1 / 18

Skytjenester og personvern

Skytjenester og personvern. NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl. SKYTJENESTER OG PERSONVERN - INNHOLD. Innledning – kort om skytjenester Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av? Presentasjon av Narvik og Odense - sakene

oprah-cook
Download Presentation

Skytjenester og personvern

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Skytjenester og personvern NFJE’s generalforsamling 30.5.2012 Ragnar Lindefjeld / Rune Opdahl

  2. SKYTJENESTER OG PERSONVERN - INNHOLD • Innledning – kort om skytjenester • Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av? • Presentasjon av Narvik og Odense - sakene • Frimodige ytringer til diskusjon

  3. SKYEN RUNDT PÅ 5 MIN – DEFINISJON A model for enabling ubiquitous, convenient, on-demandnetwork accessto ashared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimalmanagement effort or service provider interaction. http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pd

  4. SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER Kilde: http://presse.telenor.no • Legale barrierer: • Regulatoriske • Kontraktuelle

  5. FORSKJELLEN FRA TRADISJONELL OUTSOURCING • Kommersielt: • Penger (Cap-ex vs Op-ex) • Tid (Fleksibilitet vs Varighet) • Operasjonelt: • ”As a Service” • Internettbasert • ”Pooled Resources” • Særlig de to siste som driver regulatoriske utfordringer

  6. SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTEROversikt • Cloud computing oppfattes som en trussel mot grunnleggende personvernprinsipper • Transparens og kontroll • Minimalitet • Informasjonssikkerhet • Det hersker usikkerhet om cloud computing er lovlig • Kommende EU-regler vil påvirke cloud computing

  7. SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER(1) Lovens geografiske anvendelsesområde • Etableringskriteriet og hjelpemiddelkriteriet (pol § 4) • Tilsynsmyndigheters jurisdiksjon (PVN-2011-06): ”Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA [etter lovlig overføring iht. pol. § 30] ligger etter Personvernnemndas syn utenfor vår jurisdiksjon”

  8. SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER(2) Identifisering av ansvar • Hvem er behandlingssansvarlig, hvem er databehandler?(pol. § 2) • Databehandlerens ansvar • Informasjonssikkerhet (pol § 13) • Oppfylle databehandleravtale (pol. § 15, jf. Datatilsynets veileder 26.05.2009)

  9. SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER(3) Overføring av opplysninger • Til andre EØS-land mv. (pol. § 29) • Til tredjeland (pol. § 30) • Avtale med den registrerte • Avtale med tredjepart i den registrertes interesse • EUs dataoverføringsavtale • Safe Harbor

  10. SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER(4) Informasjonssikkerhet • Tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (pol. § 13) • Dokumentasjonskrav (pol. § 13) • Forholdsmessighet: Nødvendig for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet(pof. § 2-1)

  11. GOOGLE APPS: ODENSE- OG NARVIK-SAKENEOversikt Odense • Helseopplysninger om den enkelte elev • Faglige vurderinger av den enkelte elev • Sosiale vurderinger av den enkelte elev • Annet = til dels sensitive personopplysninger • Odense ba om forhåndsuttalelse – avgitt 3. februar 2011

  12. GOOGLE APPS: ODENSE- OG NARVIK-SAKENEOversikt Narvik • Begynne med e-post • Eventuelt utvide til andre forhold • Ikke brukes til overføring av sensitive personopplysninger = noe mer blandet bilde enn i Odense • Narvik gjennomført anskaffelse – innklaget av en tredjeperson, Datatilsynet varsel om vedtak 16. januar 2012

  13. ODENSE- OG NARVIK-SAKENE (1) Lovens anvendelsesområde og (2) identifisering av ansvar • Ingen av tilsynsmyndighetene problematiserer dette spørsmålet • Den behandlingsansvarlige (kommunene) er etablert i N og DK • Mellom tilsynsmyndighet og behandlingsansvarlig - POL § 4 (1) • Databehandler Google er et US selskap – avtaleparten er Google Ireland Ltd – US rett inter partes

  14. ODENSE- OG NARVIK-SAKENE (3) Overføring av opplysninger You may specify the AWS regions in which Your Content will be stored and accessible by End Users. • Begge tilsyn: • Data kan bli overført utenfor EØS • Utenfor Safe Harbour • Kjernen: • manglende transparens = utilstrekkelig redegjørelse = ulovlig • Konklusjon: • En ren public cloud løsning som behandler persondata er ulovlig • Løsning? • Amazon-varianten

  15. ODENSE- OG NARVIK-SAKENE(4) Informasjonssikkerhet • Begge tilsyn misfornøyd med informasjonssikkerhet fordi: • Usikkert om data slettes • Overføring ikke kryptert • Login ikke tilstrekkelig sikret, for eksempel ved digital signatur • Mangelfull regulering av loggføring • Segmentering anses risikofylt • Hva er legale mangler, hva er manglende rapportering?

  16. BONUSMATERIALE • Datatilsynet (DK) • Bruk av Dropbox til lagring av sensitive personopplysninger ikke OK • Overføring av personnummer fra offentlige til MS Azure ”meget kritisabel” • Datainspektionen (S) • Molntjänsterochpersonuppgiftslagen (veiledning) • Sverige: www.cloudsweden.org • Finland: Intet nytt fra østfronten • US: National Institute of Standards and Technology: helt ny veileder til skytjenester av 29. mai 2012

More Related