Skytjenester og personvern
NFJE’s generalforsamling 30.5.2012Ragnar Lindefjeld / Rune Opdahl
2
SKYTJENESTER OG PERSONVERN - INNHOLD
• Innledning – kort om skytjenester
• Skytjenester vs personvernlovgivning - hva består ”spenningsfeltet” av?
• Presentasjon av Narvik og Odense - sakene
• Frimodige ytringer til diskusjon
3
SKYEN RUNDT PÅ 5 MIN – DEFINISJON
A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.
http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pd
4
5
SKYEN RUNDT PÅ 5 MIN – MARKED OG BARRIERER
Kilde: http://presse.telenor.no
Legale barrierer:
•Regulatoriske
• Kontraktuelle
6
FORSKJELLEN FRA TRADISJONELL OUTSOURCING
• Kommersielt:
- Penger (Cap-ex vs Op-ex)- Tid (Fleksibilitet vs Varighet)
• Operasjonelt:
- ”As a Service”- Internettbasert - ”Pooled Resources” • Særlig de to siste som driver regulatoriske utfordringer
7
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
Oversikt
• Cloud computing oppfattes som en trussel mot grunnleggende personvernprinsipper
• Transparens og kontroll• Minimalitet• Informasjonssikkerhet
• Det hersker usikkerhet om cloud computing er lovlig
• Kommende EU-regler vil påvirke cloud computing
8
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(1) Lovens geografiske anvendelsesområde
• Etableringskriteriet og hjelpemiddelkriteriet (pol § 4)
• Tilsynsmyndigheters jurisdiksjon (PVN-2011-06):
”Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA [etter lovlig overføring iht. pol. § 30] ligger etter Personvernnemndas syn utenfor vår jurisdiksjon”
9
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(2) Identifisering av ansvar
• Hvem er behandlingssansvarlig, hvem er databehandler?(pol. § 2)
• Databehandlerens ansvar
• Informasjonssikkerhet (pol § 13)
• Oppfylle databehandleravtale (pol. § 15, jf. Datatilsynets veileder 26.05.2009)
10
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(3) Overføring av opplysninger
• Til andre EØS-land mv. (pol. § 29)
• Til tredjeland (pol. § 30)
• Avtale med den registrerte
• Avtale med tredjepart i den registrertes interesse
• EUs dataoverføringsavtale
• Safe Harbor
11
SPENNINGSFELTET MELLOM PERSONVERN OG SKYTJENESTER
(4) Informasjonssikkerhet
• Tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (pol. § 13)
• Dokumentasjonskrav (pol. § 13)
• Forholdsmessighet: Nødvendig for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet(pof. § 2-1)
12
GOOGLE APPS: ODENSE- OG NARVIK-SAKENE
Oversikt Odense
• Helseopplysninger om den enkelte elev
• Faglige vurderinger av den enkelte elev
• Sosiale vurderinger av den enkelte elev
• Annet
= til dels sensitive personopplysninger
• Odense ba om forhåndsuttalelse – avgitt 3. februar 2011
13
GOOGLE APPS: ODENSE- OG NARVIK-SAKENE
Oversikt Narvik
• Begynne med e-post
• Eventuelt utvide til andre forhold
• Ikke brukes til overføring av sensitive personopplysninger
= noe mer blandet bilde enn i Odense
• Narvik gjennomført anskaffelse – innklaget av en tredjeperson, Datatilsynet varsel om vedtak 16. januar 2012
14
ODENSE- OG NARVIK-SAKENE
(1) Lovens anvendelsesområde og (2) identifisering av ansvar
• Ingen av tilsynsmyndighetene problematiserer dette spørsmålet
• Den behandlingsansvarlige (kommunene) er etablert i N og DK
• Mellom tilsynsmyndighet og behandlingsansvarlig - POL § 4 (1)
• Databehandler Google er et US selskap – avtaleparten er Google Ireland Ltd – US rett inter partes
15
ODENSE- OG NARVIK-SAKENE
(3) Overføring av opplysninger
• Begge tilsyn:• Data kan bli overført utenfor
EØS• Utenfor Safe Harbour
• Kjernen: • manglende transparens =
utilstrekkelig redegjørelse = ulovlig
• Konklusjon: • En ren public cloud løsning som
behandler persondata er ulovlig
• Løsning? • Amazon-varianten
You may specify the AWS regions in which Your Content will be stored and accessible by End Users.
16
ODENSE- OG NARVIK-SAKENE
(4) Informasjonssikkerhet
• Begge tilsyn misfornøyd med informasjonssikkerhet fordi:
- Usikkert om data slettes
- Overføring ikke kryptert
- Login ikke tilstrekkelig sikret, for eksempel ved digital signatur
- Mangelfull regulering av loggføring
- Segmentering anses risikofylt
• Hva er legale mangler, hva er manglende rapportering?
17
BONUSMATERIALE
• Datatilsynet (DK)
• Bruk av Dropbox til lagring av sensitive personopplysninger ikke OK
• Overføring av personnummer fra offentlige til MS Azure ”meget kritisabel”
• Datainspektionen (S)
• Molntjänster och personuppgiftslagen (veiledning)
• Sverige: www.cloudsweden.org
• Finland: Intet nytt fra østfronten
• US: National Institute of Standards and Technology: helt ny veileder til skytjenester av 29. mai 2012