Kontrakt om IT-infrastruktur-services 2017

Transkript

1 Kontrakt om IT-infrastruktur-services 2017 Sikkerhed og persondata 16. marts 2017

2 Sikkerhed

3 Hvad siger kontrakten om sikkerhed Leverandøren skal iagttage de sikkerhedsforanstaltninger, der følger af Bilag 4 [ ], herunder særligt Bilag 4b (Sikkerhedskrav), og Kontrakten i øvrigt (10.1.1) Leverandøren skal behandle data [ ] i overensstemmelse med Kundens sikkerhedsforskrifter [ ] (10.2.1) Leverandøren skal til enhver tid have systemer og procedurer til beskyttelse [ ] mod virus og hacking (10.4.1) Leverandøren skal til enhver tid have systemer, procedurer og aftaler, der sikrer backup [ ] (10.5.1) Leverandøren skal til enhver tid have beredskabsplaner med tilhørende systemer, procedurer og aftaler, der sikrer genetablering [ ] (10.5.2) Leverandøren har oplysningspligt ved sikkerhedsbrister (10.6) marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

4 Sikkerhed er dynamisk Kravene til sikkerhed vil ændre sig i takt med Den teknologiske udvikling Nye komponenter, som kræver beskyttelse Nye "features" i operativsystemer mv. Udvikling i trusselsbilledet Udvikling i mulighederne for beskyttelse marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

5 Kunderne er ikke (nødvendigvis) professionelle Stordriftsfordele økonomisk fordel Outsourcer fordi IT ikke er kernekompetence Outsourcer de kompetente personer som "en del af pakken" Ønsker at drage nytte af leverandørens kompetencer marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

6 Sikkerhedskrav fokus på "hvad" frem for "hvordan" Kontrolmål i stedet for sikkerhedsforanstaltninger Beskriv hvad kunden ønsker at opnå lad leverandøren bestemme hvordan Målene vil ændre sig mindre end metoderne Stordriftsfordele leverandøren har formentlig allerede standardiserede procedurer Hvem har kontrol over sikkerhedsforanstaltningen? Leverandøren kan kun stå inde for det, Leverandøren kan kontrollere Få styr på snitfladerne (nogle kontroller fungerer kun, hvis begge parter agerer som forventet) Eksempel "Leverandøren skal sikre, at kun medarbejdere hos leverandøren, der har et arbejdsbetinget behov for adgang til Kundens systemer og data, tildeles adgang" "Leverandørens medarbejdere må kun få adgang til Kundens systemer og data, hvis dette er godkendt af medarbejderens nærmeste leder" (eller endnu værre "hvis dette er godkendt af Kunden") marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

7 Sikkerhedskrav, der kræver involvering af begge parter Leverandøren kan kun stå inde for det, Leverandøren kan kontrollere Hvor er snitfladen Hvis ikke målet kan nås af den ene part alene, kan det være nødvendigt at beskrive kravene mere konkret end på målsætningsniveau Eksempel Udgangspunkt Leverandøren foretager brugeradministration for Kunden Målsætning Fratrådte medarbejderes adgang skal fjernes senest ved udgangen af det døgn, medarbejderen fratræder Krav Leverandøren behandler alle krav om inaktivering af brugere inden for 24 timer efter kunden har anmodet herom marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

8 Sammenhængen med revisionsbestemmelsen (afsnit 12) Konklusionen i en revisorattesteret erklæring (ISAE 3000, ISAE 3402 eller tilsvarende) beskriver Om kontrollerne er egnede til at nå de definerede kontrolmål Om kontrollerne i den periode, der afgives erklæring for, har fungeret effektivt, således at kontrolmålene kan anses for opfyldt Hvis kunden fastlægger kontrollerne, bliver erklæringen en vurdering af Kundens evne til at fastlægge de rigtige kontroller (og leverandørens evne til at eksekvere) og hvad er værdien, hvis Leverandøren er god til at eksekvere en forkert ordre Alternativt ISAE 4400 "aftalte arbejdshandlinger" Revisor udfører tests som beskrevet af Kunden og rapporterer objektivt om resultatet af disse tests Op til kunden at drage konklusionen marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

9 Persondata

10 Hvad siger kontrakten om personoplysninger Kunden er dataansvarlig Leverandøren er databehandler (38.1.1) Leverandøren skal træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger (38.1.2) Leverandøren skal [ ] give Kunden tilstrækkelige oplysninger og kontroladgang [ ] (38.1.3) Leverandøren må kun overlade personoplysninger til underleverandører med Kundens samtykke (38.1.4) Leverandøren må ikke overføre personoplysninger til lande uden for EU uden Kundens [ ] samtykke, der dog ikke må nægtes uden saglig grund (38.1.5) Behandling af personoplysninger skal reguleres i selvstændig databehandleraftale (38.1.6) marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

11 Kunden er dataansvarlig Leverandøren er databehandler Vær opmærksom på forordningens artikel 28(10) Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

12 Leverandøren må kun overlade personoplysninger til underleverandører med Kundens samtykke Forordningen giver to muligheder Specifik godkendelse Leverandøren må som udgangspunkt ikke bruge underleverandører, men kan få tilladelse i konkrete tilfælde Generel godkendelse I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer (artikel 28(2)) marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

13 Overførsel af personoplysninger til lande uden for EU Kontraktens udgangspunkt Leverandøren må ikke overføre personoplysninger til lande uden for EU uden Kundens forudgående skriftlige samtykke, der dog ikke må nægtes uden saglig grund Kundens samtykke er ikke tilstrækkeligt overførsel til tredjelande kræver særskilt hjemmel Sikkert tredjeland (land, område eller sektor) godkendt af Kommissionen Retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer Bindende virksomhedsregler (BCR) Standardbestemmelser godkendt af Kommissionen Godkendt adfærdskodeks sammen med bindende tilsagn, der kan håndhæves Godkendt certificeringsmekanisme sammen med bindende tilsagn, der kan håndhæves marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

14 Overførsel af personoplysninger til lande uden for EU De fire essentielle garantier (WP 238) Behandling skal være i overensstemmelse med lovgivningen og være baseret på klare, præcise og kendte regler Nødvendighed og proportionalitet af legitime formål skal dokumenteres En uafhængig tilsynsmyndighed Effektive retshåndhævelsesmidler for den registrerede marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

15 Databehandleraftale ja tak Kontraktens bestemmelse Kravene til Leverandørens behandling af personoplysninger og Parternes indbyrdes forhold i relation hertil er yderligere reguleret i bilag 12 (Databehandleraftale) Kravene til databehandleraftaler (og databehandlere) skærpes med forordningen i forhold til hidtidig dansk praksis marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

16 Direkte forpligtelser for databehandlere Skriftlig aftale Må kun handle inden for instruks ellers dataansvarlig Brug af under-databehandlere Generelt eller konkret samtykke fra kunden Krav til aftalen Underrette kunden, hvis instruks anses for ulovlig Vedligeholde en oversigt over de behandlinger, der udføres på vegne af de dataansvarlige Informationssikkerhed Underrette kunden om sikkerhedsbrister uden unødig forsinkelse Sikre gyldig hjemmel for overførsler til tredjelande marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

17 Aftalte forpligtelser for databehandlere En databehandler skal under databehandleraftalen være pålagt en række forpligtelser Skal handle inden for instruks* Skal sikre at personalet er underlagt tavshedspligt Skal have passende sikkerhedsforanstaltninger* Skal overholde kravene vedrørende underdatabehandlere* Skal bistå den dataansvarlige ved besvarelse af henvendelser fra registrerede om udøvelse af deres rettigheder Skal bistå den dataansvarlige med at efterleve dennes forpligtelser i forhold til Informationssikkerhed Datasikkerhedsbrud Privatlivsimplikationsanalyser Slette eller tilbagelevere (efter den dataansvarlige valg) alle data, når samarbejdet ophører Stille alle nødvendige oplysninger til rådighed og give adgang til revision/inspektion marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

18 Ansvar og sanktioner En databehandler er (kun) ansvarlig i de tilfælde, hvor tab/skader er forårsaget af, at Databehandleren ikke har overholdt de af forordningens forpligtelser, der gælder specifikt for databehandlere Har handlet ud over eller i strid med den dataansvarliges lovlige instruktioner Ansvarsfrihed hvis databehandleren kan bevise at være uden skyld i den hændelse, der førte til tabet/skaden Solidarisk hæftelse hvis der er flere dataansvarlige eller databehandlere Regres Første led af databehandlere (den der har den direkte aftale med den dataansvarlige) hæfter for underdatabehandlere marts 2017 DITA - Kontrakt om IT-infrastruktur-services 2017

19 Plesner Plesner Advokatfirma Amerika Plads København Ø Denmark T: Fax: CVR: Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.