Förbered dig för den nya uppgiftsskyddsförordningen med Microsoft Cloud

Microsoft har omfattande expertis vad gäller uppgiftsskydd och är en förkämpe för sekretess och efterlevnad av komplexa bestämmelser. Microsoft följer noga vissa sekretessprinciper och ger alla sina kunder tillgång till EU:s standardklausuler. Vi ser den allmänna dataskyddsförordningen (GDPR) som ett viktigt steg mot att tydliggöra och hävda människors rätt till skydd av privatlivet.

Datumet för GDPR:s ikraftträdande närmar sig, vilket innebär att din organisation kanske snart måste kunna visa att den har vidtagit lämpliga mått och steg för att skydda sina kunders personuppgifter i enlighet med föreskrivna kontroller och informationskrav.

Att införa lämpliga säkerhetskontroller är ett viktigt steg i syfte att kunna påvisa ansvarstagande. Lika viktigt är det att ha rätt rutiner på plats (att kunna besvara en begäran från en registrerad person och skicka meddelanden om personuppgiftsbrott) så att du uppfyller kraven i GDPR och vinner kundernas förtroende.

Idag presenterar vi flera nya resurser och funktioner som hjälper dig att klara kraven i GDPR med Microsoft Cloud. I uppdateringarna ingår följande:

• Allmänt tillgänglig förhandsversion av nya sekretessresurser i hela Microsoft Cloud.
• Nya funktioner som hjälper dig att hantera DSR:er enligt GDPR i alla Microsoft Cloud-tjänster.
• Nya funktioner för granskningsförberedd Privileged Access Management i Office 365.
• En enskild Office 365-klientorganisation kan omfatta flera Office 365-datacenterområden.

Läs vidare om du vill ha mer information och veta mer om flera andra uppdateringar.

Använd dig av Service Trust Portal för att säkert uppfylla kraven i GDPR

I vår strävan att efterleva GDPR presenterar vi idag en allmänt tillgänglig förhandsversion av GDPR-relaterade verktyg och resurser, till exempel för begäranden från registrerade och meddelanden om personuppgiftsbrott för Office 365, Dynamics 365, Azure, Windows, Intune och professionella tjänster på Service Trust Portal.

GDPR-resurserna omfattar bland annat dokumentation om anmälningar av personuppgiftsbrott, där du kan läsa om när och hur Microsoft informerar dig och andra om personuppgiftsöverträdelser, vilken information Microsoft ger och vilka verktyg du kan använda för att se till att rätt personer i organisationen får den information de behöver.

Vi har samlat alla våra resurser för begäranden från registrerade på en särskild sida. Där hittar du verktyg som du kan använda dig av i Säkerhets- och efterlevnadscenter för Office 365 och Azure Admin Center samt dokument med stegvisa anvisningar om hur du hittar, exporterar och raderar uppgifter från en Microsoft Cloud-tjänst.

Mer information finns i Service Trust Portal sekretessresurser om du vill veta mer.

Besvara begäranden från registrerade i alla Microsoft Cloud-tjänster

Som stöd för begäranden från registrerade i alla Microsoft Cloud-tjänster lägger vi till flera nya funktioner, till exempel en flik för datasekretess i Office 365, en portal för begäranden från registrerade i Azure och nya sökfunktioner som gäller begäranden från registrerade i Dynamics 365.

• Flik för datasekretess i Office 365 Vi har lagt till en flik för datasekretess (förhandsversion) i Säkerhets- och efterlevnadscenter för Office 365 där du på ett effektivt och ändamålsenligt sätt kan hantera begäranden från registrerade som rör Office 365. Under fliken för datasekretess hittar du ett avsnitt som rör GDPR. Där finns bland annat dokumentation och resurser som kan vara till hjälp i arbetet med att uppfylla kraven i GDPR samt en flik som enbart rör begäranden från registrerade avseende personuppgifter.

Den nya DSR-upplevelsen är utformad att ge dig de verktyg du behöver för att skapa en begäran från registrerad person, söka efter och finjustera relevanta uppgifter på olika platser i Office 365 – till exempel i Exchange, SharePoint, OneDrive, Grupper och nu Microsoft Teams – och sedan exportera uppgifterna.

Ett DSR-scenario i en organisation kan vara när en medarbetare ska sluta och väljer att begära att få ta del av sina uppgifter. Sådana och liknande scenarion kan hanteras med hjälp av funktionen för händelsebaserat bevarande i Avancerad datastyrning, som nu är allmänt tillgänglig för Office 365 E5-kunder.

Mer information om fliken Datasekretess i Office 365 och Händelsebaserat bevarande i Avancerad datastyrning finns i Tech Community-bloggen.

Titta gärna på Mechanics-videon om du vill se hur DSR-funktionerna i Office 365 fungerar:

 

• Portalen för begäranden från registrerade i Azure – Vi planerar att lansera en funktion för att behandla begäranden från registrerade i Azure innan den 25 maj 2018, dagen då GDPR träder i kraft. Administratörer för Azure-innehavare kommer att få ett enkelt, men kraftfullt verktyg för att snabbt behandla begäranden från registrerade enligt kraven i GDPR. Med hjälp av portalen för begäranden från registrerade i Azure kan innehavaradministratörerna identifiera information som är kopplad till en användare och rätta, göra tillägg i, ta bort eller exportera användarens uppgifter. Administratörerna kan även identifiera information som är kopplad till en registrerad person och kommer att kunna behandla begäranden från registrerade mot systemgenerade loggar (uppgifter som Microsoft genererar för att tillhandahålla en viss tjänst).

Portal i Azure för att behandla begäranden från registrerade.

Läs gärna Azure-bloggen om du vill veta mer.

• Sökfunktioner i Dynamics 365 för begäranden från registrerade Vi erbjuder två nya sökfunktioner i Dynamics 365 så att våra kunder ska kunna besvara begäranden från registrerade: Relevanssökning och personsökningsrapporten. Med Relevanssökning, som drivs av Azure Search, får du ett snabbt och enkelt sätt att hitta vad du letar efter. Med personsökningsrapporten får du en utvald uppsättning utökningsbara enheter, som Microsoft tagit fram, för att identifiera personuppgifter som används för att definiera en person och de roller han eller hon kan tilldelas.

Hantera uppgiftsöverträdelser enligt de nya bestämmelserna i GDPR

GDPR innebär att organisationerna måste uppfylla striktare krav än tidigare om det sker en uppgiftsöverträdelse. Till exempel måste både tillsynsmyndigheter och de som berörs av överträdelsen informeras inom 72 timmar efter att överträdelsen har upptäckts. Microsoft 365 har en robust uppsättning funktioner som ger visst skydd mot överträdelser och som kan användas för att upptäcka och agera om överträdelser begåtts. Office 365 Advanced Threat Protection (ATP) skyddar till exempel en organisations Office 365-ekosystem genom att förhindra att skadliga e-postmeddelanden eller verksamhetskritiska filer äventyrar ett användarkonto. I Windows Defender ATP ligger fokus på att skydda mot skadliga webbaserade filer och att hindra skadlig enhetsprogramvara från att äventyra användarkonton.

ATP – säkra bifogade filer blockerar e-postmeddelanden med skadliga bifogade filer.

Om Microsoft identifierar en personuppgiftsöverträdelse, såsom sådana definieras i GDPR, kommer vi att meddela din innehavaradministratör. Vi rekommenderar dessutom att du även utser ett alias för en kontaktperson avseende sekretessfrågor i Azure Active Directory som också ska informeras.

Samla in, behandla och granska medgivanden från användare med Azure Active Directory

GDPR innebär att företagen numera behöver dels ett sätt att behandla medgivanden från användare, dels hålla sig med en rapportering som är klar för granskning. De gällande användningsvillkoren för Azure Active Directory garanterar att organisationer enkelt kan samla in, behandla och granska medgivanden från användare. Du kan kräva att en användare ska läsa och godkänna din organisations användningsvillkor för att få tillgång till en applikation. ​Villkoren kan vara ett valfritt dokument som organisationen anser relevant för sina affärs- eller rättspolitiska ställningstaganden.

Exempel på Azure Active Directory-användningsvillkor med flera språk.

Mer information finns i vår dokumentation om Azure Active Directory-användningsvillkor.

Använda granskningsklara kontroller för privilegierad administratörsåtkomst

När organisationer försöker minimera risken för personuppgiftsöverträdelser till följd av olika hot mot privilegierade konton inser de att olika tillsynsmyndigheter även kräver att de ska kunna uppvisa dokumentation avseende privilegierad åtkomst och redogöra för hur åtkomsten till en kunds personuppgifter ser ut. I syfte att hjälpa organisationer att skydda sina uppgifter och uppfylla kraven på efterlevnad introducerar vi nu nya funktioner för att hantera privilegierad åtkomst i Microsoft 365. Med de nya funktionerna får du granskningsklara, tidsbundna åtkomstkontroller som kan begränsa vilka uppgifter användarna får tillgång till.

Med privilegierad åtkomsthantering i Office 365 kan du skydda dina uppgifter bättre genom att spåra eller framtvinga ett arbetsflöde för godkännande som omfattar dina högrisksaktiviteter i Office 365. Administratörer med breda administratörsprivilegier kan till exempel utföra uppgifter som ger oinskränkt tillgång till organisationsdata, till exempel till journalregler som kan användas för att skicka e-postmeddelanden till en extern postlåda och på så sätt obemärkt läcka ut känsliga uppgifter. Med privilegierad åtkomsthantering i Office 365 kan du tillämpa principer som kräver att de som utför den här typen av högriskuppgifter först måste begära åtkomst. Begärandena om åtkomst kan godkännas automatiskt eller manuellt, och alla åtgärder loggas och kan kontrolleras. Om du vill veta mer kan du titta på videon nedan:

Vi är glada att kunna distribuera en allmänt tillgänglig förhandsversion av Privileged Access Management i Office 365. Kom igång genom att gå till sidan Förhandsversioner av Office (ange koden PAM044) och läs sedan den detaljerade Tech Community-bloggen.

Krav rörande datahemvist

Myndigheter, olika tillsynsmyndigheter och företag beslutar i allt högre grad om särskilda riktlinjer för datahemvist i syfte att hantera frågor om skydd av privatlivet. Dessa riktlinjer begränsar det fria flödet av information över gränser och innebär att en organisations uppgifter måste lagras inom vissa geografiska områden. GDPR kräver inte datahemvist, men många av våra kunder berättar att de behöver kunna lagra sina uppgifter på vissa geografiska platser för att uppfylla regionala, branschspecifika eller organisatoriska krav på datahemvist.

Med Multi-Geo Capabilities kan enskilda Office 365-innehavare täcka in flera Office 365-datacenterområden och kunderna får möjlighet att lagra sina Office 365-data inom områden som valts utifrån de anställda. Multi-Geo har lanserats för Exchange Online och OneDrive för företag. Läs ”Hämta lokala kontroller för globala data med Multi-Geo Capabilities i Office 365” om du vill ha mer information.

Ta första steget mot GDPR redan idag med Microsoft Cloud

Oavsett var du befinner dig i ditt arbete med att rusta dig för GDPR hjälper vi dig gärna och har flera resurser tillgängliga så att du kan komma igång genast:

• Hämta vårt kostnadsfria white paper oche-bok.
• Gör vår kostnadsfria GDPR-utvärdering online.

Läs mer om hur Microsoft kan hjälpa dig förbereda för GDPR.

– Alym Rayani, chef för Microsoft 365