View
271
Download
0
Category
Preview:
Citation preview
Side 1
Tjenester i skyen – hva må vi tenke på?
Renate Thoreid, rth@datatilsynet
Visjon: ”Datatilsynet – i front for retten til selvbestemmelse, integritet og verdighet”
• Personopplysningsloven og personopplysningsforskriften kapittel 2
• Internkontroll og Informasjonssikkerhet
• Databehandleravtale• Overføring av personopplysninger til
utlandet
• Artikkel 29-gruppen• Berlin-gruppen
http://ec.europa.eu/justice/data-protection/minisite/index.html
Sentralt regelverk
§ 1. Lovens formål
• beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.
• bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
EUs personverndirektiv (direktiv 95/46/EF) ”sikre vern om fysiske personers grunnleggende
rettigheter og friheter, særlig retten til privatlivets fred”
Personvern – vilkår for behandling av personopplysninger
Poenget med lovhjemmel som rettslig grunnlag er at lovgiver har vurdert de personvernmessige aspektene ved å registrere og behandle personopplysningene.
• Informasjon om håndtering • Rettslig grunnlag for behandling – Samtykke• Kun bruk av relevante data• Sikring av data• Sletting av data
Hva er egentlig ”Cloud Computing”?
• Skalerbart kjøp av prosessorkraft, lagrings- og databearbeidingskapasitet hos ekstern part med leveranse over eksterne nettverk. Nettskyen gir en lovende kombinasjon av kostnadseffektivitet og fleksibilitet….. men….
• NITS sin definisjon: Cloud computing er en modell for praktisk, on-demand nettverkstilgang til en felles pool av konfigurerbare dataressurser (f.eks, nettverk, servere, lagring, applikasjoner og tjenester) som raskt kan klargjøres og utgitt med minimal forvaltningen eller tjenesteleverandøren interaksjon. (The National Institute of Standards and Technology)
Veilederen har følgende fokusområder:– Personopplysningslovens virkeområde– Identifisering av behandlingsansvarlig og
ansvar– Akseptkriterier– Klarlegge juridisk ansvar for leverandør av
nettskytjenester– Risikovurdering og informasjonssikkerhet– Informasjonsplikt
Særlige problemstillinger:– Sikkerhetskopiering– Segmentering– Tilgangsstyring– Autorisert og uautorisert bruk– Dokumentasjon– Utlevering til tredjeland
Ansvarsplassering
• Påhviler egen virksomhet• Man kan ikke flytte ansvaret ut i skyen• Må forvisse seg om tilfredsstillende sikkerhet i tjenesten som
kjøpes• Hovedutfordring:
• Modenhet• Risikovurdering• Databehandleravtale fra start til slutt• Revisjon
Informasjonssikkerhet
• Oversikt over hvilke personopplysninger som skal behandles i tjenesten
• Hva er egnet for – og hva er ikke egnet for cloud?
• Gjennomføre risikovurdering• Vurdere og beskrive
sikkerhetstiltak• Avstemme mot leverandør• Databehandleravtale• Revisjon
Sentrale problemstillinger
Sikkerhetskopiering – Hvordan fungerer dette?• Overføres personopplysningene til et annet land for redundans,
eksempelvis fra Irland til USA eller fra Tyskland til India.• Er en slik redundans i henhold til de avtaler som er inngått? • Hvordan behandles personopplysningene på det andre stedet?
Segmentering – Hvordan vil dette bli håndtert?• Datatilsynet har uttalt ved tidligere anledninger at en
behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges personopplysninger. Dette fordi de betraktes som to separate juridiske enheter.
Tilgangsstyring – • Hvem hos leverandøren har tilgang til personopplysningene som
behandles?• Er tilgangstyring i henhold til lovpålagte krav, egen internkontroll eller
andre aktuelle forhold?
Sentrale problemstillinger forts.
Autorisert og uautorisert bruk – Tar løsningen høyde for registrering avautorisert og uautorisert bruk i henhold til personopplysningsforskriften §§ 2-14 og 2-16 siste ledd.
Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn påkontroll fra offentlig myndighet, se særlig personopplysningsforskriftens § 2-16 første og annet ledd.
Utlevering til tredjeland – Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen. Reguleringen i slike tredjeland kanvære en helt annen enn i Norge og dermed kreve forholdsregler. Det vises spesielt til personopplysningslovens § 29.
Leverandøren hva må vi tenke på?
Noen grunnleggende kjørereglene
• Virksomheten må kjenne til og kontrollere tjenester• Virksomheten må ha en tilstrekkelig avtale• Virksomheten må vite hvor data lagres• Virksomheten må med rimelighet vite hvordan egne data
håndteres i forhold andre virksomheters• Virksomheten må med rimelighet vite hvordan data sikres• Virksomheten må vite om hvilken økt risiko bruk av tjenesten
representerer for ulike data• Risikovurdering må gjennomføres – kompenserende tiltak
vurderes• Levert tjeneste, sett i sammenheng med risikovurdering, avgjør
hva tjenesten kan brukes til
Kan skyen brukes?
• Selvsagt – mange av oss gjøre det allerede…..
• Egnet for visse typer data, mindre egnet for andre!• Virksomheten må ha en prosess hvor det gjøres grundige
vurderinger av hva det er forsvarlig å håndtere i ulike tjenester skyen.
• Man bør ha i mente at selv i store driftssentre kan det gå galt, da bør du ha orden i egne kort.
• Når man planlegger beredskap, inkluder også eventuelle tjenester i skyen som benyttes.
En avgörande funktionalitet för godkännandet av Azure är tillgången till Microsoft TrustCenter, som ger användarna insyn i hur Microsoft behandlar personuppgifter och säkerheten, inklusive underleverantörer
Oppsummering:
• Risikovurdering• kompenserende tiltak vurderes• Ny risikovurdering?
• Databehandleravtale • Sikkerhetsrevisjon• Backup/gjenoppretting• Sletting ved avtalens opphør, exit • Utlevering ”law enforcement”• Overføring av personopplysninger til tredjeland
– Transfer of customer data
• Dokumentasjon • Komplett• Tilgjengelig
Oppsummering forts.
• Artikkel 29 gruppen, Draft Option on Cloud Computing
- Skytjenester må ikke gi dårligere personvernbeskyttelse
- Balanserte avtaler
- Det må gjennomføres risikoanalyser og analyseres risiko for personvern ved ulike typer tjenester
- Det må gis en oversikt over hvor data er lagret
- Det må gjennomføres kontroll med dataene – enten av behandlingsansvarlige eller av sertifiserte revisjonsfirma
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf
Takk foroppmerksomheten!
Take control of your personal data
http://www.youtube.com/watch?v=5ByVaZ0rg8U&feature=player_embedded
Recommended