Microsoft 365 er et af de mest udbredte værktøjer i danske virksomheder. Det gør samarbejde, dokumentdeling og kommunikation lettere – men det rejser også spørgsmål om databeskyttelse. For hvordan sikrer man sig egentlig, at brugen af Microsoft 365 er i overensstemmelse med GDPR?
Især er spørgsmålet om sikkerhed blevet rejst, efter Datatilsynet på baggrund af en norsk undersøgelse offentliggjorde en advarsel mod at bruge Microsoft Copilot.
Da Microsoft365 jo som bekendt er et system, der bruges over en bred kam af både virksomheder og offentlige instanser herhjemme, vakte det selvfølgelig en del bekymring.
Kort efter trak Datatilsynet så også artiklen tilbage, da det viste sig, at de faktisk ikke brugte Copilot og heller ikke havde adgang til den tjeneste, som den norske undersøgelse omhandlede:
Efterfølgende Statens It har foretaget en omfattende konsekvensanalyse (DPIA) af Microsoft 365. Den viser, at løsningen kan anvendes inden for GDPR’s rammer – men kun hvis man tager nogle vigtige forholdsregler.
Disse forholdsregler gennemgår vi herunder.
Fire centrale risici du skal kende
Statens It identificerede fire væsentlige risici i deres analyse. De er relevante – uanset om du er en offentlig myndighed eller en privat virksomhed:
1. Manglende gennemsigtighed: Det er uklart, hvilke systemdata Microsoft 365 indsamler om brugerne – og hvordan de bruges. Det gør det svært at opfylde informationspligten over for medarbejdere og kunder.
2. Usikkerhed om formål: Bruger Microsoft data til andet end det, du har sagt ja til? Risikoen er, at formålene med databehandlingen glider – og det er i strid med GDPR.
3. For omfattende dataindsamling: Microsofts platform genererer mange logs og diagnostiske data. Spørgsmålet er, om der indsamles mere, end der reelt er brug for.
4. Anonymisering kan være utilstrækkelig: Microsoft bruger nogle data til egne formål – fx statistik og serviceforbedring. Hvis anonymiseringen ikke virker godt nok, er der risiko for, at det stadig er persondata.
Hvad skal din virksomhed gøre?
Heldigvis er der meget, man selv kan gøre for at reducere risikoen. Her er nogle af de vigtigste skridt:
1. Udfør en DPIA
En konsekvensanalyse (DPIA) er en systematisk vurdering af, hvordan jeres brug af persondata påvirker de registrerede. Det er et krav i GDPR, hvis der er høj risiko – og god praksis uanset hvad.
Med en DPIA får I:
- Overblik over hvilke data, der behandles
- Indsigt i mulige risici
- Forslag til konkrete løsninger og foranstaltninger
Det er et vigtigt redskab til at sikre GDPR-compliance – og til at dokumentere, at I tager ansvar.
2. Gennemgå jeres aftaler med Microsoft
Sørg for, at jeres databehandleraftale (DPA) med Microsoft er på plads og dækker de services, I bruger. Det er her, I får bekræftet, hvilke formål Microsoft må behandle data til – og hvilke de ikke må.
3. Juster privatlivsindstillinger
Microsoft 365 har en række konfigurationsmuligheder, som kan hjælpe jer med at minimere dataindsamling og sikre bedre kontrol. F.eks. kan I:
- Slå unødvendige funktioner fra
- Begrænse diagnostiske data
- Slette gamle logfiler automatisk
- Bruge kryptering og adgangsstyring
4. Skab gennemsigtighed
Opdater jeres privatlivspolitikker, og informer medarbejderne tydeligt om, hvilke data der indsamles, og hvad formålet er. Sørg også for at kunne håndtere forespørgsler om indsigt, sletning og andre rettigheder – hurtigt og effektivt.
Skal vi tage en snak?
Det behøver ikke være tungt eller teknisk at få styr på GDPR og Microsoft 365 – men det kræver, at man tager ansvar og arbejder struktureret med databeskyttelse.
Hos AI Rådgivning hjælper vi virksomheder som jeres med:
- At udarbejde og kvalitetssikre DPIA’er
- At konfigurere Microsoft 365 sikkert
- At træne medarbejdere i god datapraksis
Vi taler et sprog, der er til at forstå – og sørger for, at I kan bruge jeres digitale værktøjer uden at gå på kompromis med sikkerhed og lovgivning.
Se evt. mere om Statens It’s arbejde med SIA365 her
Se uddybede spørgsmål og svar om Microsoft 365 Copilot og GDPR herunder
Hvad er en DPIA, og hvornår skal vi lave en?
En DPIA (Data Protection Impact Assessment), eller konsekvensanalyse, er en grundig gennemgang af hvordan en planlagt behandling af persondata påvirker de registrerede, inkl. hvilke risici der er, og hvilke tiltag man vil indføre for at reducere risiciene.
I skal lave en DPIA før I implementerer en løsning, der sandsynligvis medfører høj risiko for personers rettigheder. For eksempel hvis I ruller Microsoft 365 ud i hele virksomheden med følsomme persondata, monitoring af medarbejderes kommunikation osv., så vil det ofte udløse kravet om en DPIA.
Selv når det ikke direkte er lovpligtigt, er det god praksis at lave en DPIA ved større IT-implementeringer – det giver overblik og beskytter jer ift. ansvar.
Kan vi genbruge Statens It’s DPIA, eller skal vi lave vores egen?
Statens It’s offentliggjorte DPIA om Microsoft 365 er et rigtigt godt udgangspunkt, da den belyser generelle risici og løsninger. I kan helt sikkert lade jer inspirere af dens indhold. Men I kan ikke blot kopiere den og anse arbejdet for gjort.
Jeres egen brug af Microsoft 365 kan afvige på vigtige punkter: måske bruger I nogle ekstra tjenester, måske behandler I andre typer data, måske har I et andet risikoniveau eller tolerance end staten.
Statens It selv skriver, at deres analyse skal suppleres af de dataansvarlige selv i lyset af deres individuelle behandlinger. I bør altså udarbejde jeres egen DPIA med udgangspunkt i jeres konkrete setup. I kan dog genbruge meget af tænkningen og så tilpasse konklusionerne til jeres kontekst.
Hvis I har en DPO (databeskyttelsesrådgiver), skal han/hun involveres og komme med sin udtalelse til DPIA’en, som loven foreskriver.
Overføres der persondata til USA, når vi bruger Microsoft 365?
Microsoft 365 er leveret af Microsoft Ireland (for EU-kunder), og dine data bliver som udgangspunkt lagret i datacentre inden for EU. Microsoft har faktisk forpligtet sig til at holde alle persondata fra europæiske cloud-kunder inden for EU’s grænser – dette kalder de “EU Data Boundary”. Det inkluderer nu også tidligere gråzoner som pseudonymiserede diagnostik-data i systemlogs. Så idealet er, at dine data ikke skal “forlade” Europa.
Når det er sagt, kan der stadig ske tredjelandsadgang i visse situationer: For eksempel kan amerikansk baseret supportpersonale hos Microsoft få adgang ved fejlretning, eller der kan ske overførsel ifm. Microsofts egen anvendelse af anonymiserede data (jf. risiko 4). Desuden kan amerikanske myndigheder teoretisk forsøge at kræve data udleveret fra Microsoft, selvom data ligger i EU (under fx CLOUD Act) – det er et centralt tema efter den såkaldte Schrems II-dom.
Microsoft håndterer dette ved at bruge EU-standardkontraktklausuler, tekniske beskyttelser og nu også den nye EU-US Data Privacy Framework (den aftale, som per juli 2023 giver et adequacy niveau til USA for firmaer som tilslutter sig). Microsoft er certificeret under denne ordning, hvilket hjælper lovligheden ved eventuelle overførsler. Derudover har Microsoft lovet at udfordre uberettigede myndighedsanmodninger og informere om dem.
Kort fortalt: Det meste data bliver i EU. Hvis der sker overførsel eller adgang fra USA, så foregår det med de nødvendige juridiske sikkerhedsnet (SCC’er, Data Privacy Framework) og ofte i pseudonymiseret form. Statens It’s TIA (Transfer Impact Assessment) konkluderede, at risikoen for de registrerede ved eventuelle tredjelandsoverførsler kan nedbringes til et lavt niveau. I bør selv vurdere dette i jeres DPIA, men de fleste finder, at Microsoft 365 kan bruges forsvarligt ift. Schrems II, især efter de seneste initiativer med EU Data Boundary.
Hvordan kan vi konfigurere Microsoft 365, så vi overholder GDPR bedst muligt?
Foruden de tiltag, vi har nævnt under risikogennemgangen, er der en række konkrete skridt, I kan tage for at gøre jeres Microsoft 365 miljø mere privacy-friendly:
- Vælg EU-region og datacenter under opsætning (typisk sker dette automatisk via Microsoft 365 for EU-kunder, men vær sikker på at vælge relevante indstillinger ift. hvor jeres data ligger).
- Slå ubrugte tjenester fra. Hvis der er Microsoft 365-apps, I ikke har tænkt jer at bruge, så deaktiver dem for brugerne. Hver ekstra tjeneste (f.eks. Forms, Sway, Delve) kan indebære ekstra dataopsamling, så begræns jer til det nødvendige.
- Udnyt Microsoft 365’s sikkerheds- og compliance-funktioner: Disse indirekte hjælper på GDPR-overholdelse. Fx: Aktivér Data Loss Prevention (DLP) politikker for at forhindre utilsigtet deling af følsomme data; brug Sensitivity Labels til at klassificere og beskytte persondata i dokumenter og mails; slå Audit Log til (hvis det ikke er standard) for at have sporbarhed; overvej Customer Lockbox for kontrol med Microsofts supportadgang. Selvom disse ikke direkte handler om privatliv, giver de kontrol og sikring af data, som er et GDPR-krav (integritet og fortrolighed).
- Minimér opbevaring af data: Gennemgå hvor længe I beholder persondata i mails, OneDrive, SharePoint osv. Indstil automatisk sletning eller arkivering, hvis muligt, efter en vis periode i overensstemmelse med formålene. GDPR kræver, at man sletter data, når de ikke længere er nødvendige. Microsoft 365 Compliance Center lader jer opsætte retention labels for dette formål.
- Træn jeres brugere i god databeskyttelsespraksis på Microsoft 365. Teknologi alene gør det ikke – medarbejdere skal vide, hvordan de behandler personoplysninger sikkert (fx ikke deler mere end nødvendigt, bruger de sikre delelinks fremfor at downloade data lokal osv.).
Microsoft 365 er en meget omfattende platform, og Microsoft selv har dedikerede guides til GDPR-compliance. Overordnet set har Microsoft forpligtet sig til at hjælpe kunder med at overholde GDPR og indbygget mange funktioner til datahåndtering. Men ansvaret ligger hos jer som dataansvarlig at bruge disse værktøjer aktivt.
Er Microsoft dataansvarlig eller databehandler for vores data i 365?
Det er et godt spørgsmål, fordi rollefordelingen er central i GDPR.
Generelt fungerer Microsoft som databehandler for hovedparten af de persondata, I lægger i deres cloud (dvs. de behandler data på jeres vegne og efter instruks). Dette gælder fx indholdet af emails, dokumenter, Teams-samtaler, oplysninger om jeres brugere osv. – alt det, som defineres som Customer Data under kontrakten. I de tilfælde er det jer (virksomheden) der er dataansvarlig, da det er jer, der bestemmer formål og middel med behandlingen.
Der er dog enkelte områder, hvor Microsoft anses som selvstændig dataansvarlig: typisk for visse diagnostik- og tjenestedata, som de bruger til driftsmæssige formål (som vi drøftede under risiko 2 og 4). Men Microsoft har kontraktligt påtaget sig mange af de samme GDPR-forpligtelser selv for disse data. I praksis kan I betragte Microsoft som en databehandler for jer, mens I selv har ansvaret for at overholde GDPR principperne for brugen af systemet. I skal altså stadig sørge for behandlingshjemmel, opfylde registreredes rettigheder, føre fortegnelse osv., præcis som hvis data lå på jeres egne servere – forskellen er, at Microsoft hjælper med det tekniske og er kontraktligt bundet til at passe på data og følge jeres instruks.
Hvad hvis vi ikke gør alt dette – hvilke konsekvenser kan det have?
Hvis man ignorerer GDPR-kravene ved implementering af Microsoft 365, risikerer man først og fremmest at krænke sine medarbejderes eller kunders privatliv. Det kan føre til klager til Datatilsynet, som potentielt kan ende med påbud eller bøder.
Et par scenarier: Hvis en medarbejder beder om indsigt i alle sine data, og I ikke kan levere det pga. manglende gennemsigtighed, kunne vedkommende klage. Eller hvis der sker et databrud (fx konti kompromitteres) og det viser sig, at I havde slået alle sikkerhedslogger fra eller gemt alt for mange følsomme data uden beskyttelse, så vil det blive taget op i tilsyn. Der har været sager i Europa om offentlige myndigheders brug af cloudtjenester, hvor tilsynsmyndigheder greb ind, fordi risikoen blev anset for for høj. Man ønsker naturligvis ikke at ende i en situation, hvor man akut skal suspendere brugen af et vigtigt system (tænk hvis I pludselig ikke måtte bruge jeres mailsystem!).
Derfor: konsekvensen af at undlade DPIA og risikohåndtering kan være forretningskritisk. Omvendt, hvis I gør jeres hjemmearbejde som beskrevet i denne artikel, står I stærkt: I kan dokumentere over for eventuelle interessenter (Datatilsyn, kunder) at I har styr på GDPR-aspekterne. Det giver også ledelsen ro i sindet og beskytter virksomhedens omdømme.
AI-Rådgivning er medlem af:
