JA. ER DET DIT JURIDISKE ANSVAR? 02-11-2015. edgemo summit AAR 29. oktober 2015



Relaterede dokumenter
Cloud Computing De juridiske aspekter

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Tønder Kommune BILAG 10

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Driftskontrakt. Databehandleraftale. Bilag 14

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

2. Leverandøren er som databehandler forpligtet til følgende:

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

origo Databehandleraftale

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

Databehandleraftale e-studio.dk Side 1 af 6

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Persondataloven (lov nr. 429 med senere ændringer)

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

D A T A B E H A N D L E R A F T A L E

DATABEHANDLERAFTALE. Omsorgsbemanding

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DATABEHANDLERAFTALE. Mellem. Kommune: Adresse: Postnr./by: CVR. nr.: (herefter Kommunen )

! Databehandleraftale

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

BILAG 14: DATABEHANDLERAFTALE

Databehandlingsaftale

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

(Fremtidens) Regulering af cloud computing

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet):

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Databehandleraftale INDHOLDSFORTEGNELSE

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

DATABEHANDLERAFTALE Bilag til handelsaftale mellem Shopstart ApS (Databehandleren) og køber af webhotel tjeneste (Dataansvarlig)

MATEMATIK Tidsskrift og forlag

Standardvilkår. Databehandleraftale

Vilkår for brug af systemer

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Behandling af personoplysninger

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Overblik over persondataforordningen

Bilag X Databehandleraftale

Retningslinje om dataansvarlig/databehandler

DATABEHANDLERAFTALE SMTP.DK KUNDEN

Kontraktbilag 3. Databehandleraftale

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK (EKSTERN)

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Aftale vedrørende fælles dataansvar

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Rammeaftalebilag 5 - Databehandleraftale

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Bilag B Databehandleraftale pr

Persondataforordningen...den nye erklæringsstandard

Persondataretlige aspekter ved cloud computing

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Birgitte Toxværd Bruun & Hjejle

Tilladelsen gives på følgende vilkår:

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Databehandleraftale Version af

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

DATABEHANDLERAFTALE MELLEM «NAVN» DANSKLÆRERFORENINGENS FORLAG A/S CVR-NR

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Aftale omkring behandling af persondata.

Retningslinje om overførsel til tredjelande

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Q&A om GDPR IT-Branchen 30. april 2018

Databehandleraftale. Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.: ( Databehandleren ) Dato: 8/20/ :38:52 AM

Transkript:

ER DET DIT JURIDISKE ANSVAR? edgemo summit AAR 29. oktober 2015 Kristian Storgaard advokat (L), certificeret IT-advokat Kromann Reumert SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 JA. SIDE 2 1

KAN MAN OUTSOURCE ANSVAR? SIDE 3 HOVEDTEMAER 1. Outsourcing 2. Persondata og cloud Hvad er it s juridiske ansvar, når vi outsourcer? Hvem hænger på hvad? O365, hosting, cloud, ind- og udland, fuld eller selektiv outsourcing hvilke krav stilles der? Muligheder og faldgruber. SIDE 4 2

TIDENS TRENDS Beskyttelse af privatlivets fred er (blevet) modern - men udfordres kraftigt af den teknologiske udvikling Oplysninger samles i store mængder - Big data og data mining Oplysninger deles i meget vidt omfang og ofte uden at folk ved det Datasikkerhed/cyber crime er kommet på dagsordenen Reglerne bliver mere og mere komplicerede og nogle aktører er slet ikke underlagt dansk ret SIDE 5 OUTSOURCING SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 3

HVAD ER OUTSOURCING? Hvad er outsourcing En aftale med en tredjepart om udførelse af en intern forretningsproces Outsourcing = Virksomhedsoverdragelse + driftsaftale Hvad kan man outsource (IT)? Udvikling, Vedligehold Driftsafvikling Helpdesk, end user support Netværk Rettigheder/pligter Medarbejdere Driftsmidler Aftaler med tredjeparter Hvad kan/bør man ikke outsource? Kontrol- og administrationsfunktion Strategiske overvejelser Kerneforretning Virksomhedens ansvar eks. regulatorisk ansvar SIDE 7 HVORFOR OUTSOURCE? Fordele Besparelser Fokus på kerneforretning Standardisering Adgang til ny teknologi Risikodeling Finansiering af ekspansion eller ændringer Skalérbarhed Forbedret opgaveløsning Risici Mister kontrol Pris på alle ekstraopgaver Ikke samme interesser Scope creep Mangel på fleksibilitet Kultur Mangel på forretningsforståelse hos leveranceorganisationer Formål skal være klart defineret og styrende for processen SIDE 8 4

GRUNDLÆGGENDE OVERVEJELSER Er organisationen klar? Outsourcing trækker store ressourcer hvis det skal lykkes Outsource to fix or fix before outsourcing? Outsourcing er komplekst Ved man ikke hvad man skal have er det svært at kræve det af leverandøren Kan man/ønsker man at in-source igen? Overvejelser om setup Single- eller multisourcing Ansvarsfordeling Systemintegrator End-to-End ansvar Governance Fleksibilitet Retained organisation Vidensniveau Hvorfra leveres ydelserne? On-site, Lokalt, Near-shore, Off-shore SIDE 9 KONTRAKTOVERVEJELSER Ydelse Hvad er scope og hvad er ydelsen? Hvad er vores egne forpligtelser? Fleksibilitet i scope Kvalitet SLA er Bod og andre sanktioner ved manglende opfyldelse Mulighed for indgreb hvis noget går skævt Tid Varighed, opsigelse Pris Pris og betaling Volumen reguleringsmekanismer Sikkerhed Regulatoriske forhold - persondata Andre sikkerhedskrav Ophør Hvordan får vi flyttet driften tilbage/til ny leverandør? SIDE 10 5

PERSONDATA OG CLOUD SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 CLOUD - TEKNISK SIDE 12 6

KONCEPT OG KARAKTERISTIKA Ydelserne stilles til rådighed over internettet og kræver ikke (tung) installation på kundens pc. Kunden ejer ikke løsningen. Man får del i stordriften. Der betales typisk via abonnement efter brug. Måden, hvorpå løsningen leveres karakteriserer cloud computing ikke selve løsningen SIDE 13 CLOUD - FORRETNINGSMÆSSIGT Den lyserøde sky Få eller ingen opstartsomkostninger Behovsbaseret brug (og omkostning) Fleksibilitet ift. brugere Adgang til seneste teknologi/version God leverance-sikkerhed Grøn teknologi Lave exit-omkostninger eller bare varm luft? Muligvis dyrere over tid Begrænset kontrol Få muligheder for special-tilpasninger Lock-in Adgangsproblemer Datasikkerhed tilbagelevering af data Dårligt samspil mellem forskellige leverandørers løsninger SIDE 14 7

CLOUD - JURIDISK En ny leveranceform Persondata Andre regulatoriske udfordringer Licenser Kontrakt SIDE 15 PERSONDATA Personoplysning: oplysning om en identificeret eller identificerbar fysisk person Også krypterede data Al elektronisk behandling af personoplysninger er omfattet af persondataloven, når Den dataansvarlige er etableret i Danmark -> alle danske virksomheder/myndigheder er omfattet af loven uanset hvor i verden virksomheden får dataene behandlet og opbevaret. Når dataansvarlige i lande uden for EU benytter hjælpemidler i DK eller indsamler oplysninger i DK. SIDE 16 8

PERSONDATARETTEN I FREMTIDEN Nye regler på vej Forslag til nye, europæiske regler fremsat 25. januar 2012 Nationale høringsrunder udbredt kritik - 3.000+ ændringsforslag vedtaget af EP Forventes vedtaget i slutningen af 2015/start 2016 to års ikrafttrædelsesfrist Forordning Direkte virkning - skal ikke omskrives til lokal lovgivning Intet rum for nationale særregler (med visse undtagelser!) - ensartet fortolkning og ensartet sanktionering Hovedønsker / udfordringer De nationale regler er for uensartede Beskyttelsen er ikke tilstrækkelig sikret ved databehandlingsprocesser hos eksterne leverandører EU-borgere skal være sikret også ved udbud af varer eller tjenester fra tredjelandsvirksomheder eller overvågning fra disse (her finder forordningen anvendelse) Princip om accountability Der skal være øget transparens Sanktionerne skal være hårdere Det overordnede ønske: Skærpet beskyttelse af individet (ses generelt på en lang række EU-områder) SIDE 17 SIKKERHEDSKRAV TIL PERSONDATA Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven ( 41, stk. 3) Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de [ ] nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. ( 42, stk. 1) Sikkerhedskravene i persondataloven Adgangskontrol aflåste serverrum, vagt mv. Teknisk adgangskontrol brugernavn, passwords mv. Transmission (kryptering) Ingen uautoriseret adgang og logning af adgangsforsøg SIDE 18 9

ANDRE KRAV TIL PERSONDATA Krav til databehandleraftale Instruks til databehandleren - Skriftlighed Klarhed Den registreredes rettigheder Oplysningspligt indsigtsret rettet eller slettet vildledende oplysninger Overførsel til tredjelande (PDL 27, stk.3) Forbud Standardkontrakter EU s standardkontrakter Binding Corporate Rules Krigsreglen (persondatalovens 41, stk. 4) For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. SIDE 19 SAFE HARBOR Dataoverførsel kan ske fra Europa til ikke-europæiske lande, hvis modtagerlandet yder et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger. Safe Harbor-ordning gjorde at Safe Harbour-certificerede virksomheder var sikre EU-Domstolen har fastslået, at Safe Harbor-ordningen er ugyldig. Amerikanske myndigheder generelt kunne få adgang til de overførte personoplysninger De registrerede personer ikke selv kunne få adgang til deres oplysninger og kræve dem slettet eller berigtiget. => Data kan ikke længere frit kan overføres til certificerede Safe Harborvirksomheder. NU: Identificer berørte overførsler og beslut fremadrettet håndtering Brug evt. kommissionens standardaftaler EU har givet sig selv 3 måneder til at finde en løsning. (-> slut januar 2016) SIDE 20 10

PERSONDATARETTEN I FREMTIDEN Registreredes rettigheder er et særligt fokusområde Korte privacy policies tilgængelighed udvidet ret til sletning m.v. Udvidede krav til samtykke Krav om accountability Øgede dokumentationskrav for behandlingsaktiviteter, uddannelse, kontrol m.v. Obligatorisk implementering af sikkerhedspolitik, gennemførelse af risikoanalyser, udpegning af data protection officer Indføre regler og passende og påviselige tekniske og organisatoriske foranstaltninger for at sikre og påvise (dokumentere) compliance. Sikkerhed Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud Øget og strengere sanktionering konkurrenceretsbøder SIDE 21 PERSONDATARETTEN I FREMTIDEN Konkret betydning for cloud Højere krav til sikkerhedsniveau Forskellige risikoanalyser for forskellige kundetyper Flere ressourcer på at implementere ekstra sikkerhedsforanstaltninger og begrænse risici for sikkerhedsbrud. Mere komplekse aftaler med dataansvarlige Flere krav til indholdet af aftalerne mellem en dataansvarlig og databehandleren eks. type af persondata og kategori af dataobjekter Flere forpligtelser til databehandlerens hjælp ved audits hos den dataansvarlige Færre cloud-løsninger fra udbydere uden for EU? Ekstraterritoriale virkning af forordningen kan potentielt afholde ikke-eu baserede cloud-leverandører fra at udbyde deres tjenester til kunder i EU (eller afvise at håndtere personoplysninger fra EU) SIDE 22 11

EKSEMPLER FRA PRAKSIS (1) Datatilsynets udtalelse af 11. juli 2011 Brug af Dropbox til behandling af følsomme personoplysninger omfattet af en tilladelse fra Datatilsynet Problemstillinger: Anmeldelse til Datatilsynet omfattede ikke Dropbox Overførsel af oplysninger til tredjelande Anvendelse af databehandler Konklusion: Da din brug af Dropbox til behandling af personoplysninger ikke er lovlig uden tilladelse, er det Datatilsynets opfattelse, at du omgående må stoppe brugen af Dropbox til behandling af følsomme personoplysninger. Datatilsynets udtalelse af 3. februar 2011 Odense Kommunes brug af Google Apps online kontorpakke til lærernes registrering af (følsomme) oplysninger om eleverne. Problemstillinger: Overførsel af oplysninger til tredjelande Behandlingssikkerhed generelt Anvendelse af databehandler Sletning - Transmission og login -Logning og Kontrol med afviste adgangsforsøg Konklusion: på en række punkter er [der] problemer i forhold til kravene i persondataloven SIDE 23 EKSEMPLER FRA PRAKSIS (2) Datatilsynets Udtalelse af 7. juni 2012 Behandling af personoplysninger i Office 365 Opfyldelse af PDL s krav til datasikkerhed (10 stk. var Ikke en tilladelse til brug af Office 365 fra nævnt), herunder: Datatilsynets side, men en mere generel udtalelse om Krav om aftale og kontrol med databehandler den konkrete cloud-baserede løsning Krav om risikovurdering Sikkerhedskrav, f.eks. fysisk sikkerhed Ansvaret er hos dataansvarlige Krav om tilstrækkelig sletning Forhold der skal sikres Krav om logning (dog ikke altid) se Databehandleraftale skal tilvælges sikkerhedsbekendtgørelsen 19, stk.1 og stk. 2 Valgfrie kontrakttillæg vedrørende beskyttelse af personlige oplysninger og sikkerhed i Office 365 Overførsel til tredjelande standardkontrakten er ikke standard Konklusion: et let tøvende ja, som giver en del god råd til hvad man skal være opmærksom på. SIDE 24 12

EKSEMPLER FRA PRAKSIS (3) Datatilsynets Udtalelse af 10. juli 2012 IT-universitetets brug af Office 365 Henviser for store deles vedkommen til udtalelsen til Microsoft Påpeger (og gentager) at det er ITU, der er ansvarlige for at dataene behandles lovligt at der foretages en risikovurdering i forhold til samtlige aspekter ved løsningen Under forudsætning af, at IT-Universitetets behandling af personoplysninger ved brug af Office 365 sker under iagttagelse af reglerne i persondataloven og sikkerhedsbekendtgørelsen, giver de fremsendte ændringer ikke Datatilsynet anledning til yderligere bemærkninger. Datatilsynets udtalelse af 15. januar 2014 Kommunes brug af dansk databehandler og cloudbaseret underdatabehandler Ikke så meget nyt henviser til tidligere afgørelser Angiver brug af standardaftaler I den anledning skal Datatilsynet understrege, at den dataansvarlige myndighed i dette tilfælde Kommune K har ansvaret for at personoplysninger behandles og beskyttes i overensstemmelse med persondataloven 1 og sikkerhedsbekendtgørelsen 2, uanset hvor data lagres. => Ansvaret kan ikke outsources SIDE 25 EU S ANBEFALINGER Opinion 05/2012 on Cloud Computing (1 July 2012) A key conclusion of this Opinion is that businesses and administrations wishing to use cloud computing should conduct, as a first step, a comprehensive and thorough risk analysis. Væsentlige elementer i anbefalingen Risikovurdering 3.parts certificering Safe harbor efterlevelse (<- men hvad nu med det.?) Kontraktuelle krav SIDE 26 13

RISIKOVURDERING OG KONTROL Risikovurdering Har man kontrol over data, herunder: er der kompatibilitet med andre cloud-systemer, så data kan flyttes, hvem deler ellers den pågældende cloud (integritetsproblematik), og kan data ved en fejl tilgås af andre "lejere", kan den dataansvarlige hindre udlevering af egne data til myndigheder i tredjelande, og slettes/tilbageleveres data effektivt ved endt brug eller aftalens ophør. Risici Ugennemsigtighed/utilstrækkelig information om selve databehandlingen, herunder: hvor befinder data sig geografisk - sker der overførsel til tredjelande med deraf følgende videregivelsesproblematikker, anvendes der underdatabehandlere, hvem er de, hvor befinder de sig, og hvordan er ansvarsfordelingen, og er der tilstrækkelig organisatorisk og teknisk sikkerhed, fx i forbindelse med netværks sammenbrud. SIDE 27 ANDRE UDFORDRINGER Bogføringsloven Tidligere ikke muligt at opbevare regnskabsdata i udlandet det er nu muligt Visse betingelser, eks. onlineadgang og opbevaring af systembeskrivelser og adgangskoder i Danmark Regnskabsloven / Bekendtgørelse om statens regnskabsvæsen mv. Offentlige myndigheders regnskabsoplysninger skal opbevares her i landet. Arkivloven Række specielle krav til hvordan materiale arkiveres og dermed også til sagsbehandlingssystemer gælder for offentlige virksomheder Licenser Er din licens gyldig i skyen? (IaaS, PaaS) SIDE 28 14

LØSNINGER Fokus på forarbejdet risikovurderinger mv. juridisk due diligence / sikring af compliance. Databehandleraftaler Behandlingen af persondata skal på dagsordenen under kontraktforhandlingen det skal være en del af aftalen Auditering under samarbejdet (det skal man faktisk!) Anmeldelse til Datatilsynet/tilpasning af allerede foretagne anmeldelser. Lokale, nationale eller regionale cloud-løsninger Dedicerede cloudløsninger til særlige formål Hav styr på licenserne Tilladelser og dispensationer SIDE 29 CLOUD - KONTRAKTEN Licensen i en ny kontekst Ikke en IT-løsning men en abonnementsmodel Overførsel af gamle licenser Levering af ydelsen Ydelsesbeskrivelse hvad leveres Aftestning/godkendelse af ydelsen/tilpasninger Oppetid/tilgængelighed - leverancesikkerhed Service Levels & penalties Disaster recovery, datagenskabelse Datasikkerhed/håndtering Krav om behandlingssted Compliance og audit Sikkerhedskrav og -standarder Betaling Betalingsplaner og betalingsmodeller Ændringer/tilpasninger til cloudløsningen Rettigheder hertil Ardic Vedligehold heraf, herunder ved versionsopdateringer Først med sidste nyt, first mover risiko Snitflader med andre leverandører Andre programleverandører, cloud-leverandører, udviklerere Netværksoperatøren Exit-scenarier Dataformat Ekstern back-up SIDE 30 15

BYOD SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 OUTSOURCING TIL MEDARBEJDERNE - BYOD Særlige BYOD opmærksomhedspunkter Håndhævelse af sikkerhedskrav er det muligt at kontrollere brugernes enheder eks. kryptering, sletning m.v.? Persondata - de persondata, som virksomheden er ansvarlig for, skal opbevares sikkert også selv om det er på den ansattes egen enhed eks. fjernsletning af data overvågning af privat brug? Underlicensering eks. hvis licensaftalen ikke tillader brugen af softwaren på medarbejdernes private enheder Ansættelsesretlige udfordringer aftaler, varsling m.v. Er choose your own device bedre? BYOD ændrer ikke på virksomhedens juridiske ansvar SIDE 32 16

SPØRGSMÅL? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 KONTAKTINFORMATION Kristian Storgaard Advokat (L), certificeret ITadvokat, Aarhus Tel.: +45 38 77 44 70 Mob.: +45 20 19 74 10 kst@kromannreumert.com SIDE 34 17

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback