Säkerhet och integritet i molnet

Transkript

1 Whitepaper Säkerhet och integritet i molnet En genomgång av regelverk, ansvarsfrågor och rättsläget kring molntjänster

2 delivering business agility Sammanfattning När marknaden för molntjänster utvecklas och allt fler företag och myndigheter börjar använda sig av och drar fördel av molnet så vill ingen hamna på efterkälken. En förståelse för vilka molntjänster som svarar bäst mot olika krav och applikationer är nyckeln till ett erbjudande som skapar konkurrenskraft för både kund och leverantör, och som följer gällande lagar och regelverk. Säkerhet och integritet i molnet För oss som privatpersoner har molntjänster redan medfört en mindre revolution. Vi har i dag bekväm tillgång till massor av applikationer och tjänster och lagring i molnet, ofta helt kostnadsfritt. Allt som behövs är en bredbandsuppkoppling. Företag och myndigheter lockas till molnet med delvis samma argument, men också flexibilitet, skalbarhet och ekonomi lyfts fram av leverantörerna för att bredda användningen. Bland annat att molntjänster minskar behovet av egen IT-personal och specialister, liksom investeringsbehoven, vilket ytterst ger lägre totalkostnader. För IT-ansvariga finns förstås en lockelse i dessa löften, men de utsätts också för press från ledning och styrelse att skaffa en tydlig strategi för att få ut det mesta av möjligheterna som molnet erbjuder. Presskontakt: Danny Duggal Marketing Manager danny.duggal@proact.se Proact IT Sweden AB Teknisk kontakt: Rob Worrall rob.worrall@proact.se Presale Managed Cloud Services Proact IT Sweden AB Entusiasterna är många, men vi hittar även kritiker som avfärdar molnet med att det inte är redo för näringslivets krav, för osäkert eller oförenligt med regelverk och lagstiftning. De sistnämnda frågorna vad som är tillåtet enligt lagar och regler reder vi ut i den här skriften. Allt för att öka förståelsen för molnet och sätta frågorna i rätt sammanhang för de regulatoriska kraven en viktig punkt i varje framgångsrik molnstrategi. Vi förklarar också några av de viktigaste begreppen kring molntjänster. De juridiska frågorna som berör molntjänster handlar framför allt om säkerhet, ansvar och personlig integritet. För integritetsfrågorna är den svenska personuppgiftslagen (PuL) styrande. Även om PuL inte specifikt tar upp molntjänster eller någon viss teknik, så följs utvecklingen noga av Datainspektionen, som agerar genom tillsyn och beslut för att tillämpa lagen i dagens verklighet på IT-marknaden. Uppdaterad 2014

3 Report Personuppgiftslagen Den viktigaste lagstiftningen för dataskydd i Sverige är person -uppgiftslagen, PuL (SFS 1998:204), som implementerar det europeiska dataskyddsdirektivet (95/46/EC). Motsvarande lagstiftning finns i alla EU:s medlemsländer. PuL gäller för alla delar av samhället och alla slags organisationer, företag som myndigheter. Lagen beskriver ett juridiskt ramverk för att skydda individen och den personliga integriteten i sammanhang där information med personlig anknytning behandlas. Med stöd av PuL och ytterligare lagstiftning har staten och Datainspektionen tagit fram regelverk för dataskydd i olika sammanhang och för specifika områden, bland annat inkasso, kreditinformation och hälsovård. För vårdsektorn gäller även specifika regler enligt patientdatalagen (SFS 2008:355). Personuppgifter och känsliga personuppgifter En personuppgift är enligt PuL alla slags uppgifter som kan kopplas till en fysisk person. Det kan handlar om allt från en e-postadress, fullständigt namn eller ett telefonnummer. Lagar och regler om databehandling hänvisar specifikt till denna typ av information. Känsliga personuppgifter är all slags information som beskriver bland annat ras, etniskt ursprung, politisk, religiös eller filosofisk övertygelse, hälsostatus och sexliv. Även medlemskap i en organisation exempelvis en fackförening, kan utgöra en känslig personuppgift. Det finns en väsentlig skillnad mellan personuppgifter och känsliga personuppgifter: Det grundläggande kravet när det gäller känsliga personuppgifter är att dessa bara får behandlas efter direkt medgivande av berörda personer. Tekniken spelar i det sammanhanget ingen roll. PuL omfattar alla och är teknikoberoende Personuppgiftslagen ger ett skydd för den personliga integriteten oavsett om personen är en kund, anställd, representerar en leverantör, eller någon annan. I PuL benämns denna person den registrerade och den part som behandlar informationen som identifierar den registrerade kallas personuppgiftsansvarig. PuL ställer vissa krav för att tillåta behandling av personuppgifter, enligt principen att den registrerade äger informationen om sig själv och att varje användning av denna kräver antingen ett medgivande från den registrerade eller ett annat välgrundat skäl för att få behandlas. Till exempel anses ett vanligt kundregister, CRM-system, eller personalregister vara motiverat utan medgivande, men krav ställs på att man i varje enskilt fall ska bedöma om den registrerades personliga integritet är hotad. Svensk lag sätter alltså inga direkta begränsningar för molntjänster för att lagra känsliga personuppgifter. Dock krävs att de tekniska och organisatoriska rutiner som tillämpas ska erbjuda en säkerhetsnivå som motsvarar den faktiska graden av känslighet hos person -uppgifterna. Det finns noggranna riktlinjer för hur känsliga personuppgifter ska hanteras, bland annat att dessa måste skyddas med stark kryptering vid överföring. Detta betyder att ni som företag får använda er av en molntjänst för känsliga personuppgifter, förutsatt dels att ni har era kunders medgivande, dels att leverantören av molntjänster i ert avtal garanterar en tillfredsställande nivå för säkerhet och integritet.

4 delivering business agility Personuppgiftsansvarig Med personuppgiftsansvarig menas den person som är ytterst ansvarig för vad som händer med informationen och hur den hanteras, eller mer exakt: den som bestämmer syfte, ändamål och metod för att behandla personuppgifter. Om ditt företag samlar in eller lagrar personuppgifter om era kunder eller anställda och sedan köper IT-tjänster, till exempel en molntjänst, innebär det att du i egenskap av personuppgiftsansvarig fortfarande är ytterst ansvarig enligt PuL. Personuppgiftsbiträde Personuppgiftsbiträdet är vad personuppgiftslagen kallar ett företag som ni köper tjänster från, till exempel en molntjänst, för att hantera personuppgifter. Personuppgiftsbiträdet fungerar som er medarbetare och behandlar personuppgifter efter era instruktioner, enligt avtalet mellan er. Det ansvar som du har som personuppgiftsansvarig kvarstår och kan inte flyttas över på en extern part genom ett biträdesavtal. Behandling Begreppet databehandling tolkas ibland som om det är begränsat till verksamheter i stor skala, exempelvis Big Data -analyser, att samköra databaser för att finna samband eller för beslutsstöd. Men i lagens mening är databehandling varje åtgärd som berör personuppgifter, och det omfattar allt från lagring i molnet, att skriva in kunduppgifter i ett molnbaserat CRM-system, till att använda sig av fildelning.

5 Report Biträdesavtal PUL ställer ett direkt krav på att det ska finnas et skriftligt avtal om behandlingen av personuppgifter mellan den personuppgiftsansvariga och personuppgiftsbiträdet som arbetar på uppdrag av den förra. Avtalet ska ange att behandling bara får göras i enlighet med personuppgiftsansvarigs anvisningar och att lämpliga tekniska och administrativa åtgärder ska finnas på plats. Datainspektionen Datainspektionen (DI) är den myndighet som bland annat har till uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av person- uppgifter. DI är tillsynsmyndighet för PuL och har till uppgift att tillämpa lagstiftningen och se till att den efterföljs. Man ger ut direktiv med anvisningar och tar egna initiativ till granskning. DI ger också råd och hjälp till personuppgiftsombud kring de villkor som de behöver uppfylla för få att använda olika slags IT-lösningar och tjänster. Lagen ger DI befogenheter att vidta åtgärder om man bedömer att behandling av person- uppgifter sker i strid med lagen. DI kan bland annat utfärda vitesförelägganden med uppmaning till företag och myndigheter att vidta åtgärder mot påpekade brister inom en bestämd tid. Datainspektionen om molntjänster Även om PuL är teknikoberoende lagen kom till åtskilliga år innan molnet blev ett etablerat begrepp så ingår det i Datainspektionens uppgifter som tillsynsmyndighet att tolka lagen och ge anvisningar för hur den ska följas i en föränderlig omvärld. DI har på eget initiativ drivit några uppmärksammade ärenden där man haft invändningar mot myndigheter som använt publika molntjänster läs mer om ett par av dessa fall här intill under Kommunerna, molnet och Datainspektionen. DI har gett ut informationsskriften Molntjänster och personuppgiftslagen med råd och riktlinjer om integritetsaspekter på molntjänster. En viktig anvisning är att DI kräver att det finns en klausul i avtalet med molntjänsteleverantören som specificerar att informationen inte får utnyttjas för något annat ändamål än det angivna. Förklaringen är att många leverantörer av tjänster i det publika molnet i sina standardavtal har finstilta villkor som ger dem tillgång till kundernas data för egna syften, exempelvis för att förbättra tjänsterna. DI menar att detta står direkt i strid mot PuL. Sådana avtalspunkter kan åtminstone formellt ge leverantören rätt till datautvinning från uppgifter som kunden äger, att använda dem till reklam eller till och med att sälja kundens information vidare.

6 delivering business agility EU/EES EU är Europeiska Unionen, medan EES står för Europeiska ekonomiska samarbetsområdet. Skillnaden är att EU består av 28 medlemsstater, medan EES omfattar ytterligare tre länder (Lichtenstein, Island och Norge) som inte är EU-medlemmar men som i viss utsträckning omfattas av samma regelverk. I allt väsentligt gäller samma regler för lagring och överföring av data inom EES. Data kan som regel lagras och flyttas och fritt över gränserna mellan dessa länder; om det är lagligt att lagra vissa data i Sverige så är det också lagligt i hela EES-området. Länder utanför EES benämns i detta sammanhang som tredje land. Överföring till tredje land En av huvudprinciperna i den europeiska integritetslagstiftningen är att personuppgifter inte får överföras till tredje land utan direkt medgivande från de registrerade personerna. Dock finns några undantag från den regeln där Safe Harbor ur svenska ögon sett är en av de absolut viktigaste. Safe Harbor Safe Harbour är namnet på ett ramverk som tagits fram av handelsdepartementet i USA i samverkan med EU-kommissionen. Safe Harbour ger anvisningar till amerikanska företag och myndigheter om hur de ska ge tillräckligt skydd för personuppgifter från EU, i enlighet med kraven från det europeiska dataskyddsdirektivet. Amerikanska företag kan själva anmäla sig till ett öppet register som handelsdepartementet driver, för att visa att de åtar sig att följa den integritetspolicy som föreskrivs i Safe Harbour-ramverket. Överföring av personuppgifter från EU till företag som följer Safe Harbour är tillåtet. I praktiken innebär det att man får anlita en leverantör av molntjänster för att lagra personuppgifter, förutsatt att denna har registrerat sig för Safe Harbour. Vid sidan av företag som följer Safe Harbour- principerna finns några länder som EU-kommissionen har bedömt också kan garantera en tillräcklig nivå för dataskydd, bland andra Argentina, Kanada.

7 Report Standardavtalsklausuler och bindande företagsregler De så kallade standardavtalsklausulerna (Standard Contractual Clauses) innehåller avtalsvillkor som godkänts av EU-kommissionen och som omfattar krav på personuppgiftsansvariga som vill överföra uppgifter till tredje land, liksom krav på de personuppgiftsansvariga eller personuppgiftsbiträden som tar emot dessa data. Standardavtalsklausulerna reglerar också andra detaljer i samband med överföringen. Avtalsvillkoren syftar till att skydda enskildas rättigheter när personuppgifter överförs till länder där det saknas en skälig skyddsnivå. Överföring av personuppgifter till tredje land som sker i enlighet med någon av dessa avtalsklausuler är uttryckligen tillåten. Personuppgiftslagen medger att ett multinationellt företag för över personuppgifter inom koncernen till tredje land, förutsatt att det finns tillräckligt skydd för individens rättigheter. Så kallade bindande företagsregler (BCR, Binding Corporate Rules) kan utgöra ett sådant skydd. Det finns standardiserade regler som kan tillämpas, men bindande företagsregler ska vara godkända av berörd myndighet innan en överföring sker. Molntjänsteleverantörer i USA Det är i princip möjligt köpa molntjänster från ett amerikanskt företag och samtidigt följa svenska regler och PuL. Det viktiga är inte var tjänsteleverantören har sitt kontor, utan var någonstans data kommer att lagras och behandlas. I praktiken gäller att om man väljer en leverantör av en publik molntjänst eller infrastruktur som är baserad i exempelvis USA, och som följer Safe Harbour-principerna, då är det också lagligt att föra över personuppgifter till leverantörens datacenter i USA. Om data lagras i Sverige och aldrig förs över till USA av leverantören, då saknar det juridiskt sett betydelse om företaget har anslutit sig till Safe Harbour eller ej. Överföring av data till tredje land Då och då framförs riskerna med att myndigheter i tredje land ställer direkta krav på molntjänsteleverantören, så att uppgifter kan lämnas ut till följd av domstolsbeslut i andra länder. För en personuppgiftsansvarig är det viktigt att förstå och kunna tala om i vilka länder som data kan komma att behandlas innan man ger sig in i ett avtal om molntjänster. Patriot Act är ett aktuellt begrepp i sammanhanget. En spridd uppfattning är att denna USA-lagstiftning handlar om att de amerikanska myndigheterna ska ha rätt att komma åt e-post och data från vem som helst (Patriot Act omfattar egentligen mycket mer här ryms ett flertal lagar inom vitt skilda områden, från gränsbevakning till åtgärder mot pengatvätt och bekämpning av terrorister). Klart är dock att Patriot Act kan användas av USA-myndigheter för att få tillgång till data som lagras eller behandlas i nätverk eller tjänster som ägs av amerikanska företag, om de bedömer att där kan finnas kopplingar till terrorism. Det har framkommit att såväl Google som Microsoft har lämnat ut uppgifter som lagrats i deras datacenter i Europa till amerikanska myndigheter efter krav som grundar sig på Patriot Act.

8 Olika slags tjänster i molnet

9 delivering business agility SAAS Programvara som tjänst, (Software As A Service, SAAS) är den kategori molntjänster som har funnits längst, sedan slutet av 1990-talet. SAAS innebär att ni hyr en applikation från en leverantör och som regel betalar per användare det kan gälla , CRM, HR eller ekonomi ja nästan vilket slags IT-system som helst. De flesta håller säkert med om att e-post (t ex Microsoft Outlook / Office 365) eller kunduppgifter som lagras i molnet genom CRM-tjänster som Salesforce.com är något av den viktigaste informationen som ett företag har. Ändå är det många som köper dessa tjänster utan att ordentligt ta reda på hur de är förenliga med de lagar och regelverk som verksamheten har att rätta sig efter. IAAS Infrastructure as a service (IAAS) kan beskrivas som att man köper IT-kapacitet efter behov, serverkraft och lagring tillsammans med ytterligare lager av tjänster. Det finns ett enormt utbud av olika alternativ inom detta område för vissa kunder blir det nästan för mycket att välja på. Man kan köpa servrar per minut, lagring per gigabyte, små servrar, billig lagring, Enterprise lagring som managerad tjänst eller omanagerad tjänst (t ex från Google). PAAS För Platform as a Service (PAAS) kan vi dela in tjänsterna i två huvudkategorier, efter hur de används. Den första är att skräddarsy programvara, exempelvis Heroku-plattformen från Salesforce.com, som medger att man kodar egna anpassningar ovanpå standardprodukten salesforce.com. Den andra varianten av PAAS påminner mycket om IAAS (Infrastructure as a Service), plus något annat ovanpå. Det kan till exempel handla om att ni vill utveckla en applikation och koda den utan att behöva konfigurera om den underliggande infrastrukturen, eller när ni vill sammanställa eller analysera stora datamängder och behöver en storskalig tjänst för att klara det.

10 delivering business agility Alla molntjänster är lika inför lagen Samma regler gäller oavsett tjänst eller vilka lager i moln-stacken (SAAS, PAAS, IAAS) som utnyttjas. Datainspektionens riktlinjer för hantering av personuppgifter är desamma oavsett valet av tjänst eller teknik. Varken lagtexten i PuL eller Datainspektionen i sitt tillsynsarbete särskiljer mellan olika principer för molntjänster. En intressant notering är att företag som använder sig av SAAS ibland hävdar att mer omfattande typer av molntjänster (PAAS och IAAS) är alltför osäkra. Men ur integritetssynpunkt finns knappast någon viktig skillnad. Men betraktar vi också de övergripande risk- och säkerhetsaspekterna blir skillnaderna desto större: SAAS handlar oftast om att lägga en applikation eller tjänst, exempelvis e-post, i molnet. Om en applikation faller bort är det sällan ett allvarligt hot mot verksamheten. Ett företag som istället flyttar över hela sin IT-infrastruktur och all lagring ut i molnet lägger ett mycket större ansvar på sin leverantör. Nytt regelverk på gång Ett nytt regelverk för att skydda privatpersoner med hänsyn till behandling av personuppgifter har diskuterats sedan Förändringar är på väg, och några av dessa kommer att påverka molntjänster och hur dessa levereras. Den enskildes personliga integritet kommer att få ett starkare skydd och påföljderna för kränkningar av denna kommer att skärpas. Utkastet till det nya regelverket medger bötesbelopp på upp till 2 procent av årsomsättningen (globalt) för överträdelser en så hög nivå att ett företags vinst kan äventyras. Det viktigaste är dock att den nya lagstiftningen blir gemensam för EU och att företag bara behöver ta hänsyn till en tillsynsmyndighet, i landet där det har sitt huvudsäte. Datainspektionens riktlinjer för molntjänsteavtal Tänk på... I Datainspektionens riktlinjer för behandling av personuppgifter i molnet finns bland annat en lista med krav som ska vara uppfyllda... i ett att avtal er cloud med strategi personuppgiftsbiträdet. även påverkar era kunder. Det Dessa är därför bör normalt viktigt ingå att ni i tjänsteavtalet säkerställer att mellan er cloudstrategi er och leverantören matchar era av molntjänster. kunders krav och regelverk.

11 Report Avtalet ska: Föreskriva att Proact är skyldigt att tillämpa svensk lagstiftning när det gäller behandlingen av personuppgifter. Föreskriva att Proact är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 personuppgiftslagen. Föreskriva att Proact endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och därmed säkerställa att Proact inte behandlar personuppgifter för andra ändamål än dem som Proact anlitats för. Säkerställa att den personuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att Proact lever upp till den personuppgiftsans variges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder. Säkerställa att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att Proact inte har åtkomst till personuppgifterna därefter.

12 delivering business agility Proacts syn På Proact ser vi det som vårt ansvar att vara tydliga och transparenta om hur vi tillhandahåller molntjänster till våra kunder så att de kan känna sig trygga: Våra övervakade molntjänster för lagring, infrastruktur, backup och katastrofskydd levereras från våra datacenter i Sverige Vi flyttar aldrig våra kunders data utanför landet utan ert medgivande Vi använder aldrig kunders data i något sammanhang utanför den tjänst vi tillhandahåller Vi kan erbjuda avancerad säkerhet, loggning och övervakning för att uppfylla även de högst ställda kraven på dataskydd (exempelvis PCI) Våra tjänster baseras endast på Enterprise IT-infrastruktur från marknadsledande leverantörer

13 Vad betyder CLOUD för dig? Fyll i det första ordet som du tänker på kring cloud på varje bokstav nedan. Report C L O U D

14 Proact är Europas ledande fristående integratör inom datalagring och molnlösningar. Proact har levererat verksamhetsnytta sedan 1994 och hjälper företag och myndigheter över hela världen att minska risken, sänka kostnaderna och, framförallt, leverera flexibla, tillgängliga och säkra IT-tjänster. Proacts lösningar täcker alla delar av datalagring såsom virtualisering, nätverksfunktioner och säkerhet - med över framgångsrikt genomförda projekt och stora mängder information som hanteras i Proacts datacenter. Proactkoncernen har mer än 650 anställda och finns i Belgien, Danmark, Estland, Finland, Lettland, Litauen, Nederländerna, Norge, Slovakien, Spanien, Storbritannien, Sverige och Tjeckien. Proact grundades 1994 och moderbolaget Proact IT Group AB (publ) är noterat på Nasdaq OMX Stockholm sedan 1999 under symbolen PACT. Ytterligare information om Proacts verksamhet finns på Stockholm Box Kista T +46 (0) Arvika Strandvägen Arvika T +46 (0) Göteborg Mölndalsvägen Göteborg T +46 (0) Linköping Ågatan Linköping T +46 (0) Lund Scheelevägen Lund T +46 (0) Sundsvall Medborgargatan Sundsvall T +46 (0) Se alla våra kontor på eller via QR-koden»