Lukk

Tips noen om denne nettsiden

Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Sidemeny

Teknologi

Nettskytjenester - Cloud Computing

(Publisert: 25.11.2011 Sist endret: 20.09.2012)
Forsidebilde til veileder om Cloud Computing
Virksomheter som tar i bruk nettskytjenester er juridisk ansvarlig, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

I denne veilederen vurderer Datatilsynet nettskyen i lys av kravene i personopplysningsloven og helseregisterloven. Personopplysningsloven gjelder når private eller offentlige virksomheter som er etablert i Norge, behandler personopplysninger ved hjelp av slike nettskytjenester.

Hva er nettskytjenester?

Nettsky, eller Cloud Computing er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Disse serverparkene kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for den faktiske bruken. Mange eksterne serverparker står utenfor Norges grenser, og en utfordring for virksomhetene er å sørge for at avtalene er i samsvar med norsk lovgivning.

Virksomheten har behandlingsansvar

Når det gjelder behandling av personopplysninger og behandlingsansvar gjelder de samme reglene for leverandører av elektroniske tjenester på Internett som for mer tradisjonelle virksomheter. Behandling defineres i personopplysningsloven § 2 nr. 2.

Det leveres altså en tjeneste som man kan velge å ta i bruk som behandlingsansvarlig. Hvis denne tjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige, er de å anse som en databehandler. Datatilsynet anser derfor en leverandør av nettskytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres.

En databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige, jf. personopplysningsloven § 15. Databehandleren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven § 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke behandlingsansvarlig for lovfestet juridisk ansvar.

Datatilsynet har laget en veileder om og eksempel på avtaleskisser for en slik databehandleravtale. I avtaleskissen og veilederen finner man minimumskravene som det forventes at en slik avtale innholder. Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til den behandlingssansvarlige som kjøper tjenesten. Noen slike punkter kan være; sikkerhetskopiering, sletting, tilgangstyring og segmentering av databaser.

Risikovurdering og informasjonssikkerhet

Den behandlingsansvarlige skal gjennomføre en risikovurdering for sin behandling av personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende informasjonssikkerhet.

For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at tjenesten som blir tatt i bruk møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Vurderingen må tillegges større vekt når man går fra egen drift til nettskybaserte løsninger, siden personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Spørsmålet blir: Hvordan skal den behandlingsansvarlige forvisse seg at informasjonssikkerheten faktisk er tilfredsstillende?

Databehandleravtalen skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne. Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillendeinformasjonssikkerhet.

Personopplysningsforskriftens kapittel 2 om informasjonssikkerhet har en bestemmelse om sikkerhetsrevisjon:

”Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres.”

Datatilsynet er derfor av den oppfatning at:

  • databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger. Dette for at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier.
  • databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen.

Informasjonsplikt

Det følger av personopplysningsloven § 19 at den registrerte skal ha informasjon fra den behandlingsansvarlige om:

  • navn og adresse på den behandlingsansvarlige,
  • formålet med behandlingen,
  • opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
  • det er frivillig å gi fra seg opplysningene, og
  • annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven.

Særlige problemstillinger

Leverandører av nettskytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester. For eksempel kan nettskytjenestene gi mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen særlige problemstillinger:

  • Sikkerhetskopiering/Speiling – Hvordan fungerer dette? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India? Er en slik redundans i henhold til de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført?
  • Segmentering – Datatilsynet har uttalt at den behandlingsansvarliges personopplysninger ikke skal sammenblandes med personopplysninger fra en annen behandlingsansvarlig. Hvordan vil dette bli håndtert?
  • Tilgangsstyring – Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangstyring i samsvar med lovpålagte krav og egen internkontroll? Se særlig avsnittet over om risikovurdering og informasjonssikkerhet.
  • Autorisert og uautorisert bruk – Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften § 2-14
  • Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter?
  • Overføring til tredjeland – Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen, men enkeltvise overføringer kan forhåndsgodkjennes av Datatilsynet. I tillegg er enkelte land godkjent av EU som trygge mottakerstater.

Synes du denne artikkelen var nyttig?

Ja, jeg fikk svar på de spørsmålene jeg hadde
Nei, jeg fant ikke det jeg lette etter

Verktøy

Artikler

Internasjonalt

Om Datatilsynet

Datatilsynet skal medvirke til at den einskilde ikkje vert krenka gjennom bruk av opplysningar som kan knyttast til han eller henne

Kontakt oss

postkasse@datatilsynet.no
Telefon: +47 22 39 69 00

Postboks 8177 Dep.
0034 Oslo

Personvernerklæring