Personfølsomme data i Microsoft 365

Vi får mange spørgsmål til Persondataforordningen / GDPR i forhold til skolernes brug af Microsoft 365. På denne side har vi samlet en række informationer om emnet.

Persondataforordningen / GDPR trådte i kraft i Danmark d. 25 maj 2018. Forordningen har til formål, at ensarte reglerne om persondata på tværs af EU, og den vil være umiddelbart gældende i alle EU-medlemslande, samt for virksomheder som tilbyder varer eller ydelser til EU lande.

Mange private skoler og folkeskoler/kommuner leder efter et kort svar på om Microsoft 365 må bruges til personfølsomme data? Og det helt korte svar er: JA.
Men det kræver at skolen/kommunen udarbejder overblik og retningslinjer for brugen af data.
F.eks. hvilke typer persondata har man, hvor gemmes hvad og hvor længe.

Microsoft 365 til skoler/kommuner leveres under en databehandleraftale (Data Processing Terms) pr. automatik via Microsoft Product Terms: Link

VIGTIGT – Det er ikke muligt at købe sig til et færdigt system, produkt eller tjeneste, som gør at man som skole/kommune kan efterleve GDPR. Men teknologien og løsningerne kan hjælpe skoler/kommuner med at gøre opgaven mere overkommelig.

Hvordan understøtter Microsoft 365 jeres arbejde/procedure f.eks.:

  • Security & Compliance – Audit log – Link
  • Retention policies – Link
  • ComplianceSearch – Link
  • Data loss prevention policies – Link
  • Advanced Threat Protection – Link

Der kommer løbende flere løsninger fra Microsoft, der understøtter jeres arbejde med GDPR

Hvor er Microsoft 365 data placeret: Det kan ses af oversigten her: Link

Det videre arbejde med Microsoft 365 og Persondataforordningen / GDPR:

Det første skridt i retning af Microsoft 365 og GDPR-overholdelse er, at vurdere om GDPR arbejdet involverer Microsoft 365 i forhold til din skole/kommune, og i bekræftende fald, i hvilket omfang.
Denne analyse begynder med at forstå hvilke data du har, og hvor de er placeret. GDPR regulerer indsamling, opbevaring, brug og deling af “personlige data”. Personlige data defineres meget bredt under GDPR, som enhver data, der vedrører en identificeret eller identificerbar fysisk person. Persondata omfatter f.eks.: navn, adresse, telefonnummer, e-mail, medarbejdernummer, referencer, billeder osv.

Hvis din skole/kommune har denne type data i e-mails, kalender, OneDrive, Grupper, Teams, SharePoint, Fotos, databaser eller andre steder , eller ønsker at indsamle det, og hvis dataene tilhører eller vedrører EU-borgere, så skal du overholde GDPR.

For at forstå hvilke forpligtelser det pålægger, er det vigtigt, at mærke skolens/kommunes data. Dette vil hjælpe dig med at forstå, hvilke data der er personlige, og til at identificere de systemer, hvor data indsamles og lagres, forstå hvorfor det blev indsamlet, hvordan data behandles og deles, og hvor længe det opbevares.

Her er samlet en række links til inspiration omkring det videre arbejde med GDRP:

  1. Efterskoleforenings leksikon – Persondataloven: Link
  2. GDPR og databehandleraftaler i skoleverdenen: Link
  3. Gratis generel hjælpeværktøj: Link

EasyIQ A/S tager IT Sikkerhed og håndtering af personfølsomme oplysninger meget alvorligt.
Certificeringer er ikke noget der kommer automatisk. Det skal du gøre dig fortjent til. År efter år. Derfor gør vi os umage hver dag. Så du er garanteret løsninger, der altid lever op til strenge kvalitets- og sikkerhedskrav herunder også persondataforordning / GDPR.
Vi har og arbejder løbende med 2 typer IT-revisionserklæringer ISAE 3000 og ISAE 3402. Se mere her: Link