lovlig bruk av skytjenester
DESCRIPTION
Nettskytjenester - lovlig bruk av cloud computing. Foredrag om personvern og databehandleravtaler for Utlendingsdirektoratet.TRANSCRIPT
![Page 1: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/1.jpg)
!
!
Skytjenester Utlendingsdirektoratet!15.!april!2013!
v/Inger!Anne!Folkestad!Tornes!og!Kjell!Steffner!
Br!" #v
![Page 2: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/2.jpg)
datatilsynet ”Virksomheter!som!tar!i!bruk!
neFskytjenester!er!juridisk!ansvarlig,!
og!må!sørge!for!at!
personopplysningene!behandles!i!tråd!
med!personvernregelverket.”!
![Page 3: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/3.jpg)
Europeiske!menneskereMghetskonvensjon!
Art$8.$Re)en$+l$respekt$for$privatliv$og$familieliv$!”Enhver!har!reF!Nl!respekt!for!siF!privatliv!og!
familieliv,!siF!hjem!og!sin!korrespondanse.”!
![Page 4: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/4.jpg)
U$f%r&r'() Lovlig håndtering av
på tvers av jurisdiksjoner personopplysninger!
![Page 5: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/5.jpg)
S"*$+,(,-$,r
Applikasjoner plattform
infrastruktur
![Page 6: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/6.jpg)
L'-,(-',r'() %) &r'. #v /r%)r#0v#r, -%0
en tjeneste
![Page 7: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/7.jpg)
![Page 8: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/8.jpg)
Author:!Sam!Johnston!
Salesforce!
Office365!
MS!Azure!
Amazon!EC2!
SaaS#
PaaS#
IaaS#
![Page 9: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/9.jpg)
Noen egenskaper ved skytjenester
Fordeler#• Lav!pris!• Tilgjengelighet!av!informasjon!
• Datasikkerhet!• Skalerbarhet!for!ytelse!og!lagring!
Ulemper#• Datasikkerhet!• Innlåsing!av!data!• Standardisert!/!lite!fleksibelt!
• Håndtering!av!personvern!
![Page 10: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/10.jpg)
![Page 11: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/11.jpg)
Tjenestene!er!
interessante,!men!
både!bransjen!og!
tjenestevilkårene!
fremstår!i!dag!som!
![Page 12: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/12.jpg)
Tilgjengelighet!
Forpliktelser!
Sikkerhet!
Personvern!
Erstatning!
Jurisdiksjon!
Data!innelåst!
OpphavsreF!
Sv#", v'1"år
![Page 13: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/13.jpg)
Personvern- L'$$ %0
reglene!
![Page 14: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/14.jpg)
Personopplysningsloven §$1.$Lovens$formål$!!!!!!!Formålet!med!denne!loven!er!å!beskyFe!den!
enkelte!mot!at!personvernet!blir!krenket!
gjennom!behandling!av!personopplysninger.!
!!!!!!!Loven!skal!bidra!Nl!at!personopplysninger!
blir!behandlet!i!samsvar!med!grunnleggende!
personvernhensyn,!herunder!behovet!for!
personlig!integritet,!privatlivets!fred!og!
Nlstrekkelig!kvalitet!på!personopplysninger.!!
!
![Page 15: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/15.jpg)
§ 2 Personopplysning
”Opplysninger!og!
vurderinger!som!kan!
knyFes!Nl!en!
enkeltperson”!
![Page 16: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/16.jpg)
Behandling ”enhver!bruk!av!
personopplysninger,!som!f.eks.!
innsamling,!registrering,!
sammensNlling,!lagring!og!
utlevering!eller!en!kombinasjon!
av!slike!bruksmåter”!
![Page 17: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/17.jpg)
Behandlingsansvarlig ”den!som!bestemmer!formålet!
med!behandlingen!av!
personopplysninger!og!hvilke!
hjelpemidler!som!skal!brukes”!
![Page 18: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/18.jpg)
databehandler ”den!som!behandler!
personopplysninger!på!vegne!av!
den!behandlingsansvarlige”!
![Page 19: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/19.jpg)
Sensitive personopplysninger
a)!rasemessig!eller!etnisk!bakgrunn,!eller!
poliNsk,!filosofisk!eller!religiøs!oppfatning,!
b)!at!en!person!har!vært!mistenkt,!siktet,!
Nltalt!eller!dømt!for!en!stra`ar!handling,!
c)!helseforhold,!
d)!seksuelle!forhold,!
e)!medlemskap!i!fagforeninger!
![Page 20: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/20.jpg)
§ 8 Vilkår for å behandle personopplysnger
dersom!den!registrerte!har!samtykket,!eller!det!er!fastsaF!i!lov!at!det!
er!adgang!Nl!slik!behandling,!eller!behandlingen!er!nødvendig!for!
a) å!oppfylle!en!avtale!med!den!registrerte,!eller!for!å!uaøre!
gjøremål!eFer!den!registrertes!ønske!før!en!slik!avtale!inngås,!
b) at!den!behandlingsansvarlige!skal!kunne!oppfylle!en!reFslig!
forpliktelse,!
c) å!vareta!den!registrertes!vitale!interesser,!
d) å!uaøre!en!oppgave!av!allmenn!interesse,!
e) å!utøve!offentlig!myndighet,!eller!
f) at!den!behandlingsansvarlige!eller!tredjepersoner!som!
opplysningene!utleveres!Nl!kan!vareta!en!bereMget!interesse,!og!
hensynet!Nl!den!registrertes!personvern!ikke!oversNger!denne!
interessen.!
![Page 21: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/21.jpg)
§ 9 Behandling av sensitive opplysninger
a) den!registrerte!samtykker!i!behandlingen,!
b) det!er!fastsaF!i!lov!at!det!er!adgang!Nl!slik!behandling,!
c) behandlingen!er!nødvendig!for!å!beskyFe!en!persons!vitale!interesser,!og!den!
registrerte!ikke!er!i!stand!Nl!å!samtykke,!
d) det!utelukkende!behandles!opplysninger!som!den!registrerte!selv!frivillig!har!
gjort!alminnelig!kjent,!
e) behandlingen!er!nødvendig!for!å!fastseFe,!gjøre!gjeldende!eller!forsvare!et!
reFskrav,!
f) behandlingen!er!nødvendig!for!at!den!behandlingsansvarlige!kan!gjennomføre!
sine!arbeidsreFslige!plikter!eller!reMgheter,!
g) behandlingen!er!nødvendig!for!forebyggende!sykdomsbehandling,!medisinsk!
diagnose,!sykepleie!eller!pasientbehandling!eller!for!forvaltning!av!
helsetjenester,!og!opplysningene!behandles!av!helsepersonell!med!taushetsplikt,!
eller!
h) behandlingen!er!nødvendig!for!historiske,!staNsNske!eller!vitenskapelige!formål,!
og!samfunnets!interesse!i!at!behandlingen!finner!sted!klart!oversNger!ulempene!
den!kan!medføre!for!den!enkelte.!
![Page 22: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/22.jpg)
personvernprinsippene
1. Samtykke!eller!annet!reFslig!grunnlag!
2. Proporsjonalitet!3. Formålsbestemthet!
4. Relevans!og!minimalitet!
5. Fullstendighet!og!kvalitet!6. Informasjon!og!innsyn!
7. Informasjonssikkerhet!
8. Særlig!strenge!regler!ved!behandling!av!
sensiNve!personopplysninger!
9. Anonymitet!og!sporfri!ferdsel!
![Page 23: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/23.jpg)
Grunnleggende personvernprinsipper ReFmessig!og!regerdig!behandling!
• All!behandling!av!personopplysninger!krever!reFslig!grunnlag,!og!den!behandlingsansvarlige!skal!ta!
Nlbørlig!hensyn!Nl!den!registrertes!bereMgede!personverninteresser.!SensiNve!personopplysninger!er!
underlagt!strengere!vern!enn!alminnelige!personopplysninger.!
Brukermedvirkning!og!kontroll!
• Den!behandlingsansvarlige!skal!gjøre!behandlingen!transparent!og!forståelig!for!den!registrerte,!slik!at!
denne!gjøres!i!stand!Nl!å!overskue!behandlingens!konsekvenser!og!er!i!stand!Nl!å!ivareta!sine!
personverninteresser.!
Formålsbestemthet!
• Den!behandlingsansvarlige!skal!før!innsamling!og!behandling!av!personopplysninger!angi!et!klart!og!
uFrykkelig!formål!med!behandlingen.!Opplysningene!skal!ikke!senere!benyFes!for!uforenlige!formål.!
Minimalitet!
• Personopplysninger!bare!skal!innhentes,!lagres!og!behandles!i!den!grad!de!er!nødvendige!for!å!oppnå!
formålet!med!behandlingen!av!opplysningene.!
Datakvalitet!
• Personopplysninger!skal!ha!Nlstrekkelig!kvalitet!i!forhold!Nl!det!formålet!de!skal!anvendes!Nl.!DeFe!
innebærer!blant!annet!at!opplysningene!skal!være!Nlstrekkelig!oppdaterte,!presise!og!relevante!seF!opp!
mot!formålet!med!behandlingen.!
Informasjonssikkerhet!
• Den!behandlingsansvarlige!(og!databehandleren)!skal!sørge!for!NlfredssNllende!informasjonssikkerhet!
med!hensyn!Nl!konfidensialitet,!integritet!og!Nlgjengelighet!ved!behandling!av!personopplysninger.!
NOU 2009:1
![Page 24: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/24.jpg)
EU directive
1. No2ce—data!subjects!should!be!given!noNce!when!their!data!is!being!
collected;!
2. Purpose—data!should!only!be!used!for!the!purpose!stated!and!not!for!
any!other!purposes;!
3. Consent—data!should!not!be!disclosed!without!the!data!subject’s!
consent;!
4. Security—collected!data!should!be!kept!secure!from!any!potenNal!
abuses;!
5. Disclosure—data!subjects!should!be!informed!as!to!who!is!collecNng!
their!data;!
6. Access—data!subjects!should!be!allowed!to!access!their!data!and!make!
correcNons!to!any!inaccurate!data;!and!
7. Accountability—data!subjects!should!have!a!method!available!to!them!
to!hold!data!collectors!accountable!for!following!the!above!principles.!
![Page 25: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/25.jpg)
International Safe Harbor Privacy Principles
1. No2ce!n!Individuals!must!be!informed!that!their!data!is!being!
collected!and!about!how!it!will!be!used.!
2. Choice!n!Individuals!must!have!the!ability!to!opt!out!of!the!
collecNon!and!forward!transfer!of!the!data!to!third!parNes.!
3. Onward#Transfer!n!Transfers!of!data!to!third!parNes!may!only!
occur!to!other!organizaNons!that!follow!adequate!data!protecNon!
principles.!
4. Security!n!Reasonable!efforts!must!be!made!to!prevent!loss!of!
collected!informaNon.!
5. Data#Integrity!n!Data!must!be!relevant!and!reliable!for!the!purpose!
it!was!collected!for.!
6. Access!n!Individuals!must!be!able!to!access!informaNon!held!about!
them,!and!correct!or!delete!it!if!it!is!inaccurate.!
7. Enforcement!n!There!must!be!effecNve!means!of!enforcing!these!
rules.!
![Page 26: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/26.jpg)
!
!
personopplysninger Hv%rf%r ,r
-å '($,r,--#($,?
![Page 27: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/27.jpg)
Hvor!er!mine!
personopplysninger?!
!
Hvem!får!Nlgang!Nl!
dem?!
![Page 28: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/28.jpg)
![Page 29: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/29.jpg)
Hvis du ikke betaler for tjenesten Deilig!med!
gra+s!mat!og!
hus!
Er du neppe kunden
![Page 30: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/30.jpg)
D! ,r Produktet
![Page 31: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/31.jpg)
• Samler!mer!informasjon!enn!du!selv!publiserer!
• Informasjon!kan!ikke!sleFes,!bare!gjøres!usynlig!
• Hver!gang!du!åpner!appen!på!mobilen!blir!du!
geotagget!
• Endrer!tjenestepremissene!fortløpende!
• FlyFer!stadig!grensene!for!hva!anser!som!privat!
• ”Home”!for!Android!syndikerer!mange!tjenester,!
f.eks.!Ipntelefoni,!meldinger!mm.!
Facebook samler og analyserer
![Page 32: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/32.jpg)
Google Glass !
SluFen!på!
personvernet?!
![Page 33: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/33.jpg)
CCnBY!MarNn!Missfeldt!
Projiserer et lag oppå det brukeren ser
![Page 34: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/34.jpg)
S/ør-0å1 %0 $'& KonNnuerlig!
streaming!og!
søk!
IdenNfisering!
Posisjonering!
Tagging!
Historikk!
Big!data!
![Page 35: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/35.jpg)
Sær-"'1$ f%r &,$ %2,($1'),
![Page 36: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/36.jpg)
datasikkerhetshensyn
Fremmede!
nasjoners!
eFerretning!
![Page 37: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/37.jpg)
S,($r#1, r,)1,r • Lov!om!offentlige!
anskaffelser!
• Forskrir!om!offentlige!
anskaffelser!
• Offentlighetsloven!
• Forvaltningsloven!
• Sikkerhetsloven!
![Page 38: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/38.jpg)
Er oppdragsgiver premissgiver?
L,v,r#(&ør
O//&r#)-)'v,r
![Page 39: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/39.jpg)
Stadig strengere
praktisering av regelverket For offentlige anskaffelser
![Page 40: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/40.jpg)
Anskaffelser R,),1v,r",$ /#--,r '"", $'1 #11,
![Page 41: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/41.jpg)
Forholdsmessighet!
Likebehandling !
Forutberegnelighet!
Gjennomsigtighet!
Etterprøvbarhet!
Forretningsskikk!!
Konkurranse !
Prinsippene!
![Page 42: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/42.jpg)
utfordringer
Leverandør#• Lav!pris!forutseFer!
standardisering!
• Skytjenestevilkår!er!standardiserte!
• Tjeneste!Nlbys!i!eF!format!
!
Oppdragsgiver#• Offentlige!virksomheter!har!
detaljerte!krav!Nl!
funksjonalitet,!ytelse!og!
Nlpasning!
• Bruker!ore!Statens!standardavtaler!
• Åpen!anbudskonkurranse!gir!liten!fleksibilitet!
• Ikke!særlig!rom!for!avvik!i!
LOA/FOA!
![Page 43: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/43.jpg)
Nettskyen P,r-%(v,r( '
Del 2
![Page 44: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/44.jpg)
Outsourcing av personopplysninger krever databehandleravtale
!
Dersom!en!virksomhet!seFer!ut!f.eks.!ITndrir,!fakturering,!
kameraovervåkning,!håndtering!av!personalopplysninger!
(utbetaling!av!lønn),!Nl!en!annen!virksomhet!må!deFe!reguleres!
i!skrirlig!avtale.!
!
En!databehandleravtale!kan!være!en!friFstående!avtale!mellom!
partene,!eller!en!integrert!del!av!annet!avtaleverk.!!
!
DataNlsynet:!!
!Leverandør!av!NeFskyntjenester!er!databehandler,
!uavhengig!av! !hvilken!tjeneste!som!leveres,!så!fremt!
!personopplysningsloven! !med!forskrir!kommer!Nl!
!anvendelse!
![Page 45: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/45.jpg)
Outsourcing av personopplysninger krever databehandleravtale
Personopplysningsloven!§15,!jf.!§13!!
!
!
!
!
!
!
!
Behandlingsansvarlig!jf.!§!2!(4)!
Den!som!bestemmer!formålet!!med!behandling!av!personnopplysningene!
Ansvarlig!uavhengig!bruk!av!databehandler.!
Databehandler!jf.!§!2!(5)!
Den!som!behandler!personopplysningene!på!vegne!av!den!behandlingsansvarlig!
Er!bundet!av!formålsangivelse,!kan!bare!behandle!pol.!!slik!det!fremgår!av!avtale.!
Har!ikke!selvstendig!rådereF!over!data.!
!
”En$databehandler$kan$ikke$behandle$personopplysninger$på$annen$måte$enn$det$som$er$skriAlig$avtalt$med$den$behandlingsansvarlige.$Opplysningene$kan$heller$ikke$uten$slik$avtale$overlates$+l$noen$andre$for$lagring$eller$bearbeidelse.$I$avtalen$med$den$behandlingsansvarlige$skal$det$også$gå$frem$at$databehandleren$plikter$å$gjennomføre$slike$sikrings+ltak$som$følger$av$§$13.”$
![Page 46: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/46.jpg)
Datatilsynets veileder om databehandleravtaler
Databehanderavtale:!
Avtale!om!behandling!av!personopplysninger,!godkjennes!ikke!av!DataNlsynet!
!
Minimumskrav!Nl!innhold!i!databehandleravtaler:!
1. !angi!formålet!med!behandlingen!
2. !beskrive!hvordan!personopplysningene!skal!behandles,!og!ha!regler!for!utlevering!
3. !regulere!databehandlerens!bruk!av!underleverandører!
4. !regulere!overføring!Nl!utlandet!
5. !pålegge!databehandleren!å!ha!Nlstrekkelig!informasjonssikkerhet!
6. !regulere!ivaretakelse!av!de!registrertes!reMgheter!
7. !regulere!varighet!og!opphør!!
![Page 47: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/47.jpg)
1. FORMÅL
Det!skal!fremgå!klart!av!databehandleravtalen!hva!som!er!
formålet!med!behandlingen!av!personopplysningene.!!
Databehandler!bundet!av!formålsangivelsen.!
DataNlsynet!!om!formål!i!«Moss`!bruk!av!Microsor!Office!365»:!
!
«Det$er$oppgi)$at$opplysningene$utelukkende$behandles$+l$formål$som$er$kny)et$+l$levering$av$tjenesten$Office$365.$Avtalen$viser$dessuten$+l$de$underliggende$tjenestene$som$er$omfa)et$av$Office$365».!
![Page 48: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/48.jpg)
2. Beskrive hvordan personopplysninger Skal behandles
Det!skal!tydelig!fremgå!av!avtalen!!hva!databehandler!skal!
gjøre!med!personopplysningene.!
Avtalen!skal!også!regulere!koblinger!mot!andre!pol.!/registre!
Må!regulere!utlevering!Nl!eksterne!parter!og!vilkår!for!deFe!
(underleverandør)!
DataNlsynet!i!«Mossn!Office!365».!
!
• «Microsor!kan!ikke!utlevere!data!Nl!andre!uten!eFer!
godkjennelse!fra!kommunene….!
• Microsor!kan!utlevere!opplysninger!Nl!«law!
enforcement(authoriNes)!eks.!ved!eFerforskning!av!stra`are!
forhold.»!
• Godkjent!hvis!reFslig!bindende!for!tjenesteleverandør!og!ikke!i!strid!med!norsk!lov.!
![Page 49: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/49.jpg)
Underleverandør Leverandør Kunde
Bruk av underleverandør krever skriftlig forhåndssamtykke til databehandleren. WP29 om cloud computing: «the processor can subcontract its activites only on the basis of the consent of the controller wihch may be generally given at the beginning of the service»
![Page 50: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/50.jpg)
3.REGULERE BRUK AV UNDERLEVERANDØRER • Leverandørens!bruk!av!underleverandør!reguleres!i!skrirlig!
avtale!!
• Formålet!med!bruk!av!underleverandør!for!å!behandle!pol.!!
må!angis!
• Avtalen!mellom!leverandør!og!underleverandør!bør!forplikte!
underleverandør!ihh.!Nl!forpliktelsene!som!påhviler!
leverandør!eFer!databehandleravtalen.!!
• Avtalen!bør!regulere!leverandørens!ansvar!for!underleverandører!
• Kunden!bør!eventuelt!kreve!innsyn!i!!underleverandøravtaler!
!
![Page 51: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/51.jpg)
Support Microsoft UDI
Forhandler
Databehandleravtale! Databehandleravtale!
![Page 52: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/52.jpg)
![Page 53: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/53.jpg)
BEHANDLINGSANSVARLIG MÅ HA KUNNSKAP OM UNDERLEVERANDØRER
Informasjonsplikt!jf.!personopplysningsloven!§19:!
!!
!Når!det!samles!inn!opplysninger!fra!den!registrerte!selv,!
!skal!den!behandlingsansvarlige!!gi!informasjon!Nl!den!
!registrerte!om!opplysningene!vil!bli!utlevert,!og!eventuelt!
!hvem!som!er!moFaker.!
!
![Page 54: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/54.jpg)
4. AVTALEN MÅ REGULERE OVERFØRING TIL UTLANDET-HOVEDREGEL
• Personopplysningsloven § 29 • Personopplysninger kan bare overføres til stater som sikrer
en forsvarlig behandling av opplysningene. • Stater som har gjennomført direktiv 95/46/EF om beskyttelse
av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger,
oppfyller kravet til forsvarlig behandling.
![Page 55: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/55.jpg)
AVTALEN MÅ REGULERE OVERFØRING TIL UTLANDET-ANDRE OVERFØRINGSGRUNNLAG
• Personopplysningsloven!§30!• Personopplysninger!kan!også!overføres!Nl!stater!som!ikke!
sikrer!en!forsvarlig!behandling!av!opplysningene!dersom:!
• Den!registrerte!har!samtykket!
• DataNlsynet!har!NllaF!overføringen!(Binding!Corporate!Rules,!Data!Transfer!Agreements)!
• Overføringen!skjer!fra!Norge!Nl!virksomheter!I!USA!som!er!
NlsluFet!Safe!Harborprinsippene(jf.!pof.!§!6n1)!
• Unntak!for!mellomlagring:!
Enmail!Nl!adressat!i!Norge,!regnes!ikke!som!overføring!selv!
om!den!er!innom!server!som!ligger!i!utlandet!!jf!DT!i!sin!
uFalelse!i!«Narviknsaken».!
!
![Page 56: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/56.jpg)
NÆRMERE OM OVERFØRINGSGRUNNLAG • Safe!Harbour!
– Få!USAbaserte!cloudleverandører!Nl!å!NlfredssNllle!personvernkrav!i!EU!
– Avtale!mellom!!EU!og!USA!
– Gir!ikke!nødvendigvis!NlfredssNllende!informasjonssikkerhet(!)!
• Samtykke!
– Skrirlig,!men!lite!prakNsk(!)!
• EU!Model!clauses!
– EU!data!transfer!agreement!
• Leverandøren!må!akNvt!og!tydelig!informere!kunden!om!
nødvendigheten!av!data!transfer!agreements!
![Page 57: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/57.jpg)
5. Informasjonssikkerhet-risikovurdering
Behandlingsansvarlig!skal!gjennomføre!en!risikovurdering!for!
behandling!av!personopplysninger,!jf.!
personopplysningsforskriren!§!2!nr.!4.!!
!
Risikovurderingen!er!utgangspunktet!for!å!eventuelt!
gjennomføre!adekvate!Nltak!for!å!oppnå!NlfredssNllende!
informasjonssikkerhet!for!behandling!av!personopplysningene.!
![Page 58: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/58.jpg)
Informasjonssikkerhet
Databehandler!avtalen!må!pålegge!databehandleren!å!ha!
NlfredssNllende!informasjonssikkerhet:!
Tilgangsstyring!
Sammenblanding!av!data!
Sikkerhetskopiering!
Innsynnautorisert!og!uautorisert!bruk!
Revisjon!
!
Selvstendig!ansvar!for!databehandler!
![Page 59: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/59.jpg)
UTFORDRING TILGANG TIL INFORMASJON OM
SIKKERHETSNIVÅ.
Disclaimer The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. For the latest version of this document visit: http://www.microsoft.com/download/en/details.aspx?id=26647
Standard#Response#to#Request#for#Informa2on#(Security#and#Privacy)#
![Page 60: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/60.jpg)
Rettslig utgangspunkt
Pol.!§!13,!jf.!pof.!kap.!2:!Informasjonssikkerhet!
”Den$behandlingsansvarlige$og$databehandleren$skal$gjennom$planlagte$og$systema+ske$+ltak$sørge$for$+lfredss+llende$informasjonssikkerhet$med$hensyn$+l$konfidensialitet,$integritet$og$+lgjengelighet$ved$behandling$av$personopplysninger.”!
Konfidensialitet:!informasjon!kun!Nlgjengelig!for!de!bereMgede!
Integritet:!at!personopplysninger!ikke!endres!uautorisert!eller!
uNlsiktet!
Tilgjengelighet:!sikre!Nlgang!Nl!personopplysninger!hvor!deFe!er!
nødvendig.!
!
![Page 61: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/61.jpg)
GJENNOMFØRING AV SIKKERHETSREVISJONER Pof.!§!2n5.!Sikkerhetsrevisjon!av!bruk!av!informasjonssystemet!skal!gjennomføres!
jevnlig.!Sikkerhetsrevisjon!skal!omfaFe!vurdering!av!organisering,!sikkerhetsNltak!og!
bruk!av!kommunikasjonspartner!og!leverandører!
Databehandleravtale!i!seg!selv!er!ingen!forsikring!for!at!leverandøren!har!en!
NlfredssNllende!informasjonssikkerhet!
DataNlsynet!(hvor!ore!må!det!revideres)?!!
«Sikkerhetsrevisjon!av!bruk!av!informasjonssystemet!skal!gjennomføres!jevnlig.!
Sikkerhetsrevisjon!skal!omfaFe!vurdering!av!organisering,!sikkerhetsNltak!og!bruk!av!
kommunikasjonspartner!og!leverandører.!Dersom!sikkerhetsrevisjonen!avdekker!
bruk!av!informasjonssystemet!som!ikke!er!forutsaF,!skal!deFe!behandles!som!avvik,!
jf.!§!2n6.!Resultatet!fra!sikkerhetsrevisjon!skal!dokumenteres.»!
DataNlsynet!vedtak!i!Narviknsaken)!
!“opp!Nl!kommunen!å!følge!opp”!
![Page 62: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/62.jpg)
Tilgang til sikkerhetsdokumentasjon !DataNlsynets!veileder!for!neFskytjenester:!
Databehandleren!må!kunne!legge!frem!dokumentasjon!
for!informasjonssystemets!uaorming!og!
sikkerhetsløsninger.!slik!at!behandlingssansvarlig!kan!
forvisse!seg!om!at!løsningen!har!NlfredssNllende!
informasjonssikkerhet!seF!opp!mot!risikovurdering!og!
akseptkriterier.!
DataNlsynets!mal!for!databehandleravtaler!
Databehandler!plikter!å!gi!behandlingsansvarlig!Nlgang!Nl!
sin!sikkerhetsdokumentasjon,!og!bistå!slik!at!
behandlingsansvarlig!kan!ivareta!siF!eget!ansvar!eFer!lov!
og!forskrir.!
!
![Page 63: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/63.jpg)
![Page 64: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/64.jpg)
Inger Anne Folkestad Tornes Kjell Steffner
• Advokat,$partner$• Særskilt!bransjekompetanse!
innen!IKT!
• God!forståelse!for!teknologi,!prosjektmetodikk!og!strategi!
• Jobber!med!kontraktsreF,!
forhandlinger,!offentlige!
anskaffelser!og!personvern!
• AdvokaOullmek+g$• Rådgivning!for!IKTnsektoren!• Jobber!med!kontraktsreF,!
personvern!og!enhandel,!samt!
offentlige!anskaffelser!
![Page 65: Lovlig bruk av skytjenester](https://reader034.vdocuments.site/reader034/viewer/2022052412/558c1777d8b42ad3718b4597/html5/thumbnails/65.jpg)
LYNX#advokaUirma#DA#Hieronymus!Heyerdahls!gate!1!
Nn0160!Oslo!
!
hFp://lynxlaw.no/!
!