Download   Report
  1. No category

e/læsning for alle

Persondataretlige
aspekter ved cloud
computing
Anne Ermose, advokat, Microsoft Danmark
Michael Hopp, partner, Plesner
Dansk Forum for IT-ret, 28. november 2012
1
28 November 2012
Oversigt
1. Introduktion
2. Reglerne
3. Tidligere dansk praksis
4. Microsoft Office 365 afgørelserne
5. Artikel 29-gruppen
6. Andre lande
7. Konklusion
2
Dansk Forum for IT-ret - 28. november 2012
Introduktion
•
Hvad er ”cloud computing”?
•
Hovedproblemer for den dataansvarlige
-
Tab af kontrol over oplysningerne
-
Manglende gennemsigtighed
•
Hovedproblemer for den registrerede
-
Øget risiko for sikkerhedsbrist?
-
Udvanding af rettigheder
3
Dansk Forum for IT-ret - 28. november 2012
Take a physical server...
‘Virtualise’ the OS and application...
...and host them on a generic virtual
server.
Application
Application
Application
Operating System
Operating
System
Operating
System
Physical Machine
Virtual Machine
Virtualization Layer
Physical Machine
4
Dansk Forum for IT-ret - 28. november 2012
An array of such virtual servers, hosting different ‘virtual instances’ of customer servers as required, form the
infrastructure of the Cloud.
5
Dansk Forum for IT-ret - 28. november 2012
Access Portal
User 1
User 2
User 3
In real network terms, the Cloud may comprise server arrays at multiple, inter-linked data centres accessed
via the Internet.
6
Dansk Forum for IT-ret - 28. november 2012
User 1
User 2
User 3
As far as the customers are concerned, the Cloud may as well be a generic resource, accessed online from
wherever required.
7
Dansk Forum for IT-ret - 28. november 2012
Reglerne
• Persondataloven
- § 41, stk. 3: Den dataansvarlige skal træffe de fornødne tekniske og
organisatoriske sikkerhedsforanstaltninger mod, at oplysninger
hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod,
at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt
behandles i strid med loven. Tilsvarende gælder for databehandlere.
- § 41, stk. 5: Hjemmel for sikkerhedsbekendtgørelsen for offentlige
dataansvarlige
8
Dansk Forum for IT-ret - 28. november 2012
Reglerne
Persondataloven
- § 42, stk. 1: Når en dataansvarlig overlader en behandling af
oplysninger til en databehandler, skal den dataansvarlige sikre sig, at
databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og
organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
- § 42, stk. 2: Gennemførelse af en behandling ved en databehandler skal
ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det
fremgå, at databehandleren alene handler efter instruks fra den
dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for
behandlingen ved databehandleren. Hvis databehandleren er etableret i
en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser
om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den
medlemsstat, hvor databehandleren er etableret, gælder for denne.
9
Dansk Forum for IT-ret - 28. november 2012
Tidligere dansk praksis
• Odense Kommune / Google Apps
- 2010: DT afviser brugen af Google Apps
- "Allerede fordi" afgørelse – manglende sikkerhed ifm. log-in
- Men problemkatalog med 14 punkter
- 2012: DT afviser igen brugen af Google Apps
-
Manglende overholdelse af Pdl og sikkerhedsbkg.
- Usikre tredjelande
- Utilstrækkelig risikovurdering
- Databehandleraftalen
- Ingen mulighed for kontrol med overholdelse af sikkerhedskrav
- Andre forhold
10
Dansk Forum for IT-ret - 28. november 2012
Microsoft Office 365
Baggrund
-
Office, Exchange, Lync og Sharepoint i skyen
-
Microsoft er databehandler (kunden er dataansvarlig)
-
Datacentre ligger i EU
-
Adgang fra og overførsel til tredjelande
11
Dansk Forum for IT-ret - 28. november 2012
Microsofts Cloud Principles
12
Dansk Forum for IT-ret - 28. november 2012
Hvad har Datatilsynet egentlig sagt?
Udtalelse af 6. juni 2012 til Microsoft Danmark om Office365
Konkret afgørelse af 10. juli 2012 til ITU om Løn og
Personaleadministration og Studieadministration
13
Dansk Forum for IT-ret - 28. november 2012
Trust Center
http://www.microsoft.com/da-dk/office365/trust-center.aspx
14
Dansk Forum for IT-ret - 28. november 2012
Artikel 29-gruppen
WP 196 – 1. juli 2012
• Krav til aftalen
• Under-databehandlere
• Oplysninger til den dataansvarlige
• Oplysningspligt ift. de registrerede?
• Datasikkerhed
• Risikovurdering
• Audits
• Tredjelande
15
Dansk Forum for IT-ret - 28. november 2012
Andre lande
• Norge
- September 2012: Narvik Kommunes brug af Google Apps email løsning
- September 2012: Moss Kommunes brug af Microsoft Office 365
• Sverige
- September 2011: Vejledning (og konkrete sager)
- September 2012: Breviks brug af Microsoft Windows Azure
• Holland
- Oktober 2012: DPA - Generel udtalelse
• England
- Oktober 2012: ICO Guidance on the use of cloud computing
• Tyskland
- September 2011: Orientation guide
- April 2012: SOPOT Memorandum
16
Dansk Forum for IT-ret - 28. november 2012
CV
Anne Ermose
Profil
•
Advokat for Microsoft Danmark siden 2009
•
Tidligere advokat hos Lassen Ricard og
fuldmægtig i Justitsministeriet
Email: [email protected]
17
Dansk Forum for IT-ret - 28. november 2012
CV
Michael Hopp
Profil
-
-
-
Michael Hopp har været ansat i Plesner siden 2000 og er partner i Plesners IPretsgruppe, hvor han er ansvarlig for Plesners juridiske rådgivning om
persondatabeskyttelse, markedsføringsret og forbrugerret. Endvidere arbejder
Michael med teknologi, medier og telekommunikation.
Arbejdet omfatter bl.a. rådgivning om persondatabeskyttelse, projekter til
overholdelse af datasikkerhed, herunder Binding Corporate Rules,
dataoverførsler, databeskyttelsespolitikker for kunder eller ansatte,
overvågning af ansatte samt databeskyttelse i forbindelse med US discovery.
Michael yder også rådgivning i tvister og generel rådgivning vedrørende
markedsføringsret, fx gennemgang af kampagner og nye forretningsmodeller
samt klienters tvister med konkurrenter og myndigheder. Rådgivningen
omfatter også nye forretningsmodeller rettet mod forbrugere, fx
loyalitetsprogrammer, gavekort og forudbetalte kortsystemer såvel som online
distribution af ydelser, fx musik og apps.
Ratings
18
-
"E-commerce specialist Michael Hopp has 'an extensive knowledge of data
protection'." Legal 500 (2011)
-
Michael Hopp has been listed as a leading individual as regards Intellectual
Property. He is well known for his copyright work. Clients appreciate his
business-minded approach. Chambers Global (2012)
-
Michael Hopp is listed as an expert with respect to IP, IT and Telecoms. EMEA
(European) Legal Experts (2012)
Dansk Forum for IT-ret - 28. november 2012
Michael Hopp
Persondata, Markedsføringsret og
IT-ret
Partner
Tlf.:
+45 36 94 1306
Mobil: +45 29 99 30 14
[email protected]
Sprog: Engelsk og skandinavisk
Boot Camp 2017 i it-ret - Danske IT

Boot Camp 2017 i it-ret - Danske IT

Behovskort til børn

Behovskort til børn

CV, eksamensbeviser og udtalelser som PDF fil

CV, eksamensbeviser og udtalelser som PDF fil

Microsofts dataark om Netjul

Microsofts dataark om Netjul

M Networks A/S er i udvikling og søger derfor en

M Networks A/S er i udvikling og søger derfor en

Lytte på lunger

Lytte på lunger

dt lommy mini - Danske Tursejlere

dt lommy mini - Danske Tursejlere

AGENDA - Netcompany

AGENDA - Netcompany

Systemadministrator - Microsoft Dynamics AX

Systemadministrator - Microsoft Dynamics AX

it-problemer koster 3 ugers arbejdstid årligt for hver

it-problemer koster 3 ugers arbejdstid årligt for hver

Change Management konsulent > (pdf 183 kb)

Change Management konsulent > (pdf 183 kb)

abcdocz.com

© Copyright 2024