Nyheder til sæson 2010: Øvrige produkter:

Nyheder inden for drift og outsourcing
It-retlig opdatering, 5. september, 2013
Dias 1
Det Juridiske Fakultet
• 
Ny ISO standard for sikkerhed ved behandling af
personoplysninger i cloudmiljøer
• 
Nyt om pligtmæssig udlevering af personoplysninger til
udenlandske myndigheder
• 
Nye initiativer om en standard driftsaftale
It-retlig opdatering, 5. september, 2013
Dias 2
Prøve
1
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
Information technology – Security techniques – Code
of practice for protection of personally identifiable
information (PII) in public clouds acting as PII
processors
• 
Offentliggjort 1. august 2014
• 
Er baseret på ISO 27002
• 
Tilgængelig for ISO´s hjemmeside (iso.org) mod
betaling
It-retlig opdatering, 5. september, 2013
Dias 3
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
PII: Personally Identifiable Information
•  Any information that can be used to identify the PII principal
to whom such information relates, or (b) is or might be
directly or indirectly linked to a PII principal
•  Ikke nødvendigvis helt sammenfaldende med
personoplysningsbegrebet i persondataloven og
persondatadirektivet
• 
Forholdet mellem standarden og den retlige regulering
•  Kravene i standarden er ikke en 1:1 mapning med kravene i
persondataloven og persondatadirektivet
•  ”Fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger”
It-retlig opdatering, 5. september, 2013
Dias 4
Prøve
2
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
Består af hoveddokument og annex
•  Hoveddokument: primært organisatoriske og
sikkerhedsmæssige krav/standarder
•  Annex: krav til/standard for behandlingen af
personoplysninger svarende til det der kendes fra
persondatareglerne
It-retlig opdatering, 5. september, 2013
Dias 5
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
Emneoversigt – hoveddokument
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
Information security policies
Organization of information security
Human ressource security
Asset management
Access control
Cryptography
Physical and environmental security
Operations security
Communications security
System acquisition, development and maintenance
Supplier relationships
Information security incident management
Information security aspects of business continuity
management
It-retlig opdatering, 5. september, 2013
Dias 6
Prøve
3
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
Information security reviews (pkt. 18.2):
In cases where individual cloud service customer audits are
impractical or may increase risks to security (see 0.1), the
public cloud PII processor should make available to prospective
cloud service customers, prior to entering into, and for the
duration of, a contract, independent evidence that information
security is implemented and operated in accordance with the
public cloud PII processor’s policies and procedures. A relevant
independent audit as selected by the public cloud PII processor
should normally be an acceptable method for fulfilling the cloud
service customer’s interest in reviewing the public cloud PII
processor’s processing operations, provided sufficient
transparency is provided.
It-retlig opdatering, 5. september, 2013
Dias 7
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
Emneoversigt – annex
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
Consent and choice
Purpose legitimacy and specification
Collection limitation
Data minimization
Use, retention and disclosure limitation
Accuracy and quality
Openness, transparancy and notice
Individual participation and access
Accountability (bl.a. breach notification)
Information security
It-retlig opdatering, 5. september, 2013
Dias 8
Prøve
4
Det Juridiske Fakultet
Ny sikkerhedsstandard for behandling af
personoplysninger i cloud-miljøer – ISO 27018
• 
God artikel om standarden og dens forhold til
persondataretten:
http://www.brusselsprivacyhub.org/Resources/BPHWorking-Paper-VOL1-N2.pdf
It-retlig opdatering, 5. september, 2013
Dias 9
Det Juridiske Fakultet
Udlevering af personoplysninger til udenlandske
(læs: amerikanske) myndigheder
• 
Problemstillingen
• 
Sondring mellem udlevering og ulovlig udlevering
• 
Afgørelse fra US district court af 29. august 2014
•  Microsoft forpligtet til at udlevere e-mails fra server
placeret i Irland i forbindelse med efterforskning af
narkokriminalitet i USA efter the Stored Communications
Act
•  Amerikanske myndigheder valgte ikke at følge the
Mutual Legal Assistance Treaty mellem USA og Irland
•  Microsoft har anket til Court of Appeals
It-retlig opdatering, 5. september, 2013
Dias 10
Prøve
5
Det Juridiske Fakultet
Udlevering af personoplysninger til udenlandske
myndigheder
• 
Tysk initiativ
•  Det tyske indenrigsministeriums Procurement Office har
introduceret en erklæring som leverandører i offentlige udbud kan
blive afkræver at underskrive i forbindelse med prækvalifikation
•  Leverandøren skal erklære ikke at være underlagt en forpligtelse til
at udlevere fortrolige oplysninger, herunder personoplysninger, til
tredjeparter
•  Leverandører, der ikke underskriver erklæringen eller som
underskriver den mod bedre vidende, bliver ikke prækvalificeret
It-retlig opdatering, 5. september, 2013
Dias 11
Det Juridiske Fakultet
Udlevering af personoplysninger til udenlandske
myndigheder
•  EU-initiativer
•  Forordningsudkastet
•  Tidligere art. 42
•  Parlamentets forslag til art. 43a
•  Art. 29-gruppen, Working Document om elektronisk overvågning
mhp. efterretning og national sikkerhed, WP 228, 5. december
2014
•  Nationale sikkerhedsinteresser for tredjelande udgør ikke en
undtagelse til anvendelse af EU persondataretten
•  Ingen af de eksisterende mekanismer for overførsel af data til
tredjelande kan nødvendigvis hjemle overførsel ifb.
Masseovervågning
• 
Safe harbor-ordningen
It-retlig opdatering, 5. september, 2013
Dias 12
Prøve
6
Det Juridiske Fakultet
Nyt initiativ om standarddriftsaftale til det
danske marked
• 
Baggrund
• 
Arbejdsgruppe med repræsentanter fra Dansk IT, ITB
og Danske IT-advokater
• 
Sigter mod driftsaftaler med ”middel” kompleksitet og
størrelse – dvs. ikke standard cloudaftaler eller meget
store driftsaftaler
• 
I udgangspunkt tilstræbes agreed document men
med mulighed for alternative bestemmelser fra hhv.
kunde- og leverandørside
• 
Forventet at udkast kan sendes i høring i efteråret
2015
It-retlig opdatering, 5. september, 2013
Dias 13
Det Juridiske Fakultet
Digitaliseringsstyrelsen statusrapport for statens
outsourcede it-drift, første halvår 2014
• 
• 
Behov for større fokus på håndtering af den outsourcede itdrift i staten
Tendenser
•  Manglende standarder
Forskellige standarder for kontrakterne gør opfølgning ineffektiv
og bevirker at væsentlige bestemmelser ikke er til stedet
•  Ringe forudsætning for udnyttelse af faldende priser på markedet
Lang løbetid, mangel på prisreguleringsmekanismer og
manglende gennemsigtighed i omkostningerne
•  Manglende fokus på optimering
Mere fokus på stabil drift end på at udnytte markedssituationen
•  Ringe sammenhæng mellem forretningsbehov og serviceniveau
•  Manglende risikostyring
It-retlig opdatering, 5. september, 2013
Dias 14
Prøve
7
Det Juridiske Fakultet
Digitaliseringsstyrelsen statusrapport for statens
outsourcede it-drift, første halvår 2014
• 
Forbedringsforslag i rapporten
•  Udarbejdelse af en fællesstatslig standardkontrakt
for it-drift
•  Mere fokus på kontrakt- og risikostyring
•  Fokus på de kommercielle dele af kontraktstyringen og
potentialet ved at udnytte markedssituationen
=> Digitaliseringsstyrelsen har besluttet at udarbejde en
standard driftsaftale (K04)
It-retlig opdatering, 5. september, 2013
Dias 15
Prøve
8