Artikel top billede

Det betyder Datatilsynets Office 365-dom for dig

En cloud-ekspert tolker her, hvad Datatilsynets udtalelse om Microsofts Office 365 betyder for danske it-chefer, der ønsker at benytte cloud-tjenesten.

Læs også:

Her er Datatilsynets dom over Microsofts Office 365

Datatilsynets netop offentliggjorte udtalelse om Office 365 vækker glæde hos Peter Lunding Smith, der er cloud-ansvarlig hos Microsoft-partneren Proactive, jurist og aktiv deltager i debatten om cloud computing og de lovgivningsmæssige udfordringer.

Datatilsynet kalder ikke selv udtalelsen for en blåstempling, men Peter Lunding Smith er ikke bange for at drage den konklusionen, efter at have set nærmere på det ni sider lange dokument

"Jeg opfatter Datatilynets udtalelse som en blåstempling af Microsofts Cloud Services med de forbehold, der nu er for, at Microsoft og kunderne til enhver tid forsat skal overholde reglerne i persondataloven og sikkerhedsbekendtgørelsen med mere," udtaler Peter Lunding Smith. 

Hvad siger du nu til en dansk it-chef, der er i tvivl om, hvorvidt man kan anvende Microsofts cloud til personoplysninger?

"Jeg vil umiddelbart sige, at it-chefen må sætte sig ned sammen med en god rådgiver og vurdere, om registrering af personoplysninger kan være i konflikt med kravet om logning, jævnfør sikkerhedsbekendtgørelsens paragraf 19." 

"Der er ikke i udtalelsen lagt op til, at danske virksomheder og myndigheder ikke må anvende cloud til at opbevare eller håndtere personoplysninger, men omvendt er der et krav om, at søgninger på personoplysninger - i visse tilfælde - skal kunne logges."

Ingen logningsfunktion

I udtalelsen kan man netop læse, at Office 365 ikke indeholder logningsfunktion som krævet efter sikkerhedsbekendtgørelsen, og at man som dataansvarlig skal sikre sig, "at der ikke sker en registrering i løsningen, som udløser krav om logning."

Hvordan skal man som it-chef forholde sig til sådan en formulering?

"Jeg vil ikke blive alt for bekymret over den formulering. Formålet med vor datalovgivning og kravet om logning i sikkerhedsbekendtgørelsens paragraf 19 er jo at beskytte borgerne imod, at uvedkommende, uhindret og uden at blive registreret, kan søge efter personfølsomme data." 

Det kan ifølge Peter Lunding Smith eksempelvis være, hvis en butik tjekker din kreditværdighed i Debitorregistret

"Så er det jo rart, at det bliver logget, så du kan se, hvem der har hentet oplysninger om dig," forklarer han.

Brug af Office 365 som persondataregister

"Når vi taler om at bruge Office 365, så er der sjældent tale om at bruge det som et egentligt persondataregister, og sædvanligvis bruges Office 365 mest til mail og dokumenthåndtering."

"At der kan indgå et personnummer i en mail eller et dokument, mener jeg ikke bør udløse krav om logning, da en standard mail- og dokumentservice jo ikke er indrettet til at uvedkommende kan søge efter personfølsomme data."

Derfor kræver det ikke logning

Peter Lunding Smith peger på, at man, medmindre man allerede kender en persons personnummer eller andre følsomme data, vil få svært at søge det frem, og at det er under alle omstændigheder ikke er almindelig brug af mail og dokumentlagring, som paragraf 19 skal beskytte.

"Det fremgår faktisk indirekte af paragraf 19, stk. to, hvor det fremgår, at personoplysninger, der er indeholdt i et tekstbehandlingsdokument, ikke kræver logning, førend det foreligger i en endelig form."

Ved "endelig form" skal ifølge Peter Lunding Smith forstås, at oplysningerne lagres i en sådan form og i et sådan register, at de er egnede til at søge efter og potentielt kan misbruges.

Kan du forstå, hvis der stadig er it-chefer, der har svært ved at hitte ud af, hvad de må, og hvad de ikke må, når det kommer til cloud computing?

"Ja, det er jo ikke helt let for ikke-jurister at fortolke Datatilsynets udtalelse, og det kunne være ønskeligt med for eksempel en egentlig mærkningsordning overfor forskellige cloud-leverandører og cloud services."

"Men efterhånden bliver der vel indført nogle mere tidssvarende regler samt udarbejdet nogle pjecer, kontrolskemaer eller lignende, der kan gøre det lettere at komme i gang," lyder det fra Peter Lunding Smith. 

Læs også:

Her er Datatilsynets dom over Microsofts Office 365




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere