MOLNET. Säkerhetskrav för personuppgifter

Relevanta dokument
Molntjänster och integritet vad gäller enligt PuL?

Regler för behandling av personuppgifter vid Högskolan Dalarna

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Datainspektionen informerar. Hur länge får personuppgifter

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Universitetet och Datainspektionen i Molnet

Information om personuppgiftslagens tillämpning i Riksbanken

Svensk författningssamling

Personuppgiftsbiträdesavtal

Nationell lagstiftning, EU och ny teknik för utlämnande av data

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

ANVÄNDARVILLKOR för TomToms Webbplatser

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Personuppgiftsförordning (1998:1191)

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

BÄTTRE VÅRD FÖR DIG. Information om Sammanhållen journal

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Policy för behandling av personuppgifter vid uthyrning av bostäder

NYA DATASKYDDSFÖRORDNINGEN

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

INTEGRITETSPOLICY Tikkurila Sverige AB

Behandling av personuppgifter - Maskinentreprenörerna

Policy avseende sekretess och personuppgiftsbehandling Installationskonfigurator

Informationsteknologi (vårdgivare nivå C)

Cloud Computing. Legala frågor och standardavtalet från IT&Telekomföretagen

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Intresseavvägning enligt personuppgiftslagen

Vägledning om molntjänster i skolan

Eva Leach Elfgren, ehälsomyndigheten

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Personuppgiftsförordning (1998:1191)

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Lägg till Stipendiat

Integritet och behandling av personuppgifter

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Dataskyddsförordningen GDPR

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Örnfrakt Ekonomisk förening (Örnfrakt) Integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

SÖDERTÄLJE KOMMUN Utbildningskontoret

Information till patienten och patientens samtycke

Säkerhetsåtgärder vid kameraövervakning

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Information till registrerade enligt personuppgiftslagen

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

ANVÄNDARAVTAL PARTER AVTALSTID ANVÄNDARENS ÅTAGANDEN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsförordningen

ALLMÄNNA ANVÄNDARVILLKOR FÖR

Förköpsinformation Sjukvård Olycksfall. Sjukvårdsförsäkring via SH Pension. Så här fungerar Sjukvård Olycksfall. Det här ersätter försäkringen:

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Försäkringsvillkor för premiebefrielse. Avseende ålderspensionspremier enligt kollektivavtalet PA-KFS 09

GDPR NYA DATASKYDDSFÖRORDNINGEN

ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Välbekant och bättre än någonsin Cortana4 Windows Hello6 Göra flera saker samtidigt

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

ANVÄNDARVILLKOR. 1. GODKÄNNANDE.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

INTEGRITETS- OCH SÄKERHETSPOLICY

Hantering av skyddade personuppgifter

REHAB Förköpsinformation

Din anställningstrygghet - en av Försvarsförbundets viktigaste frågor

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Bättre överblick, ännu bättre vård.

2.1 Fastighet Med Fastighet avses fast egendom som angivits i Avtalet (definierat nedan).

Komma igång med Eventor

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen huvudman

Tack för att du använder Vanderbilts webbplats. Vi vill nedan upplysa dig som användare av Vanderbilts webbplats om våra användarvillkor.

AMERICAN EXPRESS. Webbplats för affärspartners regler och villkor

Integritet och behandling av personuppgifter

Sekretessmeddelande Kelly Services AB Innehåll

Antivirus Pro Snabbguide

Administrativ manual RiksSvikt 3.7.0

Projektet Windows 10 och molnet. Leif Lagebrand

PERSONUPPGIFTSPOLICY CLAESSON KONSULT & VÄRDERING I BORÅS AB

Rödfärgarna. Rödfärgarnas integritetspolicy. Gäller fr.o.m

App-klient för smartphones Power BI Arbetsflöde CRM Online Webb-klienten Dokumenthantering Molnet...

ENKÄT OM AVTALSREGLER FÖR KÖP AV DIGITALT INNEHÅLL OCH FYSISKA VAROR PÅ NÄTET

INTEGRITETSPOLICY FLAKAB NORDEN AB 1. INLEDNING

EU:s dataskyddsförordning

Granskningar avseende Upphandling och Personuppgiftslagen

PERSONUPPGIFTSPOLICY WILDO SWEDEN AB

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Transkript:

MOLNET Säkerhetskrav för personuppgifter

Vad är Personuppgifter och vad innebär PuL? Molnet när kan det bli det ett problem? Vad ska man tänka på vid användning av molntjänster? Windows 10 vad innebär det ur integritetssynpunkt? Lärosätenas ansvar Specifika funktioner i Windows 10 E-post, sökmotorer, digital tentamen Ny lagstiftning 2

PERSONUPPGIFTER OCH BEHANDLING Alla uppgifter som indirekt eller direkt kan identifiera en fysisk person Namn Telefonnummer E-postadress Personuppgift (PU) Adress Personnummer IP-adress. Allt man gör med personuppgifterna Insamling Registrering Behandling Lagring Utlämnande 3

PUL gäller Moln = OK Är det en personuppgift? JA Finns laglig grund för behandling? 10 JA Behandlas uppgifterna lagligt? t ex 9 JA Används molntjänster? JA Inom EU/EES? JA NEJ NEJ NEJ NEJ NEJ PUL gäller ej Behandling får ej göras Behandling får ej göras Server = OK Laglig grund för överföring till tredje land måste finnas 4

Molnet inom EU/EES Molnet utanför EU/EES Molnet utanför EU/EES PERSONUPPGIFT EGEN SERVER 5

1. Om det finns adekvat skyddsnivå enligt t ex EU-kommissionen Molnet utanför EU/EES 2. Om samtycke finns 3. 34 PUL 4. Om det finns garantier genom att organisation anslutit sig till Standardavtalsklausulerna eller om det finns acceptabla BCR (Binding Corporate Rules) Molnet utanför EU/EES Om inga av förutsättningarna finns förbjudet! 6

ADEKVAT SKYDDSNIVÅ Molnet utanför EU/EES 1. Adekvat skyddsnivå (EU/EES) Andorra Bailiwick of Guernsey Färöarna Jersey Schweiz Argentina Isle of Man Israel Nya Zeeland Uruguay Kanada (om privat sektor och viss lag är tillämplig) 7

ADEKVAT SKYDDSNIVÅ, FORTS. Molnet utanför EU/EES Ny dom från EU-domstolen ( Facebookdomen") EU-kommissionen har tidigare beslutat att om en organisation ansluter sig till principerna om Safe Harbour uppfylls kraven på adekvat skyddsnivå Facebook-domen 6 oktober 2015 innebär att detta beslut har ogiltigförklarats Artikel 29-gruppen har 20/10-15 uttalat att överföringar till USA som sker med stöd av EU-kommissionens beslut om Safe Harbour är olagliga Överföringar [ ] till länder vars myndigheter har befogenhet att få åtkomst till information i en utsträckning som går längre än vad som är nödvändigt i ett demokratiskt samhälle kommer inte att anses som en säker destination. Ny Safe Harbour-lösning diskuteras! 8

SAMTYCKE 2. Samtycke Uttryckligt och informerat den registrerade ska veta vad man samtycker till, dvs behandling av uppgifterna sker i molnet i land utanför EU/EES. Frivilligt alternativ måste finnas (arbetstagare anses ej kunna samtycka!) Kan ej samlas in i efterhand 9

34 PuL Molnet utanför EU/EES 34 PUL Om behandlingen är nödvändig för att ett avtal ska kunna fullgöras med den registrerade rättsliga anspråk skall kunna hanteras (tvist) vitala intressen för den registrerade skall kunna skyddas (t ex akuta medicinska skäl) samt till en stat som anslutit sig till Europarådets konvention om skydd för enskilda vid databehandling (Marocco, Mauritius och Senegal) 10

ÖVRIGT Molnet utanför EU/EES Standardavtalsklausulerna binder avtalsparten till adekvat skyddsnivå (kan läggas in i ett avtal eller användas separat) BCR: Lista på företag med godkända BCR finns på http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporaterules/bcr_cooperation/index_en.htm Microsoft - Azure, Office 365, Microsoft Dynamics CRM and Windows Intune? Inte helt godkänt av Artikel 29-gruppen, men Microsoft hävdar detta 11

VARFÖR ÄR USA ETT PROBLEM I DETTA SAMMANHANG? NSA samlar in stora mängder uppgifter Andra amerikanska myndigheter anser sig ha rätt att få ut information från amerikanska bolag, oavsett var servern faktiskt befinner sig (FBI, åklagarmyndigheten i New York). Mål pågår. Idag håller inte en amerikansk tjänst, även om servern står i EU, med säkerhet, en adekvat skyddsnivå enligt EU. Datainspektionen svarar inte generellt på om villkoren för en molntjänst duger Man kan begära samråd med DI om specifik situation Ersättning för Safe Harbour diskuteras lösning behövs! 12

SÅ KONKRET SOM MÖJLIGT Förutsättning: Lärosätet behandlar personuppgifter på laglig grund och på lagligt sätt Kan molntjänster användas? Ja, om Molnet är inom EU/EES och under EU/EES-kontroll (och det ej är känsliga uppgifter) Ja, om avtalet med Molntjänsteleverantören garanterar adekvat skyddsnivå Ger Microsoft en adekvat skyddsnivå? JA! NJAE 13

RÅDET IDAG ÄR: Om det kan finnas känsliga uppgifter skicka inte/lagra inte i Molnet (hög risk=olämpligt enl. DI) Ej känsliga uppgifter använd Molnet om det är lagligt, dvs. om uppgifter får föras över till tredje land. (PUBA ska upprättas med Molnleverantör, standardklausuler kan tecknas). Anpassa säkerhetsnivån (anpassa Windows 10 t ex) Sätt upp interna regler hur vissa typer av uppgifter får behandlas. Kontrollera avtalet med Microsoft för de tjänster som används Laglighet eller inte beror på tjänsten och personuppgifternas art generellt svar kan ej ges! 14

ATT TÄNKA PÅ VID ANVÄNDNING AV MOLNET 1. Ta ställning till om behandlingen är laglig Granska avtalet med molntjänstleverantören Finns risk för att personuppgifter kan komma att behandlas för andra ändamål än de ursprungliga? Kan uppgifterna komma att lämnas över till tredjeland? Finns stöd i PUL för tredjelandsöverföring? Vilka säkerhetsåtgärder behöver vidtas för att skydda personuppgifter? Finns ett PUBA? Finns annan relevant lagstiftning, t ex sekretesslagstiftning? 15

ATT TÄNKA PÅ VID ANVÄNDNING AV MOLNET 2. Risk och sårbarhetsanalys Antal registrerade Mängden uppgifter Nivå på säkerheten Känsligheten i uppgifterna Finns checklistor att använda; t ex ENISA Cloud Computing, Information Assurance Framework Kontroll av biträdena ska göras - följer man PUBA? 16

WINDOWS 10 VAD SAMLAS IN? Namn och kontaktuppgifter Autentiseringsuppgifter (koder, röst, biometrisk data) Demografiska data (ålder, kön, land och språk) Intressen och favoriter (vid appanvändning, web-läsare etc.) Betalningsdata (kreditkortsnummer, säkerhetskoder) Användningsdata (såväl avseende funktioner som används som uppgifter om enheten prestandarelaterat) Kontakter och relationer. Positioneringsinformation (kan vara exakt, t ex från GPS, wifi-hotspots) Innehåll (t ex i e-post för att kunna leverera) Med mera beroende på vilka tjänster som används 17

FUNKTIONER I WINDOWS 10 Windows Hello biometrisk information (fingeravtryck/iris/ansikte) Ska aktiveras av användaren Microsoft Edge (lagring av webbhistorik) Hubben ska aktiveras av användaren Office (lagring i OneDrive=Molnet) Ingen aktivering Cortana (insamling av stor mängd uppgifter i telefon/pc) Kräver f n särskild aktivering (finns ännu ej för Sverige) 18

MICROSOFT WINDOWS 10 - VEM ANSVARAR? Personuppgiftsansvarig är Microsoft, som bestämmer ändamålen med insamlingen av uppgifter i sina tjänster Har anställda något val finns alternativ till Windows? Varje verksamhet behöver arbetsverktyg alternativen är begränsade. Intresseavvägning mellan arbetsgivarens intresse och de anställdas intresse av skyddad integritet. Möjliggöra för den enskilde att begränsa insamling från Microsoft (lås ej den typen av funktioner) 19

LÄROSÄTENAS ANSVAR DÅ? För personuppgifterna som de bestämmer ändamålen med (betyg, resultat, etc ) Lärosätena bestämmer säkerhetsnivån! Överväg vilka funktioner som ska tas bort i Windows, dvs. anpassa default till så hög säkerhetsnivå som möjligt Koppla bort Cortana? Inloggning lokalt istället för med Microsoft-konto Ta bort koppling till kalender och e-postkonton? 20

LÄROSÄTENAS ANSVAR, FORTS. Om funktioner behövs kontrollera laglighet Om funktioner inte kan tas bort, eller om användaren själva har möjlighet att ändra reglera internt Policy för e-posthantering Policy för surf Policy för lagring Policy för kamera/mikrofon och positionering Tydliggör för användare vad som gäller, och vad följden blir om man inte följer detta. Viktigt förklara varför PUL och Windows-insamling är delvis inkompatibla 21

PÅVERKA SÄKERHETSNIVÅN! Autentisering Behörighetsstyrning Behörighetskontroll Loggning (främst när det är fråga om känsliga uppgifter) Kommunikationssäkerhet Rutiner för säkerhetskopiering Utplåning Skydd mot obehörig åtkomst och Skadlig programvara 22

E-POST I sig ingen personuppgift Kan dock innehålla personuppgifter (tentaresultat t ex) Policy ska upprättas (lättfattlig och lättillgänglig) Vad får man skicka? ( Okänsliga personuppgifter med sedvanligt skydd) Vad måste krypteras? (Känsliga personuppgifter) Vad får inte skickas? ( Känsligare uppgifter) Kan man lita på kryptering? Njae - Microsoft kan komma att tvingas lämna ifrån sig nyckeln 23

BING, GOOGLE ELLER ANNAN SÖKMOTOR Innehåller algoritmer som lagrar information och styr träffar Svårt hindra användning av sedvanliga sökmotorer, behövs i arbetet Mindre känslig information, sökmotorn ansvarig för insamlingen Användarens mönster registreras inte de personuppgifter som Lärosätena ansvarar för 24

DIGITAL TENTAMEN OCH INLOGGNING Tentamen ligger i Molnet (ej personuppgifter i sig) Inloggning sker med personuppgifter Ansvarig för inloggningen är Lärosätena Personnummer regleras särskilt i PUL Sådan får behandlas med samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl 25

DIGITAL TENTAMEN, FORTS. Finns möjlighet till annan legitimering som en innebär behandling av personuppgift (e-leg t ex)? Min bedömning är att skäl för behandling normalt sett finns Information om behandlingen ska lämnas vid inloggningen Vem är personuppgiftsansvarig? Ändamålen med behandlingen Ev. övrig information Säkerhet och laglighet Anpassa efter karaktären på PU Om inloggning i Molnet gäller samma sak som för andra PU! 26

HUR BLIR MAN 100 % SÄKER PÅ ATT GÖRA RÄTT? Lagra alla personuppgifter i egen server eller server inom EU/EES Avvakta ny EU-Amerikansk lösning Titta på vilka personuppgifter det är och hur de faktiskt behandlas Undersök hur leverantörens avtal ser ut Fundera på vilken säkerhetsnivå som är lämplig med hänsyn till tekniska möjligheter, känsligheten i uppgifterna, risker och ekonomiska förutsättningar Om tveksamt - överväg samråd med Datainspektionen 27

DATASKYDDSFÖRORDNINGEN 2018 (?) Ny EU-lagstiftning Principerna mycket lika dagens PuL Dock mer formalia (dokument ska tas fram och revideras) Privacy by Design inbyggt integritetsskydd Hårdare tag mot integritetsbrott; Fängelse Skadestånd Böter (upp till det högsta av 100 000 000 eller 5% av årsomsättningen) 28

KONTAKTUPPGIFTER Advokat Sara Malmgren Tel: 08-506 184 28 sara.malmgren@foyen.se www.foyen.se Tel 08-5Tel 08-506 184 28 sara.malmgren@foyen.se 06 sara.malmgren@foyen.se 29

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss