Hvad er de vigtigste begreber i GDPR at kende til for en CIO? Og hvordan håndterer Microsoft, at aftaler, sikkerhedskontroller, processer mm. lever op til GDPRs skærpede krav for data-ansvar og databehandling? Sessionen giver overblik over spørgsmål og svar, som Microsoft har behandlet under de sidste mange års arbejde med at hjælpe vores kunder til en cloudbaseret digital transformation. Jørgen Hallengren, Cloud Compliance Strategist, Microsoft

1. Y

2. Agenda
• EU Databeskyttelsesforordningen (General Data
Protection Regulation eller GDPR)
• De vigtigste begreber
• Hvordan arbejder Microsoft med og på at leve op
til GDPR kravene som Databehandler
• Gode råd til den Dataansvarlige

3. Forordningens vigtigste begreber
aktører, formål, midler & principper

4. Nøgleaktører ved behandlingen af persondata*
Virksomhedens ansatte og
kunder
Virksomheden Virksomheden og/eller
Outsourcing/Cloud
leverandør
*Dette er uforandret ifht idag!

5. Formål og midler i forordningen
Harmonisering af databehandling i EU
Bedre beskyttelse af Datasubjektet (Den registrerede)
Øget accountability,
dokumentationskrav og
bøder for den
Dataansvarlige
Databeskyttelsesrådgiver
hos Dataansvarlig
(Data Protection Officer
(DPO))
Notifikationspligt for
Databehandler og
Dataansvarlig
Øget dokumentationskrav
for Databehandler

6. Principper for dimensioner af databehandling
& krav om
• Data Privacy by
design/default
* NATO hemmeligheder og Nationalt DækkendeDatasæt som må anses for væsentligefor en evt. besættelsesmagts mulighedfor administrative kontrolmed Danmark.

7. Tidene frem imod 25. maj 2018
proces & vejledninger

8. GDPR …. den danske proces frem imod 25. maj, 2018
Den Nationale Fællesoffentlige Digitaliseringsstrategi
- Udnytte Cloud & andre
moderne Teknologier
- Fjerne uønskede juridiske blokeringer,
samtidigt med at højest mulige
niveau af sikkerhed og dermed tillid
kan fastholdes
- Fokus på fuld værdi for både borgere,
virksomheder og offentlig sektor
gennem smart digitalisering
Justitsministeriet leder en revision af persondatalovgivningen
- Inkl. Finans- & E&V ministerier
- DI, DE & andre Datasikkerheds-
eksperter afgiver input/råd
- Første vejledninger forventes Q1-
2017 på områder som samtykke,
DPO mm.
- Fokus generelt på modernisering,
praktisk implementering & opfyldelse
af hensigter bag GDPR
Implementering af standarder
- ISO27001 overalt i
statsadministrationen
- Overvejer yderligere
brug af standarder

9. Vejledninger vi ved kommer
Data Protection Officer
•Hvilke virksomheder
•Hvordan implementeres rollen
•Eksempler både på DPO og ingen DPO
Data Privacy Impact Assessment
Data Portability
Data Protection Officer
•Hvordan, for hvilke og hvormange
Samtykke
•Hvordan – “så det ikke bliver en
gentagelse af cookie lovgivningen”
72H Notifikation
•Hvordan håndteres det i DK
•Hvilken myndighed skal have notifikation
og hvordan (pt. 4 forskellige)

10. Microsoft som Databehandler
Microsoft Cloud aftalegrundlag

11. Databehandleraftale med EU modelstandardkontrakt
- Databehandleraftale indlejret i Microsoft Online Services Terms siden 1. juli’14
- Fastlåst betingelser til udløb af aftale
- Tekniske, processuelle og organisationsmæssige forpligtelser til at sikre
databehandling i overensstemmelse med altid gældende lovgivning
- Compliance bund niveau øges konstant, nye tjenester bringes op i compliance
niveau og nye certificeringer tilføjes (senest ISO 27017 og 27018)
- Ingen Compliance mæssig degradering over tid.

12. Proces for kontraktuelle ændringer
• MS Online Services Terms opdateres hver måned med bla. nye produkter.
• Indeholder tabel med de Online Services, som er omfattet af
Databehandleraftale.
MONTHLY
UPDATES
• Compliance certificeringer af nye Online Services.
• Eksempel: XAMARIN som blev tilføjet i april’16 og nu er på vej igennem
Microsoft Cloud Compliance Roadmap for at blive tilføjet
Databehandleraftale.
COMPLIANCE
ROADMAP
• EU Databeskyttelsesforordningen, kræver fx. ændring i Incident Response
og Notifikations beskrivelse og proces
• Ændring implementeres inden 25. maj, 2018 og vil også gælde for alle
eksisterende Databehandleraftaler.
LOVGIVNING

13. Microsoft som Databehandler
Vores arbejde med GDPR compliance frem imod 25. maj, 2018

14. Igangværende Microsoft processer - Databehandler
Next Generation
Privacy Engineering
Documentation,
Incident
Response
Træning

15. Microsoft som Dataansvarlig
Hvordan vores GDPR compliance har effekt for vore kunder

16. Next Generation
Privacy Engineering
Privacy Roles,
Incident
Response,
Documentation,
Consent & PIA
Privacy
Compliance as a
Service
Igangværende Microsoft processer - Dataansvarlig

17. Praktiske værktøjer for en Dataansvarlig
Hvordan Microsoft Cloud allerede idag kan assistere med compliance

18. • Policy Enforcement (PII, External sharing, Retention etc.)
• Exchange Online SafeAttachments & SafeLinks
• Information Rights Management - Kryptering
DATA LOSS
PREVENTION
• Office 365 (E5) Advanced Security Management
• Operation Management Suite
• Advance Threat Analytics
ADVANCE
MONITORING &
ANALYSIS
Eksempler:
• VERITAS Data Genomics & Data Classification Map
• NNIT GDPR PRIME
• DUBEX
PARTNER
VALUE ADD
TOOLS

19. Sæt generelle og
specifikke
sikkerhedspolitikke
r med tilhørende
notifikationer om
‘mistænkelig’
adfærd.

20. Monitorering af
alle ressourcer –
og hurtig
identification &
mitigering af
sårbarheder

21. Offentlige
Vejledninger
3rd party
Sikkerheds &
Compliance
Løsninger
MICROSOFT
Data
Ansvarlig
Compliance
som
Dataansvarlig
Og som
Databehandler
http://aka.ms/sharedresponsibility
Compliance
via vendor
Eget ansvar
for
compliance
Privacy as a
Service
Sikkerheds
funktioner

22. Gode råd til den Dataansvarlige
1. Læs Datatilsynets ”12 spørgsmål som
dataansvarlige allerede nu med fordel
kan forholde sig til”
2. Overvej hvor Cloud kan øge jeres
Compliance og mindske behov for
egenproduceret dokumentation
3. Overvej brug af yderligere værktøjer der
øger jeres databeskyttelse - både
organisatorisk og IT sikkerhedsmæssigt
http://aka.ms/datatilsyngdpr

23. Opsummering
Husk at …
• dataansvar ikke kan
outsources
• compliance baren kan fx.
hæves ved at udnytte
Cloud
• Microsoft Cloud aftaler er
GDPR compliant dag 1
• Privacy as a Service
funktioner er på vej.
Gode råd
• Brug datatilsynets gode
spørgsmål allerede nu
– se link i slidedeck!
• Specifikt vejledning er på
vej fra myndigheder H1-17
• Husk formålene med
GDPR – det er positivt.

24. Microsoft Cloud
One-stop-shop:
http://aka.ms/danmark-skyen
Microsoft Trust Centers
http://aka.ms/mstrustcenter
Microsoft Standards Compliance:
https://aka.ms/mscloudcompliance &
https://aka.ms/azurecompliancecenter
Specifik Privacy Standard: https://aka.ms/ms27018
Data Governance:
http://bit.ly/MSDataGovernance
http://aka.ms/sharedresponsibility
O365 DLP: http://aka.ms/o365dlp
EU Privacy Shield: https://aka.ms/euprivacyshield
3.part:
Datatilsynets gode spørgsmål
http://aka.ms/datatilsyngdpr
Gorisen Federspiel om GDPR:
http://aka.ms/gfgdpr
Webinars:
Cloud Jura Overblik
http://bit.ly/CloudJuraOverblik
MS Cloud Sikkerhedsoverblik
http://bit.ly/CloudSikkerhedOverblik
Online Academy
http://bit.ly/w10_sikkerhed

25. Q&A

26. Tak!
Jørgen Hallengren
Mobil#: +45 51 57 82 05
eMail: Joergen.hallengren@microsoft.com
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,
it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.