Personfølsomme data i Office 365

Vi får mange spørgsmål til Persondataforordningen / GDPR i forhold til skolernes brug af Office 365. På denne side har vi samlet en række informationer om emnet.

Den nye persondataforordning / GDPR træder i kraft i Danmark d. 25 maj 2018. Forordningen har til formål, at ensarte reglerne om persondata på tværs af EU, og den vil være umiddelbart gældende i alle EU-medlemslande, samt for virksomheder som tilbyder varer eller ydelser til EU lande.

Mange private skoler og folkeskoler/kommuner leder efter et kort svar på om Office 365 må bruges til personfølsomme data? Og det helt korte svar er: JA

Men det kræver at skolen/kommunen udarbejder overblik og retningslinjer for brugen data.

F.eks. Hvilke typer persondata har man, hvor gemmes hvad og hvor længe.

Office 365 til skoler/kommuner leveres under en databehandleraftale (Data Processing Terms) pr. automatik via Microsoft online services terms (OST): Link

VIGTIGT – Det er ikke muligt at købe sig til et færdigt system, produkt eller tjeneste som gør, at man som skole/kommune kan efterleve GDPR. Men teknologien og løsningerne kan hjælpe skoler/kommuner med at gøre opgaven mere overkommelig.

Hvordan understøtter Office 365 jeres arbejde/procedure f.eks.:

  • Security & Compliance – Audit log – Link
  • Retention policies – Link
  • ComplianceSearch – Link
  • Data loss prevention policies – Link
  • Advanced Threat Protection – Link

Der kommer løbende flere løsninger fra Microsoft der understøtter jeres arbejde med GDPR

 

Det videre arbejde med Office 365 og Persondataforordningen / GDPR:

Det første skridt i retning af Office 365 og GDPR-overholdelse er, at vurdere om GDPR arbejdet involvere Office 365 i forhold til din skole/kommune, og i bekræftende fald, i hvilket omfang. Denne analyse begynder med, at forstå hvilke data du har, og hvor den er placeret. GDPR regulerer indsamling, opbevaring, brug og deling af “personlige data”. Personlige data defineres meget bredt under GDPR, som enhver data, der vedrører en identificeret eller identificerbar fysisk person. Persondata omfatter f.eks.: navn, adresse, telefonnummer, e-mail, medarbejdernummer, referencer, billeder osv.

Hvis din skole/kommune har denne type data i e-mail indhold, kalender, OneDrive, Grupper, Teams, SharePoint, Fotos, databaser eller andre steder – eller ønsker at indsamle det, og hvis dataene tilhører eller vedrører EU-borgere, så skal du overholde GDPR.

For at forstå hvilke forpligtelser det pålægger er det vigtigt, at mærke skolens/kommunes data. Dette vil hjælpe dig med at forstå, hvilke data der er personlige, og til at identificere de systemer, hvor dataene indsamles og lagres, forstå hvorfor det blev indsamlet, hvordan data behandles og deles, og hvor længe det opbevares.

 

Her er samlet en række links til inspiration omkring det videre arbejde med GDRP:

  1. Efterskoleforenings leksikon – Persondataloven: Link
  2. Privatskoleforeningens vejledning: Link
  3. Juridisk hjælp f.eks. Kammeradvokaten: Link
  4. Gratis generelt hjælpe værktøj: Link

 

EasyIQ A/S tager IT Sikkerhed og håndtering af personfølsomme oplysninger meget alvorligt. Certificeringer er ikke noget der kommer automatisk. Det skal du gøre dig fortjent til. År efter år. Derfor gør vi os umage hver dag. Så du er garanteret løsninger, der altid lever op til strenge kvalitets- og sikkerhedskrav herunder også persondataforordning / GDPR. Vi har og arbejder løbende med 2 typer IT-revisionserklæringer ISAE 3000 og ISAE 3402. Se mere her: Link