Datatilsynets udtalelse om Microsofts cloud-baseret Office 365
Datatilsynet har den 6. juni 2012 offentliggjort en udtalelse vedrørende Microsofts cloud-baseret Office 365.
Microsoft Office 365 er en cloud-baseret kontorpakke, der primært benyttes til mail- og dokumenthåndtering. Datatilsynets udtalelse indeholder bemærkninger om Microsofts forpligtelser samt råd og vejledning til de danske virksomheder og myndigheder, som ønsker at benytte cloud-løsningen.
Der er persondataretligt en række udfordringer for virksomheder og myndigheder, der ønsker at anvende cloud-baseret it-løsninger, særligt når personoplysninger kunne blive behandlet uden for EØS (dvs. EU, Norge, Island og Liechtenstein). Dette blev tydeliggjort i blandt andet den meget omtalte sag om Odense Kommunes ønske om at anvende Google Apps. (find BvHDs tidligere nyhed her).
Microsoft har til Datatilsynet afgivet en lang række oplysninger om brugen af Office 365-løsningen, herunder oplysning om de anvendte sikkerhedsforanstaltninger samt kontraktgrundlaget, der danner udgangspunkt for aftalen med de enkelte kunder og de muligheder kunderne har for at lave sikkerhedsvurderinger af løsningen. Herunder er det i forbindelse med sagsbehandlingen blevet oplyst, at Microsoft har tilsluttet sig Safe Harbor-ordningen og har implementeret mulighed for tiltrædelse af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til databehandlere i et tredjeland.
I den forbindelse er det særligt interessant, at Microsoft har oplyst, at man vil give kunderne (de dataansvarlige) og datamyndighederne, mulighed for at inspicere såvel Microsofts som deres underdatabehandleres datacentre. Netop en sådan inspektionsmulighed har tidligere været et stort issue i forbindelse med cloud-baseret løsninger.
Der er ikke tale om en tilladelse til brug af Office 365 fra Datatilsynets side, men en mere generel udtalelse om den konkrete cloud-baseret løsning.
Det er fortsat den dataansvarlige, dvs. typisk den virksomhed eller myndighed, der ønsker at anvende en cloudbaseret it-løsning (herunder Office 365), som har ansvaret for at leve op til persondatalovgivningens krav.
Det kan ikke forventes at leverandørerne af cloud-baseret tjenester automatisk gør opmærksom på – endsige sikrer overholdelse – af de persondataretlige krav. Særligt opmærksomme, skal kunderne være, når tjenesterne gør brug af clouds, der spreder sig udover EØS-området.
Datatilsynet giver gennem udtalelsen udtryk for, at man fra den danske datamyndigheds side, ikke generelt har noget imod cloud-baseret it-løsninger, men samtidig gør Datatilsynet opmærksom på en række af de – ofte komplicerede – krav, der stilles til sådanne løsninger.
Den såkaldt Berlin-gruppe, har udarbejdet en række anbefalinger om brugen af cloud computing, som kan findes her
På fælles europæisk plan arbejder den såkaldte Artikel 29-gruppe på en generel udtalelse om persondatakravene i forbindelse med cloud computing.
Læs Datatilsynets afgørelse om Office 365 her
Vedhæftede filer (0):
Relaterede artikler (0):
Eksterne links: (0):