Nyheder inden for drift og outsourcing It-retlig opdatering, 5. september, 2013 Dias 1 Det Juridiske Fakultet • Ny ISO standard for sikkerhed ved behandling af personoplysninger i cloudmiljøer • Nyt om pligtmæssig udlevering af personoplysninger til udenlandske myndigheder • Nye initiativer om en standard driftsaftale It-retlig opdatering, 5. september, 2013 Dias 2 Prøve 1 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors • Offentliggjort 1. august 2014 • Er baseret på ISO 27002 • Tilgængelig for ISO´s hjemmeside (iso.org) mod betaling It-retlig opdatering, 5. september, 2013 Dias 3 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • PII: Personally Identifiable Information • Any information that can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal • Ikke nødvendigvis helt sammenfaldende med personoplysningsbegrebet i persondataloven og persondatadirektivet • Forholdet mellem standarden og den retlige regulering • Kravene i standarden er ikke en 1:1 mapning med kravene i persondataloven og persondatadirektivet • ”Fornødne tekniske og organisatoriske sikkerhedsforanstaltninger” It-retlig opdatering, 5. september, 2013 Dias 4 Prøve 2 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • Består af hoveddokument og annex • Hoveddokument: primært organisatoriske og sikkerhedsmæssige krav/standarder • Annex: krav til/standard for behandlingen af personoplysninger svarende til det der kendes fra persondatareglerne It-retlig opdatering, 5. september, 2013 Dias 5 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • Emneoversigt – hoveddokument • • • • • • • • • • • • • Information security policies Organization of information security Human ressource security Asset management Access control Cryptography Physical and environmental security Operations security Communications security System acquisition, development and maintenance Supplier relationships Information security incident management Information security aspects of business continuity management It-retlig opdatering, 5. september, 2013 Dias 6 Prøve 3 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • Information security reviews (pkt. 18.2): In cases where individual cloud service customer audits are impractical or may increase risks to security (see 0.1), the public cloud PII processor should make available to prospective cloud service customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the public cloud PII processor’s policies and procedures. A relevant independent audit as selected by the public cloud PII processor should normally be an acceptable method for fulfilling the cloud service customer’s interest in reviewing the public cloud PII processor’s processing operations, provided sufficient transparency is provided. It-retlig opdatering, 5. september, 2013 Dias 7 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • Emneoversigt – annex • • • • • • • • • • Consent and choice Purpose legitimacy and specification Collection limitation Data minimization Use, retention and disclosure limitation Accuracy and quality Openness, transparancy and notice Individual participation and access Accountability (bl.a. breach notification) Information security It-retlig opdatering, 5. september, 2013 Dias 8 Prøve 4 Det Juridiske Fakultet Ny sikkerhedsstandard for behandling af personoplysninger i cloud-miljøer – ISO 27018 • God artikel om standarden og dens forhold til persondataretten: http://www.brusselsprivacyhub.org/Resources/BPHWorking-Paper-VOL1-N2.pdf It-retlig opdatering, 5. september, 2013 Dias 9 Det Juridiske Fakultet Udlevering af personoplysninger til udenlandske (læs: amerikanske) myndigheder • Problemstillingen • Sondring mellem udlevering og ulovlig udlevering • Afgørelse fra US district court af 29. august 2014 • Microsoft forpligtet til at udlevere e-mails fra server placeret i Irland i forbindelse med efterforskning af narkokriminalitet i USA efter the Stored Communications Act • Amerikanske myndigheder valgte ikke at følge the Mutual Legal Assistance Treaty mellem USA og Irland • Microsoft har anket til Court of Appeals It-retlig opdatering, 5. september, 2013 Dias 10 Prøve 5 Det Juridiske Fakultet Udlevering af personoplysninger til udenlandske myndigheder • Tysk initiativ • Det tyske indenrigsministeriums Procurement Office har introduceret en erklæring som leverandører i offentlige udbud kan blive afkræver at underskrive i forbindelse med prækvalifikation • Leverandøren skal erklære ikke at være underlagt en forpligtelse til at udlevere fortrolige oplysninger, herunder personoplysninger, til tredjeparter • Leverandører, der ikke underskriver erklæringen eller som underskriver den mod bedre vidende, bliver ikke prækvalificeret It-retlig opdatering, 5. september, 2013 Dias 11 Det Juridiske Fakultet Udlevering af personoplysninger til udenlandske myndigheder • EU-initiativer • Forordningsudkastet • Tidligere art. 42 • Parlamentets forslag til art. 43a • Art. 29-gruppen, Working Document om elektronisk overvågning mhp. efterretning og national sikkerhed, WP 228, 5. december 2014 • Nationale sikkerhedsinteresser for tredjelande udgør ikke en undtagelse til anvendelse af EU persondataretten • Ingen af de eksisterende mekanismer for overførsel af data til tredjelande kan nødvendigvis hjemle overførsel ifb. Masseovervågning • Safe harbor-ordningen It-retlig opdatering, 5. september, 2013 Dias 12 Prøve 6 Det Juridiske Fakultet Nyt initiativ om standarddriftsaftale til det danske marked • Baggrund • Arbejdsgruppe med repræsentanter fra Dansk IT, ITB og Danske IT-advokater • Sigter mod driftsaftaler med ”middel” kompleksitet og størrelse – dvs. ikke standard cloudaftaler eller meget store driftsaftaler • I udgangspunkt tilstræbes agreed document men med mulighed for alternative bestemmelser fra hhv. kunde- og leverandørside • Forventet at udkast kan sendes i høring i efteråret 2015 It-retlig opdatering, 5. september, 2013 Dias 13 Det Juridiske Fakultet Digitaliseringsstyrelsen statusrapport for statens outsourcede it-drift, første halvår 2014 • • Behov for større fokus på håndtering af den outsourcede itdrift i staten Tendenser • Manglende standarder Forskellige standarder for kontrakterne gør opfølgning ineffektiv og bevirker at væsentlige bestemmelser ikke er til stedet • Ringe forudsætning for udnyttelse af faldende priser på markedet Lang løbetid, mangel på prisreguleringsmekanismer og manglende gennemsigtighed i omkostningerne • Manglende fokus på optimering Mere fokus på stabil drift end på at udnytte markedssituationen • Ringe sammenhæng mellem forretningsbehov og serviceniveau • Manglende risikostyring It-retlig opdatering, 5. september, 2013 Dias 14 Prøve 7 Det Juridiske Fakultet Digitaliseringsstyrelsen statusrapport for statens outsourcede it-drift, første halvår 2014 • Forbedringsforslag i rapporten • Udarbejdelse af en fællesstatslig standardkontrakt for it-drift • Mere fokus på kontrakt- og risikostyring • Fokus på de kommercielle dele af kontraktstyringen og potentialet ved at udnytte markedssituationen => Digitaliseringsstyrelsen har besluttet at udarbejde en standard driftsaftale (K04) It-retlig opdatering, 5. september, 2013 Dias 15 Prøve 8
© Copyright 2024