Persondataretlige aspekter ved cloud computing Anne Ermose, advokat, Microsoft Danmark Michael Hopp, partner, Plesner Dansk Forum for IT-ret, 28. november 2012 1 28 November 2012
Oversigt 1. Introduktion 2. Reglerne 3. Tidligere dansk praksis 4. Microsoft Office 365 afgørelserne 5. Artikel 29-gruppen 6. Andre lande 7. Konklusion 2
Introduktion Hvad er cloud computing? Hovedproblemer for den dataansvarlige - Tab af kontrol over oplysningerne - Manglende gennemsigtighed Hovedproblemer for den registrerede - Øget risiko for sikkerhedsbrist? - Udvanding af rettigheder 3
Take a physical server... Virtualise the OS and application......and host them on a generic virtual server. Application Application Application Operating System Operating System Operating System Physical Machine Virtual Machine Virtualization Layer Physical Machine 4
An array of such virtual servers, hosting different virtual instances of customer servers as required, form the infrastructure of the Cloud. 5
Access Portal User 1 User 2 User 3 In real network terms, the Cloud may comprise server arrays at multiple, inter-linked data centres accessed via the Internet. 6
User 1 User 2 User 3 As far as the customers are concerned, the Cloud may as well be a generic resource, accessed online from wherever required. 7
Reglerne Persondataloven - 41, stk. 3: Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. - 41, stk. 5: Hjemmel for sikkerhedsbekendtgørelsen for offentlige dataansvarlige 8
Reglerne Persondataloven - 42, stk. 1: Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. - 42, stk. 2: Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. 9
Tidligere dansk praksis Odense Kommune / Google Apps - 2010: DT afviser brugen af Google Apps - "Allerede fordi" afgørelse manglende sikkerhed ifm. log-in - Men problemkatalog med 14 punkter - 2012: DT afviser igen brugen af Google Apps - Manglende overholdelse af Pdl og sikkerhedsbkg. - Usikre tredjelande - Utilstrækkelig risikovurdering - Databehandleraftalen - Ingen mulighed for kontrol med overholdelse af sikkerhedskrav - Andre forhold 10
Microsoft Office 365 Baggrund - Office, Exchange, Lync og Sharepoint i skyen - Microsoft er databehandler (kunden er dataansvarlig) - Datacentre ligger i EU - Adgang fra og overførsel til tredjelande 11
Microsofts Cloud Principles 12
Hvad har Datatilsynet egentlig sagt? Udtalelse af 6. juni 2012 til Microsoft Danmark om Office365 Konkret afgørelse af 10. juli 2012 til ITU om Løn og Personaleadministration og Studieadministration 13
Trust Center http://www.microsoft.com/da-dk/office365/trust-center.aspx 14
Artikel 29-gruppen WP 196 1. juli 2012 Krav til aftalen Under-databehandlere Oplysninger til den dataansvarlige Oplysningspligt ift. de registrerede? Datasikkerhed Risikovurdering Audits Tredjelande 15
Andre lande Norge - September 2012: Narvik Kommunes brug af Google Apps email løsning - September 2012: Moss Kommunes brug af Microsoft Office 365 Sverige - September 2011: Vejledning (og konkrete sager) - September 2012: Breviks brug af Microsoft Windows Azure Holland - Oktober 2012: DPA - Generel udtalelse England - Oktober 2012: ICO Guidance on the use of cloud computing Tyskland - September 2011: Orientation guide - April 2012: SOPOT Memorandum 16
CV Anne Ermose Profil Advokat for Microsoft Danmark siden 2009 Tidligere advokat hos Lassen Ricard og fuldmægtig i Justitsministeriet Email: aermose@microsoft.com 17
CV Michael Hopp Profil - Michael Hopp har været ansat i Plesner siden 2000 og er partner i Plesners IPretsgruppe, hvor han er ansvarlig for Plesners juridiske rådgivning om persondatabeskyttelse, markedsføringsret og forbrugerret. Endvidere arbejder Michael med teknologi, medier og telekommunikation. - Arbejdet omfatter bl.a. rådgivning om persondatabeskyttelse, projekter til overholdelse af datasikkerhed, herunder Binding Corporate Rules, dataoverførsler, databeskyttelsespolitikker for kunder eller ansatte, overvågning af ansatte samt databeskyttelse i forbindelse med US discovery. Michael Hopp Persondata, Markedsføringsret og IT-ret Partner Tlf.: +45 36 94 1306 Mobil: +45 29 99 30 14 mho@plesner.com Sprog: Engelsk og skandinavisk - Michael yder også rådgivning i tvister og generel rådgivning vedrørende markedsføringsret, fx gennemgang af kampagner og nye forretningsmodeller samt klienters tvister med konkurrenter og myndigheder. Rådgivningen omfatter også nye forretningsmodeller rettet mod forbrugere, fx loyalitetsprogrammer, gavekort og forudbetalte kortsystemer såvel som online distribution af ydelser, fx musik og apps. Ratings - "E-commerce specialist Michael Hopp has 'an extensive knowledge of data protection'." Legal 500 (2011) - Michael Hopp has been listed as a leading individual as regards Intellectual Property. He is well known for his copyright work. Clients appreciate his business-minded approach. Chambers Global (2012) - Michael Hopp is listed as an expert with respect to IP, IT and Telecoms. EMEA (European) Legal Experts (2012) 18