Nyhedsmail

vores Artikel i forbindelse med udsendelse af nyhedsmail den 25. april 2024.

Hvad sker der?

På baggrund af en konkret forespørgsel fra Region Syddanmark i en aktuel sag har Datatilsynet forholdt sig til, i hvilket omfang den såkaldte Chromebook-sag har relevans for anskaffelse og brug af andre cloudservices. For Region Syddanmarks vedkommende drejer det sig konkret om regionens påtænkte migrering til Microsoft 365. Datatilsynet har i deres svar til Region Syddanmark af 15. februar 2024 bekræftet, at de samme principper angående behandlingen af metadata også gør sig gældende for brugen af Microsofts systemer.

Hertil kommer også, at det fremgår af databehandleraftalen med Microsoft, at Microsoft i visse situationer vil behandle data som selvstændig dataansvarlig og ikke blot som databehandler.

Man skal som dataansvarlig altid kortlægge den påtænkte brug af systemet inden, man går i gang med at benytte det.  I en sådan kortlægning skal man ikke blot kortlægge hvilke typer af data, man som dataansvarlig selv påtænker at behandle i systemet, men man bør også undersøge, hvorvidt leverandøren af systemet behandler metadata om brugerne af systemet til egne formål. Hvis dette er tilfældet, skal der findes en behandlingshjemmel til videregivelse af persondata til Leverandørens (her Microsoft) egne formål.

For at hjælpe Region Syddanmark, har Datatilsynet opstillet 6 konkrete spørgsmål som region Syddanmark skal forholde sig til:

1. Hvilke kategorier af personer vil regionen behandle personoplysninger om, herunder f.eks. medarbejdere, patienter mv., som led i brugen af M365?
2. Hvilke personoplysninger vil regionen behandle om disse kategorier af personer, og i hvilket omfang vil der blive indsamlet og behandlet metadata om disse personer?
3. Hvilket retsgrundlag vil danne baggrund for regionens behandling af de pågældende personoplysninger?
4. Hvilke specifikke formål vil Microsoft konkret behandle oplysninger til som led i at holde ”produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed”, og i hvilken rolle?
5. Hvordan genereres den ovennævnte aggregerede statistik konkret, herunder navnlig om aggregeringen eller anonymiseringen sker, inden oplysninger videregives til Microsoft?
6. Vil det pågældende retsgrundlag kunne danne baggrund for videregivelse af de pågældende personoplysninger til Microsoft til brug for de formål, der er beskrevet ovenfor?

Datatilsynet slutter af med at bemærke, at det er Region Syddanmark som har ansvaret for at gennemføre ovennævnte kortlægning, afklaring og vurdering. Det følger af databeskyttelsesforordningens artikel 24, stk. 1, og artikel 5, stk. 2.

Det er vigtigt at holde sig for øje, at selvom Datatilsynets spørgsmål er til Region Syddanmark, så vil spørgsmålene være relevante for alle, som anvender Microsoft 365. Kort efter Datatilsynets respons til Region Syddanmark, blev der fra EU offentliggjort en undersøgelse om EU Kommissionens brug af Microsoft 365, hvor man har været inde og se på de samme ovenstående problemstillinger.

Den europæiske tilsynsførende for databeskyttelse (EDPS) er en uafhængig tilsynsmyndighed hvis primære mål er at overvåge og sikre, at europæiske institutioner og organer respekterer retten til privatliv og databeskyttelse, når de behandler personoplysninger og udvikler nye politikker.

I en pressemeddelelse fra den 8. marts 2024 fremgår det, at EDPS har fundet adskillige overtrædelser af databeskyttelseslovgivningen ved Kommissionens brug af Microsoft 365.

Læser man EDPS´ offentliggørelse af selve undersøgelsen, fremgår det tydeligt, at det der særligt er fokus på, er Microsofts brug af metadata – altså data om brugernes adfærd i Microsoft systemerne, som benyttes til at optimere og udvikle Microsofts produkter og brugeroplevelsen.

EDPS mener ikke at Kommissionen i sin kontrakt med Microsoft i tilstrækkelig grad har specificeret, hvilke typer personoplysninger der skal indsamles, til hvilke eksplicitte og specificerede formål ved brug af Microsoft 365 personoplysningerne behandles eller hvorvidt behandlingen af oplysningerne er proportionelt i forhold til det formål som der forfølges.

EDPS mener derfor at Microsoft bliver selvstændig dataansvarlig for behandlingen af Metadata, da Kommissionen ikke har formuleret en klar instruks til Microsoft. Hvis Microsoft anses som selvstændig dataansvarlig, er der ikke længere tale om en databehandlerkonstruktion, men om videregivelse mellem 2 selvstændige dataansvarlige, som kan kræve et andet behandlingsgrundlag end det som man behandler personhenførbare oplysninger under i forbindelse med databehandleropgaven.

Man finder altså et tydeligt sammenfald mellem de problemstillinger som det danske Datatilsyn belyser og de fund som EDPS har gjort gennem deres flerårige undersøgelse af Kommissionen brug af Microsoft 365.

Herudover finder EDPS også, at EU Kommissionen har undladt at sørge for passende sikkerhedsforanstaltninger for at sikre, at personoplysninger, der overføres uden for EU/EØS, ydes et stort set tilsvarende beskyttelsesniveau som garanteret i EU/EØS.

EDPS anser Kommissionens krænkelser som dataansvarlig for alvorlige og har besluttet at pålægge Kommissionen, med virkning fra den 9. december 2024, at suspendere alle datastrømme som følge af dens brug af Microsoft 365 til Microsoft og til Microsofts tilknyttede virksomheder og underdatabehandlere, der er beliggende i lande uden for EU/EØS, og som ikke er omfattet af en beslutning om tilstrækkelighed, samt sikre at de andre forhold omkring brugen af Microsoft 365 bringes i orden.

Det ikke er første gang, at Microsoft har været under luppen i forbindelse med GDPR.

EDPS undersøgte Microsoft tilbage i 2020, hvor de så på den generelle brug af Microsoft blandt Unionens institutioner. Også dengang fandt man Microsoft beskrivelser af services for bred, og opfordrede unionens institutioner til at ændre dette for at institutionerne fortsat kunne være dataansvarlige.

Også det Tyske Datatilsyn har ligeledes set på brugen af Microsoft tilbage i 2022, hvor de kom til samme konklusion som EDPS er kommet til nu, bare vedrørende Microsoft databehandleraftale fra september 2022.

Den tyske regering i Schleswig-Holstein har allerede besluttet sig for at stoppe brugen af Microsoft produkter i alle deres statslige administrationer, som følge af EDPS’ pressemeddelelse.

GapSolutions forventer ikke at den tyske regering i Schleswig-Holstein bliver de sidste som vender Microsoft ryggen som følge af EDPS’ analyse af brugen af metadata. Vi er generelt spændte på, hvordan Microsoft forholder sig til, at så store samarbejdspartnere i EU/EØS fravælger deres services grundet uklarheder om brugen af metadata.

Hvad skal du gøre

1. Du bør som dataansvarlig, konkret forholde dig til de 6 spørgsmål som er stillet af Datatilsynet.

GapSolutions gør opmærksom på, at man ved kortlægning i portalen næppe har haft fokus på brugen af metadata, og at man ved besvarelsen af ovenstående spørgsmål, særligt spørgsmål 1 og 3 bør tage et fornyet syn på brugen af Microsoft i forhold til behandlingen af metadata. Dette skyldes, at man skal kunne svare på samtlige ovenstående spørgsmål for alle de typer af oplysninger som behandles i et system.

2. Herudover bør man som dataansvarlig opdatere sin TIA og sin risikovurdering med de fund og overvejelser som man gør sig i forbindelse med besvarelsen af de 6 spørgsmål.

Det bemærkes, at det er op til den enkelte dataansvarlige at sikre at alle disse elementer er opdateret og det skal sikres, at man kan fremvise dokumentation herpå, jf. databeskyttelsesforordningens artikel 24, stk. 1, og artikel 5, stk. 2.

Hvis du sidder med ansvaret for at kortlægge og opdatere jeres artikel 30 fortegnelse, TIA eller risikovurdering i forhold til brugen af Microsoft og har brug for hjælp hertil, er du velkommen til at kontakte vores support, som vil hjælpe dig med at afklare dit behov og sætte dig i kontakt med nogle konsulenter, der har specialiseret sig i netop overførelser til usikre tredjelande og hele Microsoft sagen.

Du kan ringe til Henrik Mangor på vores kundesupporttelefon: 2199 0808. Så kan vi tage en snak om, hvordan I skal forholde jer, og om vi skal hjælpe jer med opgaven.

Du kan læse mere på følgende links:

 EDPS undersøgelse i 2020 – klik her 

Det tyske Datatilsyns afgørelse 2022 – klik her

Datatilsynet svar til Region Syddanmark – klik her

EDPS undersøgelse 2024 – klik her

Schleswig-Holstein – pressemeddelelse her – klik her