Cloudløsninger er blevet et mere og mere udbredt arbejdsværktøj til både filhåndtering og kommunikation. Denne artikel tager udgangspunkt i Microsoft Office 365, men mange cloudservices ligner efterhånden hinanden og anbefalingerne kan derfor bruges til lignende løsninger.
Filer i “skyen”
Cloudløsninger kan gøre mange rutiner og arbejdsopgaver lettere, men når filer ligger i ”skyen”, øges risikoen for deling og dermed for at uvedkommende får adgang til oplysninger de ikke er berettiget til at få adgang til. Desuden indbærer brugen af cloudløsninger ofte en overførsel til tredje land. Derfor er det blot vigtigt, at man får overblik over hvilke tekniske og organisatoriske foranstaltninger man bør gøre for at øge sikkerheden.
Vi hos Simple Solution IT anbefaler derfor at man udarbejder et overblik over retningslinjer for brugen af data på cloudløsningen i sin IT-sikkerhedspolitik – hvem har adgang til hvilke mapper og hvilke cloudløsninger I “godkender” brugen af.
Overførsel til tredjeland
Mange cloud-løsninger er i dag baseret i tredjelande, f.eks. USA. I forhold til GDPR skal man derfor være særlig varsom.
Forordningen stiller krav til at sikre et “overførselsgrundlag” når man overfører persondata til c
EU-US Privacy Shield-ordningen giver dataansvarlige dette grundlag. Med ordningen anses virksomheder i ordningen for at ligge i et såkaldt “sikkert tredjeland”, altså et land, som EU-Kommissionen har vurderet, har et tilstrækkeligt beskyttelsesniveau. Microsoft er med i Privacy Shield-ordningen. Du skal blot huske at angive at overførslen finder sted i din behandlingsfortegnelse.
Husk databehandleraftalen
Fra dét øjeblik du går med til at benytte Office 365, accepterer du automatisk betingelserne for brugen.
Microsoft er underlagt EU-Kommissionens standardkontraktbestemmelser (EU Model Clauses). Standardkontrakter vedrørende Office 365 er underlagt disse. Microsoft er således forpligtet til at underlægge sig kravene som databehandler. Du kan finde standardkontrakterne her. Hent den (‘Online Services Terms’) og gem dem i din GDPR-mappe. Se GDPR-bestemmelserne på side 46+47.
Brug af krypterede mails i Office 365
Forordningen stiller krav om at visse typer af persondata skal sendes “sikkert”, altså krypteret. For yderligere information om sikker mail, kan du læse denne artikel: https://simplesolution-it.dk/sikker-mail/ .
Når du har din mail i Office 365, så sender du som standard mails der er krypterede (altså du sender sikkert). Den vil dog kun forblive krypteret, hvis modtageren også er i Office 365.
Sender du ”ud af huset” (til nogen der ikke har Office 365), så tilbyder Office 365 også at du kan kryptere mailen – manuelt (med den rigtige licens). Når du opretter en ny mail kan du vælge om mailen skal sendes krypteret eller om du f.eks. vil forhindre at mailen bliver videresendt. Se i dette dokument hvordan du indstiller det i web-versionen.
Muligheden er dog p.t. kun tilgængelig i E3 eller E5 licens. Der er desuden en del “børnesygdomme”, der resultere i en lidt besværlig tilgang til den krypterede mail. Microsoft arbejder på problemet. Læs evt. mere om det her.
For at læse mailen skal modtageren logge på enten sin google (hvis du sender til en gmail), Office365 konto, eller anmode om at få en mail med en adgangskode. Modtageren kan så også svare krypteret på mailen. Dette vil typisk skulle bruges i situationer hvor der er behov for at sende personoplysninger, f.eks. til udarbejdelse af kontrakter eller lignende.
Administrer adgang til filerne
I Office 365 kan du begrænse brugernes adgang til filer og mapper. Det gør fildeling mere sikkert og sikrer at personoplysninger ikke havner i uretmæssige hænder.