Skytjenester og personvern
Download
Report
Transcript Skytjenester og personvern
Skytjenester og personvern
NFJE’s generalforsamling 30.5.2012
Ragnar Lindefjeld / Rune Opdahl
SKYTJENESTER OG PERSONVERN - INNHOLD
• Innledning – kort om skytjenester
• Skytjenester vs personvernlovgivning - hva består
”spenningsfeltet” av?
• Presentasjon av Narvik og Odense - sakene
• Frimodige ytringer til diskusjon
2
SKYEN RUNDT PÅ 5 MIN – DEFINISJON
A model for enabling ubiquitous, convenient, on-demand
network access to a shared pool of configurable
computing resources (e.g., networks, servers, storage,
applications, and services) that can be rapidly
provisioned and released with minimal management effort
or service provider interaction.
http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pd
3
4
SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER
Kilde: http://presse.telenor.no
Legale barrierer:
•Regulatoriske
• Kontraktuelle
5
FORSKJELLEN FRA TRADISJONELL OUTSOURCING
• Kommersielt:
- Penger (Cap-ex vs Op-ex)
- Tid (Fleksibilitet vs Varighet)
• Operasjonelt:
- ”As a Service”
- Internettbasert
- ”Pooled Resources”
• Særlig de to siste som driver regulatoriske utfordringer
6
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
Oversikt
•
Cloud computing oppfattes
som en trussel mot
grunnleggende
personvernprinsipper
•
•
•
Transparens og kontroll
Minimalitet
Informasjonssikkerhet
•
Det hersker usikkerhet om
cloud computing er lovlig
•
Kommende EU-regler vil
påvirke cloud computing
7
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(1) Lovens geografiske anvendelsesområde
•
Etableringskriteriet og
hjelpemiddelkriteriet
(pol § 4)
•
Tilsynsmyndigheters jurisdiksjon
(PVN-2011-06):
”Spørsmålet om det foreligger
adgang til å foreta screening av
denne informasjonen i USA [etter
lovlig overføring iht. pol. § 30]
ligger etter Personvernnemndas
syn utenfor vår jurisdiksjon”
8
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(2) Identifisering av ansvar
•
Hvem er behandlingssansvarlig,
hvem er databehandler?
(pol. § 2)
•
Databehandlerens ansvar
•
Informasjonssikkerhet
(pol § 13)
•
Oppfylle databehandleravtale
(pol. § 15, jf. Datatilsynets
veileder 26.05.2009)
9
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(3) Overføring av opplysninger
•
Til andre EØS-land mv.
(pol. § 29)
•
Til tredjeland
(pol. § 30)
•
Avtale med den registrerte
•
Avtale med tredjepart i den
registrertes interesse
•
EUs dataoverføringsavtale
•
Safe Harbor
10
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(4) Informasjonssikkerhet
•
Tilfredsstillende
informasjonssikkerhet med
hensyn til konfidensialitet,
integritet og tilgjengelighet
(pol. § 13)
•
Dokumentasjonskrav
(pol. § 13)
•
Forholdsmessighet:
Nødvendig for å hindre fare
for tap av liv og helse,
økonomisk tap eller tap av
anseelse og personlig
integritet
(pof. § 2-1)
11
GOOGLE APPS: ODENSE- OG NARVIK-SAKENE
Oversikt Odense
• Helseopplysninger om den
enkelte elev
• Faglige vurderinger av den
enkelte elev
• Sosiale vurderinger av den
enkelte elev
• Annet
= til dels sensitive
personopplysninger
• Odense ba om
forhåndsuttalelse – avgitt 3.
februar 2011
12
GOOGLE APPS: ODENSE- OG NARVIK-SAKENE
Oversikt Narvik
• Begynne med e-post
• Eventuelt utvide til andre
forhold
• Ikke brukes til overføring av
sensitive personopplysninger
= noe mer blandet bilde enn i
Odense
• Narvik gjennomført anskaffelse
– innklaget av en tredjeperson,
Datatilsynet varsel om vedtak
16. januar 2012
13
ODENSE- OG NARVIK-SAKENE
(1) Lovens anvendelsesområde og (2) identifisering av ansvar
•
Ingen av tilsynsmyndighetene
problematiserer dette spørsmålet
•
Den behandlingsansvarlige
(kommunene) er etablert i N og DK
•
Mellom tilsynsmyndighet og
behandlingsansvarlig - POL § 4 (1)
•
Databehandler Google er et US
selskap – avtaleparten er Google
Ireland Ltd – US rett inter partes
14
ODENSE- OG NARVIK-SAKENE
(3) Overføring av opplysninger
•
Begge tilsyn:
•
•
•
Kjernen:
•
•
manglende transparens =
utilstrekkelig redegjørelse =
ulovlig
Konklusjon:
•
•
Data kan bli overført utenfor
EØS
Utenfor Safe Harbour
En ren public cloud løsning som
behandler persondata er ulovlig
Løsning?
•
You may specify the AWS regions in which
Your Content will be stored and accessible
by End Users.
Amazon-varianten
15
ODENSE- OG NARVIK-SAKENE
(4) Informasjonssikkerhet
•
Begge tilsyn misfornøyd med
informasjonssikkerhet fordi:
-
Usikkert om data slettes
-
Overføring ikke kryptert
-
Login ikke tilstrekkelig sikret, for
eksempel ved digital signatur
-
Mangelfull regulering av
loggføring
-
Segmentering anses risikofylt
•
Hva er legale mangler, hva er
manglende rapportering?
16
BONUSMATERIALE
• Datatilsynet (DK)
•
•
Bruk av Dropbox til lagring av sensitive personopplysninger
ikke OK
•
Overføring av personnummer fra offentlige til MS Azure
”meget kritisabel”
Datainspektionen (S)
•
Molntjänster och personuppgiftslagen (veiledning)
•
Sverige: www.cloudsweden.org
•
Finland: Intet nytt fra østfronten
•
US: National Institute of Standards and Technology: helt
ny veileder til skytjenester av 29. mai 2012
17