Personfølsomme data i Microsoft 365
I forhold til skolernes brug af Microsoft 365, opstår der ofte spørgsmål.
Herunder har vi samlet en række informationer om emnet.
​
Persondataforordningen / GDPR trådte i kraft i Danmark d. 25 maj 2018. Forordningen har til formål, at ensarte reglerne om persondata på tværs af EU, og den vil være umiddelbart gældende i alle EU-medlemslande, samt for virksomheder som tilbyder varer eller ydelser til EU lande.
Mange private skoler og folkeskoler/kommuner leder efter et kort svar på om Microsoft 365 må bruges til personfølsomme data? Og det helt korte svar er: JA.
Men det kræver at organisationen udarbejder overblik og retningslinjer for brugen af data.
F.eks. hvilke typer persondata har man, hvor gemmes hvad og hvor længe.
EasyIQ anbefaler 2-faktor login til alle ansatte i forhold til Microsoft 365, se evt. mere her: EasyIQ 2-faktor til Microsoft 365 | EasyIQ
​
Microsoft 365 til skoler/kommuner leveres pr. automatik under en databehandleraftale (Data Processing Terms) via Microsoft Product Terms.
​
VIGTIGT – Det er ikke muligt at købe sig til et færdigt system, produkt eller tjeneste, som gør at man som organisation kan efterleve GDPR, men teknologien og løsningerne kan hjælpe organisationer med at gøre opgaven mere overkommelig.
​
Hvordan understøtter Microsoft 365 jeres arbejde/procedure f.eks.:
-
Security & Compliance – Audit log – Link
-
Retention policies – Link
-
ComplianceSearch – Link
-
Data loss prevention policies – Link
-
Advanced Threat Protection – Link
Der kommer løbende flere løsninger fra Microsoft, der understøtter jeres arbejde med GDPR
Hvor er Microsoft 365 data placeret?:
Det kan ses af oversigten her: Link
Det videre arbejde med Microsoft 365 og GDPR​​​
Det første skridt i retning af Microsoft 365 og GDPR-overholdelse er, at vurdere om GDPR arbejdet involverer Microsoft 365 i forhold til organisationen, og i bekræftende fald, i hvilket omfang.
Denne analyse begynder med at forstå hvilke data du har, og hvor de er placeret.
GDPR regulerer indsamling, opbevaring, brug og deling af “personlige data”.
Personlige data defineres meget bredt under GDPR, som enhver data, der vedrører en identificeret eller identificerbar fysisk person. Persondata omfatter f.eks.: navn, adresse, telefonnummer, e-mail, medarbejdernummer, referencer, billeder osv.
​
Hvis din skole/kommune har denne type data i e-mails, kalender, OneDrive, Grupper, Teams, SharePoint, fotos, databaser eller andre steder, eller ønsker at indsamle det, og hvis dataene tilhører eller vedrører EU-borgere, så skal du overholde GDPR.
​
For at forstå hvilke forpligtelser det pålægger, er det vigtigt, at mærke organisationens data. Dette vil hjælpe med at forstå, hvilke data der er personlige, og til at identificere de systemer, hvor data indsamles og lagres, forstå hvorfor det blev indsamlet, hvordan data behandles og deles, og hvor længe det opbevares.
​
Her er samlet en række links til inspiration omkring det videre arbejde med GDRP:
​
Efterskoleforenings leksikon – Persondataloven: Link
GDPR og databehandleraftaler i skoleverdenen: Link
EasyIQ A/S tager IT Sikkerhed og håndtering af personfølsomme oplysninger meget alvorligt.
Certificeringer er ikke noget der kommer automatisk. Det skal man gøre sig fortjent til. År efter år. Derfor gør vi os umage hver dag. Så vores kunder er garanteret løsninger, der altid lever op til strenge kvalitets- og sikkerhedskrav, herunder også GDPR.
Vi arbejder løbende med 2 typer IT-revisionserklæringer ISAE 3000 og ISAE 3402, som kan rekvireres her.