Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Relevanta dokument
IT-säkerhet och Juridik

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

JURIDIKEN I MOLNET CIO Cloud Confessions

Molntjänster och integritet vad gäller enligt PuL?

PERSONUPPGIFTS- BITRÄDESAVTAL

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

OUTSOURCING TILL MOLNET

VANLIGA FALLGROPAR I OUTSOURCINGAVTALET. Peter Nordbeck /Partner Caroline Sundberg /Associate 15 maj 2013

De nya EU-reglernas krav på molnsäkerhet

Universitetet och Datainspektionen i Molnet

Vägledning om molntjänster i skolan

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Använd molntjänster på rätt sätt

Bilaga 3 Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Digital Lagring. Jukka Salo Flygteknisk inspektör

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Personuppgiftsbiträdesavtal

Integritetspolicy. Vårt dataskyddsarbete

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

MOLNET. Säkerhetskrav för personuppgifter

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Bilaga - Personuppgiftsbiträdesavtal

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya dataskyddsförordningen GDPR

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträde

PERSONUPPGIFTSBITRÄDESAVTAL

Seminarium 7 april 2011 Avtal om tredjepartstjänster Peter Nordbeck Advokatfirman Delphi

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

GDPR NYA DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

Vinnande relationer 22 april 2010 Avtalet: 5 förödande missar och hur ni undviker skadestånd!

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Bilaga 1a Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

GDPR och annat om personlig integritet som man bör tänka på

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Status panik? GDPR-update! Disposition

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Personuppgiftsbiträdesavtal

DIG IN TO Nätverksadministration

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

GDPR. Dataskyddsförordningen 27 april Emil Lechner

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

PERSONUPPGIFTSBITRÄDESAVTAL

inte längre lagras så raderas eller anonymiseras den och kan inte längre användas eller begäras ut.

PERSONUPPGIFTSBITRÄDESAVTAL

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Allmänna villkor Version: Allmänna Villkor

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

Qnister GDPR är utvecklat av svenska jurister och anpassat efter svenska förhållanden och för i första hand svenska bolag.

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

PERSONUPPGIFTSBITRÄDESAVTAL

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Behandling av personuppgifter - Maskinentreprenörerna

Allmänna AVTAL villkor Kundnamn Orgnummer

Personuppgiftsbiträdesavtal

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. Dataskyddsförordningen

Att avropa programvaror som licens eller molntjänst från Statens inköpscentrals ramavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

UPPDATERAD

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR Presentation Agenda

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Dataskyddsförordningen för prefekter och administrativa chefer

Transkript:

Molnets möjligheter och utmaningar IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Agenda On-premises vs cloud för- och nackdelar med en molnbaserad lösning Förhandla molnavtal går det? Personuppgifter i molnet vad ska du tänka på?

Cloud, Cloud Computing om molntjänster Cloud, Moln, It-moln, big data, cloud computing. Teknik där stora skalbara resurser, t.ex. program, lagring och funktioner, tillhandahålls som tjänster via internet Användaren har inte kontroll över infrastrukturen Underlättar arbete oberoende av tid och plats, från olika enheter Exempel: SaaS: program som tjänst PaaS: OS, databaser, web server IaaS: infrastruktur som tjänst, t ex lagring nätverkskapacitet, testmiljöer

On-premises vs cloud för- och nackdelar med en molnbaserad lösning

Molnbaserad lösning vs on-premiseslösning Molnet Kunden har inte samma kontroll som vid on-premises licenser Kan vara enklare licensmodeller än vid on-premises licens men också risk för tillkommande kostnader Inte lika stort behov av licensrevision leverantören har kontroll Men traditionella audit -bestämmelser lever ändå kvar Leverantören ser överanvändning direkt Eftersom leverantören har bättre kontroll på överanvändning bör man som kund kräva att leverantören meddelar kunden inom viss tid Undvik straffavgifter Tidsbegränsad licens On-premises Kunden kontrollerar sin data Men innebär det med automatik bättre säkerhet? Bestämmelser om licensrevision ofrånkomliga Överanvändning uppmärksammas vid licensrevision Undvik straffavgifter Eviga licenser (med software assurance)

Molnbaserad lösning vs on-premiseslösning, forts Molnet Personuppgiftslagstiftningen blir tillämplig Kan utgöra utkontraktering = specifika regulatoriska regler kan bli tillämpliga T.ex. banker Data blir tillgängligt utanför Sverige/EU tillåter kundens policies det? Sekretess Säkerhet On-premises Personuppgiftslagstiftning tillämplig endast i begränsad utsträckning För verksamheter under tillsyn (t.ex. banker) typiskt sett ingen utkontraktering = specifika regulatoriska regler blir inte tillämpliga Data stannar hos kunden

Utmaningar när man förhandlar molnavtal

Molnavtalet Många likheter med traditionellt outsourcingavtal Men vissa specifika egenskaper Standardiserade tjänster Standardiserade villkor Risk för inlåsningseffekter Kundens kontroll minskar Även villkoren för on-premiseslicenser är standardiserade

Går det att förhandla molnavtal? Allt från amerikanska jättar (IBM, Microsoft, Google, Amazon) till små svenska start-ups såsom Storegate, Projektplatsen, Citycloud). Kultur av amerikanska avtal med omfattande ansvarsfriskrivningar som ofta kunden accepterar utan att läsa (för enkelt att beställa?). Förhandlingsmöjlighet beror givetvis på kund och storlek av affär men det går och är ofta absolut nödvändigt om kunden vill minska risker och uppfylla legala krav.

Hur ska kunden veta vad den köper? Tjänstespecifikationen Hjärtat i avtalet. I en bra tjänstebeskrivning bör det tydligt framgå vilka tjänster som ska utföras. men hur tydligt är det när man köper molntjänster? Off the shelf karaktär ställer krav på att kunden noggrant har kontrollerat att tjänsten är rätt för det kunden behöver. Vanligt med länkar till mer eller mindre luddiga beskrivningar av tjänsternas innehåll. Kräv beskrivningar i form av dokument Begränsningar i felansvar Materially Men förekommer även i standardiserade on premises licensavtal

Levande tjänster, ändringshantering Ändring av tjänsterna naturlig del av molntjänster (delvis det man köper), men hur vet man att det inte försämras? Överenskommen ändring vs leverantörens ensidiga Ensidig ändring vanligast och kanske omöjligt att förhindra till viss del Försök få till en baseline från vilken det inte får bli sämre särskilt med tanke på säkerhet. Materially?

forts. Levande tjänster, ändringshantering Byte av underleverantörer Vanligast: bara ett faktum man ska acceptera? Kräva godkännande i förväg Rätt att säga upp om ej godkänner ny underleverantör?

Säkerhet Do or die för leverantörerna! Men vad lovar de i avtalet om det otänkbara händer? Leverantören hänvisar ofta till webbplats med beskrivning Kräv beskrivningar i form av dokument Uppfylls kundens interna säkerhetspolicies och regulatoriska krav? Reglera även: behörighetskontroll inklusive administrativa rutiner för denna loggning och spårbarhet rutiner för incidenthantering och rapportering skydd mot skadlig kod säkerhetskopiering kryptering ( lock box ) Risk- och sårbarhetsanalys (se nästa bild) Business continuity och disaster recovery Ansvaret för förlust av data ska regleras ofta undantaget från leverantörens ansvar Etablerade standarder på området SOC I (SSAE 16/ISAE 3402, SOC 2 and SOC 3, ISO 27001 räcker det att hänvisa till dessa?

8 oktober 2015 Sekretess Ömsesidigt sekretessåtagande Se upp för Customer data carve out! Kontrollera att kundens information inte får lämnas ut till tredje man lämnas ut till annan personal hos leverantören än sådan som arbetar med tjänsten användas för andra ändamål än för att leverera tjänsten Leverantören ska teckna sekretessförbindelse med personal + underleverantör som arbetar med tjänsten Särskilda krav: Kundens data måste förvaras åtskild från övriga kunders information (?) Spårbarhet, krypteringskrav Banksekretess m.m. (längd på åtagande m.m.)

Avstängning och exit (generellt) Avstängning av tjänsten När och under vilka förutsättningar Ofta låga krav för när leverantören ska ha rätt till detta hög risk! Undvik lock-in (exit-hantering) Leverantören ska biträda kund vid överföring till ny leverantör eller tillbaka till kund Ingen rätt för leverantören att hålla inne data Detaljerad reglering krävs, skyldighet att hjälpa till På vilket sätt ska migrering av data ske? I vilket format? Kostnad? Skyldighet för leverantören att återlämna/radera data. Skäliga uppsägningstider ett måste för kunden, oavsett grund för uppsägning

Leverantörens ansvar Ansvarsbegränsning: Vad är vanligt, vad är rimligt? Ensidig, ömsesidig(?) Ansvar för kundens data och efterlevnad av sekretess, PUL/GDPR? Friskrivningar, förlust av data, force majeure

8 oktober 2015 Lagval och tvistlösning Möjlighet att avtala om tillämplig lag Svensk lag? Om utländsk rätt risk/svårighet om kunden har verksamhet i flera länder Domstolsförfarande Svårt med verkställbarhet i land utanför EU Skiljeförfarande Verkställbarhet i de flesta länder

Personuppgiftsbehandling i molnet

PUL i molnet Personuppgiftsbehandlingen flyttas till molnet Det är kunden som är personuppgiftsansvarig Leverantören är personuppgiftsbiträde Behandling utanför EU/EES (?) Frågan om behandling av personuppgifter är central för molnavtalet Lagstiftningen utgår ifrån att det är klarlagt: var uppgifterna lagras; vilka som behandlar dem och vilken behandling som utförs; och att det är kunden som ansvarar.

Personuppgiftsbiträdesavtalet PUL krav på innehåll i 30 -nya krav enligt GDPR Kompletteras med Datainspektionens krav och Artikel 29-gruppens uttalanden: Biträdesavtal ska tecknas med varje biträde och underbiträde alt. ge mandat till biträdet Villkoren ska vara urskiljbara från övriga villkor i avtalet Villkoren ska inte ensidigt kunna ändras av personuppgiftsbiträdet

Överföring av personuppgifter till tredje land Rättsliga grunder: 1. adekvat skyddsnivå 2. SCC 3. BCR 4. Privacy shield post Safe Harbor Efter EU-domstolens dom om underkännande av Safe Harbor även självständig rättslig analys! Bilaga till personuppgiftsförordningen lista med tredje länder med adekvat skyddsnivå.

Risk- och sårbarhetsanalys (PUL) Innan leverantören anlitas, dvs. innan bindande avtal ingås Finns standarder/checklistor, t.ex. från ENISA, OBS! ska inte användas mekaniskt, kan skilja sig mellan olika molntjänster Cloud Security Alliance 5-stegsmodell Skriftlighet / ska dokumenteras! Lämplig säkerhetsnivå? klassificera data utifrån integritetsrisk (antalet personer, mängden uppgifter och känslighet?)

Utmaningar med den nya dataskyddsförordningen Bland annat: Strängare sanktioner Behov av reglering av fördelning av ansvar mellan kund och leverantör i avtalet Krav på mer utförliga instruktioner från kunden Fylligare personuppgiftsbiträdesavtal Underrättelse till Datainspektionen vid data breach

Peter Nordbeck / Partner / Advokat Direkttelefon: +46 8 677 55 30 Mobiltelefon: +46 709 25 25 01 peter.nordbeck@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17 / 111 84 Stockholm, Sweden Telefon: +46 8 677 54 00 / Fax: +46 8 20 18 84 / delphi.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss