Tysk delstat fraråder skoler at bruge Microsoft 365: Frygter efterretningstjenester får adgang til persondata

Skolerne i Tysklands delstat Hessen bliver nu frarådet at bruge Microsoft 365 til at behandle oplysninger om skolernes elever.

Baggrunden er, at datamyndigheden ikke kan få dokumentation fra Microsoft for, at udenlandske efterretningstjenester ikke kan få adgang til data i cloud-tjenesten.

Det oplyser Hessens Kommission for Databeskyttelse og Informationsfrihed i en pressemeddelelse.

Læs også: Kommuner og regioner har droppet AWS i stor aftale - nu svarer selskabet igen: Her er alle svarene fra AWS

Derudover bliver der i meddelelsen lagt vægt på, at fordi skolerne behandler oplysninger om børn, er der særlig grund til at være varsom med hvem, der har adgang til netop de data.

“Det afgørende aspekt er om skoler, som en offentlig institution, kan opbevare personlig data (af børn) i en (europæisk) cloud, der er synlig for eksempel de amerikanske myndigheder. Offentlige institutioner i Tyskland har et særligt ansvar, når det gælder sporbarheden og behandlingen af persondata,” skriver den tyske delstatsmyndighed i meddelelsen.

Læs også: IT-Branchen forlanger klar cloud-vejledning fra Datatilsynet: "Det er gift for Danmarks digitale udvikling"

Oprindeligt havde Tyskland en særskilt tysk løsning til Microsoft 365, men i august sidste år flyttede Microsoft løsningen over på sin europæiske cloud.

Det er altså det skift, som delstatsmyndigheden har vurderet som usikker for skolerne i området, fordi man ikke kunne få garanti for, at udenlandske efterretningstjenester ikke kan få adgang til den europæiske cloud.

Tysklands svar på det danske Datatilsyn er delt op i 16 forskellige enheder, der altså har ansvaret for hver sin delstat i landet.

Hessen er med sine seks millioner indbyggere landets femtestørste delstat.

Læs også: Datatilsynet siger nej til klarere retningslinjer for brug af public cloud: "Kommunerne og regionerne skal bare være de gode dataansvarlige, de er i alle andre sammenhænge"

Spørgsmålstegn om public cloud i den offentlige sektor

I 2018 fandt de hollandske myndigheder også GDPR-problemer i forhold til Microsoft Office.

Her fremhævede en rapport otte risici, blandt andet, at diagnosedata indsamlet i Office indeholder personlige data, der muligvis bliver sendt til USA.

Som følge foretog Microsoft en række ændringer til Office 365 ProPlus, herunder en række ny privacy-værktøjer, som selskabet beskriver i en blog.

Siden har de hollandske myndigheder også meldt ud, at man nu i dag er blevet forsikret om brugen af Office 365 ProPlus, Windows 10 Enterprise og Azure.

Læs mere her: Microsoft Office kan være på kant med GDPR: Ny rapport finder belæg for indsamling af persondata i Office-versioner

Herhjemme har der også være udfordringer med brugen af public cloud.

Det landsdækkende fællesudbud for telemedicin valgte således at droppe Amazon Web Services (AWS) som underleverandør på grund af for store uklarheder, om driften af løsningen via AWS.

Læs mere om det her: Afsløring: Kommuner og regioner dropper AWS i stor aftale på grund af bekymring om persondata