Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Skytjenester og personvern

PublisertStian Jensen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Skytjenester og personvern"— Utskrift av presentasjonen:

1 Skytjenester og personvern
NFJE’s generalforsamling Ragnar Lindefjeld / Rune Opdahl

2 SKYTJENESTER OG PERSONVERN - INNHOLD
Innledning – kort om skytjenester Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av? Presentasjon av Narvik og Odense - sakene Frimodige ytringer til diskusjon

3 SKYEN RUNDT PÅ 5 MIN – DEFINISJON
A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

4

5 SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER
Kilde: Legale barrierer: Regulatoriske Kontraktuelle

6 FORSKJELLEN FRA TRADISJONELL OUTSOURCING
Kommersielt: Penger (Cap-ex vs Op-ex) Tid (Fleksibilitet vs Varighet) Operasjonelt: ”As a Service” Internettbasert ”Pooled Resources” Særlig de to siste som driver regulatoriske utfordringer

7 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER Oversikt
Cloud computing oppfattes som en trussel mot grunnleggende personvernprinsipper Transparens og kontroll Minimalitet Informasjonssikkerhet Det hersker usikkerhet om cloud computing er lovlig Kommende EU-regler vil påvirke cloud computing

8 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (1) Lovens geografiske anvendelsesområde
Etableringskriteriet og hjelpemiddelkriteriet (pol § 4) Tilsynsmyndigheters jurisdiksjon (PVN ): ”Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA [etter lovlig overføring iht. pol. § 30] ligger etter Personvernnemndas syn utenfor vår jurisdiksjon”

9 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (2) Identifisering av ansvar
Hvem er behandlingssansvarlig, hvem er databehandler? (pol. § 2) Databehandlerens ansvar Informasjonssikkerhet (pol § 13) Oppfylle databehandleravtale (pol. § 15, jf. Datatilsynets veileder )

10 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (3) Overføring av opplysninger
Til andre EØS-land mv. (pol. § 29) Til tredjeland (pol. § 30) Avtale med den registrerte Avtale med tredjepart i den registrertes interesse EUs dataoverføringsavtale Safe Harbor

11 SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (4) Informasjonssikkerhet
Tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (pol. § 13) Dokumentasjonskrav (pol. § 13) Forholdsmessighet: Nødvendig for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet (pof. § 2-1)

12 GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Odense
Helseopplysninger om den enkelte elev Faglige vurderinger av den enkelte elev Sosiale vurderinger av den enkelte elev Annet = til dels sensitive personopplysninger Odense ba om forhåndsuttalelse – avgitt 3. februar 2011

13 GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Narvik
Begynne med e-post Eventuelt utvide til andre forhold Ikke brukes til overføring av sensitive personopplysninger = noe mer blandet bilde enn i Odense Narvik gjennomført anskaffelse – innklaget av en tredjeperson, Datatilsynet varsel om vedtak 16. januar 2012

14 ODENSE- OG NARVIK-SAKENE (1) Lovens anvendelsesområde og (2) identifisering av ansvar
Ingen av tilsynsmyndighetene problematiserer dette spørsmålet Den behandlingsansvarlige (kommunene) er etablert i N og DK Mellom tilsynsmyndighet og behandlingsansvarlig - POL § 4 (1) Databehandler Google er et US selskap – avtaleparten er Google Ireland Ltd – US rett inter partes

15 ODENSE- OG NARVIK-SAKENE (3) Overføring av opplysninger
Begge tilsyn: Data kan bli overført utenfor EØS Utenfor Safe Harbour Kjernen: manglende transparens = utilstrekkelig redegjørelse = ulovlig Konklusjon: En ren public cloud løsning som behandler persondata er ulovlig Løsning? Amazon-varianten You may specify the AWS regions in which Your Content will be stored and accessible by End Users.

16 ODENSE- OG NARVIK-SAKENE (4) Informasjonssikkerhet
Begge tilsyn misfornøyd med informasjonssikkerhet fordi: Usikkert om data slettes Overføring ikke kryptert Login ikke tilstrekkelig sikret, for eksempel ved digital signatur Mangelfull regulering av loggføring Segmentering anses risikofylt Hva er legale mangler, hva er manglende rapportering?

17 Sverige: www.cloudsweden.org Finland: Intet nytt fra østfronten
BONUSMATERIALE Datatilsynet (DK) Bruk av Dropbox til lagring av sensitive personopplysninger ikke OK Overføring av personnummer fra offentlige til MS Azure ”meget kritisabel” Datainspektionen (S) Molntjänster och personuppgiftslagen (veiledning) Sverige: Finland: Intet nytt fra østfronten US: National Institute of Standards and Technology: helt ny veileder til skytjenester av 29. mai 2012

18

Laste ned ppt "Skytjenester og personvern"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Leif Erik Nohr leif.erik.nohr@telemed.no Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr leif.erik.nohr@telemed.no.

Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.

Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.

Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Member Access www.rotary.org Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.

Member Access Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Personopplysningsloven

Personopplysningsloven
Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Svekkes personvernet i skolen?

Svekkes personvernet i skolen?
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.

Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.

Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.

Liknende presentasjoner

Annonser fra Google