Hvem står juridisk ansvarlig for sikringen og innholdet i nettskyen?

Her gjelder de samme reglene som for leverandører av elektroniske tjenester på Internett. og behandlingen av disse opplysningene defineres i personopplysningsloven § 2 nr. 2, sier Datatilsynet.

Hvilket ansvar har nettsky leverandøren?

Om nettsky leverandørens ansvar sier Datatlsynet følgende. Leverer en nettsky leverandør en tjeneste som kundene kan velge å ta i bruk som beehandlingsansvarlig, er nettsky leverandøren å anse som en databehandler. Datatilsynet anser derfor en leverandør av nettskytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres.

En nettsky leverandør kan ikke behandle personopplysninger på annen måte enn det som er avtalt med kunden (bedriften) som eier dataene, jf. personopplysningsloven § 15. Nettsky leverandøren plikter i tillegg å gjennomføre sikringstiltak som følger av personopplysningsloven § 13 og forskriftens kapittel 2. En databehandleravtale fritar ikke bedriften som eier og bruker dataene for lovfestet juridisk ansvar.

Datatilsynet har laget en veileder om og eksempel på avtaleskisser for en slik databehandleravtale. I avtaleskissen og veilederen finner man minimumskravene som det forventes at en slik avtale innholder. Det kan være andre punkter som tilkommer selve avtalen, men det er avhengig av internkontrollen til bedriften som leier tjenesten. Noen slike punkter kan være; sikkerhetskopiering, sletting, tilgangstyring og segmentering av databaser.

Risikovurdering og informasjonssikkerhet

Bedriften som leier nettskyen skal gjennomføre en risikovurdering for sin behandling av personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og bedriften som leier nettskyen skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende informasjonssikkerhet.

For å oppnå tilfredsstillende informasjonssikkerhet må bedriften som leier nettskyen kunne forvisse seg om at tjenesten som blir tatt i bruk møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Vurderingen må tillegges større vekt når man går fra egen drift til nettskybaserte løsninger, siden personopplysningene vil ligge utenfor direkte kontroll til den som leier nettskyen. Spørsmålet blir: Hvordan skal bedriften som leier nettskyen forvisse seg at informasjonssikkerheten faktisk er tilfredsstillende?

Databehandleravtalen skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den som leier nettskyengår grundig gjennom denne. Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillendeinformasjons sikkerhet.

Personopplysningsforskriftens kapittel 2 om informasjonssikkerhet har en bestemmelse om sikkerhetsrevisjon:

”Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres.”

Datatilsynet er derfor av den oppfatning at:

• bedriften som leier nettskyen må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger. Dette for at den som leier nettskyen kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier.
• nettsky leverandøren ikke kan endre informasjonssikkerhetstiltak uten at den som leier nettskyen er blitt informert skriftlig og har godkjent endringen.

Informasjonsplikt

Det følger av personopplysningsloven § 19 at den registrerte skal ha informasjon fra den som leier nettskyen om:

• navn og adresse på den som leier nettskyen,
• formålet med behandlingen,
• opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
• det er frivillig å gi fra seg opplysningene, og
• annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven.

Særlige problemstillinger

Leverandører av nettskytjenester har i utgangspunktet noen fordeler i forhold til tradisjonelle leverandører av servertjenester. For eksempel kan nettskytjenestene gi mer fleksible og integrerte løsninger. Men slike fordeler fører også med seg noen særlige problemstillinger:

• Sikkerhetskopiering/Speiling – Hvordan fungerer dette? Overføres personopplysningene til et annet land for redundans, eksempelvis fra Irland til USA eller fra Tyskland til India? Er en slik redundans i henhold til de avtaler som er inngått? Hvordan behandles personopplysningene etter at de er overført?
• Segmentering – Datatilsynet har uttalt at den som leier nettskyens skal sørge for at personopplysninger ikke sammenblandes med opplysninger fra en annen behandlingsansvarlig. Hvordan vil dette bli håndtert?
• Tilgangsstyring – Hvem hos leverandøren har tilgang til personopplysningene som behandles? Er tilgangstyring i samsvar med lovpålagte krav og egen internkontroll? Se særlig avsnittet over om risikovurdering og informasjonssikkerhet.
• Autorisert og uautorisert bruk – Tar løsningen høyde for registrering av autorisert og uautorisert bruk i henhold til personopplysningsforskriften § 2-14
• Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn til kontroll fra offentlige myndigheter?
• Overføring til tredjeland – Personopplysninger kan ikke uten videre overføres til land utenfor EØS-sonen, men enkeltvise overføringer kan forhåndsgodkjennes av Datatilsynet. I tillegg er enkelte land godkjent av EU som trygge mottakerstater. Mer om overføring til utlandet.

Det gjelder å holde tunga rett i munnen

Som du skjønner av veiledningen over som jeg har kopiert rett fra Datatilsynets veiledning om bruk av nettsky tjenester er det mye å huske på for både nettsky leverandøren og du som bruker  av nettskyen.

Jeg håper veiledningen over har gitt deg en ide om hva du må tenke på når du skal flytte noe av virksomhetens IT-infrastruktur ut i nettskyen, slik at du ikke kommer i juridiske problemer senere.

Sjekkliste

Datatilsynet sier at hvis du skal bruke nettbaserte lagringsløsninger bør du stille deg følgende spørsmål:

• Brukervilkår: Hva sier brukervilkårene? Bør jeg være bekymret for noen av dem? Forstår jeg vilkårene?
• Seriøsitet: Hvor seriøse fremstår tjenestetilbyderen? Kjenner jeg noen som kan gi med et råd om bruk av tjenesten er forsvarlig for formålet mitt?
• Sikkerhet: Hvordan ser det ut til at tjenesteleverandør har ivaretatt sikkerheten? Hvor enkel ser det ut til for uvedkommende å skaffe seg tilgang? Ser sikkerheten tilstrekklig ut i forhold til informasjonen jeg ønsker lagret? Søk gjerne råd hos andre som har greie på sikkerhet.
• Passord: Hvis tjenesteleverandør stiller krav til kvalitet på passordet er dette et godt tegn. Virker det som leverandør har ivaretatt dette på en god måte?
• Rettigheter: Hvilke rettigheter har jeg om all informasjonen jeg har lagret blir borte? Sies det noe om det i vilkårene? Har jeg en egen sikkerhetskopi?
• Lovgivning: Hvilket land er tjenesteleverandøren hjemmehørende i? Hvem kan hjelpe meg hvis noe skulle gå galt? Informasjonen på nettaserte løsninger kan i utgangspunktet være lagret hvor som helst i verden, og at andre regler kan gjelde i utlandet.

Noen banale sikkerhetsregler

Er du fersk på område og skal flytte deler av virksomheten IT-infrastruktur ut i en nettsky for første gang, anbefaler vi at du starter med å forsikre deg om følgende banale sikkerhetsregler som du bør følge som bruker av en nettsky for å unngå å datainnbrudd og problemer med Datatilsynet.

SSL – Sørge for ende til ende kryptering. Alle data som sendes mellom nettskyen og deg som bruker må skje på en sikker linje (SSL), uansett om dataene overføres over Internett eller mobilnettet.

Avansert passord – All pålogging til nettskyen må skje med bruk av et avansert passord som består av over 10 tegn, har store og små bokstaver, pluss minst ett tall og spesialtegn.

Brute force protection – Pålogging serveren må ha en brannmur med brute force protection som f.eks. blokkerer er IP-adresse som har flere enn f.eks. 5 feil påloggingsforsøk.

Fil-kryptering – Foruten at selve linjen bør være kryptert, bør all sensitiv informasjon som sendes over Internett og lagres i nettskyen krypteres, slik at uvedkommende ikke kan åpne filen uten å kjenne krypteringnøkkelen.

Filrettigheter – Ingen fil-områder må under noen omstendigheter gis 777-rettigheter. Det vil si fulle skrive-lese rettigheter. Det gjør at hvem som helst kan laste opp og kjøre filer på nettskyen din. Noe som vil gi hackere tilgang til dataene dine i mange tilfeller.

Virus- og malware program – Serveren må ha et virus- og malware program som skanner alle filer som blir lastet opp og ned til nettskyen for virus, ormer, trojanere og annen malware.

Norske servere – Benytt aldri utenlandske nettsky servere. Ikke bare er dette ulovlig i mange sammenheng, men gjør også at du mister kontrollen og eierretten til dataene. Lagres dataene på amerikanske servere er det amerikansk lovgivning som gjelder for dataene dine og ikke norsk, jf. Snowden avsløringene.

Kryptert backup – Alle dataene som ligger i nettskyen bør det tas en backup av. Alle dataene i backupen bør komprimeres for å spare plass og krypteres for å gjøre det umulig for andre å åpne backupene uten krypteringnøklene. Backupen bør dessuten ligge lagret på en annen server eller i det miste på en annen partisjon.

Kilde: Datatilsynet