Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S
Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Applications Applications Applications Applications Runtimes Runtimes Runtimes Runtimes Security & Integration Security & Integration Security & Integration Security & Integration Databases Servers Virtualization Server HW Storage Databases Servers Virtualization I don t Server HW care! Storage Public/Private Databases I don t Servers Virtualization care! Server HW Storage Public/Private Databases I don t Servers care! Virtualization Server HW Storage Networking Networking Networking Networking Kilde: http://www.slideshare.net/davidcchou/windows-azure-platform-2647184 CSC Proprietary and Confidential 2
Men vi kan ikke slippe hele ansvaret hvilke regler gælder i skyen? Persondataloven Sikkerhedsbekendtgørelsen Regnskabs- og bogføringsloven Arkivloven CSC Proprietary and Confidential 3
Data Protection - a European Concept Persondataloven Implementerer EU Direktiv 95/46/EC. Ny forordning til afløsning af Direktivet vedtaget af Parlamentet i februar 2014 forventes vedtaget af Rådet I 2015. Hvis forordning gennemføres, sker bl.a. følgende ændringer: Pligt til at rapportere alvorlige databrud uden ugrundet ophold One-stop-shop ift. myndigheder Ret til dataportabilitet Øgede krav til samtykke Retten til at blive glemt Bødemaksimum: største beløb af 5% af samlede globale omsætning og EUR 100 mio. Pligt til at have en persondataansvarlig for visse virksomheder. CSC Proprietary and Confidential 4
Hvornår er der tale om personoplysninger? Enhver form for oplysning om en identificeret eller identificerbar person. Eks. navn, emailadresse, IP adresse, men også oplysninger, som i sammenstillet version kan føre til identifikation. Oplysninger om enkeltmandsejede virksomheder. Oplysninger om juridiske personer, som kan henføres til fysiske personer, eks. aktionærer eller andelshavere. Skærpede regler for følsomme personoplysninger. CSC Proprietary and Confidential 5
Persondatalovens hovedprincipper Terms of the DP Directive Opregner en række forpligtelser for fysiske eller juridiske personer den dataansvarlige -, som bestemmer formålet og måden hvorpå personoplysninger skal behandles. Fastsætter specifikke rettigheder for de individer, hvis personoplysninger behandles den registrerede. Indeholder visse pligter for den fysiske eller juridiske person, som udfører databehandlingen databehandleren. Gælder for offentlige og privates behandling af personoplysninger, som sker helt eller delvist elektronisk eller ikke-elektronisk behandling af sådanne oplysninger, som indgår eller vil indgå i et register. CSC Proprietary and Confidential 6
Persondatalovens geografiske anvendelsesområde Loven gælder for: 1. Databehandling for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område; 2. Dataansvarlige, som er etableret i et tredjeland, hvis databehandlingen sker vha. hjælpemidler i Danmark, medmindre der er alene er tale om benyttelse til forsendelse af oplysninger gennem Det Europæiske Fællesskabs område, eller indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland. 3. Databehandling i Danmark for en dataansvarlig etableret i et andet medlemsland, såfremt behandlingen ikke er omfattet af Direktivet. Tilsvarende behandling sker for en dataansvarlig etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til Direktivet, og behandlingen ikke er omfattet af de nævnte regler. CSC Proprietary and Confidential 7
Overførsel hvad er det? Kunde i Danmark Support i Indien Server i USA Backup i Kina CSC Proprietary and Confidential 8
Overførsel af personoplysninger til 3-lande of pm Personal Data / Sensitive Data Betingelse 1: Der er et legitimt grundlag for behandling af personoplysninger, OG Betingelse 2: Der er legitimt grundlag for overførsel af personoplysninger til tredjeland: Samtykke Opfyldelse af aftale mellem dataansvarlig og den registerede, eller mellem databehandler og tredjemand i den registeredes interesse;eller Væsentlige samfundsmæssige interesser eller retskrav; Beskyttelse af den registreredes vitale interesser; Hensynet til offentlige sikkerhed, rigets forsvar eller statens sikkerhed. Andet særligt grundlag. Betingelse 3: Oplysningerne er ikke omfattet af krigsreglen. CSC Proprietary and Confidential 9
Obligations of Data Controller Alternative valide grundlag for overførsel til tredjelande: Safe Harbour EU s standardkontrakter (model clauses). Binding Corporate Rules. CSC Proprietary and Confidential 10
Hvad gør jeg for at sikre mig som dataansvarlig? 1. Sikre eget interne grundlag for databehandling 2. Sikre grundlag for databehandlers behandling via en databehandleraftale. (i) kun efter instruks (ii) fornødne organisatoriske og tekniske sikkerhedsforanstaltninger (iii) henvisning til Sikkerhedsbekendtgørelsen (off. dataansvarlig) 1. Sikre at aftale med databehandleren muliggør opfyldelse af dataansvarliges forpligtelser overfor de registrerede. 2. Sikre og få mulighed for at verificere at der foreligger passende sikkerhedsniveau hos databehandler. 3. Sikre at der foreligger grundlag for overførsel til tredjelande, hvor relevant, eks. i form af EU s standardaftaler. CSC Proprietary and Confidential 11
Risikovurdering og kontrol Den dataansvarlige bør foretage: Vurdering af den tilbudte løsnings fit og type (public, private eller community cloud). Indledende risikovurdering af leverandøren, eks. med støtte i ENISAs checkliste og vanlige certificeringer (ISO 27001/2, 27018 og kommende 27017 mfl.), og Efterfølgende, jævnlig kontrol af det krævede sikkerhedsniveau, eks. via krav om uafhængig revisionsrapport, ret til fysisk kontrol m.v. Krav må dog afbalanceres med det faktum, at cloud-løsninger vanligvis udbydes som en standardydelse med lav mulighed for imødekommelse af individuelle krav. Overvejelse, om der er typer af informationer, som af forskellige årsager ikke egner sig til skyen følsomme personoplysninger, forretningskritiske oplysninger, lovkrav (eks. Regnskabsloven eller krigsreglen). CSC Proprietary and Confidential 12
Hvad nu med amerikanske eller amerikansk-ejede databehandlere? Patriot Act og den danske retsplejelov kan under særlige betingelser, herunder at data vedrører terrorisme eller hemmelige efterretningsaktiviteter, give offentlige myndigheder adgang til virksomheders data Det et underordnet om data ligger hos virksomheden selv, et driftscenter i Danmark eller hos en cloud-udbyder i f.eks. Irland Der er ikke noget der tyder på at datas geografiske placering har nogen betydning for myndigheders ønske om adgang til data. Stil krav til kontrakten ift. orientering om adgang/udlevering. Overvej hvilke data, som cloud-løsning anvendes til. CSC Proprietary and Confidential 13
Sikkerhedsbekendtgørelsen Sikkerhedsbekendtgørelsen gælder databehandling, som udføres for offentlige myndigheder, men Datatilsynet anbefaler at også private dataansvarlige tilrettelægger sikkerhedsforanstaltninger i overensstemmelse hermed. Bekendtgørelsen opstiller en række sikkerhedskrav, der skal påses af den dataansvarlige: 1. retningslinjer for og beskrivelse af sikkerhedsforanstaltninger; 2. instruktion af medarbejdere; 3. skriftlige databehandleraftaler, som sikrer datasikkerheden og kontrol hermed; 4. fysisk sikkerhed; 5. autorisationsprocedurer; 6. risikovurdering ved transmission via internettet; 7. kontrol med afviste adgangsforsøg, og 8. logning af anvendelser af fortrolige og følsomme personoplysninger. CSC Proprietary and Confidential 14
Regnskabsloven og Bogføringsloven Bogføringsmateriale/regnskabsmateriale skal som udgangspunkt opbevares i Danmark eller de nordiske lande. Løsningen skal sikre, at bogføringsmaterialet ikke ødelægges, bortskaffes eller forvanskes og sikres mod misbrug og fejl. Men bogføringsmateriale kan opbevares andetsteds, såfremt der hver måned downloades eller tages fysisk kopi af materialet til en server eller lokation i Danmark. CSC Proprietary and Confidential 15
Arkivloven Finder anvendelse på offentlige myndigheders arkivalier. Relevant hvis eks. Sagsbehandlingssystem er cloudløsning. Pligt til at sikre varetagelse af arkivmæssige hensyn, herunder betryggende opbevaring af arkivalier. Relevante myndighed har ansvaret herfor indtil overdragelse til Statens Arkiv. CSC Proprietary and Confidential 16
Kontraktuelle overvejelser Regulatoriske risici og ansvar Exit-håndtering: lock-in, ret til data og migrering. Kontroltab ctr. adgang til kontrol Kriseberedskab/continuity Afregningsbasis og verificering Immaterielle rettigheder Fortrolighed Service levels Øvrige generelle kontraktsvilkår: erstatningsbegrænsninger, værneting mv. CSC Proprietary and Confidential 17
Questions? Relevante links http://ec.europa.eu/justice_home/fsj/privacy/ http://ec.europa.eu/justice/newsroom/dataprotection/news/120125_en.htm http://www.export.gov/safeharbor/index.html http://www.fedma.org/code/page.cfm?id_page=106 http://www.enisa.europa.eu/ CSC Proprietary and Confidential 18