cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og veien videre
TRANSCRIPT
1_Tittellysbilde
Copyright © 2015 Foyen Torkildsen All Rights Reserved 1
Juss, skytjenester, cloud, Privacy Shield og veien videre
Advokat Eva JarbekkAdvokatfirmaet FØYEN Torkildsen
2
Skytjenester – hva er rollene?• Virksomhet som sourcer sin
databehandling i Nettskyen er ofte ”Behandlings-ansvarlige”
• De har ansvar for oppfyllelse av personvern-lovgivningen
• Hvilke lands lover• Hvordan overholde
restriktivt europeisk personvernregime
• Fragmentarisk oppbygget• Leverandører vil oftest være
”Databehandlere”
Copyright © 2015 Foyen Torkildsen All Rights Reserved
Hvor er data Hvem kontrollerer
data Hvem har rettigheter
til data Hvor godt sikret er
data Er bruken i overens-
stemmelse med personvern-lovgivningen?
3
Bruk av skytjenester i stat og kommune
• FT utførte en mulighetsstudie for KS i 2015 for bruk av skytjenester i kommunal sektor • Hva dagens lovverk faktisk tillater• Hva kommunene faktisk kan ta i bruk av løsninger • Hva de faktisk kan og bør gjøre for å oppfylle kravene i
gjeldende lovgivning hvis de vil bruke skytjenester• Identifisere behov for endringer i lov- og regelverk, og hvilke
endringer i så fall dette bør være • Koordinert med et KMD-prosjekt som gjennomgår de samme
problemstillingen for Statlig virksomhet
Copyright © 2015 Foyen Torkildsen All Rights Reserved
4
Fremgangsmåte for arbeidet
• Juridiske undersøkelser• Spørreundersøkelser som har blitt sendt ut til 30 kommuner
og enkelte fylkeskommuner• Dybdeintervju av tre kommuner• Dybdeintervju av 4 leverandører av skytjenester
Copyright © 2015 Foyen Torkildsen All Rights Reserved
5
Hovedfunn
• Dybdeintervjuer av 4 leverandører av skytjenester; Evry, Microsoft, Visma og Google Norway
• Leverandørenes hovedsynspunkt: store variasjoner i kommunene om bevissthet rundt bruk av skytjenester og varierende forståelse av hva som ligger i begrepet skytjenester
• Enkelte leverandører: det er mye usikkerhet og ubegrunnede oppfatninger i kommunene vedrørende lovligheten av bruk av skytjenester og at dette i hovedsak skyldes frykt, usikkerhet og tvil
Copyright © 2015 Foyen Torkildsen All Rights Reserved
6
Hovedfunn
• Kommunene er mest opptatt av applikasjonene i seg selv og ikke den bakenforliggende plattformen
• Leverandørene vil i økende grad gå over til å levere tjenester basert på nettsky
• I dag legges det ut veldig få offentlige anbud som tilrettelegger for at leverandørene kan tilby sine skytjenester
• Slik konkurransegrunnlagene er utformet, vil det være umulig eller svært vanskelig for kunden å sammenligne prisene for skytjenester med IKT-tjenester, basert på en mer tradisjonell plattform
Copyright © 2015 Foyen Torkildsen All Rights Reserved
7
Hovedfunn
• Det er arkivloven som er det største problemet § 9 b: Arkiv skal «ikkje førast ut or landet»
• En annen utfordring oppgis å være behandling av sensitive personopplysninger i skytjenestene
• Det største problemet her er at Datatilsynet har vært opptatt av at sensitive personopplysninger skal være lagret i «separate fysiske kontainere for lagring av data»
• Dette er nå endret noe etter PVN 2014-01 Skan-Kontroll, der PVN legger til grunn at logisk skille ved bruk av tilfredsstillende tilgangskontroll (for forskjellige behandlingsansvarlige som benytter samme databehandler) kan benyttes
Copyright © 2015 Foyen Torkildsen All Rights Reserved
8
Juridiske utgangspunkter
• Norge er et av de landende i den vestlige verden som i minst grad tar i bruk skytjenester i kommunal og offentlig sektor
• Rammebetingelser og lovgivningen anses som hindring• Forvaltningsloven • Lov om offentlige anskaffelser og GPA-avtalen• Arkivloven• Bokføringslovgivningen• Regler om vern av personopplysninger• Sikkerhetsloven
Copyright © 2015 Foyen Torkildsen All Rights Reserved
9
Forvaltningsloven
• Forvaltningsloven setter i utgangspunktet ingen begrensninger i adgangen til å benytte seg av skytjenester• Kommunen må ved anskaffelse av skytjenester, sørge for
å ilegge leverandørene en taushetsplikt om• innholdet i avtalen • informasjonen leverandørene får innsyn i
Konklusjon: ikke til hinder for bruk av skytjenester i stat eller kommune
Copyright © 2015 Foyen Torkildsen All Rights Reserved
10
Lov om offentlige anskaffelser og GPA-avtalen
• Norske kommuner er bundet av anskaffelsesregelverket samt av GPA-regelverket
• GPA-regelverket legger begrensninger på i hvilken grad man kan hindre medlemslandene i å tilby tjenester, altså slik at en norsk kommune vanskelig kan stille vilkår om at det ikke skal brukes ressurser fra enkelte GPA-land
• DIFI utreder hvordan skytjenester kan anskaffes (?)
Konklusjon: ikke til hinder for bruk av skytjenester i kommunesektoren
Copyright © 2015 Foyen Torkildsen All Rights Reserved
11
Arkivloven
• Etter § 9 bokstav b er utgangspunktet at offentlig arkivmateriale ikke kan føres ut av landet uten etter særskilt samtykke fra Riksarkivaren
• Denne bestemmelsen har stor betydning for kommunens adgang til å ta i bruk skytjenester
• Regelen ble til for mer enn 20 år siden – det vil si i god tid før skytjenester i dagens form, eller databehandling og lagring i utlandet var særlig utbredt
• Riksarkivet mener at på bakgrunn av arkivloven § 9 bokstav b, kan arkiver ikke lagres på servere som befinner seg utenfor Norges grenser. Dette gjelder også sikkerhetskopi av arkiver
• Ikke mulig å legge arkivløsninger ut i nettskyen hvis skyen er i utlandet
Copyright © 2015 Foyen Torkildsen All Rights Reserved
12
Arkivloven forts.
• I arkivloven § 9 som Riksarkivet viser til, fremgår det at Riksarkivaren i visse tilfelle kan gjøre unntak gjennom samtykke
• Datatilsynet var opprinnelig skeptisk til bruk av skytjenester, men har gjort seg kjent med teknologien og setter nå fornuftige kriterier for hvordan data kan sikres i en sky-løsning • Vi mener Riksarkivaren har et juridisk handlingsrom for å
velge en tilsvarende tilnærming• Formålet med denne bestemmelsen i arkivloven var å sikre at
dataene ikke går tapt for ettertiden – det kan gjøres ved bruk av skytjenester hvis man fastsetter vilkår for bruk av tjenestene
Konklusjon: til hinder for bruk av skytjenester i kommunalsektor
Copyright © 2015 Foyen Torkildsen All Rights Reserved
13
Bokføringslovgivningen
• Bestemmelsene i bokføringsloven om oppbevaring av regnskapsmateriale får anvendelse også på regnskapsmateriale i kommuner og fylkeskommuner
• I henhold til bokføringsloven § 13 annet ledd, skal som hovedregel regnskapsmaterialet oppbevares i Norge. Dette er med på å begrense muligheten til å bruke skytjenester, hvor leverandørene ikke har servere plassert i Norge
• Dersom bokføringen skjer mot en server i utlandet anses bokføringen å skje i utlandet. Regnskapsmateriale må da overføres til oppbevaring i Norge innen en måned etter fastsetting av årsregnskapet og senest sju måneder eller regnskapsårets slutt, jf. bokføringsforskriften § 7-4 første ledd.
• Finnes unntak for land Norge har bilaterale avtaler om utveksling av likningsopplysninger med (Sverige, Danmark Finland og Island)
Konklusjon: Kan være til hinder for bruk av skytjenester
Copyright © 2015 Foyen Torkildsen All Rights Reserved
14
Regler om personopplysninger
• Informasjonssikkerhet jf. pol. § 13• Behandling av sensitive personopplysninger i nettskyen• Overføring av personopplysninger til Europa• Overføring av personopplysninger til tredjeland
Konklusjon: Ikke til hinder for bruk av skytjenester i kommunal sektor • Vanlige krav til Internkontroll databehandleravtaler gjelder –
Særlige utfordringer med avtaleverk, geografisk lokalisering og revisjonsadgang
Copyright © 2015 Foyen Torkildsen All Rights Reserved
Copyright © 2015 Foyen Torkildsen All Rights Reserved 15
Etter Safe Harbor – Privacy shield
• Litt mer komplisert nå enn sommeren 2015
16
Hva er en «overføring»?
1. Flytte data til server utenfor EU/EØS2. Tilgang til data i EU/EØS for personell
lokalisert utenfor EU/EØS
Betyr at «europeiske skyer» – vilkår må sjekkes for tilgang for servicepersonell lokalisert utenfor EU/EØS selv om serveren står i Europa
Grunnlag for overføring ut av EØS
Tittel på presentasjon 17
Hva er vi redde for ved USA?
• NSA?• Andre myndigheters overvåkning?• Reell sikkerhet hos bedriftene som sier de er «trygge»?• Manglende personvernlovgivning som danner en trygg ramme• Individets mulighet til å forsvare seg rettslig• Erstatningskravenes størrelse (relevant med ny lovgivning og
solidaransvar mellom behandlingsansvarlig og databehandler!)
• Avhengig av hvem du representerer – bare det å ikke være compliant?
Grunnlag for overføring ut av EØS 18
Hjemler for overføring før Max Schrems
Safe Harbour
Bindende selskapsregler (PBCR/BCR)
Samtykke og øvrige unntak I POL § 30 første ledd
Modellavtaler/SCC – informasjonsplikt v sens. data!
19
C-362/14 Max Schrems (“Safe Harbour-dommen”)
• US mass surveillance is not giving adequate protection for EU citizens in light of human rights (EMK)
• EU citizens have no real possibility of redress
• It applies to Safe harbour, but the objections applies to all transfers, no matter what legal grounds they are based upon
Alternativer til Safe Harbour
Grunnlag for overføring ut av EØS 20
Alternatives etter Max Schrems – Januar 2016
Safe Harbour
Bindende selskapsregler (PBCR/BCR)
Samtykke og øvrige unntak i POL § 30 første ledd
Modellavtaler – informasjonsplikt v sens. data!
Lagre hjemme - UTEN tilgang fra USA
21
Modellavtaler – hva må på plass?
• Tre utgaver av modellavtalene• To mellom ulike behandlingsansvarlige• En mellom behandlingsansvarlig i EU/EØS og databehandler i tredjeland
• Avtalene med vedlegg må fylles ut og inngås før overføring finner sted• Avtaler mellom behandlingsansvarlig og databehandler der modellavtalen
brukes uforandret må meldes og oversendes Datatilsynet før overføringen starter
• Betyr at man må passe på formalitetene der man kjøper tjenester på cloudplattformer der sluttbruker ikke er avtalepart med cloudleverandør
• Alle andre avtaler krever godkjenning fra Datatilsynet før overføring
OBS: Informasjonsplikt overfor den registrerte dersom sensitive opplysninger lagres
Alternativer til Safe Harbour
Grunnlag for overføring ut av EØS 22
Virkeligheten etter Shrems – til januar 2016
Grunnlag for overføring ut av EØS 23
Virkeligheten etter januar og Privacy Shield
Copyright © 2015 Foyen Torkildsen All Rights Reserved 24
Et troverdig skjold?
• Mer enn personvern er på spill mellom EU og USA – men også for andre tredjeland
• Privacy shield vil bli utfordret rettslig • Mange sier at dommere tenker mer prinsipielt enn politikere
• EU-domstolen (1-2 år?)• Menneskerettighetsdomstolen, Strasbourg (5-6 år?)
• Da har vi ny forordning – med nytt bøtenivå. Hvert enkelt land må vurderes for seg – ikke bare USA
• Dere MÅ vite hvor data befinner seg og hvor servicepersonell kan befinne seg geografisk
Tittel på presentasjon 25
The shield… will take time to know real content• Will prevent the A-29-group from stopping
transatlantic business – for now
• Safeguards and transparency obligations on US government access
• access to the data for law enforcement and national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, and that such access will only be used to the extent necessary and proportionate
• there will be no indiscriminate mass surveillance on personal data covered by the framework
• there will be annual joint review of the framework, including national security access
• annual reviews from the commission, and US intelligence experts and European data protection authorities may participate
Tittel på presentasjon 26
The shield..Stronger obligations to protect personal data of European citizens
• importers will have to commit to robust obligations on processing, guaranteeing rights for the individual
• the US Department of Commerce will monitor that the commitments are public
• the US Federal Trade Commission will enforce the commitments
• importers handling human resources data will also need to comply with decisions of European data protection authorities
Tittel på presentasjon 27
The shield..Several redress options for EU citizens
• filing a complaint directly with the importer• alternative dispute resolution put in place by the importer
which must be free of charge• filing a complaint with the relevant European DPA, that may
forward complaints to the US Department of Commerce or the Federal Trade Commission
• with respect to national security access, the US will establish a functionally independent US Ombudsperson to address complaints of possible access by national intelligence authorities
• With what powers?
28
Sikkerhetsloven
• Hovedregelen om sikkerhetsklarering for alt personell ved tilgang til skjermingsverdig informasjon grader KONFIDENSIELT, kan gjøre det komplisert å inngå samarbeid med utenlandsk leverandør
• Kan være vanskelig og/eller tidkrevende å få gjennomført en dekkende personkontroll av leverandørens personell i samsvar med sikkerhetslovens § 20
• Noe mindre vanskelig og tidkrevende å gi personell tilgang til BEGRENSET informasjon, ettersom selve sikkerhets-klareringsprosessen kan sløyfes
• § 10 – NSM skal gis uhindret adgang til ethvert område hvor skjermingsverdig informasjon befinner seg
Konklusjon: kan være til hinder for bruk av skytjenester i offentlig sektor
Copyright © 2015 Foyen Torkildsen All Rights Reserved
29
Oppsummering
• Betydelig mulighetsrom for å ta i bruk nettskytjenester i kommunal og statlig sektor, men dette kan gjøres enda større ved noen endringer i forvaltningspraksis, særlig hos Riksarkivaren
• Den som vil benytte nettsky må analysere hvilke regelsett som er relevant for de opplysningene som skal legges ut
• Usikkerhet rundt Privacy Shield gjør at andre juridiske overføringshjemler bør brukes (i tillegg) – kan utløse informasjonsplikt til den registrerte om overføringen
• Slik arkivloven og bokføringsloven tolkes i dag, er det lettest å legge ut opplysninger som ikke omfattes av disse regelverkene.
Copyright © 2015 Foyen Torkildsen All Rights Reserved