Krav til bruk av skytjenester



Tilbake til resultater fra UH-skyprogrammet

(Denne veilederen ble sist oppdatert  21.12.2016)

For mange universiteter og høgskoler er skytjenester attraktive alternativer til selv å drifte IT-systemer og -tjenester som anvendes i forskning, undervisning, administrasjon eller formidling. Samtidig er det usikkerhet knyttet til hvilke lover og regler som gjelder for bruk av skytjenester: «hvilke rettslige krav stilles og hvordan kan vi overholder de lover og regler som gjelder»?

 

Formål og målgruppe

I denne veilederen gjøres det rede for de viktigste lovene og reglene som gjelder for bruk av skytjenester. Veilederen retter seg spesielt mot ansatte ved universiteter og høyskoler som har ansvaret for valg og forvaltning av skytjenester.

Lover og regler

Det er særlig fem lov- og regelverk som ansatte med ansvar for skytjenester bør kjenne til. Dette er:

Skymegler og rettslig ansvar

Skymegler gir råd og veiledning om hvordan særlig relevante bestemmelser i disse lov- og regelverkene kan ivaretas av universiteter og høyskoler. Institusjonene selv er likevel helt og fullt ansvarlig for at bruken av skytjenester skjer på lovlig måte.

Institusjonene kan bli ilagt sanksjoner av tilsynsmyndigheter, for eksempel bøter, dersom lovene og reglene ikke overholdes.

Faseinndeling

Veilederen gjør rede for hvordan bestemmelser i de nevnte lov- og regelverkene kommer til anvendelse i de ulike fasene av skytjenestebruken. Fasene dekker hele tjenestelivssyklusen – fra begynnelse til slutt:

  • Utredningsfasen omhandler de reglene som gjelder når universitetet eller høyskolen vurderer om de skal bestille og benytte skytjenester i forskning, undervisning, administrasjon eller formidling.
  • Avtalefasen omhandler de reglene som gjelder for inngåelse av avtaler mellom universitetet eller høyskolen og leverandører av skytjenester.
  • Forvaltningsfasen omhandler de reglene som gjelder etter at lovpålagte avtaler er inngått og skytjenester tatt i bruk i forskning, undervisning, administrasjon eller formidling.
  • Opphørsfasen omhandler de reglene som gjelder når universitetet eller høyskolen velger å avslutte bruken av skytjenester.

 

Andre lovverk

Også andre lovverk enn de som omtales i denne veilederen kan være relevante i forbindelse med skytjenester. Dette gjelder for eksempel lov om offentlige anskaffelser. Anskaffelsesreglene faller imidlertid utenfor rammen for denne veilederen.

Lovendringer

Veilederen vil bli oppdatert når det kommer lovendringer som har særlig betydning for bruken av skytjenester i universitets- og høyskolesektoren.

 

Utredningsfasen

Utredningsfasen er perioden når universitetet eller høyskolen vurderer å anvende en skytjeneste, men før det inngås avtaler med leverandøren om bruk av tjenesten.

I denne fasen skal universitetet eller høyskolen utføre to viktige arbeidsoppgaver:

  • Informasjonssikkerhet – innhente informasjon om hvordan skytjenesten er oppbygd og fungerer, spesielt med hensyn til informasjonssikkerhet og underleverandører, og gjennomføre risikovurdering av tjenesten.
  • Datalokasjon – innhente informasjon om hvilke land skytjenesten overfører institusjonens opplysninger til.

Innhenting av informasjon om informasjonssikkerhet, underleverandører og datalokasjon forutsetter at universitetet eller høyskolen har oversikt over hvilke typer opplysninger skytjenesten er ment å behandle: «hvilke opplysninger har vi bestemt oss for å sette ut til skydrift?»

Svaret på spørsmålet vil ha betydning for hvilke regler som gjelder ved bruk av skytjenester. Det vil for eksempel gjelde litt andre regler dersom skytjenesten skal behandle personopplysninger enn dersom dette ikke er tilfelle. Personopplysninger er alle slags vurderinger eller informasjon som kan knyttes til bestemte enkeltpersoner (studenter, ansatte, osv.).

Andre lovkrav

I utredningsfasen må universitetet eller høyskolen også forvisse seg om at andre lovkrav blir ivaretatt.

Når det gjelder regelverk for behandling av personopplysninger, er det særlig viktig at grunnkravene som stilles til slik behandling overholdes. Det innebærer at universitetet eller høyskolen må 

  • ha saklige og tydelig definerte formål med bruken av personopplysninger som settes ut i skyen
  • ikke benytte skytjenesten til behandling av flere personopplysninger enn det som er strengt tatt nødvendig 
  • ikke bruke opplysningene til helt andre formål uten å ha lovhjemmel for slik bruk eller at de som opplysningene gjelder (studenter, ansatte, osv.) har samtykket til den nye bruken 
  • ha en lovlig grunn (hjemmel) for bruken av personopplysningene
  • sørge for at kvaliteten på personopplysningene blir ivaretatt (tilstrekkelige og relevante, korrekte og oppdaterte)
  • sørge for leverandøren sikrer personopplysningene mot uautorisert tilgang, skade, ødeleggelse eller tap
  • sørge for sletting, anonymisering eller arkivering av personopplysningene når det ikke lenger er bruk for dem

Universitetet eller høyskolen må også sørge for at rettighetene til de som opplysningene gjelder (studenter, ansatte, osv.) ivaretas, for eksempel at det gis informasjon om hva skytjenesten brukes til og hvilke opplysninger den behandler. I tillegg må det blant annet lages løsninger for hvordan innsyn i egne personopplysninger og krav om retting, sletting eller begrenset behandling skal håndteres.  

Universitetet eller høyskolen bør være oppmerksom på at for enkelte typer skytjenester kan det være plikt til å utrede personvernkonsekvenser før tjenestene tas i bruk. Datatilsynet vil publisere en liste over hvilke typer tjenester som eventuelt vil bli omfattet av denne plikten. 

Til slutt kan det være nødvendig for universitetet eller høyskolen å melde bruken av skytjenesten til Datatilsynet eller søke konsesjon dersom det er meningen at tjenesten skal behandle sensitive personopplysninger, for eksempel helseopplysninger.

Reglene om melde- og konsesjonsplikt i dagens personopplysningslov forsvinner når EUs nye personvernregler, som også vil gjelde i Norge, trer i kraft i mai 2018.

 

Informasjonssikkerhet

Dersom det er meningen at skytjenesten skal behandle personopplysninger, er universitetet eller høyskolen pålagt å gjennomføre en risikovurdering av informasjonssikkerheten i tjenesten før den tas i bruk. Det samme vil gjelde dersom skytjenesten benyttes i forbindelse med saksbehandling eller til elektronisk kommunikasjon.

risikovurderingen skal institusjonen finne ut om det er forsvarlig å ta skytjenesten i bruk: hvor høy er risikoen for at opplysninger tilhørende institusjonen utsettes for uautorisert tilgang, endring, skade, tap eller utilgjengelighet?

Sikringstiltak

Dersom risikovurderingen viser at det ikke uten videre er forsvarlig å ta skytjenesten i bruk – risikoen for uautorisert tilgang, endring, skade, tap eller utilgjengelighet er uakseptabel høy – kan det være aktuelt å be leverandøren om å iverksette ekstra sikringstiltak. Muligheten for etablering av slike tiltak kan variere avhengig av hvilken type skytjeneste det er snakk om.

Når det gjelder applikasjons- og programvaretjenester (Software as a Service), tilbyr leverandører vanligvis standard sikkerhet som institusjonen må godta som den er. Alternativet er å la være å bruke skytjenesten. Når det gjelder infrastrukturtjenester (Infrastructure as a Service), vil institusjonen ofte kunne etablere selvvalgte sikringstiltak dersom risikovurderingen skulle konkludere med at det er nødvendig.

Før risikovurderingen gjennomføres, bør institusjonen undersøke muligheten for etablering av ekstra sikringstiltak.   

Lovlig bruk

Hvis risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten er tilfredsstillende slik den er, vil det være lovlig å ta tjenesten i bruk.

Hvis risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten er tvilsom eller for dårlig, og det ikke lar seg gjøre å etablere ekstra sikringstiltak, vil det ikke være lovlig å anvende tjenesten.

Risikovurdering

For å kunne gjennomføre en risikovurdering, må universitetet eller høyskolen først skaffe seg informasjon om informasjonssikkerheten i skytjenesten. Institusjonen bør stille følgende hovedspørsmål:

  • "Hvilke sikringstiltak har leverandøren iverksatt for å unngå at våre opplysninger utsettes for uautorisert tilgang, endring, skade, tap eller utilgjengelighet?"

For å kartlegge nærmere hvilke sikringstiltak leverandøren har iverksatt, bør institusjonen søke å finne svar på følgende kontrollspørsmål:

  • Har leverandøren etablert et ledelsessystem for informasjonssikkerhet?
  • Er leverandøren sertifisert etter internasjonalt anerkjente standarder for informasjonssikkerhet, for eksempel ISO/IEC 27001: 2013?
  • Hvilke medarbeidere har tilgang til institusjonens opplysninger?
  • Hvilke regler eller prinsipper gjelder for tilgangsstyring?
  • Hvilke rutiner gjelder for undertegning av taushetserklæringer?
  • Hvilke løsninger finnes for aktivitetslogging og kontroll av loggene, inkludert logging av autorisert og forsøk på uautorisert bruk av skytjenesten?
  • Hvordan skoleres medarbeidere hos leverandøren i sikkerhetsarbeid?
  • Hvilke rutiner gjelder for sikkerhet ved bruk av innleid personell?
  • Hvilke løsninger finnes for sikkerhetskopiering av opplysningene?
  • Hvordan krypteres opplysningene?
  • Hvordan blir den fysiske sikkerheten til opplysninger og datautstyr ivaretatt?
  • Hvordan ivaretas sikkerheten overfor eventuelle underleverandører?
  • Hvilke rutiner gjelder for avviksmelding og avvikshåndtering?
  • Hvilke rutiner gjelder for sikkerhetsrevisjoner?
  • Hvordan kan institusjonen få tilgang til rapporter fra sikkerhetsrevisjoner?
  • Hvordan kan institusjonen få tilgang til annen relevant sikkerhetsdokumentasjon?
  • Hvilke rutiner gjelder for varsling av institusjonen ved sikkerhetsbrudd?
  • Hvilke rutiner gjelder dersom tredjeparter, for eksempel andre lands myndigheter, krever tilgang til institusjonens opplysninger?
  • Hvilke tiltak er etablert mot dataangrep og datainnbrudd?
  • Hvilke tiltak er iverksatt mot ødeleggende programvare?
  • Hvordan er opplysninger tilhørende ulike kunder adskilt fra hverandre?
  • Har leverandøren etablert beredskaps- og kontinuitetsplaner?
  • Hvilke løsninger finnes for sletting av opplysningene og destruksjon av lagringsmedium?
  • Hvilke løsninger finnes for tilbakeføring av opplysninger til institusjonen, eventuelt overføring av opplysninger til andre skytjenester (dataportabilitet)?

Svar på disse spørsmålene vil utgjøre en viktig del av faktagrunnlaget når universitetet eller høyskolen skal vurdere om det er forsvarlig å ta skytjenesten i bruk.

Mulige informasjonskilder

Svarene bør institusjonen enten kunne finnes på leverandørens informasjonssider på internett, eventuelt ved at det tas direkte kontakt med leverandøren.

Dersom leverandøren har utarbeidet en databehandleravtale for skytjenesten, bør avtalen kunne gi svar på mange av spørsmålene.

Det bør også stilles spørsmål om informasjonssikkerheten i skytjenester i forbindelse med anskaffelsesprosesser.

Egen bruk

Institusjonen skal risikovurdere sin egen planlagte bruk av skytjenesten.

Her skal det kartlegges om det finnes interne forhold som kan føre til at uvedkommende får tilgang til opplysninger eller at opplysningene utsettes for uautorisert endring, skade, tap eller utilgjengelighet. Hva kan institusjonen i så fall gjøre for å unngå slike problemer?

Sensitive opplysninger

Det skal stilles ekstra strenge krav til informasjonssikkerheten i skytjenesten (og institusjonens egen bruk av den) dersom det er meningen at tjenesten skal behandle sensitive personopplysninger eller opplysninger underlagt taushetsplikt. Dette vil blant annet innebære at opplysninger krypteres under overføring og at leverandøren tilbyr robuste mekanismer for segmentering av opplysninger tilhørende forskjellige kunder. Tilsvarende krav bør trolig stilles dersom skytjenesten er ment å håndtere opplysninger som er unntatt offentlighet.

Sensitive personopplysninger eller opplysninger underlagt taushetsplikt kan for eksempel være opplysninger om enkeltpersoners sykdomshistorie og helseforhold eller opplysninger om navngitte personers politiske og religiøse oppfatninger.

Særlige krav

Det stilles særskilte krav til informasjonssikkerheten for enkelte typer systemer, for eksempel elektroniske arkiv og økonomisystemer (med støttesystemer).

Dersom driften av slike systemer skal settes ut i «skyen», må institusjonen også her gjøre en risikovurdering av om informasjonssikkerheten er tilfredsstillende eller ikke.

Datalokasjon

Universitetet eller høyskolen må skaffe seg informasjon om hvor leverandøren har sine datasentre. Institusjonen må fremskaffe tilsvarende informasjon om hvor eventuelle underleverandører med tilgang til institusjonens opplysninger befinner seg.

Informasjon om datalokasjon må fremskaffes før institusjonen tar skytjenesten i bruk. Dette fordi datalokasjon har betydning for hvilke avtaler det kan være nødvendig å inngå med leverandøren.

Personopplysninger

De mest omfattende reglene om datalokasjon finnes i personopplysningsloven med forskrift. Med bakgrunn i disse reglene, bør institusjonen stille og besvare følgende spørsmål om datalokasjon før skytjenesten tas i bruk:

  • Vil personopplysninger bare overføres til lokasjoner i Norge eller til andre land innenfor EU/EØS?
  • Vil personopplysninger overføres til EU-godkjente mottakerland utenfor EU/EØS?  
  • Vil personopplysninger overføres til land utenfor EU/EØS som ikke står på EUs liste over godkjente mottakerland?  
  • Vil personopplysninger overføres til leverandører i USA som har sluttet seg til dataoverføringsordningen mellom EU og USA («EU-US Privacy Shield»)?
  • Vil personopplysninger overføres til leverandører i USA som ikke står på listen over amerikanske selskaper som har sluttet seg til dataoverføringsordningen mellom EU og USA?

Hvordan svarene på disse spørsmålene påvirker hvilke avtaler som det kan være nødvendig å inngå med leverandøren, drøftes nærmere i avtalefasen.

Andre krav til datalokasjon

I tillegg til reglene om datalokasjon i personopplysningsloven med forskrift, finnes det enkelte slike regler i andre lovverk. Dette gjelder arkivloven og bokføringsloven.

  • Arkivloven: Hovedregelen i arkivloven er at det ikke er tillatt å sette ut drift av arkivdatabaser til skytjenester hvor selve databasen befinner seg i utlandet. Det samme gjelder for sikkerhetskopi av arkivdatabasen. Riksarkivaren kan gi samtykke til bruk av arkivdatabaser plassert i utlandet, men slikt samtykke er ikke gitt mht. skytjenester. Reglene om lagring i utlandet omfatter alle typer arkivverdig materiale, for eksempel årsberetninger, regnskapsdata, virksomhetsplaner, avtaler, forskningsrapporter, eksamensoppgaver, masteroppgaver eller avhandlinger. Det gjøres oppmerksom på at forslag til ny forskrift om offentlige arkiv inneholder nye regler om lagring av arkivmateriale i utlandet. Dersom forslaget vedtas, vil slik lagring bli lovlig på visse vilkår.
  • Bokføringsloven: Det er som hovedregel ikke lov å oppbevare regnskapspliktig materiale permanent hos skytjenester dersom opplysningene lagres på datamaskiner i utlandet. Permanent oppbevaring av regnskapsmateriale i utlandet kan likevel skje dersom opplysningene lagres på datamaskiner i Danmark, Finland, Island eller Sverige. Skattedirektoratet skal varsles dersom regnskapsmateriale lagres permanent i disse landene.

 

Selvvalgt datalokasjon

Universitetet eller høyskolen bør undersøke om leverandøren av skytjenesten tilbyr muligheter for selvvalgt datalokasjon. Dette innebærer at institusjonen kan bestemme hvor (byer, land eller regioner) opplysningene vil bli overført til og lagret.

Selvvalgt datalokasjon vil være spesielt relevant dersom skytjenesten er ment å behandle opplysningstyper som omfattes av særskilte lokasjonsregler, for eksempel personopplysninger eller arkivverdig dokumentasjon.

Ved avtaleinngåelse bør institusjonen forsikre seg om at leverandøren forplikter seg til kun å anvende datalokasjoner valgt av institusjonen.  

Avtalefasen

Avtalefasen er perioden når universitetet eller høyskolen har bestemt seg for å anvende en skytjeneste, men før tjenesten er tatt i bruk.

I denne fasen skal universitetet eller høyskolen utføre tre viktige arbeidsoppgaver:

  1. Databehandleravtaler – sørge for at det inngås avtale med leverandøren om håndtering av personopplysninger i skytjenesten. Avtalen skal sette klare rammer for leverandørens databehandlingsoppdrag.
  2. Dataoverføringsavtaler – sørge for at det inngås en dataoverføringsavtale med leverandøren dersom skytjenesten overfører personopplysninger til land utenfor EU/EØS. Det samme gjelder dersom det overføres personopplysninger til amerikanske selskaper som ikke har sluttet seg til dataoverføringsordningen mellom EU og USA («EU-US Privacy Shield»).
  3. Andre lovpålagte avtaler – sørge for at det inngås andre lovpålagte avtaler med leverandøren dersom økonomisystemer settes ut til skydrift.

Om det er nok å inngå en databehandleravtale med leverandøren eller om det også er nødvendig å inngå en egne dataoverføringsavtale, avhenger altså av datalokasjon: hvilke land har leverandøren (eller eventuelle underleverandører) tenkt å overføre opplysningene til?

Tjenesteinformasjon og avtaler

Leverandører av skytjenester har ofte egne informasjonssider på internett hvor det opplyses om tjenestenes egenskaper. Institusjonen bør være oppmerksom på at tjenesteinformasjonen ikke alltid stemmer overens med innholdet i avtalene for tjenestene.

I tjenesteinformasjonen på internett kan det for eksempel fremgå at institusjonens opplysninger vil bli overført til og lagret i datasentre i bestemte europeiske byer. Av databehandleravtalen kan det imidlertid fremgå at leverandøren forbeholder seg retten til å overføre opplysningene til andre datalokasjoner dersom det er hensiktsmessig. I slike tilfeller vil det være bestemmelsene i databehandleravtalen som gjelder.

Institusjonen bør sjekke at det er samsvar mellom det som sies på leverandørens informasjonssider og det som sies i databehandleravtalen for skytjenesten.

Andre avtaler

Det er vanlig at det inngås andre avtaler mellom institusjonen og leverandører av skytjenester enn de som er nevnt her. Dette kan for eksempel være rent kommersielle avtaler, tjenestenivåavtaler (SLA) eller vilkår for akseptabel bruk.

Universitetet eller høyskolen bør sørge for at egne brukere (studenter, ansatte, osv.) blir informert om hvilke vilkår som gjelder for akseptabel bruk av skytjenester.

Databehandleravtalen

Det er tilstrekkelig å inngå en databehandleravtale med leverandøren av skytjenesten under følgende forutsetninger:

Under disse forutsetningene vil det ikke være nødvendig for universitetet eller høyskolen å inngå en egen dataoverføringsavtale med leverandøren eller sørge for et annet lovlig overføringsgrunnlag – en gyldig databehandleravtale er tilstrekkelig.

Innholdet i databehandleravtalen

For at databehandleravtalen som inngås med leverandøren av skytjenesten skal være gyldig, må den inneholde vilkår som setter tydelige rammer for hvordan leverandøren (og eventuelle underleverandører) skal håndtere opplysningene. Det er særlig viktig at avtalen tydelig regulerer hvordan leverandøren skal beskytte institusjonens opplysninger mot uautorisert tilgang, endring, skade, tap eller utilgjengelighet (informasjonssikkerhet).

Databehandleravtalen med leverandøren bør inneholde følgende punkter:

  • Avtalens hensikt: Det skal fremgå at hensikten med avtalen er å regulere databehandlerens (leverandørens) håndtering av personopplysninger på vegne av den behandlingsansvarlige (institusjonen).
  • Avtalens status: Det kan fremgå at dersom det skulle oppstå motstrid mellom vilkår i ulike avtaler om drift, administrasjon og levering av skytjenesten, er det vilkårene i databehandleravtalen som skal gjelde.
  • Typer personopplysninger: Det kan gis en kort oversikt over hvilke hovedtyper personopplysninger som leverandøren av skytjenesten behandler på vegne av institusjonen.
  • Eierskap: Det bør fremgå at institusjonen har eierskap til alle sine informasjonsverdier, inkludert personopplysninger, og at leverandøren av skytjenesten ikke har rettigheter til denne informasjonen.
  • Instrukser: Det skal fremgå at leverandøren bare har anledning til å behandle opplysninger etter instruks fra institusjonen, for eksempel slik som avtalt mellom partene. Leverandøren skal varsle institusjonen dersom institusjonen senere gir instrukser som leverandøren mener er i strid med reglene om behandling av personopplysninger.
  • Formålsbegrensning: Det skal fremgå at leverandøren ikke kan bruke opplysningene til andre formål enn drift, administrasjon og levering av skytjenesten. Annen bruk av opplysningene kan bare skje etter samtykke fra institusjonen.
  • Utlevering: Det skal fremgå at leverandøren ikke kan utlevere institusjonenes opplysninger til andre virksomheter eller enkeltpersoner uten at institusjonen har gitt sitt samtykke til dette.
  • Tredjepartstilgang: Det bør fremgå hvordan eventuelle krav fra politi, andre myndigheter eller private aktører om tilgang til institusjonens opplysninger vil bli håndtert av leverandøren. Dette avtalepunktet er særlig relevant ved bruk av skytjenester hvor opplysninger overføres til utlandet.
  • Rettigheter: Det skal fremgå at rettighetene til de som opplysningene gjelder, for eksempel studenter og ansatte, vil bli ivaretatt. Dette omfatter blant annet retten til innsyn i, retting og sletting av egne opplysninger.
  • Dokumentasjon: Det skal fremgå at institusjonen kan få tilgang til dokumentasjon som gjør det mulig å kontrollere at leverandøren overholder vilkårene i databehandleravtalen. Tilgang til dokumentasjon av informasjonssikkerheten hos leverandøren (og eventuelle underleverandører) er særlig viktig.
  • Informasjonssikkerhet: Det skal fremgå at leverandøren er forpliktet til å sørge for at informasjonssikkerheten i skytjenesten er tilfredsstillende. Leverandøren skal forplikte seg til å gjennomføre nødvendige tekniske, organisatoriske, fysiske og personalmessige sikringstiltak for å oppnå dette. Slike tiltak vil blant annet omfatte taushetsplikt, tilgangsstyring, sikkerhetskopiering, kryptering, fysisk sikkerhet, avvikshåndtering, varslingsrutiner ved sikkerhetsbrudd, tiltak mot dataangrep og datainnbrudd, beredskaps- og kontinuitetsplaner, segmentering av kundeopplysninger og logging av autorisert og forsøk på uautorisert bruk av skytjenesten.
  • Sikkerhetsvarslinger: Det skal fremgå av avtalen at leverandøren forplikter seg til å varsle institusjonens så raskt som mulig dersom skytjenesten utsettes for sikkerhetsbrudd, for eksempel datalekkasje.  
  • Underleverandører: Det skal fremgå om leverandøren benytter seg av underleverandører, for eksempel når det gjelder infrastruktur, vedlikehold eller support. Det skal også fremgå at leverandøren plikter å informere institusjonen om hvem disse underleverandørene er, hvilke oppgaver de utfører og i hvilke land de befinner seg. Det skal videre fremgå at leverandøren har inngått egne avtaler med sine underleverandører som forpliktet disse til å overholde de samme kravene som følger av databehandleravtalen mellom institusjonen og hovedleverandøren. Til slutt skal det fremgå at institusjonen eksplisitt samtykker til at leverandøren anvender de aktuelle underleverandørene og at tilsvarende gjelder dersom nye underleverandører tas i bruk. Leverandøren skal stå ansvarlig for at eventuelle underleverandører behandler institusjonens opplysninger i tråd med inngåtte avtaler.
  • Sikkerhetsrevisjoner: Det skal fremgå at leverandøren er forpliktet til å gjennomføre sikkerhetsrevisjoner av skytjenesten. Det bør videre fremgå hvordan avdekkede feil og mangler vil bli håndtert, og det bør spesifiseres hvordan institusjonen kan få tilgang til revisjonsrapportene.
  • Endringsvarslinger: Det skal fremgå at leverandøren forplikter seg til å varsle institusjonen om vesentlige endringer i skytjenesten. Eksempler på dette kan være at ny funksjonalitet innføres eller at nye datalokasjoner tas i bruk.
  • Konsekvensutredninger: Det skal fremgå at leverandøren forplikter seg til å bistå institusjonen med å utrede konsekvensene for personvernet dersom tjenesten omfattes av utredningsplikten. Det skal videre fremgå at leverandøren forplikter seg til å bistå i dialogen med Datatilsynet i forbindelse med gjennomføringen av slike utredninger.
  • Tilbakeføring: Det skal fremgå hvordan institusjonen kan få tilbakeført sine opplysninger ved avslutning av avtaleforholdet, eventuelt hvordan leverandøren vil bistå institusjonen med å overføre opplysningene til en annen skytjeneste.
  • Sletting: Det skal fremgå at leverandøren forplikter seg til å slette institusjonens opplysninger ved avslutning av avtaleforholdet, inkludert sikkerhetskopier av opplysningene.
  • Lovvalg og verneting: Det bør fremgå at avtalen er underlagt norsk rett og det bør spesifiseres hvilken rettskrets et eventuelt søksmål hører inn under (norsk tingrett).

Databehandleravtalen trenger ikke å foreligge som et eget dokument. Det er tilstrekkelig dersom vilkårene ovenfor inngår i det generelle avtaleverket som gjelder for skytjenesten.

Det mest ryddige og oversiktlige er likevel at databehandleravtalen foreligger som et eget og helhetlig dokument.

Sjekkliste for databehandleravtale finnes her: https://www.uninett.no/infosikkerhet/databehandleravtaler. Skymegleren har laget et avtalespeil for skytjenester basert på denne sjekklisten, som brukes ved gjennomgang av tjenesteavtale og personvernpolicy.

Dataoverføringsavtalen

Det er i utgangspunktet forbudt å overføre personopplysninger til land utenfor EU/EØS som EU-kommisjonen ikke har godkjent som mottakerland. Dette inkluderer også USA. Slik overføring vil likevel være lovlig under visse forutsetninger. Den vanligste og enkleste måten å overføre opplysninger til datalokasjoner i ikke-godkjente mottakerland på, er ved å inngå en særskilt dataoverføringsavtale med leverandøren av skytjenesten og eventuelle underleverandører.

 

Vanlige overføringssituasjoner

Det finnes ulike typer overføringssituasjoner hvor det er nødvendig for universitetet eller høyskolen å inngå en dataoverføringsavtale med leverandøren av skytjenesten og eventuelle underleverandører.

Følgende overføringssituasjoner er trolig de mest vanlige:

  1. Leverandøren har sin virksomhet i et ikke-godkjent mottakerland utenfor EU/EØS. Leverandøren overfører dessuten institusjonens opplysninger til underleverandører i andre ikke-godkjente land.
  1. Leverandøren har sin virksomhet innenfor EU/EØS. Leverandøren overfører alle eller noen av institusjonens opplysninger til underleverandører i ikke-godkjente mottakerland.
    • Den mest praktiske løsningen er at institusjonen gir leverandøren fullmakt til å inngå den nevnte standardavtalen med sine underleverandører i institusjonens navn. Alternativet er at institusjonen selv inngår slike avtaler med hver enkelt underleverandør. Begge alternativene vil gjøre det lovlig å overføre institusjonens opplysninger til underleverandører i ikke-godkjente mottakerland.
  1. Leverandøren er et amerikansk selskap som ikke har sluttet seg til dataoverføringsordningen mellom EU og USA («EU-US Privacy Shield»). Leverandøren overfører likevel alle eller noen av institusjonens opplysninger til USA.
    • Institusjonen og den amerikanske leverandøren inngår EUs standardavtale for overføring av personopplysninger til databehandlere i tredjeland (se lenke ovenfor). Dette vil gjøre overføringen til USA lovlig.

Datatilsynet skal varsles av institusjonen ved inngåelse av EUs standardavtale for overføring av personopplysninger til databehandlere i tredjeland.

Inngåelse av dataoverføringsavtaler ved bruk av skytjenester er ikke nødvendig dersom:

- skytjenesten overfører personopplysninger til lokasjoner i Norge eller til andre land innenfor EU/EØS

- skytjenesten overfører personopplysningene til land utenfor EU/EØS som står på EU-kommisjonens liste over godkjente mottakerland

- leverandøren av skytjenesten er et amerikanske selskap som overfører personopplysninger til USA, men selskapet er tilsluttet dataoverføringsordningen mellom EU og USA.

Lenke til EU-kommisjonens liste over godkjente mottakerland utenfor EU/EØS, finnes under punktet "Databehandleravtalen". Det samme gjelder søkbar oversikt over alle amerikanske selskaper som er tilsluttet dataoverføringsordningen mellom EU og USA.

Andre overføringsmekanismer

Det finnes også andre overføringsmekanismer enn dataoverføringsavtaler som gjør det lovlig å overføre personopplysninger til leverandører av skytjenester i ikke-godkjente land.

Et eksempel på en slik alternativ overføringsmekanisme er at leverandøren har innført interne regler, såkalte bindende konsernregler («binding corporate rules»), for behandling av personopplysninger. Konsernreglene må godkjennes av datatilsynsmyndigheter i EU/EØS for å være gyldige.

I henhold til EUs nye personvernregler (som trer i kraft fra mai 2018), kan overføring av personopplysninger til ikke-godkjente land også skje uten at det inngås en dataoverføringsavtale og uten at leverandøren har innført bindende konsernregler. Slik overføring kan imidlertid bare skje i spesielle situasjoner, for eksempel dersom (i) den som opplysningene gjelder (student, ansatt, osv.) er informert om risikoen som overføringen kan innebære og (ii) eksplisitt har samtykket til overføringen før den skjer.

For universiteter og høyskoler vil samtykkebasert overføring til ikke-godkjente land trolig ikke være aktuelt annet enn unntaksvis.

Andre lovpålagte avtaler

Det finnes enkelte tilfeller hvor institusjonen er pålagt å inngå avtaler med leverandøren når skytjenesten behandler andre informasjonsverdier enn personopplysninger. Slik avtaleplikt følger av reglene om arbeidsdeling i økonomiregelverket i staten. Regelverket krever at institusjonen inngår avtale dersom driften av økonomisystemer (og hjelpesystemer) settes ut til en ekstern leverandør.

Avtalen med leverandøren skal inneholde bestemmelser om følgende forhold:

  • Oppgaver og ansvar: Avtalen skal sikre klare oppgave- og ansvarsforhold mellom institusjonen og leverandøren.
  • Tjenestekvalitet: Avtalen skal inneholde bestemmelser om tjenestekvalitet (SLA).
  • Informasjonssikkerhet: Avtalen skal stille krav som forhindrer at økonomidata utsettes for uautorisert tilgang, endring, skade, tap eller utilgjengelighet (informasjonssikkerhet).
  • Dokumentasjon: Avtalen skal sikre institusjonen tilstrekkelig innsikt i hvordan skytjenesten er oppbygd og fungerer.

Institusjonene skal sende melding til Finansdepartementet når avtalen er inngått. Meldingen skal blant annet inneholde informasjon om hvilke tjenester avtalen omfatter.

Forvaltningsfase

Forvaltningsfasen starter når universitetet eller høyskolen tar skytjenesten i bruk og strekker seg helt frem til det bestemmes at bruken av tjenesten skal opphøre.

I denne fasen skal universitetet eller høyskolen utføre tre viktige arbeidsoppgaver:

  1. Dokumentkontroll – gjennomgå dokumentasjon fra leverandøren for å kontrollere at vilkår i inngåtte avtaler overholdes, spesielt med hensyn til informasjonssikkerhet.
  2. Avviks- og varslingshåndtering – kreve lukking av avvik fra avtalevilkårene og håndtere varsler om endringer i tjenesten eller meldinger om sikkerhetsbrudd hos leverandøren.
  3. Risikovurderinger – revidere risikovurderingen av skytjenesten dersom tjenestens oppbygning og funksjonalitet eller den lokale bruken av tjenesten endres.

For å ivareta disse arbeidsoppgavene på en tilfredsstillende måte, forutsettes det at universitetet eller høyskolen er godt kjent med innholdet i avtalene som er inngått med leverandøren. Det forutsettes i tillegg at institusjonen har gjennomført risikovurdering av skytjenesten før den ble tatt i bruk.

Institusjonen bør i tillegg følge opp vilkår i andre avtaler med leverandøren, for eksempel tjenestenivåavtaler (SLA). 

Andre forvaltningsoppgaver

Institusjoner som er underlagt arkivloven, må sørge for at arkivverdig dokumentasjon som oppstår i skytjenesten blir overført til arkivdatabase i Norge.

Institusjoner som er underlagt bokføringsloven, må sørge for at oppbevaringspliktig regnskapsmateriale som lagres i skytjenester med datalokasjon i andre land enn de nordiske, blir overført til lagringsløsninger i Norge.

Dokumentkontroll

Institusjonen er pålagt å følge opp hvordan leverandøren overholder vilkårene i databehandleravtaler og eventuelle dataoverføringsavtaler. Det er særlig viktig at universitetet eller høyskolen har tilgang til rapporter fra revisjoner av informasjonssikkerheten i skytjenesten. Sikkerhetsrevisjoner hos leverandøren kan utføres av en uavhengig IT-revisor.

Det bør avklares i avtalene for skytjenesten hvordan revisjonsrapporter skal gjøres tilgjengelig for institusjonen og hvordan institusjonen vil bli varslet om at rapportene er tilgjengelige. Alternativt kan institusjonen sikre seg retten til selv å gjennomføre sikkerhetsrevisjoner av skytjenesten. For mange skytjenester vil dette være både vanskelig (kanskje umulig) og kostbart.

Institusjonen må gå igjennom tilsendte revisjonsrapportene for å forsikre seg om at informasjonssikkerheten i skytjenesten fortsatt er tilfredsstillende. Det må derfor finnes rutiner for gjennomgang av rapportene.

Det kan være aktuelt å be om tilgang til annen dokumentasjon som viser hvordan leverandøren ivaretar vilkårene i databehandler- eller dataoverføringsavtaler, for eksempel kopier av avtaler mellom leverandøren og underleverandører.  

Leverandøren må forplikte seg til å utbedre eventuelle sikkerhetssvakheter som revisjoner av informasjonssikkerheten i skytjenesten avdekker, eventuelt at institusjonen krever at det iverksettes tiltak for å rette opp manglene. Dersom klare sikkerhetsmangler ikke utbedres, bør institusjonen vurdere å avslutte bruken av skytjenesten.

Avviks- og varslingshåndtering

Institusjonen skal motta varslinger fra leverandøren om sikkerhetsbrudd i skytjenesten. Varslingene skal videreformidles til Datatilsynet dersom uvedkommende har fått tilgang til opplysningene. Institusjonen må ha rutiner for å ivareta denne oppgaven.

Når EUs nye personvernregler trer i kraft (mai 2018), må institusjonen ha rutiner for videreformidling av leverandørens varsler om sikkerhetsbrudd. Videreformidlingen skal skje til Datatilsynet innen 72 timer etter at varslet er mottatt fra leverandøren.

EUs nye personvernregler innebærer også at Institusjonen må ha rutiner for håndtering av situasjoner hvor varslinger om sikkerhetsbrudd skal videreformidles til de som er berørt av hendelsen ("de registrerte"). Berørte kan for eksempel være studenter eller ansatte som har fått sine personopplysninger kompromitert.

I forbindelse med varslingspliktige sikkerhetsbrudd, må leverandøren forplikte seg til å iverksette nødvendige tiltak for å redusere risikoen for tilsvarende hendelser i fremtiden.

Institusjonen skal varsles av leverandøren om endringer i bruk av underleverandører, og godkjenne slike endringer. Dette gjelder spesielt dersom bruk av ny underleverandør også medfører endringer i datalokasjon, det vil si hvilke land opplysningene vil bli overført til. Da kan det tenkes at det vil være nødvendig å inngå en dataoverføringsavtale med den nye underleverandøren (se redegjørelsen om dataoverføringsavtaler i "Avtalefasen"). 

Risikovurderinger

Universitetet eller høyskolen er forpliktet til å gjennomføre nye risikovurderinger av skytjenesten dersom det skjer endringer i tjenesten som har betydning for informasjonssikkerheten. Dette kan for eksempel være aktuelt dersom det tas i bruk nye underleverandører eller dersom funksjonaliteten i tjenesten endres eller utvides. Institusjonen må derfor bli varslet om vesentlige endringer i skytjenestens oppbygning og funksjonalitet.

Risikovurderinger skal også gjennomføres dersom det skjer vesentlige endringer i institusjonens egen bruk av skytjenesten. Et eksempel på en slik endring kan være at andre brukergrupper enn hva som opprinnelig var planlagt skal begynne å anvende tjenesten.

Nye risikovurderinger av skytjenesten kan gjennomføres ved at vurderingen som ble utført i utredningsfasen revideres og oppdateres.

Opphørsfasen

Opphørsfasen er perioden når universitetet eller høyskolen skal avslutte bruken av skytjenesten.

I denne fasen skal universitetet eller høyskolen utføre to viktige arbeidsoppgaver:

  1. Tilbakeføring, eventuelt overføring – sørge for at opplysningene i skytjenesten enten tilbakeføres til institusjonen eller overføres til en ny skytjeneste (eller annen ekstern databehandlingsløsning).
  2. Sletting – sørge for at opplysninger tilhørende institusjonen blir forsvarlig slettet av leverandøren.

 

Overføring, eventuelt tilbakeføring

Hvordan tilbakeføring, eventuelt overføring (dataportabilitet), av institusjonens opplysninger skal foregå, bør være regulert i databehandleravtalen med leverandøren av skytjenesten. Oppgaven til institusjonen blir å sørge for at leverandøren iverksetter det som er avtalt med hensyn til tilbakeføring eller overføring.

Institusjonen bør spesielt undersøke om skytjenesten lagrer arkivverdig eller oppbevaringspliktig dokumentasjon på opphørstidspunktet. Institusjonen må sørge for at slik dokumentasjonen blir overført til andre lagringsløsninger, for eksempel en arkivdatabase i Norge.

Dersom det er aktuelt å overføre opplysningene til en ny skytjeneste (eller annen ekstern databehandlingsløsning), er dette bare lovlig om institusjonen har utført de oppgavene som er beskrevet i utrednings- og avtalefasen.

Sletting

Etter at opplysningene er tilbakeført til institusjonen eller overført til ny skytjeneste (eller annen ekstern databehandlingsløsning), skal leverandøren slette institusjonens opplysninger fra sine systemer.

Hvordan sletting skal foregå bør være regulert i databehandleravtalen med leverandøren av skytjenesten. Institusjonen bør forvisse seg om at alle kopier av opplysningene (inkludert sikkerhetskopier) faktisk er slettet av leverandøren, for eksempel ved å be om bekreftelse på at dette har skjedd.


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter