Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Skytjenester og personvern NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl.

Liknende presentasjoner


Presentasjon om: "Skytjenester og personvern NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl."— Utskrift av presentasjonen:

1 Skytjenester og personvern NFJE’s generalforsamling Ragnar Lindefjeld / Rune Opdahl

2 2 SKYTJENESTER OG PERSONVERN - INNHOLD •Innledning – kort om skytjenester •Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av? •Presentasjon av Narvik og Odense - sakene •Frimodige ytringer til diskusjon

3 3 SKYEN RUNDT PÅ 5 MIN – DEFINISJON A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

4 4

5 5 SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER Kilde: Legale barrierer: • Regulatoriske • Kontraktuelle

6 6 FORSKJELLEN FRA TRADISJONELL OUTSOURCING •Kommersielt: -Penger (Cap-ex vs Op-ex) -Tid (Fleksibilitet vs Varighet) •Operasjonelt: -”As a Service” -Internettbasert -”Pooled Resources” •Særlig de to siste som driver regulatoriske utfordringer

7 7 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER Oversikt •Cloud computing oppfattes som en trussel mot grunnleggende personvernprinsipper • Transparens og kontroll • Minimalitet • Informasjonssikkerhet •Det hersker usikkerhet om cloud computing er lovlig •Kommende EU-regler vil påvirke cloud computing

8 8 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (1) Lovens geografiske anvendelsesområde •Etableringskriteriet og hjelpemiddelkriteriet (pol § 4) •Tilsynsmyndigheters jurisdiksjon (PVN ): ”Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA [etter lovlig overføring iht. pol. § 30] ligger etter Personvernnemndas syn utenfor vår jurisdiksjon”

9 9 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (2) Identifisering av ansvar •Hvem er behandlingssansvarlig, hvem er databehandler? (pol. § 2) •Databehandlerens ansvar • Informasjonssikkerhet (pol § 13) • Oppfylle databehandleravtale (pol. § 15, jf. Datatilsynets veileder )

10 10 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (3) Overføring av opplysninger •Til andre EØS-land mv. (pol. § 29) •Til tredjeland (pol. § 30) • Avtale med den registrerte • Avtale med tredjepart i den registrertes interesse • EUs dataoverføringsavtale • Safe Harbor

11 11 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (4) Informasjonssikkerhet •Tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (pol. § 13) • Dokumentasjonskrav (pol. § 13) • Forholdsmessighet: Nødvendig for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet (pof. § 2-1)

12 12 GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Odense •Helseopplysninger om den enkelte elev •Faglige vurderinger av den enkelte elev •Sosiale vurderinger av den enkelte elev •Annet = til dels sensitive personopplysninger •Odense ba om forhåndsuttalelse – avgitt 3. februar 2011

13 13 GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Narvik •Begynne med e-post •Eventuelt utvide til andre forhold •Ikke brukes til overføring av sensitive personopplysninger = noe mer blandet bilde enn i Odense •Narvik gjennomført anskaffelse – innklaget av en tredjeperson, Datatilsynet varsel om vedtak 16. januar 2012

14 14 ODENSE- OG NARVIK-SAKENE (1) Lovens anvendelsesområde og (2) identifisering av ansvar •Ingen av tilsynsmyndighetene problematiserer dette spørsmålet •Den behandlingsansvarlige (kommunene) er etablert i N og DK •Mellom tilsynsmyndighet og behandlingsansvarlig - POL § 4 (1) •Databehandler Google er et US selskap – avtaleparten er Google Ireland Ltd – US rett inter partes

15 15 ODENSE- OG NARVIK-SAKENE (3) Overføring av opplysninger •Begge tilsyn: • Data kan bli overført utenfor EØS • Utenfor Safe Harbour •Kjernen: • manglende transparens = utilstrekkelig redegjørelse = ulovlig •Konklusjon: • En ren public cloud løsning som behandler persondata er ulovlig •Løsning? • Amazon-varianten You may specify the AWS regions in which Your Content will be stored and accessible by End Users.

16 16 ODENSE- OG NARVIK-SAKENE (4) Informasjonssikkerhet •Begge tilsyn misfornøyd med informasjonssikkerhet fordi: -Usikkert om data slettes -Overføring ikke kryptert -Login ikke tilstrekkelig sikret, for eksempel ved digital signatur -Mangelfull regulering av loggføring -Segmentering anses risikofylt •Hva er legale mangler, hva er manglende rapportering?

17 17 BONUSMATERIALE •Datatilsynet (DK) • Bruk av Dropbox til lagring av sensitive personopplysninger ikke OK • Overføring av personnummer fra offentlige til MS Azure ”meget kritisabel” •Datainspektionen (S) • Molntjänster och personuppgiftslagen (veiledning ) •Sverige: •Finland: Intet nytt fra østfronten •US: National Institute of Standards and Technology: helt ny veileder til skytjenester av 29. mai 2012

18


Laste ned ppt "Skytjenester og personvern NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl."

Liknende presentasjoner


Annonser fra Google