De nya EU-reglernas krav på molnsäkerhet

De nya EU-reglernas krav på molnsäkerhet och en del annat Cloud confessions, 20 oktober 2016 David Frydlinger, Advokatfirman Lindahl

Agenda 1. Allmänt om Dataskyddsförordningen 2. EU-stadgans skydd mot behandling av personuppgifter 3. Dataskyddsförordningens principer 4. Checklista vid köp av molntjänster

Allmänt om Dataskyddsförordningen Träder ikraft 25 maj 2018 Dataskyddsdirektivet har inte gett önskad effekt Föråldrad och inte anpassad till teknikutvecklingen Fortsatt stor diskrepans mellan medlemsländernas implementering Skydd mot behandling av personuppgifter är numera en fundamental rättighet för alla EUmedborgare Förhoppningen med GDPR Mer modernisad reglering Ge individer ökad kontroll över sina personuppgifter Minska diskrepansen på den inre marknaden

Personuppgifter Definition: All information som relaterar till en identifierad eller identifierbar fysisk person Namn, telefonnummer, personnummer, gjorda resor, köpmönster, intressen, lön, rehabhistorik m.m.

Rollerna Personuppgiftsansvarig Molntjänstkunden Den som bestämer ändamål och medel med behandlingen Personuppgiftsbiträde Molntjänstleverantören Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Dataskyddsförordningen innebär skyldigheter för båda!

EU-stadgan Artikel 7 Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Grundläggande principer Laglighet, skälighet, transparens Redovisande av efterlevnad Integritet och sekretess Minimalitet Ändamålsbegränsning Lagringsbegränsning Riktighet

Informationssäkerhet Skyldighet för både den molntjänstkunden och för molntjänstleverantören Implementera lämpliga tekniska och organisatoriska åtgärder för att uppnå säkerhet beroende på risknivå, t.ex. Pseudonymisering och kryptering Säkerställande av konfidentialitet, integritet, tillgänglighet och motståndskraft hos system och tjänster Förmåga att återställa tillgång till personuppgifter vid incidenter Regelbunden utvärdering av åtgärderna Tumregel: ett normalt, sunt informationssäkerhetsarbete kommer normalt att räcka

Informationssäkerhet (forts) Notifieringskrav vid integritetsincident inom 72 timmar till dataskyddsmyndigheten, såvida det inte är osannolikt att risk för överträdelse av fri- och rättighet uppstår till de registrerade om det är hög risk att deras fri- och rättigheter kränks

Grundläggande principer Laglighet, skälighet, transparens Redovisande av efterlevnad Integritet och sekretess Minimalitet Ändamålsbegränsning Lagringsbegränsning Riktighet

Molntjänstkunden måste se till att Dataskyddsprinciperna uppfylls av kundens leverantörer Krav på personuppgiftsbiträdesavtal uppfylls om personuppgifterna kommer att föras till tredje land Krav på lagstöd för tredjelandsöverföringar

Personuppgiftsbiträdesavtal Nuvarande krav på personuppgiftsbiträdesavtal som växt fram genom praxis och yttranden har kodifierats, t.ex.: Säkerställa sekretessåtagande hos anställda etc Gallring/återlämnande av personuppgifter när uppdraget upphör Revision och kunna bevisa efterlevnad Bistå ansvarige för att säkerställa dennes uppfyllande av registrerades rättigheter

Överföringar till tredje land Förbjudet såvida det inte har stöd i förordningen Tillåtet bl.a. vid Beslut från Kommissionen att land, region eller sektor har en adekvat skyddsnivå, t.ex. Privacy Shield Binding Corporate Rules (BCR) Standardavtalsklausuler Godkänd uppförandekod Godkänd certifiering Uttryckligt samtycke

Sanktioner vid överträdelser Upp till 2 % av global omsättning för företag/upp till 10 meur, exempelvis vid Anlitande av biträde som inte har implementera tillräckliga tekniska och organisatoriska åtgärder, Anlitande av underbiträde utan godkännande från den ansvarige Brister i personuppgiftsbiträdesavtal Brister i uppfyllande av informationssäkerhetskrav (inklusive privacy by design and by default)

Sanktioner vid överträdelser (forts) Upp till 4 % av global omsättning för företag/upp till 20 meur. Exempelvis vid Bristande uppfyllelse av grundläggande principer, laglig grund eller krav på behandling av särskilda kategorier av personuppgifter Överträdelse av krav på tredjelandsöverföringar

Checklista för molntjänstkunder Kommer personuppgifter att behandlas i tjänsten? Gör en risk- och sårbarhetsanalys Gör informationsklassning av personuppgifterna Gör riskanalys avseende de olika informationsklasserna Upprätta kravprofil för molntjänsten Krav på funktionalitet som uppfyller dataskyddsprinciperna Krav på informationssäkerhet baserat på risk- och sårbarhetsanalysen Säkerhetsstandarder: ISO 27001, ISO 27018 Biträdesavtal i enlighet med Dataskyddsförordningen Krav på geografisk lokalisering av data Om tredjelandsöverföring vilken laglig grund ska användas (t.ex. Privacy Shield, standardavtalsklausuler)

Kontaktinformation David Frydlinger Delägare 076 617 09 85 david.frydlinger@lindahl.se Mäster Samuelsgatan 20, Stockholm www.lindahl.se