Artikel i forbindelse med udsendelse af nyhedsmail torsdag den 12. september 2024

Datatilsynet har på det årlige DPO-foreningsmøde tilkendegivet, at de i lyset af sagerne om Microsoft og Google forventer, at de dataansvarlige har styr på hvordan deres databehandler/cloudleverandører behandler data – alt data, herunder også særligt behandlingen af metadata og hvorvidt dette sker til cloudleverandørens egne formål.

Helt konkret forventes det, at man som dataansvarlig i forbindelse med brugen af Microsoft kan redegøre for følgende:

• Hvilke kategorier af personer vil den dataansvarlige behandle personoplysninger om, herunder f.eks. medarbejdere, patienter mv., som led i brugen af M365?
• Hvilke personoplysninger vil den dataansvarlige behandle om disse kategorier af personer, og i hvilket omfang vil der blive indsamlet og behandlet metadata om disse personer?
• Hvilket retsgrundlag vil danne baggrund for den dataansvarliges behandling af de pågældende personoplysninger?
• Hvilke specifikke formål vil Microsoft konkret behandle oplysninger til som led i at holde ”produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed”, og i hvilken rolle?
• Hvordan genereres den ovennævnte aggregerede statistik konkret, herunder navnlig om aggregeringen eller anonymiseringen sker, inden oplysninger videregives til Microsoft?
• Vil det pågældende retsgrundlag kunne danne baggrund for videregivelse af de pågældende personoplysninger til Microsoft til brug for de formål, der er beskrevet ovenfor?

De samme typer af spørgsmål må man forvente at kunne besvare ved brugen af andre cloudløsnings-systemer, fx Google Workspace.

Datatilsynet bemærkede også, at blot fordi der endnu ikke er givet bøder i forbindelse med fx brugen af Google Workspace, så betyder dette ikke, at man vil afholde sig fra at udstede bøder i fremtiden, når man støder på de samme problemstillinger igen.

Hos GapSolutions ser vi dette som en klar opfordring fra Datatilsynet til, at man sikrer sig, at man som dataansvarlig som minimum har forholdt sig til problemstillingen og at man kan dokumentere dette.

Hvis I har brug for hjælp til at skabe overblik over problematikken samt dokumentation for, hvordan I som dataansvarlig har forholdt jer til ovenstående, er I velkommen til at kontakte Christian Højer fra GapSolutions enten på telefon: 7174 8583 eller mail: ch@gapsolutions.dk 

Microsoft sager – se blandt andet nyhedsbrev af 25. april 2024 og 7. marts 2024 med yderligere links

Google Workspace – klik her for mere info