De vigtigste spørgsmål om beskyttelse af personlige oplysninger, som kunden bør stille til sin udbyder af cloud-tjenester

Microsoft Office 365 tilbyder uundværlige funktioner til beskyttelse af personlige oplysninger til alle Office 365-kunder. Formålet med dette afsnit er at beskrive funktioner til beskyttelse af personlige oplysninger, samt hvordan de lever op til de høje standarder for beskyttelse af personlige oplysninger, som udstikkes af EU-myndighederne. Den 1. juli 2012 indførte EU’s Artikel 29-arbejdsgruppe (WP29) – en gruppe, som er dannet under navnet Den Europæiske Unions nationale databeskyttelsesmyndigheder – Udtalelse 05/2012 om cloud computing. Udtalelsen om cloud computing fremhæver fordelene ved cloud computing, herunder øget effektivitet og højere sikkerhed. I Udtalelsen understreger arbejdsgruppen vigtigheden af at vælge en udbyder af cloud-tjenester, som tilbyder gennemsigtighed omkring sine praksisser for databeskyttelse, og som respekterer, at kundedata er private.
Udtalelsen fra Artikel 29-gruppen indeholder vigtige retningslinjer for nuværende og potentielle brugere af skyen. Det rejser også en række spørgsmål, som cloud-kunder, i deres egenskab af datacontrollere, bør overveje, når de vælger en cloud-udbyder. De vigtigste spørgsmål om personlige oplysninger og Office 365-svarene er beskrevet her.
VisSkjul
Tilbyder udbyderen fyldestgørende og letforståelige oplysninger om sine praksisser for sikkerhed og beskyttelse af personlige oplysninger på én central placering? Omfatter disse oplysninger vigtige emner som f.eks. oplysninger om, hvor dataene lagres, hvem der har adgang til dem, og under hvilke omstændigheder, samt hvilke underleverandører der er indblandet i databehandlingen?
Henvisning til udtalelsen fra Artikel 29-gruppen: I afsnit 4.1 (det første punkt under overskriften "Overholdelse af grundlæggende databeskyttelsesprincipper"), står der at "Cloud-udbydere bør informere cloud-kunder om alle relevante aspekter (vedrørende databeskyttelse) af deres tjenester … Kunderne bør især informeres om alle underleverandører, der bidrager til leveringen af den pågældende cloud-tjeneste, og alle lokaliteter, hvor oplysninger måtte blive lagret eller behandlet af cloud-udbyderen og/eller dennes underleverandører". Afsnit 3.4.1.1 (Gennemsigtighed) understreger yderligere vigtigheden af gennemsigtighed i forholdet mellem udbyderen og kunden.
Office 365: Microsoft gør oplysninger om sine praksisser for sikkerhed og beskyttelse af personlige oplysninger tilgængelige i Center for sikkerhed og rettighedsadministration i Office 365. Center for sikkerhed og rettighedsadministration i Office 365 indeholder oplysninger om, hvor dataene lagres, hvem der har adgang til dem, og under hvilke omstændigheder, samt hvilke underleverandører der er indblandet i databehandlingen.
VisSkjul
Bruger udbyderen af cloud-tjenesten kundedata på nogen anden vis eller til noget andet formål end at levere selve tjenesten? Hvis dette er tilfældet, hvilke formål er der så tale om? Bearbejdes kundedata f.eks. til at opbygge profiler til brug i reklamer eller med andre kommercielle formål? Eller udleveres der på nogen måde data til nogen tredjepart (foruden underleverandører, eller når der er lovmæssige krav, der påbyder det)?
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning). Artikel 29-gruppen gør det klart, at "personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelige med disse formål", samt at cloud-kunder har ansvaret for at sikre, "at cloud-udbyderen eller dennes underleverandører ikke (ulovligt) behandler personoplysninger til yderligere formål".
Office 365: Microsofts cloud-erhvervstjenester anvender udelukkende kundedata til at levere tjenesteydelserne. Dette omfatter muligvis fejlfinding med henblik på at forebygge, identificere og afhjælpe problemer, som påvirker funktionsmåden for tjenesterne, og forbedring af funktioner, som omfatter registrering af og beskyttelse mod aktuelle og kommende trusler mod brugeren, f.eks. malware eller spam. Office 365 anvender ikke kundedata til at lave reklameprodukter. Vi scanner ikke dine mails eller dokumenter til brug for analyse, dataudtrækning eller nogen forbedring af tjenesten.
Microsoft udleverer ikke kundedata til nogen tredjepart (herunder ordensmagten, anden statslig instans eller nogen civil procespart, undtagen vores underleverandører) andet end i det omfang kunden måtte anmode om det, eller hvis der er tale om et lovmæssigt krav.
VisSkjul
Hvis udbyderen af cloud-tjenesten har både virksomheder og forbrugere som kunder, blander udbyderen så data fra virksomhedskunderne med data fra sine forbrugertjenester? Hvis dette er tilfældet, hvordan foregår dette da, og med hvilke formål?
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning) og Afsnit 3.3.1 (cloud-kunde og cloud-udbyder).
Office 365: Microsofts cloud-virksomhedsservere er fysisk adskilt fra de servere, der anvendes til onlinetjenester til forbrugere. Virksomhedskundedata, data i Microsofts onlinetjenester til forbrugere samt data oprettet af eller som resultat af at Microsoft har scannet, indekseret eller foretaget datamining, holdes adskilt, medmindre andet på forhånd er blevet godkendt af kunden.
VisSkjul
Scanner eller laver udbyderen udtræk af indhold som f.eks. mailkommunikation eller dokumenter? Hvis dette er tilfældet, med hvilke formål sker dette da?
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning) og Afsnit 3.3.1 (cloud-kunde og cloud-udbyder).
Office 365: Microsoft scanner ikke mails eller dokumenter med reklame for øje. Microsofts erhvervstjenester vedligeholder, scanner og indekserer kundeoplysninger for at tilbyde effektive funktioner, som giver kunderne mulighed for at få adgang til og organisere kundeoplysninger. Eksempelvis kan slutkunderne nemt søge efter deres dokumenter og andet indhold i Office 365.
VisSkjul
Hvis udbyderen også tilbyder forbrugertjenester, blandes data fra disse så med data fra erhvervstjenester?
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.3 (Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed).
Office 365: Den kommercielle Office 365-tjeneste er logisk adskilt fra onlinetjenester for forbrugere. Erhvervskundedata og data i Microsofts onlinetjenester til forbrugere holdes adskilt, medmindre andet på forhånd er blevet godkendt af kunden.
VisSkjul
Anvender udbyderen af cloud-tjenesten stærke beskyttelsesforanstaltninger til dataoverførsel i skyen?
Artikel 29-arbejdsgruppen konkluderer, at der er "begrænsninger" for de traditionelle mekanismer til overførsel af data ud af EØS-området, når disse anvendes i skyen. Gruppen udpeger Safe Harbor-principperne og minder kunderne om, at "dataimportørens forpligtelse til at følge Safe Harbor-principperne muligvis ikke er tilstrækkelig", når det gælder dataoverførsel til udbydere i USA. Gruppen minder også skykunderne om behovet for at sikre overholdelse af eventuelle nationale love eller forpligtelser, der måtte gælde.
Office 365 giver en omfattende aftale om beskyttelse af data og tilbyder underskrivelse af EU-modelklausulerne samt selvcertificering i henhold til USA's og EU's Safe Harbor-principper. Mens EU-modelklausulerne er lavet særligt til kunder i EU, er aftalen om beskyttelse af data en samling af de bedste fremgangsmåder til beskyttelse af personlige oplysninger fra forskellige lande, og den tilbydes til alle kunder uanset geografisk placering eller størrelse. De processer, som Office 365 benytter for at overholde EU-modelklausulerne, er ikke begrænset til kunder i EU, men er tilgængelige for alle kunder.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}