Side 1

Tjenester i skyen – hva må vi tenke på?

Renate Thoreid, rth@datatilsynet

Visjon: ”Datatilsynet – i front for retten til selvbestemmelse, integritet og verdighet”

• Personopplysningsloven og personopplysningsforskriften kapittel 2

• Internkontroll og Informasjonssikkerhet

• Databehandleravtale• Overføring av personopplysninger til

utlandet

• Artikkel 29-gruppen• Berlin-gruppen

http://ec.europa.eu/justice/data-protection/minisite/index.html

Sentralt regelverk

§ 1. Lovens formål

• beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

• bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

EUs personverndirektiv (direktiv 95/46/EF) ”sikre vern om fysiske personers grunnleggende

rettigheter og friheter, særlig retten til privatlivets fred”

Personvern – vilkår for behandling av personopplysninger

Poenget med lovhjemmel som rettslig grunnlag er at lovgiver har vurdert de personvernmessige aspektene ved å registrere og behandle personopplysningene.

• Informasjon om håndtering • Rettslig grunnlag for behandling – Samtykke• Kun bruk av relevante data• Sikring av data• Sletting av data

Hva er egentlig ”Cloud Computing”?

• Skalerbart kjøp av prosessorkraft, lagrings- og databearbeidingskapasitet hos ekstern part med leveranse over eksterne nettverk. Nettskyen gir en lovende kombinasjon av kostnadseffektivitet og fleksibilitet….. men….

• NITS sin definisjon: Cloud computing er en modell for praktisk, on-demand nettverkstilgang til en felles pool av konfigurerbare dataressurser (f.eks, nettverk, servere, lagring, applikasjoner og tjenester) som raskt kan klargjøres og utgitt med minimal forvaltningen eller tjenesteleverandøren interaksjon. (The National Institute of Standards and Technology)

Veilederen har følgende fokusområder:– Personopplysningslovens virkeområde– Identifisering av behandlingsansvarlig og

ansvar– Akseptkriterier– Klarlegge juridisk ansvar for leverandør av

nettskytjenester– Risikovurdering og informasjonssikkerhet– Informasjonsplikt

Særlige problemstillinger:– Sikkerhetskopiering– Segmentering– Tilgangsstyring– Autorisert og uautorisert bruk– Dokumentasjon– Utlevering til tredjeland

Ansvarsplassering

• Påhviler egen virksomhet• Man kan ikke flytte ansvaret ut i skyen• Må forvisse seg om tilfredsstillende sikkerhet i tjenesten som

kjøpes• Hovedutfordring:

• Modenhet• Risikovurdering• Databehandleravtale fra start til slutt• Revisjon

Informasjonssikkerhet

• Oversikt over hvilke personopplysninger som skal behandles i tjenesten

• Hva er egnet for – og hva er ikke egnet for cloud?

• Gjennomføre risikovurdering• Vurdere og beskrive

sikkerhetstiltak• Avstemme mot leverandør• Databehandleravtale• Revisjon

Sentrale problemstillinger

Sikkerhetskopiering – Hvordan fungerer dette?• Overføres personopplysningene til et annet land for redundans,

eksempelvis fra Irland til USA eller fra Tyskland til India.• Er en slik redundans i henhold til de avtaler som er inngått? • Hvordan behandles personopplysningene på det andre stedet?

Segmentering – Hvordan vil dette bli håndtert?• Datatilsynet har uttalt ved tidligere anledninger at en

behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges personopplysninger. Dette fordi de betraktes som to separate juridiske enheter.

Tilgangsstyring – • Hvem hos leverandøren har tilgang til personopplysningene som

behandles?• Er tilgangstyring i henhold til lovpålagte krav, egen internkontroll eller

andre aktuelle forhold?

Sentrale problemstillinger forts.

Autorisert og uautorisert bruk – Tar løsningen høyde for registrering avautorisert og uautorisert bruk i henhold til personopplysningsforskriften §§ 2-14 og 2-16 siste ledd.

Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn påkontroll fra offentlig myndighet, se særlig personopplysningsforskriftens § 2-16 første og annet ledd.

Utlevering til tredjeland – Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen. Reguleringen i slike tredjeland kanvære en helt annen enn i Norge og dermed kreve forholdsregler. Det vises spesielt til personopplysningslovens § 29.

Leverandøren hva må vi tenke på?

Noen grunnleggende kjørereglene

• Virksomheten må kjenne til og kontrollere tjenester• Virksomheten må ha en tilstrekkelig avtale• Virksomheten må vite hvor data lagres• Virksomheten må med rimelighet vite hvordan egne data

håndteres i forhold andre virksomheters• Virksomheten må med rimelighet vite hvordan data sikres• Virksomheten må vite om hvilken økt risiko bruk av tjenesten

representerer for ulike data• Risikovurdering må gjennomføres – kompenserende tiltak

vurderes• Levert tjeneste, sett i sammenheng med risikovurdering, avgjør

hva tjenesten kan brukes til

Kan skyen brukes?

• Selvsagt – mange av oss gjøre det allerede…..

• Egnet for visse typer data, mindre egnet for andre!• Virksomheten må ha en prosess hvor det gjøres grundige

vurderinger av hva det er forsvarlig å håndtere i ulike tjenester skyen.

• Man bør ha i mente at selv i store driftssentre kan det gå galt, da bør du ha orden i egne kort.

• Når man planlegger beredskap, inkluder også eventuelle tjenester i skyen som benyttes.

En avgörande funktionalitet för godkännandet av Azure är tillgången till Microsoft TrustCenter, som ger användarna insyn i hur Microsoft behandlar personuppgifter och säkerheten, inklusive underleverantörer

Oppsummering:

• Risikovurdering• kompenserende tiltak vurderes• Ny risikovurdering?

• Databehandleravtale • Sikkerhetsrevisjon• Backup/gjenoppretting• Sletting ved avtalens opphør, exit • Utlevering ”law enforcement”• Overføring av personopplysninger til tredjeland

– Transfer of customer data

• Dokumentasjon • Komplett• Tilgjengelig

Oppsummering forts.

• Artikkel 29 gruppen, Draft Option on Cloud Computing

- Skytjenester må ikke gi dårligere personvernbeskyttelse

- Balanserte avtaler

- Det må gjennomføres risikoanalyser og analyseres risiko for personvern ved ulike typer tjenester

- Det må gis en oversikt over hvor data er lagret

- Det må gjennomføres kontroll med dataene – enten av behandlingsansvarlige eller av sertifiserte revisjonsfirma

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

Takk foroppmerksomheten!

Take control of your personal data

http://www.youtube.com/watch?v=5ByVaZ0rg8U&feature=player_embedded