Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER



Relevanta dokument
Molntjänster och integritet vad gäller enligt PuL?

Universitetet och Datainspektionen i Molnet

Vägledning om molntjänster i skolan

JURIDIKEN I MOLNET CIO Cloud Confessions

Använd molntjänster på rätt sätt

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

De nya EU-reglernas krav på molnsäkerhet

MOLNET. Säkerhetskrav för personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PERSONUPPGIFTS- BITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

GDPR NYA DATASKYDDSFÖRORDNINGEN

Bilaga 3 Personuppgiftsbiträdesavtal

Personuppgiftbiträdesavtal en hjälptext

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal

1. Bakgrund. 2. Parter. 3. Definitioner

OUTSOURCING TILL MOLNET

Säkerhet enligt personuppgiftslagen

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Personuppgiftsbiträdesavtal

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Instruktion för personuppgiftsbiträdesavtal

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Bilaga 1. Preliminär juridisk rapport

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

PERSONUPPGIFTSBITRÄDESAVTAL

Skolorna visar brister i att hantera personuppgifter

Personuppgiftsinformation för Svedala kommun

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Tillsyn enligt personuppgiftslagen (1998:204) Uppföljning av beslut i ärende

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

PERSONUPPGIFTSBITRÄDESAVTAL

Nationell lagstiftning, EU och ny teknik för utlämnande av data

Digital Lagring. Jukka Salo Flygteknisk inspektör

Risk- och Sårbarhetsanalys

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Framgångsfaktorer i molnet!

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Google Apps For Education

Personuppgiftsbiträdesavtal

Juridik och informationssäkerhet

Riktlinjer för dataskydd

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

GDPR. General Data Protection Regulation. dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Hälso- och sjukvård i molnet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Personuppgiftsbiträdesavtal

Södertörns brandförsvarsförbund

EU:s dataskyddsförordning

Bilaga Personuppgiftsbiträdesavtal

Koncernkontoret Enheten för juridik

Kanslichef - Tillsvidare

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Personuppgiftsbiträde

PuL-bedömning av molntjänst i skolan

GDPR. Dataskyddsförordningen 27 april Emil Lechner

PERSONUPPGIFTSBITRÄDESAVTAL

Policy för hantering av personuppgifter

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

STOCKHOLM GÖTEBORG MALMÖ (5)

Säkerhet vid behandling av personuppgifter i forskning

BILAGA Personuppgiftsbiträdesavtal

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

UPPDATERAD

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Transkript:

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Avtalstypen Molntjänst - Funktionalitet online via Internet - Köp av/ abonnemang på en tjänst - Olika innehåll, olika nivåer SaaS, PaaS, IaaS - Enkelhet, överblickbarhet, flexibilitet, skalbarhet - Inget investeringsbehov, trygghet - DOCK risker; informationshantering, åtkomst, säkerhet, kontroll över och återfående av data, PUL 2

Molnet i det offentliga - PUL inga särregler för offentlig sektor - DI: Särskilda hänsyn när stor mängd/känsliga data, ingående risk- och sårbarhetsanalys - Patientdatalagen, försvar, polis m.fl. - Lag om offentlig upphandling (LOU) ramavtal Kontorsstöd som molntjänst Programvaror och tjänster 2014 - Offentlighets- och sekretesslagen, begränsa åtkomst, kryptering, stark autentisering m.m. - Arkivlagen, krav på bevarande 3

Molnet i det offentliga - Vissa myndighetsföreskrifter/allmänna råd, t.ex. - Finansinspektionen FFFS 2014:1 10 kap. Uppdragsavtal FFFS 2014:5 2 kap Informationssäkerhet, 3 kap IT-verksamhet - JO-beslut Allvarlig kritik mot vårdgivare, VGR/ SLL, journalföring av patientuppgifter via molnet (JO 2014-09-09, dnr 3032-2011) 4

Att tänka på inför ett avtal - Risk- och sårbarhetsanalys - Vem är leverantören? - Leverantörsvänliga avtalsvillkor vanligt! - Specifikationen, vad ingår i tjänsten? Ändringar? - Servicenivåer (SLA) - Ansvar för kommunikationen/uppkoppling mot internet? - Krav på kunden? Kundens data, format, ej virus 5

Att tänka på inför ett avtal/ forts. - Säkerhetskopior, redundans? Kan informationen återskapas? - Krav på behöriga användare hos kunden? - Lev. rätt att anlita underleverantörer? - Hur och av vem behandlas av personuppgifter? - Lev. egen användning av kunddata? - Felansvar, brister i tjänsten avhjälpande, nedsättning, vårdslöshet? 6

Att tänka på inför ett avtal/ forts. - Utebliven betalning/avtalsbrott, rätt att avbryta, stänga av tjänsten? - Upphörande/Exit, återlämnande av data - Radering, anonymisering (lev. rätt till ersättning?) - Ansvarsfriskrivningar - direkt/indirekt skada, förlust av data, maxbelopp skadestånd 7

Personuppgiftslagen (PUL) - Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysiskperson som är i livet - Behandling: Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter - Personuppgiftsansvarig: Den som bestämmer ändamålen med behandlingen, dvs. kunden - Personuppgiftsbiträde: Den som utför behandling för den p-ansvariges räkning - Svensk lag gäller om den p-ansvarige etablerad i Sverige el. använder utrustning i Sverige 8

PUL kräver särskilt avtal - Personuppgiftsbiträdesavtal måste upprättas - Skriftligt, urskiljbart från övriga avtalsvillkor - Behandlingen ska ske i enlighet med instruktioner från den personuppgiftsansvarige - Säkerställas en lämplig säkerhetsnivå m h t a) tekniska möjligheter, b) kostnader, c) risker och d) hur känslig informationen är - Krav på uppföljning och kontroll 9

Krav på ett personuppgiftsbiträde - Biträdet ska tillämpa svensk lag - Avtalsvillkoren får inte ensidigt kunna ändras av biträdet - Information om/ ändring av underleverantörer måste lämnas - Uppföljning ske att biträdet följer kraven från den p-ansvarige (revision) - Säkerställa förutsättningar utreda misstankar om obehörig åtkomst 10

Underleverantörer - Huvudbiträde underbiträde - Avtal med varje eller med stöd av fullmakt för huvudbiträdet - Huvudbiträdet ansvarar för anlitat underbiträde - Ansvar också direkt mot p-ansvarig - Ska åläggas samma skyldigheter som huvudbiträdet har gentemot p-ansvarige - Gäller inom resp. utanför EU/EES 11

Kund "Personuppgi?s- ansvarig Bestämmer ändamålen Personuppgi?sbiträdesavtal Underbiträdes- avtal Underbiträde Dri?, lagring EU/EJ EU? Molntjänstleverantör Personuppgi?s- biträde Handla på instruk(on Underbiträdes- avtal Underbiträde Support, utveckling EU/EJ EU? 12

Förbud mot överföring till tredje land - Gäller till länder som saknar adekvat skyddsnivå - Gäller länder utanför EU/EES - Undantag bl.a. om: - Samtycke från den registrerade - EU:s standardavtalsklausuler - Safe Harbor-principerna - Binding Corporate Rules (BCR) 13

Tillsynsärenden Datainspektionen - Brevo AB (Windows Azure) Dnr 691-2012 - Salems kommun (Google Apps) Dnr 1351-2012, Förvaltningsrätten i Stockholm, dom 2014-07-01, mål nr 15410-13 - Enköpings kommun (Dropbox) Dnr 256-2011 - Sollentuna kommun (Google Apps for Education) Dnr 890-2012 - Ale kommun (Office 365) Dnr 1475-2013 - Malmö kommun (Google Apps for Education) Dnr 358-2014 14

Två standardavtal för molntjänster - IT & Telekomföretagen Allmänna Bestämmelser Cloud Computing version 2010 - Svensk Programvaruindustri (SPI) - OBS Leverantörsvänliga! - Cloud Sweden www.cloudsweden.se kompetensnätverk, checklistor m.m. 15

Advokat Hans Nicander Nicander Advokatbyrå hans.nicander@nicander.se Tel. 070-752 05 17 www.nicander.se 16

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss