Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Transkript

1 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

2 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Customer Managed Applications Runtimes Security & Integration Databases Servers Virtualization Server HW Storage Customer Applications Runtimes Security & Integration Databases Servers Virtualization I don t Server HW care! Storage Customer Public/Private Applications Runtimes Security & Integration Databases I don t Servers Virtualization care! Server HW Storage Public/Private Applications Runtimes Security & Integration Databases I don t Servers care! Virtualization Server HW Storage Networking Networking Networking Networking CSC Proprietary and Confidential 2

3 Men vi kan ikke slippe hele ansvaret hvilke regler gælder i skyen? Persondataloven Sikkerhedsbekendtgørelsen Regnskabs- og bogføringsloven Outsourcingbekendtgørelsen CSC Proprietary and Confidential 3

4 Data Protection - a European Concept Persondataloven ImplementererEU Direktiv95/46/EC. I januar2012 fremsattesforslagtilforordning, somskalafløse Direktivet. Hvis forordninggennemføres, sker følgendeændringer: Pligttilat rapporterealvorligedatabrud One-stop-shop ift. myndigheder Ret til dataportabilitet Øgede kravtilsamtykke Rettentilat bliveglemt Bødeniveauop til2% afsamledeomsætning LigeledesharDigitaliseringsstyrelseniværksatet initiativ, som fokusererpåtidssvarendereglerfor cloud computing. CSC Proprietary and Confidential 4

5 Hvornår er der tale om personoplysninger? Enhverform for oplysningomen identificeretelleridentificerbar person. Oplysningeromenkeltmandsejedevirksomheder. Oplysningeromjuridiskepersoner, somkanhenførestilfysiske personer, eks. aktionærerellerandelshavere. CSC Proprietary and Confidential 5

6 Persondatalovens hovedprincipper Terms of the DP Directive Opregneren række forpligtelserfor fysiske ellerjuridiske personer den dataansvarlige-, sombestemmerformåletog mådenhvorpåpersonoplysningerskal behandles. Fastsætterspecifikke rettighederfor de individer, hvis personoplysningerbehandles den registrerede. Indeholdervisse pligterfor den fysiske ellerjuridiskeperson, som udførerdatabehandlingen databehandleren. Gælderfor offentligeogprivates behandling af personoplysninger, somsker heltellerdelvistelektroniskeller ikke-elektroniskbehandlingafsådanneoplysninger, somindgår ellervil indgåiet register. CSC Proprietary and Confidential 6

7 Persondatalovens geografiske anvendelsesområde Loven gælder for: 1. Databehandling for en dataansvarlig, der er etableret idanmark, hvis aktiviteternefinder stedindenfordeteuropæiskefællesskabsområde; 2.Dataansvarlige,someretableretiet tredjeland,hvis databehandlingen sker vha. hjælpemidler idanmark, medmindre der er alene er tale om benyttelse til forsendelse af oplysninger gennem Det EuropæiskeFællesskabsområde,eller indsamling af oplysninger idanmark sker med henblik på behandling iet tredjeland. 3. Databehandling idanmark for en dataansvarlig etableret iet andet medlemsland, såfremt behandlingen ikke er omfattet af Direktivet. Tilsvarende behandling sker for en dataansvarlig etableret ien stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til Direktivet, og behandlingen ikke er omfattet af de nævnteregler. CSC Proprietary and Confidential 7

8 Overførsel hvad er det? Kunde i Danmark Support i Indien Server i USA Backup i Kina CSC Proprietary and Confidential 8

9 Overførsel af personoplysninger til 3-lande of pm Personal Data / Sensitive Data Betingelse 1: Der er et legitimtgrundlagfor behandling af personoplysninger, OG Betingelse 2: Der er legitimtgrundlagfor overførsel af personoplysningertiltredjeland: Samtykke Opfyldelseafaftalemellemdataansvarligogden registerede, eller mellemdatabehandlerogtredjemandiden registeredes interessse;eller Væsentligesamfundsmæssigeinteressereller retskrav; Beskyttelseafden registreredesvitaleinteresser; Hensynettiloffentligesikkerhed, rigetsforsvarellerstatens sikkerhed. Andetsærligtgrundlag. Betingelse 3: Oplysningerneerikke omfattetaf krigsreglen. CSC Proprietary and Confidential 9

10 Obligations of Data Controller Alternative validegrundlagfor overførseltiltredjelande: Safe Harbour EU s standardkontrakter. Binding Corporate Rules. CSC Proprietary and Confidential 10

11 Hvad gør jeg for at sikre mig som dataansvarlig? 1. Sikre eget interne grundlag for databehandling 2. Sikre grundlag for databehandlers behandling via en databehandleraftale. 3. Sikre at aftale med databehandleren muliggør opfyldelse af dataansvarliges forpligtelser overfor de registrerede. 4. Sikre og få mulighed for at verificere at der foreligger passende sikkerhedsniveau hos databehandler. 5. Sikre at der foreligger grundlag for overførsel til tredjelande, hvor relevant, eks. i form af EU s standardaftaler. CSC Proprietary and Confidential 11

12 Risikovurdering og kontrol Den dataansvarlige bør foretage: Indledende risikovurdering af leverandøren, dennes vilkår (fortrolighed, immaterielle rettigheder, ansvar, SLAsmv.) og den tilbudte cloud-løsning, eks. med støtte i ENISAscheckliste, og Efterfølgende, jævnlig kontrol af det krævede sikkerhedsniveau, eks. via krav om uafhængig revisionsrapport, ret til fysisk kontrol m.v. Krav må dog afbalanceres med det faktum, at cloud-løsninger vanligvis udbydes som en standardydelse med lav mulighed for imødekommelse af individuelle krav. Overvejelse, om der er typer af informationer, som af forskellige årsager ikke egner sig til skyen følsomme personoplysninger, forretningskritiske oplysninger mv. CSC Proprietary and Confidential 12

13 Hvad nu med amerikanske eller amerikansk-ejede databehandlere? Patriot Act og den danske retsplejelov kan under særlige betingelser, herunder at data vedrører terrorisme eller hemmelige efterretningsaktiviteter, give offentlige myndigheder adgang til virksomheders data Det et underordnet om data ligger hos virksomheden selv, et driftscenter i Danmark eller hos en cloud-udbyder i f.eks. Irland Der er ikke noget der tyder på at datas geografiske placering har nogen betydning for myndigheders ønske om adgang til data. Stil krav til kontrakten ift. orientering om adgang/udlevering. Overvej hvilke data, som cloud-løsning anvendes til. CSC Proprietary and Confidential 13

14 Sikkerhedsbekendtgørelsen Sikkerhedsbekendtgørelsen gælder databehandling, som udføres for offentlige myndigheder, men Datatilsynet anbefaler at også private dataansvarlige tilrettelægger sikkerhedsforanstaltninger i overensstemmelse hermed. Bekendtgørelsen opstiller en række sikkerhedskrav, der skal påses af den dataansvarlige: 1. retningslinjer for og beskrivelse af sikkerhedsforanstaltninger; 2. instruktion af medarbejdere; 3. skriftlige databehandleraftaler, som sikrer datasikkerheden og kontrol hermed; 4. fysisk sikkerhed; 5. autorisationsprocedurer; 6. risikovurdering ved transmission via internettet; 7. kontrol med afviste adgangsforsøg, og 8. logning af anvendelser af fortrolige og følsomme personoplysninger. CSC Proprietary and Confidential 14

15 Bogføringsloven Bogføringsmateriale skal som udgangspunkt opbevares i Danmark eller de nordiske lande. Men bogføringsmateriale kan opbevares andetsteds, såfremt der hver måned downloades eller tages fysisk kopi af materialet til en server eller lokationi Danmark. CSC Proprietary and Confidential 15

16 Outsourcingbekendtgørelsen Trådte i kraft 1. marts Regulerer finansielle virksomheders outsourcing af opgaver. Indeholder: A: Krav om at kunden sikrer leverandørens evne og kapacitet, samt fører løbende kontrol med leverandøren; og B: Krav til kontrakten mellem kunde og leverandør -afgrænsning af opgave -krav til leverandøren og oplysning om hvorfra ydelse leveres; -underretningspligt ved leverancepåvirkning; -rapporteringspligt; -adgang til information samt leverandørlokationer; -medvirken til overdragelse og krav om fortsat levering. CSC Proprietary and Confidential 16

17 Questions? Relevante links CSC Proprietary and Confidential 17

18