Download   Report
  1. No category

Universitetet och Datainspektionen i Molnet. Reflektioner över

Nationell säkerhetskonferens för universitet och högskolor
15 och 16 april 2015
Universitetet och
Datainspektionen i Molnet
reflektioner över en gryende praxis
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Definition från Wikipedia
• Datormoln – molntjänster - är IT-tjänster som
tillhandahålls över Internet – som traditionellt sköts
på egen dator – men i detta fall sköts av ”någon
annan”
• Tekniken innebär att stora skalbara resurser, t.ex.
processorkraft, lagring och funktioner, tillhandahålls
som tjänster på Internet
• Användare behöver inte ha den tekniska
kunskapen eller kontrollen över infrastrukturen
– d.v.s. köper tjänsten
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Exempel på molntjänster
• Google Apps (kontorsprogram)
• Microsoft Exchange Online (e-post)
• Gmail (e-post)
• Flickr (bilder)
• Dropbox (fillagring)
• Icloud (fillagring m.m.)
• Office 365 (Microsoft 365, en kontorslösning)
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Allmänt regelverket
Personuppgiftslagen
Offentlighets- och sekretesslagen
Myndighetsspecifika
registerförfattningar
Interna styrdokument
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Fråga om det är möjligt att behandla
personuppgifter i en molntjänst
Datainspektionens inspektionsbeslut
Salems kommunstyrelse – Google Apps
Enköpings kommunstyrelse – Dropbox
Malmö Stad –Goggle Apps for Education
Ale kommun – Office 365
Simrishamns kommun – Goggle Apps for Education
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Fråga om det är möjligt att behandla
personuppgifter i en molntjänst
• Artikel 29-arbetsgruppen för skydd av
personuppgifter
”Yttrande 5/2012 om datormoln (cloud computing)”
http://ec.europa.eu/justice/data-protection/index_sv.htm
• Datainspektionens vägledning september 2011
http://www.datainspektionen.se/Documents/faktabladmolntjanster.pdf
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Kritik av besluten avser brister i relation till PuL
• information till användarna
• PuA :s instruktion till PuB – ändamål/endast för PuA
räkning och svensk lag ska gälla
• reglera säkerhetsåtgärder för skydd av
personuppgifter – transparens för PuA/kontroll!
• inte tydligt förbud mot att PuB för egna ändamål
• vid avtals upphörande/radering av uppgifter
• information om underleverantörer lokalisering och
vilken typ av uppdrag de utför
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
…. och vad händer i molnet?
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Vad är det som händer?
Vi måste ta hänsyn till gällande
regelverk och ta ställning till de risker
och andra omständigheter som kan
uppstå i samband med att vi ingår avtal
där behandling av personuppgifter
och/eller integritetskänsligt material
kommer att behandlas!
Detta måste matchas
mot regelverket
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Personuppgiftslagen
(1998:204)
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Lagligt och
korrekt
Känsliga personuppgifter,
personnummer,
uppgift om
lagöverträdelser
PuL 13-22§§
Tredje landsöverföring
PuL 33-35§§
PuL 9 §
Grundläggande krav
på behandling av
personuppgifter
Ytterligare krav på
personuppgiftsansvarig
PuL 50b §
Tillåten behandling
PuL 10 §
Samtycke
Säkerhetsregler
PuL 30-32§§
Nationell säkerhetskonferens för universitet och högskolor
Personuppgift
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
”All slags information som direkt eller indirekt
kan hänföras till en person i livet”
Direkta
Indirekta
Objektiva
Subjektiva
Krypterade
Namn, adress, postnummer,
personnummer, IP-nummer, epostadress, hälso- och
sjukdomsuppgifter,
registreringsnummer för fordon,
bild- ljudupptagningar m.m.
Personuppgift
Är eller kan
identifieras
EJ!!!
Avlidna och icke födda
Juridiska person –
men väl enskild firma
Nationell säkerhetskonferens för universitet och högskolor
Personuppgiftsansvarig
det anlitande lärosätet
och
Personuppgiftsbiträde
molntjänstleverantören och dess
underbiträden
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Personuppgiftsansvarig
”den som ensam eller tillsammans
med andra bestämmer ändamålen
med behandlingen och
medlen för behandlingen
Medhjälpare
fysisk person som under den
personuppgiftsansvariges
ledning behandlar
personuppgifter
(t.ex. den anställde)
Registrerad
den som
uppgiften avser
(t.ex. fysisk person)
Personuppgiftsbiträde
icke anställd
(molntjänstleverantören
och underbiträden)
Nationell säkerhetskonferens för universitet och högskolor
Tredjeland
och
tredjelandsöverföring
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Överföring av personuppgifter till tredje land
omfattar tre paragrafer (33- 35§§) och def. av ”tredje land”
1. 33 § - principiellt förbud mot överföring till
tredje land tillåten endast vid ”adekvat skyddsnivå”
2. 34 § - undantag från förbudet t.ex. samtycke
3. 35 § - bemyndigande för regeringen/
Datainspektionen meddela föreskrifter
för undantag från överföringsförbudet i 33 §
3 § - en stat som inte ingår
i EU eller är ansluten till EES
Nationell säkerhetskonferens för universitet och högskolor
Säkerhet
Göteborgs Universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Personuppgifts
biträdesavtal
Instruktion
eller
lag
Säkerhet
PuL 30-32§§
Tekniska
och
organisatoriska
åtgärder
Säkerhet vid
behandling av
personuppgifter
Särskilda
Säkerhets
åtgärder
DI
Lärosätets
egen ITsäkerhets
policy
och
IT- säkerhets
regler
DIFS
särskilda
föreskrifter
Nationell säkerhetskonferens för universitet och högskolor
och detta innebär …
• Ansvar för att regelverket följs
• Personuppgiftslagen
• Offentlighets- och sekretesslagen
• Myndighetsspecifika
registerförfattningar
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Laglighetskontroll
Instruktion där det framgår vad som ska
behandlas och på vilket sätt – ofta finns
redan standardavtal – take it leave it
Bedömning utifrån egen risk- och
sårbarhetsanalys
Göteborgs universitet
Kristina Ullgren
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Konklusion
Göteborgs Universitet
Kristina Ullgren
April 2012
Nationell säkerhetskonferens för universitet och högskolor
Personuppgiftsbiträdesavtal
• Syftet med avtalet – uppfylla PuL:s krav enligt (30 § andra
stycket)
• PuB åtar sig bara behandla personuppgifterna i enlighet
med PuA/instruktioner – PuA:s gällande regelverk
• PuB vidta (PuL 31 § första stycket) lämpliga tekniska och
organisatoriska åtgärder
• Ta ställning till underbiträden/ingår i avtalet eller särskilda
avtal
• Tillåta inspektioner av DI/annan
• Skadeslöshet – PuB – PuA
• Villkor vid upphörande av och tvisteklausul
Göteborgs Universitet
Kristina Ullgren
• Svensk lag ska gälla
April 2015
Nationell säkerhetskonferens för universitet och högskolor
Det kan konstateras:
• Personuppgiftsansvarig inte själv har kontroll över
lagringen
• Krävs t.ex. kontroll i avtalet
autentisering
behörighetskontroll
kommunikationssäkerhet
rutiner för säkerhetskopiering
skydd för obehörig trafik
skadlig programvara
Reflexion: problemet: ”Stor tillit – för lite koll”
Göteborgs Universitet
Kristina Ullgren
April 2015
Information
Aktuella tillsynsbeslut
www.datainspektionen.se
Lagtexter
www.riksdagen.se
Mall för risk- och sårbarhetsanalys
Sveriges kommuners och landsting
ENISA
Göteborgs universitet
Kristina Ullgren
April 2015
Kontakt
Kristina Ullgren, universitetsjurist
031 – 786 1092
[email protected]
Göteborgs universitet
Kristina Ullgren
April 2015
Jag beundrar Angelina Jolies kroppsliga vittnesmål

Jag beundrar Angelina Jolies kroppsliga vittnesmål

Transportenheten information om särskoleelev

Transportenheten information om särskoleelev

Utbildning för personuppgiftsombud

Utbildning för personuppgiftsombud

Juridiken i sociala medier

Juridiken i sociala medier

Den akademiska professionen råder inte längre över sitt yrke

Den akademiska professionen råder inte längre över sitt yrke

Ansökningsblankett - Söderslättsgymnasiet | Trelleborgs Kommun

Ansökningsblankett - Söderslättsgymnasiet | Trelleborgs Kommun

EUs nya datalag – vad innebär den för dig

EUs nya datalag – vad innebär den för dig

EUs nya personuppgiftslag

EUs nya personuppgiftslag

FÖRSLAG Kompetensförsörjning för innovation

FÖRSLAG Kompetensförsörjning för innovation

Anmälningsblankett till prövning

Anmälningsblankett till prövning

abcdocz.com

© Copyright 2024