Skytjenester og personvern

Slides:



Advertisements
Liknende presentasjoner
Personopplysningsloven: -innhold, styrker og svakheter
Advertisements

Krav til rettslig grunnlag for behandling av personopplysninger
Krav til samtykke og informasjon.
MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Rettslig regulering av identitet og identifisering i Norge Dag Wiese Schartum, AFIN.
Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Member Access Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Personopplysningsloven
Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Svekkes personvernet i skolen?
Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Om forholdet mellom personopplysningsloven og forvaltningsloven
En oversikt over personopplysningsloven Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.
Dag Wiese Schartum, AFIN
Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Gjennomgang av eksamensoppgaven for 2005 og oppsummering av emnet Dag Wiese Schartum.
Administrasjon og ledelse og organisasjon og forvaltning
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Oversikt over personopplysningslovens bestemmelser om fjernsynsovervåking Prof. Dag Wiese Schartum, AFIN.
| 1 Instruktørkurs – kommuner Personvern – hva er det.
Personvern i offentlig forvaltning Gruppeundervisning 6 26./28. mars Jon Berge Holden Mona Naomi Lintvedt.
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Konsesjons- og meldeplikt Datatilsynets og Personvernnemndas oppgaver og myndighet Prof. Dag Wiese Schartum, AFIN.
Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen.
Konsesjons- og meldeplikt Datatilsynets og Personvernnemndas oppgaver og myndighet Prof. Dag Wiese Schartum.
Taushetsplikt og andre begrensninger i tilgangen til personopplysninger Dag Wiese Schartum, AFIN.
Personvern i offentlig forvaltning DRI 1010 Gruppeundervisning 3: Krav til rettslig grunnlag 15./20. februar 2008 Jon Berge Holden Mona Naomi Lintvedt.
Diskusjon av mulig fremtidig regulering av biometri i Norge Dag Wiese Schartum, AFIN.
1 Kap. 57 – Cloud Computing How Information Technology Is Conquering the World: Workplace, Private Life, and Society Professor Kai A. Olsen, Universitetet.
Informasjon og Internet Kjetil Otter Olsen Underdirektør IT-Drift, USIT.
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
Oversikt over personopplysningslovens bestemmelser om fjernsynsovervåking Prof. Dag Wiese Schartum, AFIN.
Om myndigheter som har med ivaretakelse av personvern å gjøre Dag Wiese Schartum, AFIN.
Databehandleravtaler ifm. HMN LØ RBU HMN LØ 1.
Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum.
Personopplysningslovens formål, grunnbegreper og virkeområde
Krav til rettslig grunnlag for behandling av personopplysninger («behandlingsgrunnlag») Dag Wiese Schartum.
Nytt personvernregelverk fra EU
Dag Wiese Schartum, AFIN
Regler om innsyn og åpenhet i digital forvaltning
Personvern som del av enkeltsaksbehandling i offentlig forvaltning
Dag Wiese Schartum, AFIN
Prof. Dag Wiese Schartum, AFIN
Om myndigheter som har med ivaretakelse av personvern å gjøre
Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, Senter for rettsinformatikk, UiO
Dag Wiese Schartum, AFIN
Innebygget personvern
Om myndigheter som har med ivaretakelse av personvern å gjøre
JUS-frokost Personvernforordningen 15. november 2017
GDPR Den 25. Mai 2018 trer de nye personvernreglene i kraft.
Nye trender Vi skal se på Virtualisering ”Cloud computing”
Krav til rettslig grunnlag for behandling av personopplysninger
GDPR Lars Erling Aarland Datatilsynet.
Dag Wiese Schartum, AFIN
Om myndigheter som har med ivaretakelse av personvern å gjøre
Om forholdet mellom personopplysningsloven og forvaltningsloven
GDPR – fra teori til virkelighet
Utskrift av presentasjonen:

Skytjenester og personvern NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl

SKYTJENESTER OG PERSONVERN - INNHOLD Innledning – kort om skytjenester Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av? Presentasjon av Narvik og Odense - sakene Frimodige ytringer til diskusjon

SKYEN RUNDT PÅ 5 MIN – DEFINISJON A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pd

SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER Kilde: http://presse.telenor.no Legale barrierer: Regulatoriske Kontraktuelle

FORSKJELLEN FRA TRADISJONELL OUTSOURCING Kommersielt: Penger (Cap-ex vs Op-ex) Tid (Fleksibilitet vs Varighet) Operasjonelt: ”As a Service” Internettbasert ”Pooled Resources” Særlig de to siste som driver regulatoriske utfordringer

SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER Oversikt Cloud computing oppfattes som en trussel mot grunnleggende personvernprinsipper Transparens og kontroll Minimalitet Informasjonssikkerhet Det hersker usikkerhet om cloud computing er lovlig Kommende EU-regler vil påvirke cloud computing

SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (1) Lovens geografiske anvendelsesområde Etableringskriteriet og hjelpemiddelkriteriet (pol § 4) Tilsynsmyndigheters jurisdiksjon (PVN-2011-06): ”Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA [etter lovlig overføring iht. pol. § 30] ligger etter Personvernnemndas syn utenfor vår jurisdiksjon”

SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (2) Identifisering av ansvar Hvem er behandlingssansvarlig, hvem er databehandler? (pol. § 2) Databehandlerens ansvar Informasjonssikkerhet (pol § 13) Oppfylle databehandleravtale (pol. § 15, jf. Datatilsynets veileder 26.05.2009)

SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (3) Overføring av opplysninger Til andre EØS-land mv. (pol. § 29) Til tredjeland (pol. § 30) Avtale med den registrerte Avtale med tredjepart i den registrertes interesse EUs dataoverføringsavtale Safe Harbor

SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER (4) Informasjonssikkerhet Tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (pol. § 13) Dokumentasjonskrav (pol. § 13) Forholdsmessighet: Nødvendig for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet (pof. § 2-1)

GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Odense Helseopplysninger om den enkelte elev Faglige vurderinger av den enkelte elev Sosiale vurderinger av den enkelte elev Annet = til dels sensitive personopplysninger Odense ba om forhåndsuttalelse – avgitt 3. februar 2011

GOOGLE APPS: ODENSE- OG NARVIK-SAKENE Oversikt Narvik Begynne med e-post Eventuelt utvide til andre forhold Ikke brukes til overføring av sensitive personopplysninger = noe mer blandet bilde enn i Odense Narvik gjennomført anskaffelse – innklaget av en tredjeperson, Datatilsynet varsel om vedtak 16. januar 2012

ODENSE- OG NARVIK-SAKENE (1) Lovens anvendelsesområde og (2) identifisering av ansvar Ingen av tilsynsmyndighetene problematiserer dette spørsmålet Den behandlingsansvarlige (kommunene) er etablert i N og DK Mellom tilsynsmyndighet og behandlingsansvarlig - POL § 4 (1) Databehandler Google er et US selskap – avtaleparten er Google Ireland Ltd – US rett inter partes

ODENSE- OG NARVIK-SAKENE (3) Overføring av opplysninger Begge tilsyn: Data kan bli overført utenfor EØS Utenfor Safe Harbour Kjernen: manglende transparens = utilstrekkelig redegjørelse = ulovlig Konklusjon: En ren public cloud løsning som behandler persondata er ulovlig Løsning? Amazon-varianten You may specify the AWS regions in which Your Content will be stored and accessible by End Users.

ODENSE- OG NARVIK-SAKENE (4) Informasjonssikkerhet Begge tilsyn misfornøyd med informasjonssikkerhet fordi: Usikkert om data slettes Overføring ikke kryptert Login ikke tilstrekkelig sikret, for eksempel ved digital signatur Mangelfull regulering av loggføring Segmentering anses risikofylt Hva er legale mangler, hva er manglende rapportering?

Sverige: www.cloudsweden.org Finland: Intet nytt fra østfronten BONUSMATERIALE Datatilsynet (DK) Bruk av Dropbox til lagring av sensitive personopplysninger ikke OK Overføring av personnummer fra offentlige til MS Azure ”meget kritisabel” Datainspektionen (S) Molntjänster och personuppgiftslagen (veiledning) Sverige: www.cloudsweden.org Finland: Intet nytt fra østfronten US: National Institute of Standards and Technology: helt ny veileder til skytjenester av 29. mai 2012

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.