ER DET DIT JURIDISKE ANSVAR? edgemo summit AAR 29. oktober 2015 Kristian Storgaard advokat (L), certificeret IT-advokat Kromann Reumert SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 JA. SIDE 2 1
KAN MAN OUTSOURCE ANSVAR? SIDE 3 HOVEDTEMAER 1. Outsourcing 2. Persondata og cloud Hvad er it s juridiske ansvar, når vi outsourcer? Hvem hænger på hvad? O365, hosting, cloud, ind- og udland, fuld eller selektiv outsourcing hvilke krav stilles der? Muligheder og faldgruber. SIDE 4 2
TIDENS TRENDS Beskyttelse af privatlivets fred er (blevet) modern - men udfordres kraftigt af den teknologiske udvikling Oplysninger samles i store mængder - Big data og data mining Oplysninger deles i meget vidt omfang og ofte uden at folk ved det Datasikkerhed/cyber crime er kommet på dagsordenen Reglerne bliver mere og mere komplicerede og nogle aktører er slet ikke underlagt dansk ret SIDE 5 OUTSOURCING SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 3
HVAD ER OUTSOURCING? Hvad er outsourcing En aftale med en tredjepart om udførelse af en intern forretningsproces Outsourcing = Virksomhedsoverdragelse + driftsaftale Hvad kan man outsource (IT)? Udvikling, Vedligehold Driftsafvikling Helpdesk, end user support Netværk Rettigheder/pligter Medarbejdere Driftsmidler Aftaler med tredjeparter Hvad kan/bør man ikke outsource? Kontrol- og administrationsfunktion Strategiske overvejelser Kerneforretning Virksomhedens ansvar eks. regulatorisk ansvar SIDE 7 HVORFOR OUTSOURCE? Fordele Besparelser Fokus på kerneforretning Standardisering Adgang til ny teknologi Risikodeling Finansiering af ekspansion eller ændringer Skalérbarhed Forbedret opgaveløsning Risici Mister kontrol Pris på alle ekstraopgaver Ikke samme interesser Scope creep Mangel på fleksibilitet Kultur Mangel på forretningsforståelse hos leveranceorganisationer Formål skal være klart defineret og styrende for processen SIDE 8 4
GRUNDLÆGGENDE OVERVEJELSER Er organisationen klar? Outsourcing trækker store ressourcer hvis det skal lykkes Outsource to fix or fix before outsourcing? Outsourcing er komplekst Ved man ikke hvad man skal have er det svært at kræve det af leverandøren Kan man/ønsker man at in-source igen? Overvejelser om setup Single- eller multisourcing Ansvarsfordeling Systemintegrator End-to-End ansvar Governance Fleksibilitet Retained organisation Vidensniveau Hvorfra leveres ydelserne? On-site, Lokalt, Near-shore, Off-shore SIDE 9 KONTRAKTOVERVEJELSER Ydelse Hvad er scope og hvad er ydelsen? Hvad er vores egne forpligtelser? Fleksibilitet i scope Kvalitet SLA er Bod og andre sanktioner ved manglende opfyldelse Mulighed for indgreb hvis noget går skævt Tid Varighed, opsigelse Pris Pris og betaling Volumen reguleringsmekanismer Sikkerhed Regulatoriske forhold - persondata Andre sikkerhedskrav Ophør Hvordan får vi flyttet driften tilbage/til ny leverandør? SIDE 10 5
PERSONDATA OG CLOUD SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 CLOUD - TEKNISK SIDE 12 6
KONCEPT OG KARAKTERISTIKA Ydelserne stilles til rådighed over internettet og kræver ikke (tung) installation på kundens pc. Kunden ejer ikke løsningen. Man får del i stordriften. Der betales typisk via abonnement efter brug. Måden, hvorpå løsningen leveres karakteriserer cloud computing ikke selve løsningen SIDE 13 CLOUD - FORRETNINGSMÆSSIGT Den lyserøde sky Få eller ingen opstartsomkostninger Behovsbaseret brug (og omkostning) Fleksibilitet ift. brugere Adgang til seneste teknologi/version God leverance-sikkerhed Grøn teknologi Lave exit-omkostninger eller bare varm luft? Muligvis dyrere over tid Begrænset kontrol Få muligheder for special-tilpasninger Lock-in Adgangsproblemer Datasikkerhed tilbagelevering af data Dårligt samspil mellem forskellige leverandørers løsninger SIDE 14 7
CLOUD - JURIDISK En ny leveranceform Persondata Andre regulatoriske udfordringer Licenser Kontrakt SIDE 15 PERSONDATA Personoplysning: oplysning om en identificeret eller identificerbar fysisk person Også krypterede data Al elektronisk behandling af personoplysninger er omfattet af persondataloven, når Den dataansvarlige er etableret i Danmark -> alle danske virksomheder/myndigheder er omfattet af loven uanset hvor i verden virksomheden får dataene behandlet og opbevaret. Når dataansvarlige i lande uden for EU benytter hjælpemidler i DK eller indsamler oplysninger i DK. SIDE 16 8
PERSONDATARETTEN I FREMTIDEN Nye regler på vej Forslag til nye, europæiske regler fremsat 25. januar 2012 Nationale høringsrunder udbredt kritik - 3.000+ ændringsforslag vedtaget af EP Forventes vedtaget i slutningen af 2015/start 2016 to års ikrafttrædelsesfrist Forordning Direkte virkning - skal ikke omskrives til lokal lovgivning Intet rum for nationale særregler (med visse undtagelser!) - ensartet fortolkning og ensartet sanktionering Hovedønsker / udfordringer De nationale regler er for uensartede Beskyttelsen er ikke tilstrækkelig sikret ved databehandlingsprocesser hos eksterne leverandører EU-borgere skal være sikret også ved udbud af varer eller tjenester fra tredjelandsvirksomheder eller overvågning fra disse (her finder forordningen anvendelse) Princip om accountability Der skal være øget transparens Sanktionerne skal være hårdere Det overordnede ønske: Skærpet beskyttelse af individet (ses generelt på en lang række EU-områder) SIDE 17 SIKKERHEDSKRAV TIL PERSONDATA Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven ( 41, stk. 3) Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de [ ] nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. ( 42, stk. 1) Sikkerhedskravene i persondataloven Adgangskontrol aflåste serverrum, vagt mv. Teknisk adgangskontrol brugernavn, passwords mv. Transmission (kryptering) Ingen uautoriseret adgang og logning af adgangsforsøg SIDE 18 9
ANDRE KRAV TIL PERSONDATA Krav til databehandleraftale Instruks til databehandleren - Skriftlighed Klarhed Den registreredes rettigheder Oplysningspligt indsigtsret rettet eller slettet vildledende oplysninger Overførsel til tredjelande (PDL 27, stk.3) Forbud Standardkontrakter EU s standardkontrakter Binding Corporate Rules Krigsreglen (persondatalovens 41, stk. 4) For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. SIDE 19 SAFE HARBOR Dataoverførsel kan ske fra Europa til ikke-europæiske lande, hvis modtagerlandet yder et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger. Safe Harbor-ordning gjorde at Safe Harbour-certificerede virksomheder var sikre EU-Domstolen har fastslået, at Safe Harbor-ordningen er ugyldig. Amerikanske myndigheder generelt kunne få adgang til de overførte personoplysninger De registrerede personer ikke selv kunne få adgang til deres oplysninger og kræve dem slettet eller berigtiget. => Data kan ikke længere frit kan overføres til certificerede Safe Harborvirksomheder. NU: Identificer berørte overførsler og beslut fremadrettet håndtering Brug evt. kommissionens standardaftaler EU har givet sig selv 3 måneder til at finde en løsning. (-> slut januar 2016) SIDE 20 10
PERSONDATARETTEN I FREMTIDEN Registreredes rettigheder er et særligt fokusområde Korte privacy policies tilgængelighed udvidet ret til sletning m.v. Udvidede krav til samtykke Krav om accountability Øgede dokumentationskrav for behandlingsaktiviteter, uddannelse, kontrol m.v. Obligatorisk implementering af sikkerhedspolitik, gennemførelse af risikoanalyser, udpegning af data protection officer Indføre regler og passende og påviselige tekniske og organisatoriske foranstaltninger for at sikre og påvise (dokumentere) compliance. Sikkerhed Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud Øget og strengere sanktionering konkurrenceretsbøder SIDE 21 PERSONDATARETTEN I FREMTIDEN Konkret betydning for cloud Højere krav til sikkerhedsniveau Forskellige risikoanalyser for forskellige kundetyper Flere ressourcer på at implementere ekstra sikkerhedsforanstaltninger og begrænse risici for sikkerhedsbrud. Mere komplekse aftaler med dataansvarlige Flere krav til indholdet af aftalerne mellem en dataansvarlig og databehandleren eks. type af persondata og kategori af dataobjekter Flere forpligtelser til databehandlerens hjælp ved audits hos den dataansvarlige Færre cloud-løsninger fra udbydere uden for EU? Ekstraterritoriale virkning af forordningen kan potentielt afholde ikke-eu baserede cloud-leverandører fra at udbyde deres tjenester til kunder i EU (eller afvise at håndtere personoplysninger fra EU) SIDE 22 11
EKSEMPLER FRA PRAKSIS (1) Datatilsynets udtalelse af 11. juli 2011 Brug af Dropbox til behandling af følsomme personoplysninger omfattet af en tilladelse fra Datatilsynet Problemstillinger: Anmeldelse til Datatilsynet omfattede ikke Dropbox Overførsel af oplysninger til tredjelande Anvendelse af databehandler Konklusion: Da din brug af Dropbox til behandling af personoplysninger ikke er lovlig uden tilladelse, er det Datatilsynets opfattelse, at du omgående må stoppe brugen af Dropbox til behandling af følsomme personoplysninger. Datatilsynets udtalelse af 3. februar 2011 Odense Kommunes brug af Google Apps online kontorpakke til lærernes registrering af (følsomme) oplysninger om eleverne. Problemstillinger: Overførsel af oplysninger til tredjelande Behandlingssikkerhed generelt Anvendelse af databehandler Sletning - Transmission og login -Logning og Kontrol med afviste adgangsforsøg Konklusion: på en række punkter er [der] problemer i forhold til kravene i persondataloven SIDE 23 EKSEMPLER FRA PRAKSIS (2) Datatilsynets Udtalelse af 7. juni 2012 Behandling af personoplysninger i Office 365 Opfyldelse af PDL s krav til datasikkerhed (10 stk. var Ikke en tilladelse til brug af Office 365 fra nævnt), herunder: Datatilsynets side, men en mere generel udtalelse om Krav om aftale og kontrol med databehandler den konkrete cloud-baserede løsning Krav om risikovurdering Sikkerhedskrav, f.eks. fysisk sikkerhed Ansvaret er hos dataansvarlige Krav om tilstrækkelig sletning Forhold der skal sikres Krav om logning (dog ikke altid) se Databehandleraftale skal tilvælges sikkerhedsbekendtgørelsen 19, stk.1 og stk. 2 Valgfrie kontrakttillæg vedrørende beskyttelse af personlige oplysninger og sikkerhed i Office 365 Overførsel til tredjelande standardkontrakten er ikke standard Konklusion: et let tøvende ja, som giver en del god råd til hvad man skal være opmærksom på. SIDE 24 12
EKSEMPLER FRA PRAKSIS (3) Datatilsynets Udtalelse af 10. juli 2012 IT-universitetets brug af Office 365 Henviser for store deles vedkommen til udtalelsen til Microsoft Påpeger (og gentager) at det er ITU, der er ansvarlige for at dataene behandles lovligt at der foretages en risikovurdering i forhold til samtlige aspekter ved løsningen Under forudsætning af, at IT-Universitetets behandling af personoplysninger ved brug af Office 365 sker under iagttagelse af reglerne i persondataloven og sikkerhedsbekendtgørelsen, giver de fremsendte ændringer ikke Datatilsynet anledning til yderligere bemærkninger. Datatilsynets udtalelse af 15. januar 2014 Kommunes brug af dansk databehandler og cloudbaseret underdatabehandler Ikke så meget nyt henviser til tidligere afgørelser Angiver brug af standardaftaler I den anledning skal Datatilsynet understrege, at den dataansvarlige myndighed i dette tilfælde Kommune K har ansvaret for at personoplysninger behandles og beskyttes i overensstemmelse med persondataloven 1 og sikkerhedsbekendtgørelsen 2, uanset hvor data lagres. => Ansvaret kan ikke outsources SIDE 25 EU S ANBEFALINGER Opinion 05/2012 on Cloud Computing (1 July 2012) A key conclusion of this Opinion is that businesses and administrations wishing to use cloud computing should conduct, as a first step, a comprehensive and thorough risk analysis. Væsentlige elementer i anbefalingen Risikovurdering 3.parts certificering Safe harbor efterlevelse (<- men hvad nu med det.?) Kontraktuelle krav SIDE 26 13
RISIKOVURDERING OG KONTROL Risikovurdering Har man kontrol over data, herunder: er der kompatibilitet med andre cloud-systemer, så data kan flyttes, hvem deler ellers den pågældende cloud (integritetsproblematik), og kan data ved en fejl tilgås af andre "lejere", kan den dataansvarlige hindre udlevering af egne data til myndigheder i tredjelande, og slettes/tilbageleveres data effektivt ved endt brug eller aftalens ophør. Risici Ugennemsigtighed/utilstrækkelig information om selve databehandlingen, herunder: hvor befinder data sig geografisk - sker der overførsel til tredjelande med deraf følgende videregivelsesproblematikker, anvendes der underdatabehandlere, hvem er de, hvor befinder de sig, og hvordan er ansvarsfordelingen, og er der tilstrækkelig organisatorisk og teknisk sikkerhed, fx i forbindelse med netværks sammenbrud. SIDE 27 ANDRE UDFORDRINGER Bogføringsloven Tidligere ikke muligt at opbevare regnskabsdata i udlandet det er nu muligt Visse betingelser, eks. onlineadgang og opbevaring af systembeskrivelser og adgangskoder i Danmark Regnskabsloven / Bekendtgørelse om statens regnskabsvæsen mv. Offentlige myndigheders regnskabsoplysninger skal opbevares her i landet. Arkivloven Række specielle krav til hvordan materiale arkiveres og dermed også til sagsbehandlingssystemer gælder for offentlige virksomheder Licenser Er din licens gyldig i skyen? (IaaS, PaaS) SIDE 28 14
LØSNINGER Fokus på forarbejdet risikovurderinger mv. juridisk due diligence / sikring af compliance. Databehandleraftaler Behandlingen af persondata skal på dagsordenen under kontraktforhandlingen det skal være en del af aftalen Auditering under samarbejdet (det skal man faktisk!) Anmeldelse til Datatilsynet/tilpasning af allerede foretagne anmeldelser. Lokale, nationale eller regionale cloud-løsninger Dedicerede cloudløsninger til særlige formål Hav styr på licenserne Tilladelser og dispensationer SIDE 29 CLOUD - KONTRAKTEN Licensen i en ny kontekst Ikke en IT-løsning men en abonnementsmodel Overførsel af gamle licenser Levering af ydelsen Ydelsesbeskrivelse hvad leveres Aftestning/godkendelse af ydelsen/tilpasninger Oppetid/tilgængelighed - leverancesikkerhed Service Levels & penalties Disaster recovery, datagenskabelse Datasikkerhed/håndtering Krav om behandlingssted Compliance og audit Sikkerhedskrav og -standarder Betaling Betalingsplaner og betalingsmodeller Ændringer/tilpasninger til cloudløsningen Rettigheder hertil Ardic Vedligehold heraf, herunder ved versionsopdateringer Først med sidste nyt, first mover risiko Snitflader med andre leverandører Andre programleverandører, cloud-leverandører, udviklerere Netværksoperatøren Exit-scenarier Dataformat Ekstern back-up SIDE 30 15
BYOD SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 OUTSOURCING TIL MEDARBEJDERNE - BYOD Særlige BYOD opmærksomhedspunkter Håndhævelse af sikkerhedskrav er det muligt at kontrollere brugernes enheder eks. kryptering, sletning m.v.? Persondata - de persondata, som virksomheden er ansvarlig for, skal opbevares sikkert også selv om det er på den ansattes egen enhed eks. fjernsletning af data overvågning af privat brug? Underlicensering eks. hvis licensaftalen ikke tillader brugen af softwaren på medarbejdernes private enheder Ansættelsesretlige udfordringer aftaler, varsling m.v. Er choose your own device bedre? BYOD ændrer ikke på virksomhedens juridiske ansvar SIDE 32 16
SPØRGSMÅL? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 KONTAKTINFORMATION Kristian Storgaard Advokat (L), certificeret ITadvokat, Aarhus Tel.: +45 38 77 44 70 Mob.: +45 20 19 74 10 kst@kromannreumert.com SIDE 34 17