdokumentasjonDataWlsynet:!Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uw...
UTFORDRING TILGANG TIL INFORMASJON OMSIKKERHETSNIVÅ.Disclaimer  The information contained in this document represents the ...
Sikkerhetsdokumentasjon!!!!!!!
Safe HarborKun!for!virksomheter!i!USA!Prinsipper!for!håndtering!av!personopplysninger:!!Opplysningsplikt!!Valgfrihet!!!Ove...
ISO 27001Standard!for!styring!av!informasjonssikkerhet!Internasjonal!brukergruppe!Tiltak!!!Etablering!av!sikkerhetspolicy!...
Safe Harbor og iso 27001USTEU#Safe#Harbor#Framework#ISO#27001#Dropbox!! (Next!CerWficaWon:!2/16/2014!)!__!!Microsoh!!! (Nex...
Datatilsynets vurderingerMicrosoh!Office!365}Moss!SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere...
Datatilsynets vurderingerGoogle!Apps}Narvik!kommune:!Security!White!Paper!!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!”Under...
GO!or!NO?!
Outsourcing av personopplysninger kreverdatabehandleravtalePersonopplysningsloven!§15,!jf.!§13!!!!!!!!!Behandlingsansvarli...
Innhold i databehandleravtaleVeileder!fra!DataWlsynet:!!1.  Formål!2.  Beskrivelse!av!behandling!3.  Bruk!av!underleverand...
1. FORMÅLDet!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!formålet!med!behandlingen!av!personopplysningene.!!Datab...
2. Beskrive hvordan personopplysninger Skal behandlesDet!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!...
3. Bruk av underleverandørAngi!formål!med!bruk!av!underleverandør!!!Underleverandør!må!være!forpliktet!Wlsvarende!leverand...
Underleverandør Leverandør KundeBruk av underleverandør krever skriftligforhåndssamtykke til databehandleren. WP29 omcloud...
Support Microsoft KundeForhandlerAvtaleforpliktelse!Wlsvarende!Databehandleravtale!Databehandleravtale!
4. InnsynInformasjonsplikt!jf.!personopplysningsloven!§19:!!!!Når!det!samles!inn!opplysninger!fra!den!!registrerte!selv,!!...
7. Overføring til utlandetPersonopplysningsloven § 29Personopplysninger kan bare overføres til statersom sikrer en forsvar...
ANDRE OVERFØRINGSGRUNNLAGPersonopplysningsloven!§30,!samtykke!fra!registrert!!!DataWlsynet!har!WllaF!overføringen!(Binding...
8.Opphør (VARIGHET)Databehandleravtalen!må!inneholde!beskrivelse!av!hva!som!skal!skje!med!personopplysningene!ved!databeha...
BYOD & DPABring you own device
Behandlingsansvarlig er også ansvarlig forpersonopplysninger på ansattes enheter•  Hvilke!type!data,!hvor!lagret,!hvordan!...
kryptering
KrypteringGjenoppreFer!balansen!mellom!personvern!og!andres!Wlgang!Wl!individets!privatliv!!Krypterte!personopplysninger!e...
Inger Anne Folkestad Tornes Kjell Steffner•  Advokat,$partner$•  Særskilt!bransjekompetanse!innen!IKT!•  God!forståelse!fo...
LYNX#advokaYirma#DA#Hieronymus!Heyerdahls!gate!1!N}0160!Oslo!!hFp://lynxlaw.no/!!
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Legal cloud computing
Próximos SlideShares
Carregando em…5
×

Legal cloud computing

1.681 visualizações

Publicada em

Lovlig bruk av nettskytjenester, personvern, databehandleravtale, sla og kontraktsvilkår

 • Entre para ver os comentários

 • Seja a primeira pessoa a gostar disto

Legal cloud computing

 1. 1. !!SkytjenesterMorgenmøte!7.!mai!2013!v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!Lovlig bruk av
 2. 2. datatilsynet”Virksomheter!som!tar!i!bruk!neFskytjenester!er!juridisk!ansvarlig,!og!må!sørge!for!at!personopplysningene!behandles!i!tråd!med!personvernregelverket.”!
 3. 3. Dagens tema1. !Hva!er!skytjenester!2. !Et!lite!utvalg!av!tjenestevilkår!3. !LiF!om!personvernreglene!4. !Hvorfor!er!personopplysninger!så!interessante?!5. !Informasjonssikkerhet!6. !Risikovurderingen!7. !Databehandleravtaler!8. !Overføring!av!data!Wl!utlandet!9. !BYOD!policy!og!databehandleravtaler!10.!Kryptering!
 4. 4. Europeiske!menneskereghetskonvensjon!Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reF!Wl!respekt!for!siF!privatliv!og!familieliv,!siF!hjem!og!sin!korrespondanse.”!
 5. 5. UtfordringLovlig håndtering avpå tvers av jurisdiksjonerpersonopplysninger!
 6. 6. Maskinvare og programvare levert somen tjeneste
 7. 7. SkytjenesterApplikasjonerplattforminfrastruktur
 8. 8. Author:!Sam!Johnston!Salesforce!Office365!Google!apps!!MS!Azure!Amazon!EC2!SaaS#PaaS#IaaS#Tjenestemodeller
 9. 9. Noen egenskaper ved skytjenesterFordeler#•  Lav!pris!•  Tilgjengelighet!av!informasjon!•  Datasikkerhet!•  Skalerbarhet!for!ytelse!og!lagring!•  Abonnement!vs!eie!Ulemper#•  Datasikkerhet!•  Innlåsing!av!data!•  Standardisert!/!lite!fleksibelt!•  Håndtering!av!personvern!
 10. 10. !!tjenestevilkårEt lite utvalg av
 11. 11. Tjenestene!er!interessante,!men!både!bransjen!og!tjenestevilkårene!fremstår!i!dag!som!
 12. 12. Tilgjengelighet!Forpliktelser!Sikkerhet!Personvern!Erstatning!Jurisdiksjon!Data!innelåst!OpphavsreF!Svake vilkår
 13. 13. Lovvalg & vernetingSwitzerland!if!domiciled!in!Europe!California,!USA!Kunde:!Irland!–!Microsoh:!kundens!hjemWng!Laws!of!California,!San!Fransisco!legal!venue!Norge!Switzerland!
 14. 14. OppetidAvailable!24!hours!a!day,!7!days!a!week!99.9%!99.9%!strives!for!100%!upWme!and!availability!eFerstrebe!god!kvalitet!på!tjenesten!Wl!enhver!Wd!The!Service!Is!Available!“As!Is”!
 15. 15. Tap av dataYOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!GOOGLE!AND!PARTNERS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA!OR!OTHER!INTANGIBLE!LOSSES!!You!are!responsible!for!maintaining!and!protecWng!all!of!your!stuff.!Dropbox!will!not!be!liable!for!any!loss!or!corrupWon!of!your!stuff,!or!for!any!costs!or!expenses!associated!with!backing!up!or!restoring!any!of!your!stuff.!påtar!seg!ikke!ansvar!for!feil,!mangler,!tap!av!Kundens!data!YOU!EXPRESSLY!UNDERSTAND!AND!AGREE!THAT!EVERNOTE,!ITS!SUBSIDIARIES,!AFFILIATES!AND!LICENSORS,!AND!OUR!AND!THEIR!RESPECTIVE!OFFICERS,!EMPLOYEES,!AGENTS!AND!SUCCESSORS!SHALL!NOT!BE!LIABLE!TO!YOU!FOR!ANY!DIRECT,!INDIRECT,!INCIDENTAL,!SPECIAL,!CONSEQUENTIAL!OR!EXEMPLARY!DAMAGES,!INCLUDING!BUT!NOT!LIMITED!TO,!DAMAGES!FOR!LOSS!OF!PROFITS,!GOODWILL,!USE,!DATA,!COVER!OR!OTHER!INTANGIBLE!LOSSES!
 16. 16. ERSTATNING$500,000!OR!THE!AMOUNT!PAID!BY!YOU!HEREUNDER!IN!THE!12!MONTHS!INGEN!AV!PARTENE!KAN!HOLDES!ANSVARLIG!UNDER!DENNE!AVTALEN!FOR!MER!ENN!BELØPET!SOM!KUNDEN!BETALTE!TIL!GOOGLE!I!LØPET!AV!DE!TOLV!MÅNEDENE!FØR!AKTIVITETEN!SOM!FØRTE!TIL!ERSTATNINGSANSVARET.!$100,000!OR!THE!AMOUNT!PAID!BY!CUSTOMER!TO!DROPBOX!DURING!THE!TWELVE!MONTHS!PRIOR!TO!THE!EVENT!GIVING!RISE!TO!LIABILITY!under!ingen!omstendighet!utbetale!noen!erstatning!som!oversWger!det!Kunden!har!innbetalt!siste!12!måneder!SHALL!IN!NO!EVENT!EXCEED!THE!AMOUNT!OF!FEES!PAYABLE!BY!CUSTOMER!TO!EVERNOTE!UNDER!THIS!AGREEMENT!DURING!THE!TWELVE!MONTH!PERIOD!IMMEDIATELY!PRECEDING!THE!INITIATON!OF!ANY!CLAIM!
 17. 17. Personvern-Litt omreglene!!
 18. 18. MenneskerettighetsutvalgetNy#GRL#§#102##Enhver!har!Ret!Wl!Respekt!for!sit!Privatliv!og!Familieliv,!sit!Hjem!og!sin!KommunikaWon.!!!Det!paaligger!Statens!Myndigheder!at!sikre!et!Værn!om!den!personlige!Integritet!og!om!personlige!Oplysninger.!SystemaWsk!IndhenWng,!Opbevaring!og!Brug!af!Oplysninger!om!Andres!personlige!Forhold!kan!kun!finde!Sted!i!Henhold!Wl!Lov.!!!
 19. 19. Personopplysningsloven§$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!enkelte!mot!at!personvernet!blir!krenket!gjennom!behandling!av!personopplysninger.!!!!!!!!Loven!skal!bidra!Wl!at!personopplysninger!blir!behandlet!i!samsvar!med!grunnleggende!personvernhensyn,!herunder!behovet!for!personlig!integritet,!privatlivets!fred!og!Wlstrekkelig!kvalitet!på!personopplysninger.!!!
 20. 20. § 2 Personopplysning”Opplysninger!og!vurderinger!som!kan!knyFes!Wl!en!enkeltperson”!
 21. 21. Behandling”enhver!bruk!av!personopplysninger,!som!f.eks.!innsamling,!registrering,!sammensWlling,!lagring!og!utlevering!eller!en!kombinasjon!av!slike!bruksmåter”!
 22. 22. Behandlingsansvarlig”den!som!bestemmer!formålet!med!behandlingen!av!personopplysninger!og!hvilke!hjelpemidler!som!skal!brukes”!
 23. 23. databehandler”den!som!behandler!personopplysninger!på!vegne!av!den!behandlingsansvarlige”!
 24. 24. Sensitive personopplysningera)!rasemessig!eller!etnisk!bakgrunn,!eller!poliWsk,!filosofisk!eller!religiøs!oppfatning,!b)!at!en!person!har!vært!mistenkt,!siktet,!Wltalt!eller!dømt!for!en!stravar!handling,!c)!helseforhold,!d)!seksuelle!forhold,!e)!medlemskap!i!fagforeninger!
 25. 25. § 8 Vilkår for å behandle personopplysngerdersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!eller!behandlingen!er!nødvendig!for!a)  å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uwøre!gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,!b)  at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig!forpliktelse,!c)  å!vareta!den!registrertes!vitale!interesser,!d)  å!uwøre!en!oppgave!av!allmenn!interesse,!e)  å!utøve!offentlig!myndighet,!eller!f)  at!den!behandlingsansvarlige!eller!tredjepersoner!som!opplysningene!utleveres!Wl!kan!vareta!en!bereget!interesse,!og!hensynet!Wl!den!registrertes!personvern!ikke!oversWger!denne!interessen.!
 26. 26. § 9 Behandling av sensitive opplysningera)  den!registrerte!samtykker!i!behandlingen,!b)  det!er!fastsaF!i!lov!at!det!er!adgang!Wl!slik!behandling,!c)  behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den!registrerte!ikke!er!i!stand!Wl!å!samtykke,!d)  det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har!gjort!alminnelig!kjent,!e)  behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et!reFskrav,!f)  behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre!sine!arbeidsreFslige!plikter!eller!regheter,!g)  behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk!diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av!helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,!eller!h)  behandlingen!er!nødvendig!for!historiske,!staWsWske!eller!vitenskapelige!formål,!og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversWger!ulempene!den!kan!medføre!for!den!enkelte.!
 27. 27. personvernprinsippene1.  Samtykke!eller!annet!reFslig!grunnlag!2.  Proporsjonalitet!3.  Formålsbestemthet!4.  Relevans!og!minimalitet!5.  Fullstendighet!og!kvalitet!6.  Informasjon!og!innsyn!7.  Informasjonssikkerhet!8.  Særlig!strenge!regler!ved!behandling!av!sensiWve!personopplysninger!9.  Anonymitet!og!sporfri!ferdsel!
 28. 28. Grunnleggende personvernprinsipperReFmessig!og!rexerdig!behandling!•  All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta!Wlbørlig!hensyn!Wl!den!registrertes!beregede!personverninteresser.!SensiWve!personopplysninger!er!underlagt!strengere!vern!enn!alminnelige!personopplysninger.!Brukermedvirkning!og!kontroll!•  Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at!denne!gjøres!i!stand!Wl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Wl!å!ivareta!sine!personverninteresser.!Formålsbestemthet!•  Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og!uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.!Minimalitet!•  Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå!formålet!med!behandlingen!av!opplysningene.!Datakvalitet!•  Personopplysninger!skal!ha!Wlstrekkelig!kvalitet!i!forhold!Wl!det!formålet!de!skal!anvendes!Wl.!DeFe!innebærer!blant!annet!at!opplysningene!skal!være!Wlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp!mot!formålet!med!behandlingen.!Informasjonssikkerhet!•  Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!WlfredssWllende!informasjonssikkerhet!med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet!ved!behandling!av!personopplysninger.!NOU 2009:1
 29. 29. EU directive1.  No9ce—data!subjects!should!be!given!noWce!when!their!data!is!being!collected;!2.  Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for!any!other!purposes;!3.  Consent—data!should!not!be!disclosed!without!the!data!subject’s!consent;!4.  Security—collected!data!should!be!kept!secure!from!any!potenWal!abuses;!5.  Disclosure—data!subjects!should!be!informed!as!to!who!is!collecWng!their!data;!6.  Access—data!subjects!should!be!allowed!to!access!their!data!and!make!correcWons!to!any!inaccurate!data;!and!7.  Accountability—data!subjects!should!have!a!method!available!to!them!to!hold!data!collectors!accountable!for!following!the!above!principles.!
 30. 30. International Safe Harbor Privacy Principles1.  No9ce!}!Individuals!must!be!informed!that!their!data!is!being!collected!and!about!how!it!will!be!used.!2.  Choice!}!Individuals!must!have!the!ability!to!opt!out!of!the!collecWon!and!forward!transfer!of!the!data!to!third!parWes.!3.  Onward#Transfer!}!Transfers!of!data!to!third!parWes!may!only!occur!to!other!organizaWons!that!follow!adequate!data!protecWon!principles.!4.  Security!}!Reasonable!efforts!must!be!made!to!prevent!loss!of!collected!informaWon.!5.  Data#Integrity!}!Data!must!be!relevant!and!reliable!for!the!purpose!it!was!collected!for.!6.  Access!}!Individuals!must!be!able!to!access!informaWon!held!about!them,!and!correct!or!delete!it!if!it!is!inaccurate.!7.  Enforcement!}!There!must!be!effecWve!means!of!enforcing!these!rules.!
 31. 31. !!personopplysningerHvorfor erså interessante?
 32. 32. Hvor!er!mine!personopplysninger?!!Hvem!får!Wlgang!Wl!dem?!
 33. 33. Hvis du ikke betaler for tjenestenDeilig!med!gra+s!mat!og!hus!Er du neppe kunden
 34. 34. Du er Produktet
 35. 35. BIG DATAMulig!å!forutse!brukernes!handlinger!med!analyse!av!store!dataseF?!
 36. 36. •  Samler!mer!informasjon!enn!du!selv!publiserer!•  Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!•  Hver!gang!du!åpner!appen!på!mobilen!blir!du!geotagget!•  Endrer!tjenestepremissene!fortløpende!•  FlyFer!stadig!grensene!for!hva!anser!som!privat!•  ”Home”!for!Android!syndikerer!mange!tjenester,!f.eks.!Ip}telefoni,!meldinger!mm.!Facebook samler og analyserer
 37. 37. Google Glass!SluFen!på!personvernet?!
 38. 38. CC}BY!MarWn!Missfeldt!Projiserer et lag oppå det brukeren ser
 39. 39. Spørsmål om tidKonWnuerlig!streaming!og!søk!IdenWfisering!Posisjonering!Tagging!Historikk!Big!data!
 40. 40. NettskyenPersonvern iDel 2
 41. 41. Bruk av nettskytjenester må skje isamsvar med personvernregelverk!Private!og!offentlige!virksomheter!etablert!i!Norge!må!følge!personvernregelverket.!!!Behandlingsansvarlig!som!lar!andre!få!Wlgang!Wl!personopplysninger,!plikter!å!sørge!for!!at!databehandler!har!WlfredssWllende!informasjonssikkerhet,$jf!pol.§!13!og!pof.!§2!!DataWlsynet:!!neFskyleverandør!er!databehandler!uavhengig!tjeneste!
 42. 42. Personopplysninger i nettskyen kreverrisikovurdering!Behandlingsansvarlig!må!gjennomføre!en!risikovurdering!i!forkant!av!implementering!av!neFskytjenester.!!Risikovurderingen!skal!baseres!på!akseptkriterier!for!risiko.!!Utgangspunkt!for!Wltak!for!å!oppnå!WlfredssWllende!informasjonssikkerhet.!!
 43. 43. Hva er tilfredsstillendeinformasjonssikkerhet?!Avhenger!av!type!personopplysninger.!!Forholdsmessig!krav!om!behandling!av!personopplysninger!med!hensyn!Wl!konfidensialitet,!integritet!og!Wlgjengelighet,!jf.!pol.!§13!!!!}der!det!for!å!hindre!fare!for!tap!av!liv!og!helse,!økonomisk!tap!eller!tap!av!anseelse!og!personlig!integritet,!er!nødvendig!med!sikkerhetsWltak!jf.!pof.!§2}1!!! !!!
 44. 44. InformasjonssikkerhetKonfidensialitet!:!beskyFelse!mot!at!uvedkommende!får!innsyn!i!personopplysningene.!Sammenblanding!av!data!!Integritet:!personopplysningene!ikke!endres!eller!benyFes!Wl!andre!formål!enn!opprinnelig!avtalt!!Tilgjengelighet:!personopplysningene!er!Wlgjengelige!ved!behov.!Sikkerhetskopiering!!!Selvstendig!ansvar!for!databehandler!
 45. 45. Tilgang til sikkerhetsdokumentasjonDataWlsynet:!Databehandler!må!kunne!fremlegge!dokumentasjon!for!informasjonssystemet!uworming!og!sikkerhetsløsninger.!!Databehandler!plikter!å!gi!behandlingsansvarlig!Wlgang!Wl!sin!sikkerhetsdokumentasjon,!og!bistå!slik!at!behandlingsansvarlig!kan!ivareta!siF!eget!ansvar!eFer!lov!og!forskrih.!!
 46. 46. UTFORDRING TILGANG TIL INFORMASJON OMSIKKERHETSNIVÅ.Disclaimer  The information contained in this document represents the current viewof Microsoft Corporation on the issues discussed as of the date ofpublication. Because Microsoft must respond to changing marketconditions, it should not be interpreted to be a commitment on the partof Microsoft, and Microsoft cannot guarantee the accuracy of anyinformation presented after the date of publication. For the latest versionof this document visit: http://www.microsoft.com/download/en/details.aspx?id=26647 Standard#Response#to#Request#for#Informa9on#(Security#and#Privacy)#
 47. 47. Sikkerhetsdokumentasjon!!!!!!!
 48. 48. Safe HarborKun!for!virksomheter!i!USA!Prinsipper!for!håndtering!av!personopplysninger:!!Opplysningsplikt!!Valgfrihet!!!Overføring!!Sikkerhet!!Integritet!!Håndhevelse!SelvserWfisering!Gyldig!for!et!år!!
 49. 49. ISO 27001Standard!for!styring!av!informasjonssikkerhet!Internasjonal!brukergruppe!Tiltak!!!Etablering!av!sikkerhetspolicy!!Plassering!av!ansvar!!Fysisk!sikring!!Tilgangskontroll!!Drih!!Ikke!ensbetydende!med!høyt!sikkerhetsnivå(!)!men!idenWfikasjon!av!sikkerhetsbehov!!!
 50. 50. Safe Harbor og iso 27001USTEU#Safe#Harbor#Framework#ISO#27001#Dropbox!! (Next!CerWficaWon:!2/16/2014!)!__!!Microsoh!!! (Next!CerWficaWon:!6/29/2013)!Review!every!year!Salesforce!!! (Next!CerWficaWon:!8/1/2013)!!May!2008!(conWnously!review)!Google! (Next!CerWficaWon:!10/15/2013)!!Google!Apps!(May!2012)!
 51. 51. Datatilsynets vurderingerMicrosoh!Office!365}Moss!SikkerhetsWltak!i!samsvar!med!ISO!27001,!men!nødvendig!for!Moss!å!revidere!Wltak.!!”Under$forutsetning$av$at$samtlige$aktuelle$datasentre$i$USA$er$en$del$av$MicrosoB$Corp.$og$således$utgjør$en$del$av$det$Safe$HarborHser+fiserte$foretaket,$vil$overføring$av$personopplysninger$fra$Norge$+l$disse$datasentrene$være$i$samsvar$med$personopplysningsloven$§$29.”!!!
 52. 52. Datatilsynets vurderingerGoogle!Apps}Narvik!kommune:!Security!White!Paper!!}Safe!Harbor,!SSAE!16,!FISMA!CerWficaWon!!”Under!forutsetning!av!at!samtlige!aktuelle!Googles$datasentre,!jf.!sitatet!over,!utgjør!en!del!av!det!Safe!Harbor}serWfiserte!foretaket!Google!Inc.,!vil!overføring!av!personopplysninger!fra!Norge!Wl!disse!datasentrene!være!i!samsvar!med!personopplysningsloven!§!29.”!!!!
 53. 53. GO!or!NO?!
 54. 54. Outsourcing av personopplysninger kreverdatabehandleravtalePersonopplysningsloven!§15,!jf.!§13!!!!!!!!!Behandlingsansvarlig!jf.!§!2!(4)!Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene!Ansvarlig!uavhengig!bruk!av!databehandler.!Databehandler!jf.!§!2!(5)!Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig!Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.!Har!ikke!selvstendig!rådereF!over!data.!”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$det$som$er$skriBlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$bearbeidelse.$I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$13.”$
 55. 55. Innhold i databehandleravtaleVeileder!fra!DataWlsynet:!!1.  Formål!2.  Beskrivelse!av!behandling!3.  Bruk!av!underleverandør!4.  Innsyn!5.  Informasjonssikkerhet!6.  Varighet!7.  Overføring!Wl!utlandet!8.  Opphør!
 56. 56. 1. FORMÅLDet!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!formålet!med!behandlingen!av!personopplysningene.!!Databehandler!bundet!av!formålsangivelsen.!DataWlsynet!!om!formål!i!«Moss`!bruk!av!Microsoh!Office!365»:!!«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$omfa)et$av$Office$365».!
 57. 57. 2. Beskrive hvordan personopplysninger Skal behandlesDet!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!gjøre!med!personopplysningene.!Må!regulere!utlevering!Wl!eksterne!parter!og!vilkår!for!deFe!(underleverandør)!DataWlsynet!i!«Moss}!Office!365».!!•  «Microsoh!kan!ikke!utlevere!data!Wl!andre!uten!eFer!godkjennelse!fra!kommunene….!•  Microsoh!kan!utlevere!opplysninger!Wl!«law!enforcement(authoriWes)!eks.!ved!eFerforskning!av!stravare!forhold.»!•  Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og!ikke!i!strid!med!norsk!lov.!
 58. 58. 3. Bruk av underleverandørAngi!formål!med!bruk!av!underleverandør!!!Underleverandør!må!være!forpliktet!Wlsvarende!leverandørens!forpliktelser!i!databehandleravtalen!!!!Leveandør!må!være!ansvarlig!for!underleverandør!!!Kunden!bør!ha!innsyn!i!avtale!med!underleverandør!!!
 59. 59. Underleverandør Leverandør KundeBruk av underleverandør krever skriftligforhåndssamtykke til databehandleren. WP29 omcloud computing:«the processor can subcontract its activites onlyon the basis of the consent of the controllerwihch may be generally given at the beginning ofthe service»
 60. 60. Support Microsoft KundeForhandlerAvtaleforpliktelse!Wlsvarende!Databehandleravtale!Databehandleravtale!
 61. 61. 4. InnsynInformasjonsplikt!jf.!personopplysningsloven!§19:!!!!Når!det!samles!inn!opplysninger!fra!den!!registrerte!selv,!!skal!den!!behandlingsansvarlige!!gi!informasjon!Wl!den!!registrerte!om!opplysningene!vil!bli!utlevert,!!og!eventuelt!!hvem!som!er!moFaker.!!
 62. 62. 7. Overføring til utlandetPersonopplysningsloven § 29Personopplysninger kan bare overføres til statersom sikrer en forsvarlig behandling avopplysningene.Stater som har gjennomført direktiv 95/46EF ombeskyttelse av fysiske personer i forbindelse medbehandling av personopplysninger og om friutveksling av slike opplysninger, oppfyller kravet tilforsvarlig behandling.
 63. 63. ANDRE OVERFØRINGSGRUNNLAGPersonopplysningsloven!§30,!samtykke!fra!registrert!!!DataWlsynet!har!WllaF!overføringen!(Binding!Corporate!Rules,!Data!Transfer!Agreements)!!Overføring!Wl!virksomhet!som!eFerlever!Safe!Harborprinsippene(jf.!pof.!§!6}1)!!Unntak!for!mellomlagring(!)!
 64. 64. 8.Opphør (VARIGHET)Databehandleravtalen!må!inneholde!beskrivelse!av!hva!som!skal!skje!med!personopplysningene!ved!databehandleravtalens!opphør!!!Tilbakeføring!!Sleng!
 65. 65. BYOD & DPABring you own device
 66. 66. Behandlingsansvarlig er også ansvarlig forpersonopplysninger på ansattes enheter•  Hvilke!type!data,!hvor!lagret,!hvordan!overført,!overholdelse!av!sikkerhetspolicy!•  Innsyn,!av!ulike!grunner,!blir!vanskeligere!•  BYOD!har!også!en!side!mot!håndtering!av!forretningshemmeligheter!hFp://www.ico.org.uk/for_organisaWons/data_protecWon/topic_guides/online/byod!
 67. 67. kryptering
 68. 68. KrypteringGjenoppreFer!balansen!mellom!personvern!og!andres!Wlgang!Wl!individets!privatliv!!Krypterte!personopplysninger!er!fremdeles!personopplysninger!
 69. 69. Inger Anne Folkestad Tornes Kjell Steffner•  Advokat,$partner$•  Særskilt!bransjekompetanse!innen!IKT!•  God!forståelse!for!teknologi,!prosjektmetodikk!og!strategi!•  Jobber!med!kontraktsreF,!forhandlinger,!offentlige!anskaffelser!og!personvern!•  Tlf.!905!11!901!}!ks@lynxlaw.no!•  AdvokaZullmek+g$•  Rådgivning!for!IKT}sektoren!•  Jobber!med!kontraktsreF,!personvern!og!e}handel,!samt!offentlige!anskaffelser!•  Tlf.!970!99!524!}!ih@lynxlaw.no!
 70. 70. LYNX#advokaYirma#DA#Hieronymus!Heyerdahls!gate!1!N}0160!Oslo!!hFp://lynxlaw.no/!!

×