Artikel top billede

Det betyder Datatilsynets Office 365-dom for dig

En cloud-ekspert tolker her, hvad Datatilsynets udtalelse om Microsofts Office 365 betyder for danske it-chefer, der ønsker at benytte cloud-tjenesten.

Læs også:

Her er Datatilsynets dom over Microsofts Office 365

Datatilsynets netop offentliggjorte udtalelse om Office 365 vækker glæde hos Peter Lunding Smith, der er cloud-ansvarlig hos Microsoft-partneren Proactive, jurist og aktiv deltager i debatten om cloud computing og de lovgivningsmæssige udfordringer.

Datatilsynet kalder ikke selv udtalelsen for en blåstempling, men Peter Lunding Smith er ikke bange for at drage den konklusionen, efter at have set nærmere på det ni sider lange dokument

"Jeg opfatter Datatilynets udtalelse som en blåstempling af Microsofts Cloud Services med de forbehold, der nu er for, at Microsoft og kunderne til enhver tid forsat skal overholde reglerne i persondataloven og sikkerhedsbekendtgørelsen med mere," udtaler Peter Lunding Smith. 

Hvad siger du nu til en dansk it-chef, der er i tvivl om, hvorvidt man kan anvende Microsofts cloud til personoplysninger?

"Jeg vil umiddelbart sige, at it-chefen må sætte sig ned sammen med en god rådgiver og vurdere, om registrering af personoplysninger kan være i konflikt med kravet om logning, jævnfør sikkerhedsbekendtgørelsens paragraf 19." 

"Der er ikke i udtalelsen lagt op til, at danske virksomheder og myndigheder ikke må anvende cloud til at opbevare eller håndtere personoplysninger, men omvendt er der et krav om, at søgninger på personoplysninger - i visse tilfælde - skal kunne logges."

Ingen logningsfunktion

I udtalelsen kan man netop læse, at Office 365 ikke indeholder logningsfunktion som krævet efter sikkerhedsbekendtgørelsen, og at man som dataansvarlig skal sikre sig, "at der ikke sker en registrering i løsningen, som udløser krav om logning."

Hvordan skal man som it-chef forholde sig til sådan en formulering?

"Jeg vil ikke blive alt for bekymret over den formulering. Formålet med vor datalovgivning og kravet om logning i sikkerhedsbekendtgørelsens paragraf 19 er jo at beskytte borgerne imod, at uvedkommende, uhindret og uden at blive registreret, kan søge efter personfølsomme data." 

Det kan ifølge Peter Lunding Smith eksempelvis være, hvis en butik tjekker din kreditværdighed i Debitorregistret

"Så er det jo rart, at det bliver logget, så du kan se, hvem der har hentet oplysninger om dig," forklarer han.

Brug af Office 365 som persondataregister

"Når vi taler om at bruge Office 365, så er der sjældent tale om at bruge det som et egentligt persondataregister, og sædvanligvis bruges Office 365 mest til mail og dokumenthåndtering."

"At der kan indgå et personnummer i en mail eller et dokument, mener jeg ikke bør udløse krav om logning, da en standard mail- og dokumentservice jo ikke er indrettet til at uvedkommende kan søge efter personfølsomme data."

Derfor kræver det ikke logning

Peter Lunding Smith peger på, at man, medmindre man allerede kender en persons personnummer eller andre følsomme data, vil få svært at søge det frem, og at det er under alle omstændigheder ikke er almindelig brug af mail og dokumentlagring, som paragraf 19 skal beskytte.

"Det fremgår faktisk indirekte af paragraf 19, stk. to, hvor det fremgår, at personoplysninger, der er indeholdt i et tekstbehandlingsdokument, ikke kræver logning, førend det foreligger i en endelig form."

Ved "endelig form" skal ifølge Peter Lunding Smith forstås, at oplysningerne lagres i en sådan form og i et sådan register, at de er egnede til at søge efter og potentielt kan misbruges.

Kan du forstå, hvis der stadig er it-chefer, der har svært ved at hitte ud af, hvad de må, og hvad de ikke må, når det kommer til cloud computing?

"Ja, det er jo ikke helt let for ikke-jurister at fortolke Datatilsynets udtalelse, og det kunne være ønskeligt med for eksempel en egentlig mærkningsordning overfor forskellige cloud-leverandører og cloud services."

"Men efterhånden bliver der vel indført nogle mere tidssvarende regler samt udarbejdet nogle pjecer, kontrolskemaer eller lignende, der kan gøre det lettere at komme i gang," lyder det fra Peter Lunding Smith. 

Læs også:

Her er Datatilsynets dom over Microsofts Office 365




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere