Dataplattform: Persondata notat
- Mål: Lære noe og vise beste praksis (referansearkitektur) for dataplattform som støtter persondata og på sikt personsensitive data.
- Europarett.no seminar (20201110)
- (PWC) Schrems II: Hva nå med overføring av personopplysninger? (20200925)
- https://www.digi.no/artikler/dette-ma-du-vite-om-overforing-av-personopplysninger-til-utlandet-og-amerikanske-selskaper/498787?utm_source=newsletter-digidaily&utm_medium=email&utm_campaign=newsletter-2020-09-09&key=SnAPp1t8
- Bekk - Screms II - Slutten på skyen (20201204)
Vi la tolkningen fra Auth0 selv til grunn, at europeiske Auth0-data ikke overføres til USA (med noen mulige unntak som beskrevet under): https://auth0.com/blog/schrems-2-eu-us-privacy-shield-ruled-invalid/Om man skal legge den strengeste tolkningen til grunn, at all bruk av tjenester fra amerikanske selskaper (som Auth0) eller med amerikanske selskap i eierkjeden, ville ikke bruken av Auth0 være mulig å forsvare.Riksantikvaren antar at siste ord i tolkningen der ikke er sagt, og at man inntil det gir en tydeligere konsekvens for norske offentlige virksomheter kan bruke Auth0 som planlagt.Med i vurderingene var også hvilke personopplysninger som blir registrert i Auth0, og at man tilstreber å minimere data som legger igjen der.Jeg regner med at man kommer tilbake til å vurdere dette på nytt igjen.
Jeg sender dere de to veilederne som kom fra det Europeiske personvernrådet (EDPB), som avtalt:
- https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en
- https://edpb.europa.eu/our-work-tools/our-documents/preporki/recommendations-022020-european-essential-guarantees_en
Kommentar til den første lenken: De seks stegene man må gjennom for å håndtere konsekvensene av Schrems ll-dommen, og det er i denne veilederen de står beskrevet. I vedlegg 2 er det use cases for ulike typer overføring hvor EDPB beskriver hvilke tekniske tiltak som er å anse som tilstrekkelige og hvilke som ikke er det for å sikre personopplysningene. Vedlegget understreker at hva som er tilstrekkelig, må vurderes i hvert enkelt tilfelle, og som regel må flere, ulike typer tiltak kombineres. Veilederen er ikke uttømmende.
Kommentar til den siste lenken: Det er krav om at man bl.a. må vurdere beskyttelsesnivået i landet personopplysningene skal overføres til. Denne veilederen tar for seg hvordan overvåkningslover skal vurderes og hvilke kriterier som vektlegges.
- Vise aktivitet og vise at vi har kontroll.
- Mye er uklart.
- Kontaktperson i Knowit på Schrems II (rettsinformatiker) Frida Strøm Anthonisen Frida.Anthonisen@knowit.no (Knowit Impact)
- Sørge for at data ligger i EU og ikke flyttes
- Sikkerhet på alle nivåer (se eksempel DynamoDB)
- Følg beste praksis og AWS-dokumentasjon på området
- Bruk av KMS-CMK i tillegg til roller/policies gir økt sikkerhet
- Se på applikasjonssikkerhet (OWSAP etc.)
- Etablere VPCer og VPC endpoints mellom tjenester.
- Etablere SecurityGroups og nettverkssikkerhet.
- Skru på DDOS-protection, Cloudtrail og vurdere verktøy som Macie etc. Se beste praksis.
- Sett "principle of least privilege" på alle utviklere og brukere
- Få opp infrastruktur som kode og CD/CI
- Få opp testmiljø med gode syntetiske testdata
- Implementerer ikke personsensitivitet nå i første omgang, men arkitekturen støtter det vha. tokenizing/pseudonymisering på sikt.
- Implementere støtte av sletting av enkelt personer/entries over alle tabeller.
Klassifisering av konfidensialitet
- #todo