Lagre og behandle data ved skytenester

Ved anskaffing av skytenester er det viktig å vurdere kva informasjon som skal lagrast og behandlast utanfor din eigen kontroll.

Publisert: 29. jun 2017, Sist endra: 18. sep 2018

​​Reglar for lagring og behandling av informasjon

Personopplysningar

Personopplysningar må behandlast forsvarleg. Viss skytenesta skal lagre eller behandle personopplysningar, gjeld det eigne krav om kor data kan lagrast og behandlast.

Personopplysningslova gjeld for alle som behandlar personopplysningar, og det er ingen spesielle reglar for skytenester. Det er likevel krav knyttet til kor personopplysningar kan lagrast og behandlast.

Personopplysningar kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene.

EØS

Alle land innanfor EØS-området har regelverk som tilfredsstiller EUs datalagringsdirektiv. Leverandører EØS-området har derfor ei forsvarleg behandling av personopplysningar.

Viss ein skyleverandør kan garantere lagring og behandling innanfor EØS-området, og elles tilfredsstiller krava til ein databehandlar, kan du bruke tenestene til leverandøren.

Canada, Australia og Sveits er også godkjent av EU som trygge mottakarstatar for personopplysningar. I tillegg kan du inngå ein avtale med databehandlaren (skyleverandøren) gjennom EUs standardkontraktar. Mange av dei store skyleverandørane bruker allereie desse kontraktane.

USA

Det er også etablert ei sertifiseringsordning for verksemder i USA som ønsker å behandle og lagre personopplysningar frå EØS-området – kalla EU-US Privacy Shield. Viss ein leverandør er ein del av denne ordninga, er det tillate å lagre og behandle data hos denne leverandøren, også i USA.

Datatilsynet har laga ei kortfatta oversikt over kva reglar som gjeld viss du skal overføre personopplysningar til utlandet.

Viss du skal lagre og behandle personopplysningar i ei skyteneste, anbefaler vi også at du les Datatilsynets rettleiar for skytenester som skal behandle personopplysningar.

Helseopplysningar

I utgangspunktet gjeld dei same reglane for helseinformasjon som for personopplysningar.

På Direktoratet for e-helse sine nettsider finn du norm for informasjonssikkerheit og rettleiar i bruk av skytenester til behandling av helse- og personopplysningar. Formålet med normen er å bidra til tilfredsstillande informasjonssikkerheit i helsesektoren.

Arkiv

Alle offentlege organ (statlege, fylkeskommunale eller kommunale verksemder) skal ha arkiv. Som hovudregel skal alle dokument som vert saksbehandla eller har verdi som dokumentasjon, journalførast og arkiverast. Det betyr at slike dokument er omfatta av arkivlova.

Dagens regelverk seier at arkiv ikkje kan førast ut av landet. Dette har skapt mykje usikkerheit om bruk av skytenester for offentlege fagsystem og kontorstøttesystem, fordi slike system genererer dokument som vil falle inn under arkivlova.

Arkivverket har uttalt at bruk av tenester som ikkje inneber ei permanent lagring av dokumentasjonen utanfor Noreg, vil vere greitt i samsvar med regelverket. Så lenge informasjonen vert overført til ein servar som er i Noreg, vert kravet i arkivlova rekna som oppfylt.

Utfordring

Hugs at eit arkiv kan innehalde mykje ulik informasjon. Viss arkivet ditt inneheld skjermingsverdig informasjon eller personopplysningar, så gjeld reglane i høvesvis sikkerheitslova og personopplysningslova også for arkivet.

Endring i regelverket

Arkivlovutvalget har fått i oppdrag å vurdere og gi anbefaling om regelfesting av offentlege verksemders bruk av skytenester for arkiv. Utvalet skal levere innstilling 1. mars 2019.

Rekneskap og bokføring

Kommunar, fylkeskommunar og verksemder som fører rekneskap etter rekneskapslova, må følge krava i bokføringslova om oppbevaring av rekneskapsdata.

Bokføringslova inneheld krav til korleis rekneskapsdata skal oppbevarast. Desse krava gjeld for verksemder som fører rekneskap etter rekneskapslova og for kommunar og fylkeskommunar som fører rekneskap etter kommunelova. Kommunar og fylkeskommunar må også følge forskrift om årsmelding og årsrekneskap.

Lagring innanfor EØS

Bokføringslova med forskrifter stiller krav om at bokføringsdata skal lagrast i land innanfor EØS-området. Desse er nærare beskrivne i ei eiga forskrift. I dag omfattar denne Danmark, Finland, Sverige og Island. Dette er land skattemyndigheitene har eigne avtalar med, slik at dei kan få tilgang til data viss dei treng det.

Det er ikkje ulovleg å sende bokføringsinformasjon ut av EØS, eller å lagre og behandle slik informasjon i utlandet. Kravet er då at det vert tatt ein kopi av rekneskapen etter årsavslutning (seinast innan 7 månader) og at denne kopien vert lagra i Noreg eller i eit av dei landa som er ført opp i forskrifta.

Viss bokføringsinformasjonen vert oppbevart utanfor Noreg skal det sendast melding til Skatteetaten om dette.

Det er også mogleg å søke Skatteetaten om dispensasjon frå regelen. Du finn meir informasjon om dette på Skatteetatens nettsider

Gradert informasjon

Både tryggingslova og verneinstruksen stiller krav til forvaltning av skjermingsverdig (gradert) informasjon. Desse krava gjer at det er vanskeleg å lagre slik informasjon hos utanlandske leverandørar.

Døme på informasjon det kan vere aktuelt å gjere ei verdivurdering for er beredskapsplanar, samfunnskritiske FoU-prosjekt, etterretningsrapportar, oversikt over sårbarheiter som kan utnyttast av utanforståande, verksemdskritiske informasjonssystem og store, sentraliserte databasar.

Spesielle krav til gradert informasjon

Det er berre Nasjonal sikkerhetsmyndigheit (NSM) som kan godkjenne informasjonssystem eller leverandørar som skal behandle gradert informasjon.

For elektronisk informasjon som er underlagt verneinstruksen gjeld dei same reglane som for informasjon som er gradert som avgrensa etter tryggingslova.

Tilsyn 

Tilsyn med ei skyteneste set krav til dokumentasjon som viser at nødvendige rutinar og sikring av data er tatt vare på.

  • Datatilsynet fører tilsyn med personopplysningar
  • Arkivverket fører tilsyn med arkiv
  • Fylkesmennene fører tilsyn med kommunane
  • Difi fører tilsyn med universell utforming av IKT

Tilsyna skal vurdere om informasjonen vert behandla på ein forsvarleg måte, og at infrastrukturen er tilfredsstillande sikra.

Viss du har system i eit lokalt servarrom, er det enkelt å gi tilsyna tilgang til å sjekke at alt er i orden. Når systema vert leverte frå, eller køyrer på ei skyteneste, er det meir komplisert.

Revisjon

For tilsyna er det viktig at du kan legge fram dokumentasjon som viser at dei områda det skal førast tilsyn med er i tråd med regelverket. I dei fleste tilfella vil dette dreie seg om fysisk sikring av datasentra, og informasjonssikkerheit og rutinar for databehandling.

Det er ikkje føremålstenleg for ein leverandør av skytenester å gi sektortilsyn frå ei rekke ulike land tilgang til sine datasenter. Derfor er det vanleg å få eit uavhengig revisjonsfirma til å gjennomføre ein ekstern revisjon. Revisjonsrapporten vert så gjort tilgjengeleg for kundane, som igjen kan bruke den som dokumentasjon mot nasjonale sektortilsyn.

Hugs

  • Leverandør skal ha rutinar for å gjennomføre revisjonar
  • Dokumentasjonen av gjennomførte revisjonar skal legjast fram for tilsyna

Sharethis

Kontakt

Fant du det du lette etter?

Fant du det du lette etter?
*