Databeskyttelsesalarm: Hessen og risikoene ved Microsoft 365!

Databeskyttelsesalarm: Hessen og risikoene ved Microsoft 365!

Hva er nytt fra Hessen? I slutten av mai 2024 publiserte den hessiske kommissæren for databeskyttelse og informasjonsfrihet (HBfDI) sin aktivitetsrapport. Den inneholder spennende innsikt og verdifulle tips til de ansvarlige for databeskyttelse som må finne veien i denne globalt nettverkstilknyttede digitale verdenen. Ikke bare utfordringene med digital parkeringsplassovervåking diskuteres, men også bruken av Microsoft 365 – et tema som opptar mange bedrifter.

Rapporten tar et kritisk blikk på gjeldende databeskyttelsesstandarder hos Microsoft 365. Ifølge Data Protection Conference (DSK) trengte selskaper en tilleggsavtale til eksisterende ordrebehandlingskontrakter med teknologigiganten. Dette må forhandles individuelt, noe som er en utfordring, spesielt for mindre bedrifter. HBfDI har allerede utviklet et vellykket konsept for databeskyttelseskompatibel bruk av Microsoft Teams. De ansvarlige må imidlertid også implementere egne slettingsrutiner for å oppfylle kravene. Informasjon om konseptet er imidlertid ikke tilgjengelig i rapporten, men HBfDI planlegger å utvikle ytterligere konsepter for andre Microsoft-produkter i 2025 for å belyse det.

MS 365 – Et tveegget sverd

Så langt har det gått bra – men bruken av Microsoft 365 er fortsatt vanskelig. Mens Microsoft har en sterk tilstedeværelse i mange selskaper, er spørsmålet om overholdelse av databeskyttelse fortsatt et heftig diskutert tema. Hvordan dr-datenschutz.de rapportert, var en konsekvensanalyse for databeskyttelse (DPIA) fra Nederland i 2018 ikke særlig optimistisk og bekreftet at Office 365 behandlet ulovlige data. DSK ser også juridiske risikoer ved bruk av Microsoft 365, spesielt med hensyn til gjennomsiktig databehandling og overføring av personopplysninger til tredjeland. Selv om Microsoft har gjort justeringer av databeskyttelsestillegget og innført den såkalte EU-datagrensen, er skepsisen fortsatt fordi ansvaret for databeskyttelseskompatibel bruk til syvende og sist ligger hos selskapene selv.

Hva betyr det for hessiske selskaper? En grundig analyse av spesifikke applikasjoner kan bidra til å unngå juridiske gråsoner. De Blogg fra SRD advokater gir nyttige tips om beste praksis for implementert bruk av Microsoft 365. Det viktigste: gjennomsiktig dokumentasjon og nøye vurdering av risikoene er alt og alt.

Praktiske utfordringer innen databeskyttelse

I tillegg til digitaliseringen av arbeidsplassen, diskuteres også andre temaer. For eksempel har HBfDI tatt for seg digital parkeringsplassovervåking. Dette dreier seg om juridiske spørsmål om automatiserte beslutninger som oppstår ved bruk av videoovervåking for å kontrollere maksimal parkeringstid. Klager fra innbyggerne viser at det juridiske rammeverket fortsatt må ses kritisk.

Et annet eksempel er bruken av en palmeveneskanner i et bloddonasjonsanlegg i Hessen. En klage fra en giver førte til intervensjon fra HBfDI, som slo fast at samtykke til behandling av biometriske data ikke ble gitt frivillig. Det ble derfor tilbudt et alternativ for å kunne identifiseres med identitetskort. Slike tiltak viser tydelig hvor sensitivt databeskyttelse må tolkes i hverdagen og at løsninger ikke kan være enkle.

Konklusjon

Samlet gir HBfDI-aktivitetsrapporten en omfattende oversikt over utfordringene og den nåværende utviklingen innen databeskyttelse i Hessen. Rapportene om digital overvåking og databeskyttelseskompatible teknologiapplikasjoner gjør det klart at veien til en helhetlig løsning fortsatt er lang. Bedrifter bør være bevisst sitt ansvar og ta databeskyttelsen på alvor. Hjelp og råd er tilgjengelig, men du trenger ditt eget sinn og en smart strategi.

Les mer om HBfDIs aktivitetsrapport her.