Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S



Relaterede dokumenter
Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Databehandleraftale e-studio.dk Side 1 af 6

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

PERSONDATAPOLITIK (EKSTERN)

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

origo Databehandleraftale

Cloud Computing De juridiske aspekter

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

BILAG 14: DATABEHANDLERAFTALE

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Sikkerhed i cloud computing

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Ny persondataforordning

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DATABEHANDLERAFTALE Version 1.1a

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Tønder Kommune BILAG 10

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Databehandleraftale. om [Indsæt navn på aftale]

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

PERSONDATALOVEN OG SUNDHEDSLOVEN

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE [LEVERANDØR]

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet):

! Databehandleraftale

Persondatapolitik. Dataansvarlig Fiberby ApS Otto Busses Vej København SV Danmark CVR-nr.:

3 Omfattede typer af personoplysninger og kategorier af registrerede

Bilag X Databehandleraftale

Ny persondataforordning

Kontraktbilag 3. Databehandleraftale

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

(Fremtidens) Regulering af cloud computing

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Persondataforordningen

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Forsikring & Pension Philip Heymans Allé Hellerup

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS

BILAG A: DATABEHANDLERAFTALE ( AFTALEN ) 1 AFTALENS OMFANG 2 BEHANDLING AF PERSONOPLYSNINGER INDHOLDSFORTEGNELSE. Version 1.1 af 25.

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Retningslinje om dataansvarlig/databehandler

Forsvarsministeriets Materiel- og Indkøbsstyrelse

opfylde vores kontraktuelle forpligtelser over for dig, samt at

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Databehandleraftale (v.1.1)

Rammeaftalebilag 5 - Databehandleraftale

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

3 Omfattede typer af personoplysninger og kategorier af registrerede

Privatlivspolitik (ekstern persondatapolitik)

Retningslinje om overførsel til tredjelande

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs depotrumsafdeling

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Introduktion til persondataforordning

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

DATABEHANDLERAFTALE SMTP.DK KUNDEN

NSP Servicevilkå r for Indirekte GW LEVERANDØR

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

Kontraktbilag 7: Databehandleraftale

Bilag 9 Databehandleraftale

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

2. Leverandøren er som databehandler forpligtet til følgende:

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Persondatapolitik. Fonden DBK Mimersvej Køge Danmark CVR-nr.:

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Databehandleraftale

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Aftale omkring behandling af persondata.

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

EU Persondataforordning GDPR

Transkript:

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Applications Applications Applications Applications Runtimes Runtimes Runtimes Runtimes Security & Integration Security & Integration Security & Integration Security & Integration Databases Servers Virtualization Server HW Storage Databases Servers Virtualization I don t Server HW care! Storage Public/Private Databases I don t Servers Virtualization care! Server HW Storage Public/Private Databases I don t Servers care! Virtualization Server HW Storage Networking Networking Networking Networking Kilde: http://www.slideshare.net/davidcchou/windows-azure-platform-2647184 CSC Proprietary and Confidential 2

Men vi kan ikke slippe hele ansvaret hvilke regler gælder i skyen? Persondataloven Sikkerhedsbekendtgørelsen Regnskabs- og bogføringsloven Arkivloven CSC Proprietary and Confidential 3

Data Protection - a European Concept Persondataloven Implementerer EU Direktiv 95/46/EC. Ny forordning til afløsning af Direktivet vedtaget af Parlamentet i februar 2014 forventes vedtaget af Rådet I 2015. Hvis forordning gennemføres, sker bl.a. følgende ændringer: Pligt til at rapportere alvorlige databrud uden ugrundet ophold One-stop-shop ift. myndigheder Ret til dataportabilitet Øgede krav til samtykke Retten til at blive glemt Bødemaksimum: største beløb af 5% af samlede globale omsætning og EUR 100 mio. Pligt til at have en persondataansvarlig for visse virksomheder. CSC Proprietary and Confidential 4

Hvornår er der tale om personoplysninger? Enhver form for oplysning om en identificeret eller identificerbar person. Eks. navn, emailadresse, IP adresse, men også oplysninger, som i sammenstillet version kan føre til identifikation. Oplysninger om enkeltmandsejede virksomheder. Oplysninger om juridiske personer, som kan henføres til fysiske personer, eks. aktionærer eller andelshavere. Skærpede regler for følsomme personoplysninger. CSC Proprietary and Confidential 5

Persondatalovens hovedprincipper Terms of the DP Directive Opregner en række forpligtelser for fysiske eller juridiske personer den dataansvarlige -, som bestemmer formålet og måden hvorpå personoplysninger skal behandles. Fastsætter specifikke rettigheder for de individer, hvis personoplysninger behandles den registrerede. Indeholder visse pligter for den fysiske eller juridiske person, som udfører databehandlingen databehandleren. Gælder for offentlige og privates behandling af personoplysninger, som sker helt eller delvist elektronisk eller ikke-elektronisk behandling af sådanne oplysninger, som indgår eller vil indgå i et register. CSC Proprietary and Confidential 6

Persondatalovens geografiske anvendelsesområde Loven gælder for: 1. Databehandling for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område; 2. Dataansvarlige, som er etableret i et tredjeland, hvis databehandlingen sker vha. hjælpemidler i Danmark, medmindre der er alene er tale om benyttelse til forsendelse af oplysninger gennem Det Europæiske Fællesskabs område, eller indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland. 3. Databehandling i Danmark for en dataansvarlig etableret i et andet medlemsland, såfremt behandlingen ikke er omfattet af Direktivet. Tilsvarende behandling sker for en dataansvarlig etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til Direktivet, og behandlingen ikke er omfattet af de nævnte regler. CSC Proprietary and Confidential 7

Overførsel hvad er det? Kunde i Danmark Support i Indien Server i USA Backup i Kina CSC Proprietary and Confidential 8

Overførsel af personoplysninger til 3-lande of pm Personal Data / Sensitive Data Betingelse 1: Der er et legitimt grundlag for behandling af personoplysninger, OG Betingelse 2: Der er legitimt grundlag for overførsel af personoplysninger til tredjeland: Samtykke Opfyldelse af aftale mellem dataansvarlig og den registerede, eller mellem databehandler og tredjemand i den registeredes interesse;eller Væsentlige samfundsmæssige interesser eller retskrav; Beskyttelse af den registreredes vitale interesser; Hensynet til offentlige sikkerhed, rigets forsvar eller statens sikkerhed. Andet særligt grundlag. Betingelse 3: Oplysningerne er ikke omfattet af krigsreglen. CSC Proprietary and Confidential 9

Obligations of Data Controller Alternative valide grundlag for overførsel til tredjelande: Safe Harbour EU s standardkontrakter (model clauses). Binding Corporate Rules. CSC Proprietary and Confidential 10

Hvad gør jeg for at sikre mig som dataansvarlig? 1. Sikre eget interne grundlag for databehandling 2. Sikre grundlag for databehandlers behandling via en databehandleraftale. (i) kun efter instruks (ii) fornødne organisatoriske og tekniske sikkerhedsforanstaltninger (iii) henvisning til Sikkerhedsbekendtgørelsen (off. dataansvarlig) 1. Sikre at aftale med databehandleren muliggør opfyldelse af dataansvarliges forpligtelser overfor de registrerede. 2. Sikre og få mulighed for at verificere at der foreligger passende sikkerhedsniveau hos databehandler. 3. Sikre at der foreligger grundlag for overførsel til tredjelande, hvor relevant, eks. i form af EU s standardaftaler. CSC Proprietary and Confidential 11

Risikovurdering og kontrol Den dataansvarlige bør foretage: Vurdering af den tilbudte løsnings fit og type (public, private eller community cloud). Indledende risikovurdering af leverandøren, eks. med støtte i ENISAs checkliste og vanlige certificeringer (ISO 27001/2, 27018 og kommende 27017 mfl.), og Efterfølgende, jævnlig kontrol af det krævede sikkerhedsniveau, eks. via krav om uafhængig revisionsrapport, ret til fysisk kontrol m.v. Krav må dog afbalanceres med det faktum, at cloud-løsninger vanligvis udbydes som en standardydelse med lav mulighed for imødekommelse af individuelle krav. Overvejelse, om der er typer af informationer, som af forskellige årsager ikke egner sig til skyen følsomme personoplysninger, forretningskritiske oplysninger, lovkrav (eks. Regnskabsloven eller krigsreglen). CSC Proprietary and Confidential 12

Hvad nu med amerikanske eller amerikansk-ejede databehandlere? Patriot Act og den danske retsplejelov kan under særlige betingelser, herunder at data vedrører terrorisme eller hemmelige efterretningsaktiviteter, give offentlige myndigheder adgang til virksomheders data Det et underordnet om data ligger hos virksomheden selv, et driftscenter i Danmark eller hos en cloud-udbyder i f.eks. Irland Der er ikke noget der tyder på at datas geografiske placering har nogen betydning for myndigheders ønske om adgang til data. Stil krav til kontrakten ift. orientering om adgang/udlevering. Overvej hvilke data, som cloud-løsning anvendes til. CSC Proprietary and Confidential 13

Sikkerhedsbekendtgørelsen Sikkerhedsbekendtgørelsen gælder databehandling, som udføres for offentlige myndigheder, men Datatilsynet anbefaler at også private dataansvarlige tilrettelægger sikkerhedsforanstaltninger i overensstemmelse hermed. Bekendtgørelsen opstiller en række sikkerhedskrav, der skal påses af den dataansvarlige: 1. retningslinjer for og beskrivelse af sikkerhedsforanstaltninger; 2. instruktion af medarbejdere; 3. skriftlige databehandleraftaler, som sikrer datasikkerheden og kontrol hermed; 4. fysisk sikkerhed; 5. autorisationsprocedurer; 6. risikovurdering ved transmission via internettet; 7. kontrol med afviste adgangsforsøg, og 8. logning af anvendelser af fortrolige og følsomme personoplysninger. CSC Proprietary and Confidential 14

Regnskabsloven og Bogføringsloven Bogføringsmateriale/regnskabsmateriale skal som udgangspunkt opbevares i Danmark eller de nordiske lande. Løsningen skal sikre, at bogføringsmaterialet ikke ødelægges, bortskaffes eller forvanskes og sikres mod misbrug og fejl. Men bogføringsmateriale kan opbevares andetsteds, såfremt der hver måned downloades eller tages fysisk kopi af materialet til en server eller lokation i Danmark. CSC Proprietary and Confidential 15

Arkivloven Finder anvendelse på offentlige myndigheders arkivalier. Relevant hvis eks. Sagsbehandlingssystem er cloudløsning. Pligt til at sikre varetagelse af arkivmæssige hensyn, herunder betryggende opbevaring af arkivalier. Relevante myndighed har ansvaret herfor indtil overdragelse til Statens Arkiv. CSC Proprietary and Confidential 16

Kontraktuelle overvejelser Regulatoriske risici og ansvar Exit-håndtering: lock-in, ret til data og migrering. Kontroltab ctr. adgang til kontrol Kriseberedskab/continuity Afregningsbasis og verificering Immaterielle rettigheder Fortrolighed Service levels Øvrige generelle kontraktsvilkår: erstatningsbegrænsninger, værneting mv. CSC Proprietary and Confidential 17

Questions? Relevante links http://ec.europa.eu/justice_home/fsj/privacy/ http://ec.europa.eu/justice/newsroom/dataprotection/news/120125_en.htm http://www.export.gov/safeharbor/index.html http://www.fedma.org/code/page.cfm?id_page=106 http://www.enisa.europa.eu/ CSC Proprietary and Confidential 18

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback