SlideShare une entreprise Scribd logo

Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og veien videre

Télécharger en tant que PPTX, PDF
Eva Jarbekk
Eva Jarbekk

Om nettsky, cloud, Privacy Shield, personvern, Safe Harbor, juss og veien videre for offentlige og private som vil benytte skytjenester - på Software 2016

Droit
1  sur  29
1_Tittellysbilde Juss, skytjenester, cloud, Privacy Shield og veien videre Advokat Eva Jarbekk Advokatfirmaet FØYEN Torkildsen Copyright © 2015 Foyen Torkildsen All Rights Reserved 1
Skytjenester – hva er rollene? • Virksomhet som sourcer sin databehandling i Nettskyen er ofte ”Behandlings- ansvarlige” • De har ansvar for oppfyllelse av personvern-lovgivningen • Hvilke lands lover • Hvordan overholde restriktivt europeisk personvernregime • Fragmentarisk oppbygget • Leverandører vil oftest være ”Databehandlere” Copyright © 2015 Foyen Torkildsen All Rights Reserved  Hvor er data  Hvem kontrollerer data  Hvem har rettigheter til data  Hvor godt sikret er data  Er bruken i overens- stemmelse med personvern- lovgivningen? 2
Bruk av skytjenester i stat og kommune • FT utførte en mulighetsstudie for KS i 2015 for bruk av skytjenester i kommunal sektor • Hva dagens lovverk faktisk tillater • Hva kommunene faktisk kan ta i bruk av løsninger • Hva de faktisk kan og bør gjøre for å oppfylle kravene i gjeldende lovgivning hvis de vil bruke skytjenester • Identifisere behov for endringer i lov- og regelverk, og hvilke endringer i så fall dette bør være • Koordinert med et KMD-prosjekt som gjennomgår de samme problemstillingen for Statlig virksomhet Copyright © 2015 Foyen Torkildsen All Rights Reserved 3
Fremgangsmåte for arbeidet • Juridiske undersøkelser • Spørreundersøkelser som har blitt sendt ut til 30 kommuner og enkelte fylkeskommuner • Dybdeintervju av tre kommuner • Dybdeintervju av 4 leverandører av skytjenester Copyright © 2015 Foyen Torkildsen All Rights Reserved 4
Hovedfunn • Dybdeintervjuer av 4 leverandører av skytjenester; Evry, Microsoft, Visma og Google Norway • Leverandørenes hovedsynspunkt: store variasjoner i kommunene om bevissthet rundt bruk av skytjenester og varierende forståelse av hva som ligger i begrepet skytjenester • Enkelte leverandører: det er mye usikkerhet og ubegrunnede oppfatninger i kommunene vedrørende lovligheten av bruk av skytjenester og at dette i hovedsak skyldes frykt, usikkerhet og tvil Copyright © 2015 Foyen Torkildsen All Rights Reserved 5
Hovedfunn • Kommunene er mest opptatt av applikasjonene i seg selv og ikke den bakenforliggende plattformen • Leverandørene vil i økende grad gå over til å levere tjenester basert på nettsky • I dag legges det ut veldig få offentlige anbud som tilrettelegger for at leverandørene kan tilby sine skytjenester • Slik konkurransegrunnlagene er utformet, vil det være umulig eller svært vanskelig for kunden å sammenligne prisene for skytjenester med IKT-tjenester, basert på en mer tradisjonell plattform Copyright © 2015 Foyen Torkildsen All Rights Reserved 6
Hovedfunn • Det er arkivloven som er det største problemet § 9 b: Arkiv skal «ikkje førast ut or landet» • En annen utfordring oppgis å være behandling av sensitive personopplysninger i skytjenestene • Det største problemet her er at Datatilsynet har vært opptatt av at sensitive personopplysninger skal være lagret i «separate fysiske kontainere for lagring av data» • Dette er nå endret noe etter PVN 2014-01 Skan-Kontroll, der PVN legger til grunn at logisk skille ved bruk av tilfredsstillende tilgangskontroll (for forskjellige behandlingsansvarlige som benytter samme databehandler) kan benyttes Copyright © 2015 Foyen Torkildsen All Rights Reserved 7
Juridiske utgangspunkter • Norge er et av de landende i den vestlige verden som i minst grad tar i bruk skytjenester i kommunal og offentlig sektor • Rammebetingelser og lovgivningen anses som hindring • Forvaltningsloven • Lov om offentlige anskaffelser og GPA-avtalen • Arkivloven • Bokføringslovgivningen • Regler om vern av personopplysninger • Sikkerhetsloven Copyright © 2015 Foyen Torkildsen All Rights Reserved 8
Forvaltningsloven • Forvaltningsloven setter i utgangspunktet ingen begrensninger i adgangen til å benytte seg av skytjenester • Kommunen må ved anskaffelse av skytjenester, sørge for å ilegge leverandørene en taushetsplikt om • innholdet i avtalen • informasjonen leverandørene får innsyn i Konklusjon: ikke til hinder for bruk av skytjenester i stat eller kommune Copyright © 2015 Foyen Torkildsen All Rights Reserved 9
Lov om offentlige anskaffelser og GPA-avtalen • Norske kommuner er bundet av anskaffelsesregelverket samt av GPA-regelverket • GPA-regelverket legger begrensninger på i hvilken grad man kan hindre medlemslandene i å tilby tjenester, altså slik at en norsk kommune vanskelig kan stille vilkår om at det ikke skal brukes ressurser fra enkelte GPA-land • DIFI utreder hvordan skytjenester kan anskaffes (?) Konklusjon: ikke til hinder for bruk av skytjenester i kommunesektoren Copyright © 2015 Foyen Torkildsen All Rights Reserved 10
Arkivloven • Etter § 9 bokstav b er utgangspunktet at offentlig arkivmateriale ikke kan føres ut av landet uten etter særskilt samtykke fra Riksarkivaren • Denne bestemmelsen har stor betydning for kommunens adgang til å ta i bruk skytjenester • Regelen ble til for mer enn 20 år siden – det vil si i god tid før skytjenester i dagens form, eller databehandling og lagring i utlandet var særlig utbredt • Riksarkivet mener at på bakgrunn av arkivloven § 9 bokstav b, kan arkiver ikke lagres på servere som befinner seg utenfor Norges grenser. Dette gjelder også sikkerhetskopi av arkiver • Ikke mulig å legge arkivløsninger ut i nettskyen hvis skyen er i utlandet Copyright © 2015 Foyen Torkildsen All Rights Reserved 11
Arkivloven forts. • I arkivloven § 9 som Riksarkivet viser til, fremgår det at Riksarkivaren i visse tilfelle kan gjøre unntak gjennom samtykke • Datatilsynet var opprinnelig skeptisk til bruk av skytjenester, men har gjort seg kjent med teknologien og setter nå fornuftige kriterier for hvordan data kan sikres i en sky-løsning • Vi mener Riksarkivaren har et juridisk handlingsrom for å velge en tilsvarende tilnærming • Formålet med denne bestemmelsen i arkivloven var å sikre at dataene ikke går tapt for ettertiden – det kan gjøres ved bruk av skytjenester hvis man fastsetter vilkår for bruk av tjenestene Konklusjon: til hinder for bruk av skytjenester i kommunalsektor Copyright © 2015 Foyen Torkildsen All Rights Reserved 12
Bokføringslovgivningen • Bestemmelsene i bokføringsloven om oppbevaring av regnskapsmateriale får anvendelse også på regnskapsmateriale i kommuner og fylkeskommuner • I henhold til bokføringsloven § 13 annet ledd, skal som hovedregel regnskapsmaterialet oppbevares i Norge. Dette er med på å begrense muligheten til å bruke skytjenester, hvor leverandørene ikke har servere plassert i Norge • Dersom bokføringen skjer mot en server i utlandet anses bokføringen å skje i utlandet. Regnskapsmateriale må da overføres til oppbevaring i Norge innen en måned etter fastsetting av årsregnskapet og senest sju måneder eller regnskapsårets slutt, jf. bokføringsforskriften § 7-4 første ledd. • Finnes unntak for land Norge har bilaterale avtaler om utveksling av likningsopplysninger med (Sverige, Danmark Finland og Island) Konklusjon: Kan være til hinder for bruk av skytjenester Copyright © 2015 Foyen Torkildsen All Rights Reserved 13
Regler om personopplysninger • Informasjonssikkerhet jf. pol. § 13 • Behandling av sensitive personopplysninger i nettskyen • Overføring av personopplysninger til Europa • Overføring av personopplysninger til tredjeland Konklusjon: Ikke til hinder for bruk av skytjenester i kommunal sektor • Vanlige krav til Internkontroll databehandleravtaler gjelder – Særlige utfordringer med avtaleverk, geografisk lokalisering og revisjonsadgang Copyright © 2015 Foyen Torkildsen All Rights Reserved 14
Etter Safe Harbor – Privacy shield • Litt mer komplisert nå enn sommeren 2015 Copyright © 2015 Foyen Torkildsen All Rights Reserved 15
Hva er en «overføring»? 1. Flytte data til server utenfor EU/EØS 2. Tilgang til data i EU/EØS for personell lokalisert utenfor EU/EØS Betyr at «europeiske skyer» – vilkår må sjekkes for tilgang for servicepersonell lokalisert utenfor EU/EØS selv om serveren står i Europa Grunnlag for overføring ut av EØS 16
Hva er vi redde for ved USA? • NSA? • Andre myndigheters overvåkning? • Reell sikkerhet hos bedriftene som sier de er «trygge»? • Manglende personvernlovgivning som danner en trygg ramme • Individets mulighet til å forsvare seg rettslig • Erstatningskravenes størrelse (relevant med ny lovgivning og solidaransvar mellom behandlingsansvarlig og databehandler!) • Avhengig av hvem du representerer – bare det å ikke være compliant? Tittel på presentasjon 17
Hjemler for overføring før Max Schrems Safe Harbour Bindende selskapsregler (PBCR/BCR) Samtykke og øvrige unntak I POL § 30 første ledd Modellavtaler/SCC – informasjonsplikt v sens. data! Grunnlag for overføring ut av EØS 18
C-362/14 Max Schrems (“Safe Harbour-dommen”) • US mass surveillance is not giving adequate protection for EU citizens in light of human rights (EMK) • EU citizens have no real possibility of redress • It applies to Safe harbour, but the objections applies to all transfers, no matter what legal grounds they are based upon Alternativer til Safe Harbour 19
Alternatives etter Max Schrems – Januar 2016 Safe Harbour Bindende selskapsregler (PBCR/BCR) Samtykke og øvrige unntak i POL § 30 første ledd Modellavtaler – informasjonsplikt v sens. data! Lagre hjemme - UTEN tilgang fra USA Grunnlag for overføring ut av EØS 20
Modellavtaler – hva må på plass? • Tre utgaver av modellavtalene • To mellom ulike behandlingsansvarlige • En mellom behandlingsansvarlig i EU/EØS og databehandler i tredjeland • Avtalene med vedlegg må fylles ut og inngås før overføring finner sted • Avtaler mellom behandlingsansvarlig og databehandler der modellavtalen brukes uforandret må meldes og oversendes Datatilsynet før overføringen starter • Betyr at man må passe på formalitetene der man kjøper tjenester på cloudplattformer der sluttbruker ikke er avtalepart med cloudleverandør • Alle andre avtaler krever godkjenning fra Datatilsynet før overføring OBS: Informasjonsplikt overfor den registrerte dersom sensitive opplysninger lagres Alternativer til Safe Harbour 21
Virkeligheten etter Shrems – til januar 2016 Grunnlag for overføring ut av EØS 22
Virkeligheten etter januar og Privacy Shield Grunnlag for overføring ut av EØS 23
Et troverdig skjold? • Mer enn personvern er på spill mellom EU og USA – men også for andre tredjeland • Privacy shield vil bli utfordret rettslig • Mange sier at dommere tenker mer prinsipielt enn politikere • EU-domstolen (1-2 år?) • Menneskerettighetsdomstolen, Strasbourg (5-6 år?) • Da har vi ny forordning – med nytt bøtenivå. Hvert enkelt land må vurderes for seg – ikke bare USA • Dere MÅ vite hvor data befinner seg og hvor servicepersonell kan befinne seg geografisk Copyright © 2015 Foyen Torkildsen All Rights Reserved 24
The shield… will take time to know real content • Will prevent the A-29-group from stopping transatlantic business – for now • Safeguards and transparency obligations on US government access • access to the data for law enforcement and national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, and that such access will only be used to the extent necessary and proportionate • there will be no indiscriminate mass surveillance on personal data covered by the framework • there will be annual joint review of the framework, including national security access • annual reviews from the commission, and US intelligence experts and European data protection authorities may participate Tittel på presentasjon 25
The shield.. Stronger obligations to protect personal data of European citizens • importers will have to commit to robust obligations on processing, guaranteeing rights for the individual • the US Department of Commerce will monitor that the commitments are public • the US Federal Trade Commission will enforce the commitments • importers handling human resources data will also need to comply with decisions of European data protection authorities Tittel på presentasjon 26
The shield.. Several redress options for EU citizens • filing a complaint directly with the importer • alternative dispute resolution put in place by the importer which must be free of charge • filing a complaint with the relevant European DPA, that may forward complaints to the US Department of Commerce or the Federal Trade Commission • with respect to national security access, the US will establish a functionally independent US Ombudsperson to address complaints of possible access by national intelligence authorities • With what powers? Tittel på presentasjon 27
Sikkerhetsloven • Hovedregelen om sikkerhetsklarering for alt personell ved tilgang til skjermingsverdig informasjon grader KONFIDENSIELT, kan gjøre det komplisert å inngå samarbeid med utenlandsk leverandør • Kan være vanskelig og/eller tidkrevende å få gjennomført en dekkende personkontroll av leverandørens personell i samsvar med sikkerhetslovens § 20 • Noe mindre vanskelig og tidkrevende å gi personell tilgang til BEGRENSET informasjon, ettersom selve sikkerhets- klareringsprosessen kan sløyfes • § 10 – NSM skal gis uhindret adgang til ethvert område hvor skjermingsverdig informasjon befinner seg Konklusjon: kan være til hinder for bruk av skytjenester i offentlig sektor Copyright © 2015 Foyen Torkildsen All Rights Reserved 28
Oppsummering • Betydelig mulighetsrom for å ta i bruk nettskytjenester i kommunal og statlig sektor, men dette kan gjøres enda større ved noen endringer i forvaltningspraksis, særlig hos Riksarkivaren • Den som vil benytte nettsky må analysere hvilke regelsett som er relevant for de opplysningene som skal legges ut • Usikkerhet rundt Privacy Shield gjør at andre juridiske overføringshjemler bør brukes (i tillegg) – kan utløse informasjonsplikt til den registrerte om overføringen • Slik arkivloven og bokføringsloven tolkes i dag, er det lettest å legge ut opplysninger som ikke omfattes av disse regelverkene. Copyright © 2015 Foyen Torkildsen All Rights Reserved 29

Recommandé

Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Spectre research
Spectre researchSpectre research
Spectre researchHollyMaria
 
Comportamiento del consumidor
Comportamiento del consumidorComportamiento del consumidor
Comportamiento del consumidorEstefani Tatiana Cahuaya Quiñones
 
Narcotráfico en colombia 3a
Narcotráfico en colombia 3aNarcotráfico en colombia 3a
Narcotráfico en colombia 3akelly_uebi3A Cajamarca
 

Recommandé

Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxEva Jarbekk
 
Spectre research
Spectre researchSpectre research
Spectre researchHollyMaria
 
Comportamiento del consumidor
Comportamiento del consumidorComportamiento del consumidor
Comportamiento del consumidorEstefani Tatiana Cahuaya Quiñones
 
Narcotráfico en colombia 3a
Narcotráfico en colombia 3aNarcotráfico en colombia 3a
Narcotráfico en colombia 3akelly_uebi3A Cajamarca
 
OnlinePresentation
OnlinePresentationOnlinePresentation
OnlinePresentationCaitlin Iverson
 
Lançamentos fevereiro
Lançamentos fevereiroLançamentos fevereiro
Lançamentos fevereiroJaira Costa
 
Tab Navigation
Tab NavigationTab Navigation
Tab Navigationaaopd
 
Questionnaire Two Analysis
Questionnaire Two AnalysisQuestionnaire Two Analysis
Questionnaire Two Analysiskirstyharragan2
 
Balanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_nBalanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_nMTs An-Nafi'ah
 
Meet the millennials
Meet the millennialsMeet the millennials
Meet the millennialsMagazine Media Associatie
 
what is a skill
what is a skillwhat is a skill
what is a skillAbdalla ali
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site web6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site webStanislas Almeida
 
PowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate DataPowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate DataBram de Jager
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009jenscg
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikkTelecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikkDavid Hansen
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyeneFlemming Ottosen
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 

Contenu connexe

En vedette

Lançamentos fevereiro
Lançamentos fevereiroLançamentos fevereiro
Lançamentos fevereiroJaira Costa
 
Tab Navigation
Tab NavigationTab Navigation
Tab Navigationaaopd
 
Questionnaire Two Analysis
Questionnaire Two AnalysisQuestionnaire Two Analysis
Questionnaire Two Analysiskirstyharragan2
 
Balanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_nBalanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_nMTs An-Nafi'ah
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site web6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site webStanislas Almeida
 
PowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate DataPowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate DataBram de Jager
 

En vedette (10)

OnlinePresentation
OnlinePresentationOnlinePresentation
OnlinePresentation
 
Lançamentos fevereiro
Lançamentos fevereiroLançamentos fevereiro
Lançamentos fevereiro
 
Tab Navigation
Tab NavigationTab Navigation
Tab Navigation
 
Questionnaire Two Analysis
Questionnaire Two AnalysisQuestionnaire Two Analysis
Questionnaire Two Analysis
 
Balanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_nBalanced score card_makalahuniversitas_n
Balanced score card_makalahuniversitas_n
 
Meet the millennials
Meet the millennialsMeet the millennials
Meet the millennials
 
what is a skill
what is a skillwhat is a skill
what is a skill
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site web6 clés de succès pour créer le meilleur site web
6 clés de succès pour créer le meilleur site web
 
PowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate DataPowerApps, the Developer Story: Build an API to Integrate Corporate Data
PowerApps, the Developer Story: Build an API to Integrate Corporate Data
 

Similaire à Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og veien videre

Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009jenscg
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikkTelecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikkDavid Hansen
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix_no
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.IKT-Norge
 
Hoff telecomworld 2012
Hoff telecomworld 2012Hoff telecomworld 2012
Hoff telecomworld 2012IKT-Norge
 
It-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterIt-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterKjell Steffner
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKjell Steffner
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterLYNX advokatfirma DA
 
Nytt i statsstøtteretten 2015-2016
Nytt i statsstøtteretten 2015-2016Nytt i statsstøtteretten 2015-2016
Nytt i statsstøtteretten 2015-2016Bjørnar Alterskjær
 

Similaire à Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og veien videre (20)

Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
 
Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009Bruksbegrensning -foredrag_på_forum_telekom_2009
Bruksbegrensning -foredrag_på_forum_telekom_2009
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikkTelecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
Telecom World vårkonferansen 2015 Utfordringer for norsk telepolitikk
 
Datametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjonDatametrix BusinessCloud - pressepresentasjon
Datametrix BusinessCloud - pressepresentasjon
 
EDAG i skyene
EDAG i skyeneEDAG i skyene
EDAG i skyene
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
 
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
Nasjonale grenser i Nettskyen? v/ Arve Føyen, partner i Føyen Advokatfirma DA.
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feide
 
First Tuesday NextGenTel
First Tuesday NextGenTelFirst Tuesday NextGenTel
First Tuesday NextGenTel
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
Hoff telecomworld 2012
Hoff telecomworld 2012Hoff telecomworld 2012
Hoff telecomworld 2012
 
It-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekterIt-kontrakter for løsningsarkitekter
It-kontrakter for løsningsarkitekter
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Kontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekterKontrakten som verktøy i ikt-prosjekter
Kontrakten som verktøy i ikt-prosjekter
 
Kontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekterKontrakten som verktøy i it-prosjekter
Kontrakten som verktøy i it-prosjekter
 
Nytt i statsstøtteretten 2015-2016
Nytt i statsstøtteretten 2015-2016Nytt i statsstøtteretten 2015-2016
Nytt i statsstøtteretten 2015-2016
 

Plus de Eva Jarbekk

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Eva Jarbekk
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptxEva Jarbekk
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 

Plus de Eva Jarbekk (15)

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptx
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
 

Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og veien videre

  • 1. 1_Tittellysbilde Juss, skytjenester, cloud, Privacy Shield og veien videre Advokat Eva Jarbekk Advokatfirmaet FØYEN Torkildsen Copyright © 2015 Foyen Torkildsen All Rights Reserved 1
  • 2. Skytjenester – hva er rollene? • Virksomhet som sourcer sin databehandling i Nettskyen er ofte ”Behandlings- ansvarlige” • De har ansvar for oppfyllelse av personvern-lovgivningen • Hvilke lands lover • Hvordan overholde restriktivt europeisk personvernregime • Fragmentarisk oppbygget • Leverandører vil oftest være ”Databehandlere” Copyright © 2015 Foyen Torkildsen All Rights Reserved  Hvor er data  Hvem kontrollerer data  Hvem har rettigheter til data  Hvor godt sikret er data  Er bruken i overens- stemmelse med personvern- lovgivningen? 2
  • 3. Bruk av skytjenester i stat og kommune • FT utførte en mulighetsstudie for KS i 2015 for bruk av skytjenester i kommunal sektor • Hva dagens lovverk faktisk tillater • Hva kommunene faktisk kan ta i bruk av løsninger • Hva de faktisk kan og bør gjøre for å oppfylle kravene i gjeldende lovgivning hvis de vil bruke skytjenester • Identifisere behov for endringer i lov- og regelverk, og hvilke endringer i så fall dette bør være • Koordinert med et KMD-prosjekt som gjennomgår de samme problemstillingen for Statlig virksomhet Copyright © 2015 Foyen Torkildsen All Rights Reserved 3
  • 4. Fremgangsmåte for arbeidet • Juridiske undersøkelser • Spørreundersøkelser som har blitt sendt ut til 30 kommuner og enkelte fylkeskommuner • Dybdeintervju av tre kommuner • Dybdeintervju av 4 leverandører av skytjenester Copyright © 2015 Foyen Torkildsen All Rights Reserved 4
  • 5. Hovedfunn • Dybdeintervjuer av 4 leverandører av skytjenester; Evry, Microsoft, Visma og Google Norway • Leverandørenes hovedsynspunkt: store variasjoner i kommunene om bevissthet rundt bruk av skytjenester og varierende forståelse av hva som ligger i begrepet skytjenester • Enkelte leverandører: det er mye usikkerhet og ubegrunnede oppfatninger i kommunene vedrørende lovligheten av bruk av skytjenester og at dette i hovedsak skyldes frykt, usikkerhet og tvil Copyright © 2015 Foyen Torkildsen All Rights Reserved 5
  • 6. Hovedfunn • Kommunene er mest opptatt av applikasjonene i seg selv og ikke den bakenforliggende plattformen • Leverandørene vil i økende grad gå over til å levere tjenester basert på nettsky • I dag legges det ut veldig få offentlige anbud som tilrettelegger for at leverandørene kan tilby sine skytjenester • Slik konkurransegrunnlagene er utformet, vil det være umulig eller svært vanskelig for kunden å sammenligne prisene for skytjenester med IKT-tjenester, basert på en mer tradisjonell plattform Copyright © 2015 Foyen Torkildsen All Rights Reserved 6
  • 7. Hovedfunn • Det er arkivloven som er det største problemet § 9 b: Arkiv skal «ikkje førast ut or landet» • En annen utfordring oppgis å være behandling av sensitive personopplysninger i skytjenestene • Det største problemet her er at Datatilsynet har vært opptatt av at sensitive personopplysninger skal være lagret i «separate fysiske kontainere for lagring av data» • Dette er nå endret noe etter PVN 2014-01 Skan-Kontroll, der PVN legger til grunn at logisk skille ved bruk av tilfredsstillende tilgangskontroll (for forskjellige behandlingsansvarlige som benytter samme databehandler) kan benyttes Copyright © 2015 Foyen Torkildsen All Rights Reserved 7
  • 8. Juridiske utgangspunkter • Norge er et av de landende i den vestlige verden som i minst grad tar i bruk skytjenester i kommunal og offentlig sektor • Rammebetingelser og lovgivningen anses som hindring • Forvaltningsloven • Lov om offentlige anskaffelser og GPA-avtalen • Arkivloven • Bokføringslovgivningen • Regler om vern av personopplysninger • Sikkerhetsloven Copyright © 2015 Foyen Torkildsen All Rights Reserved 8
  • 9. Forvaltningsloven • Forvaltningsloven setter i utgangspunktet ingen begrensninger i adgangen til å benytte seg av skytjenester • Kommunen må ved anskaffelse av skytjenester, sørge for å ilegge leverandørene en taushetsplikt om • innholdet i avtalen • informasjonen leverandørene får innsyn i Konklusjon: ikke til hinder for bruk av skytjenester i stat eller kommune Copyright © 2015 Foyen Torkildsen All Rights Reserved 9
  • 10. Lov om offentlige anskaffelser og GPA-avtalen • Norske kommuner er bundet av anskaffelsesregelverket samt av GPA-regelverket • GPA-regelverket legger begrensninger på i hvilken grad man kan hindre medlemslandene i å tilby tjenester, altså slik at en norsk kommune vanskelig kan stille vilkår om at det ikke skal brukes ressurser fra enkelte GPA-land • DIFI utreder hvordan skytjenester kan anskaffes (?) Konklusjon: ikke til hinder for bruk av skytjenester i kommunesektoren Copyright © 2015 Foyen Torkildsen All Rights Reserved 10
  • 11. Arkivloven • Etter § 9 bokstav b er utgangspunktet at offentlig arkivmateriale ikke kan føres ut av landet uten etter særskilt samtykke fra Riksarkivaren • Denne bestemmelsen har stor betydning for kommunens adgang til å ta i bruk skytjenester • Regelen ble til for mer enn 20 år siden – det vil si i god tid før skytjenester i dagens form, eller databehandling og lagring i utlandet var særlig utbredt • Riksarkivet mener at på bakgrunn av arkivloven § 9 bokstav b, kan arkiver ikke lagres på servere som befinner seg utenfor Norges grenser. Dette gjelder også sikkerhetskopi av arkiver • Ikke mulig å legge arkivløsninger ut i nettskyen hvis skyen er i utlandet Copyright © 2015 Foyen Torkildsen All Rights Reserved 11
  • 12. Arkivloven forts. • I arkivloven § 9 som Riksarkivet viser til, fremgår det at Riksarkivaren i visse tilfelle kan gjøre unntak gjennom samtykke • Datatilsynet var opprinnelig skeptisk til bruk av skytjenester, men har gjort seg kjent med teknologien og setter nå fornuftige kriterier for hvordan data kan sikres i en sky-løsning • Vi mener Riksarkivaren har et juridisk handlingsrom for å velge en tilsvarende tilnærming • Formålet med denne bestemmelsen i arkivloven var å sikre at dataene ikke går tapt for ettertiden – det kan gjøres ved bruk av skytjenester hvis man fastsetter vilkår for bruk av tjenestene Konklusjon: til hinder for bruk av skytjenester i kommunalsektor Copyright © 2015 Foyen Torkildsen All Rights Reserved 12
  • 13. Bokføringslovgivningen • Bestemmelsene i bokføringsloven om oppbevaring av regnskapsmateriale får anvendelse også på regnskapsmateriale i kommuner og fylkeskommuner • I henhold til bokføringsloven § 13 annet ledd, skal som hovedregel regnskapsmaterialet oppbevares i Norge. Dette er med på å begrense muligheten til å bruke skytjenester, hvor leverandørene ikke har servere plassert i Norge • Dersom bokføringen skjer mot en server i utlandet anses bokføringen å skje i utlandet. Regnskapsmateriale må da overføres til oppbevaring i Norge innen en måned etter fastsetting av årsregnskapet og senest sju måneder eller regnskapsårets slutt, jf. bokføringsforskriften § 7-4 første ledd. • Finnes unntak for land Norge har bilaterale avtaler om utveksling av likningsopplysninger med (Sverige, Danmark Finland og Island) Konklusjon: Kan være til hinder for bruk av skytjenester Copyright © 2015 Foyen Torkildsen All Rights Reserved 13
  • 14. Regler om personopplysninger • Informasjonssikkerhet jf. pol. § 13 • Behandling av sensitive personopplysninger i nettskyen • Overføring av personopplysninger til Europa • Overføring av personopplysninger til tredjeland Konklusjon: Ikke til hinder for bruk av skytjenester i kommunal sektor • Vanlige krav til Internkontroll databehandleravtaler gjelder – Særlige utfordringer med avtaleverk, geografisk lokalisering og revisjonsadgang Copyright © 2015 Foyen Torkildsen All Rights Reserved 14
  • 15. Etter Safe Harbor – Privacy shield • Litt mer komplisert nå enn sommeren 2015 Copyright © 2015 Foyen Torkildsen All Rights Reserved 15
  • 16. Hva er en «overføring»? 1. Flytte data til server utenfor EU/EØS 2. Tilgang til data i EU/EØS for personell lokalisert utenfor EU/EØS Betyr at «europeiske skyer» – vilkår må sjekkes for tilgang for servicepersonell lokalisert utenfor EU/EØS selv om serveren står i Europa Grunnlag for overføring ut av EØS 16
  • 17. Hva er vi redde for ved USA? • NSA? • Andre myndigheters overvåkning? • Reell sikkerhet hos bedriftene som sier de er «trygge»? • Manglende personvernlovgivning som danner en trygg ramme • Individets mulighet til å forsvare seg rettslig • Erstatningskravenes størrelse (relevant med ny lovgivning og solidaransvar mellom behandlingsansvarlig og databehandler!) • Avhengig av hvem du representerer – bare det å ikke være compliant? Tittel på presentasjon 17
  • 18. Hjemler for overføring før Max Schrems Safe Harbour Bindende selskapsregler (PBCR/BCR) Samtykke og øvrige unntak I POL § 30 første ledd Modellavtaler/SCC – informasjonsplikt v sens. data! Grunnlag for overføring ut av EØS 18
  • 19. C-362/14 Max Schrems (“Safe Harbour-dommen”) • US mass surveillance is not giving adequate protection for EU citizens in light of human rights (EMK) • EU citizens have no real possibility of redress • It applies to Safe harbour, but the objections applies to all transfers, no matter what legal grounds they are based upon Alternativer til Safe Harbour 19
  • 20. Alternatives etter Max Schrems – Januar 2016 Safe Harbour Bindende selskapsregler (PBCR/BCR) Samtykke og øvrige unntak i POL § 30 første ledd Modellavtaler – informasjonsplikt v sens. data! Lagre hjemme - UTEN tilgang fra USA Grunnlag for overføring ut av EØS 20
  • 21. Modellavtaler – hva må på plass? • Tre utgaver av modellavtalene • To mellom ulike behandlingsansvarlige • En mellom behandlingsansvarlig i EU/EØS og databehandler i tredjeland • Avtalene med vedlegg må fylles ut og inngås før overføring finner sted • Avtaler mellom behandlingsansvarlig og databehandler der modellavtalen brukes uforandret må meldes og oversendes Datatilsynet før overføringen starter • Betyr at man må passe på formalitetene der man kjøper tjenester på cloudplattformer der sluttbruker ikke er avtalepart med cloudleverandør • Alle andre avtaler krever godkjenning fra Datatilsynet før overføring OBS: Informasjonsplikt overfor den registrerte dersom sensitive opplysninger lagres Alternativer til Safe Harbour 21
  • 22. Virkeligheten etter Shrems – til januar 2016 Grunnlag for overføring ut av EØS 22
  • 23. Virkeligheten etter januar og Privacy Shield Grunnlag for overføring ut av EØS 23
  • 24. Et troverdig skjold? • Mer enn personvern er på spill mellom EU og USA – men også for andre tredjeland • Privacy shield vil bli utfordret rettslig • Mange sier at dommere tenker mer prinsipielt enn politikere • EU-domstolen (1-2 år?) • Menneskerettighetsdomstolen, Strasbourg (5-6 år?) • Da har vi ny forordning – med nytt bøtenivå. Hvert enkelt land må vurderes for seg – ikke bare USA • Dere MÅ vite hvor data befinner seg og hvor servicepersonell kan befinne seg geografisk Copyright © 2015 Foyen Torkildsen All Rights Reserved 24
  • 25. The shield… will take time to know real content • Will prevent the A-29-group from stopping transatlantic business – for now • Safeguards and transparency obligations on US government access • access to the data for law enforcement and national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, and that such access will only be used to the extent necessary and proportionate • there will be no indiscriminate mass surveillance on personal data covered by the framework • there will be annual joint review of the framework, including national security access • annual reviews from the commission, and US intelligence experts and European data protection authorities may participate Tittel på presentasjon 25
  • 26. The shield.. Stronger obligations to protect personal data of European citizens • importers will have to commit to robust obligations on processing, guaranteeing rights for the individual • the US Department of Commerce will monitor that the commitments are public • the US Federal Trade Commission will enforce the commitments • importers handling human resources data will also need to comply with decisions of European data protection authorities Tittel på presentasjon 26
  • 27. The shield.. Several redress options for EU citizens • filing a complaint directly with the importer • alternative dispute resolution put in place by the importer which must be free of charge • filing a complaint with the relevant European DPA, that may forward complaints to the US Department of Commerce or the Federal Trade Commission • with respect to national security access, the US will establish a functionally independent US Ombudsperson to address complaints of possible access by national intelligence authorities • With what powers? Tittel på presentasjon 27
  • 28. Sikkerhetsloven • Hovedregelen om sikkerhetsklarering for alt personell ved tilgang til skjermingsverdig informasjon grader KONFIDENSIELT, kan gjøre det komplisert å inngå samarbeid med utenlandsk leverandør • Kan være vanskelig og/eller tidkrevende å få gjennomført en dekkende personkontroll av leverandørens personell i samsvar med sikkerhetslovens § 20 • Noe mindre vanskelig og tidkrevende å gi personell tilgang til BEGRENSET informasjon, ettersom selve sikkerhets- klareringsprosessen kan sløyfes • § 10 – NSM skal gis uhindret adgang til ethvert område hvor skjermingsverdig informasjon befinner seg Konklusjon: kan være til hinder for bruk av skytjenester i offentlig sektor Copyright © 2015 Foyen Torkildsen All Rights Reserved 28
  • 29. Oppsummering • Betydelig mulighetsrom for å ta i bruk nettskytjenester i kommunal og statlig sektor, men dette kan gjøres enda større ved noen endringer i forvaltningspraksis, særlig hos Riksarkivaren • Den som vil benytte nettsky må analysere hvilke regelsett som er relevant for de opplysningene som skal legges ut • Usikkerhet rundt Privacy Shield gjør at andre juridiske overføringshjemler bør brukes (i tillegg) – kan utløse informasjonsplikt til den registrerte om overføringen • Slik arkivloven og bokføringsloven tolkes i dag, er det lettest å legge ut opplysninger som ikke omfattes av disse regelverkene. Copyright © 2015 Foyen Torkildsen All Rights Reserved 29