Artikel top billede

Det betyder Datatilsynets Office 365-dom for dig

En cloud-ekspert tolker her, hvad Datatilsynets udtalelse om Microsofts Office 365 betyder for danske it-chefer, der ønsker at benytte cloud-tjenesten.

Læs også:

Her er Datatilsynets dom over Microsofts Office 365

Datatilsynets netop offentliggjorte udtalelse om Office 365 vækker glæde hos Peter Lunding Smith, der er cloud-ansvarlig hos Microsoft-partneren Proactive, jurist og aktiv deltager i debatten om cloud computing og de lovgivningsmæssige udfordringer.

Datatilsynet kalder ikke selv udtalelsen for en blåstempling, men Peter Lunding Smith er ikke bange for at drage den konklusionen, efter at have set nærmere på det ni sider lange dokument

"Jeg opfatter Datatilynets udtalelse som en blåstempling af Microsofts Cloud Services med de forbehold, der nu er for, at Microsoft og kunderne til enhver tid forsat skal overholde reglerne i persondataloven og sikkerhedsbekendtgørelsen med mere," udtaler Peter Lunding Smith. 

Hvad siger du nu til en dansk it-chef, der er i tvivl om, hvorvidt man kan anvende Microsofts cloud til personoplysninger?

"Jeg vil umiddelbart sige, at it-chefen må sætte sig ned sammen med en god rådgiver og vurdere, om registrering af personoplysninger kan være i konflikt med kravet om logning, jævnfør sikkerhedsbekendtgørelsens paragraf 19." 

"Der er ikke i udtalelsen lagt op til, at danske virksomheder og myndigheder ikke må anvende cloud til at opbevare eller håndtere personoplysninger, men omvendt er der et krav om, at søgninger på personoplysninger - i visse tilfælde - skal kunne logges."

Ingen logningsfunktion

I udtalelsen kan man netop læse, at Office 365 ikke indeholder logningsfunktion som krævet efter sikkerhedsbekendtgørelsen, og at man som dataansvarlig skal sikre sig, "at der ikke sker en registrering i løsningen, som udløser krav om logning."

Hvordan skal man som it-chef forholde sig til sådan en formulering?

"Jeg vil ikke blive alt for bekymret over den formulering. Formålet med vor datalovgivning og kravet om logning i sikkerhedsbekendtgørelsens paragraf 19 er jo at beskytte borgerne imod, at uvedkommende, uhindret og uden at blive registreret, kan søge efter personfølsomme data." 

Det kan ifølge Peter Lunding Smith eksempelvis være, hvis en butik tjekker din kreditværdighed i Debitorregistret

"Så er det jo rart, at det bliver logget, så du kan se, hvem der har hentet oplysninger om dig," forklarer han.

Brug af Office 365 som persondataregister

"Når vi taler om at bruge Office 365, så er der sjældent tale om at bruge det som et egentligt persondataregister, og sædvanligvis bruges Office 365 mest til mail og dokumenthåndtering."

"At der kan indgå et personnummer i en mail eller et dokument, mener jeg ikke bør udløse krav om logning, da en standard mail- og dokumentservice jo ikke er indrettet til at uvedkommende kan søge efter personfølsomme data."

Derfor kræver det ikke logning

Peter Lunding Smith peger på, at man, medmindre man allerede kender en persons personnummer eller andre følsomme data, vil få svært at søge det frem, og at det er under alle omstændigheder ikke er almindelig brug af mail og dokumentlagring, som paragraf 19 skal beskytte.

"Det fremgår faktisk indirekte af paragraf 19, stk. to, hvor det fremgår, at personoplysninger, der er indeholdt i et tekstbehandlingsdokument, ikke kræver logning, førend det foreligger i en endelig form."

Ved "endelig form" skal ifølge Peter Lunding Smith forstås, at oplysningerne lagres i en sådan form og i et sådan register, at de er egnede til at søge efter og potentielt kan misbruges.

Kan du forstå, hvis der stadig er it-chefer, der har svært ved at hitte ud af, hvad de må, og hvad de ikke må, når det kommer til cloud computing?

"Ja, det er jo ikke helt let for ikke-jurister at fortolke Datatilsynets udtalelse, og det kunne være ønskeligt med for eksempel en egentlig mærkningsordning overfor forskellige cloud-leverandører og cloud services."

"Men efterhånden bliver der vel indført nogle mere tidssvarende regler samt udarbejdet nogle pjecer, kontrolskemaer eller lignende, der kan gøre det lettere at komme i gang," lyder det fra Peter Lunding Smith. 

Læs også:

Her er Datatilsynets dom over Microsofts Office 365




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere