Sådan behandler SDU dine persondata i Microsoft

Microsoft Azure

Microsoft Azure-platformen understøtter forskellige cloud-service modeller. Noget software vedligeholdes og hostes af Microsoft, men der er også mulighed for at installere software, som hostes på Azure-platformen, hvor SDU selv tager sig af vedligeholdelsen, fx SDU's integrationer til HCM og ERP.

Dynamics 365

Dynamics er primært et CRM-system (Customer Relationship Management) og er baseret på Azures infrastruktur.

Microsofts sikkerhedsprodukt

SDU bruger også Microsofts sikkerhedsprodukter, inklusive Defender-suiten og Microsofts logopsamlingsløsning, Sentinel. Defender-suiten består af forskellige software, der beskytter SDU mod uønsket adfærd, som fx hackerangreb.

Tjenesterne beskytter SDU's mobile enheder (laptop, telefoner og tablets), Microsoft-software som Word og Excel, netværkstrafik samt tredjeparts-software som ItsLearning og SurveyXact. Dette gør det muligt at følge en brugers aktiviteter på tværs af systemer, hvilket er nødvendigt for at afsløre hackere, der har overtaget en brugerkonto.

Sikkerhedslogs fra de forskellige Defender-produkter sendes til SDU's centrale logopsamlingsløsning, Sentinel. Her kan man opsætte alarmer for specifikke handlinger, der øger risikoen for datakompromittering. Hver bruger har en risikoscore, der ændrer sig baseret på deres adfærd i systemet.

Defender-produkterne og Sentinel bruger maskinlæring til at forstå brugerens normale adfærd og kan reagere på afvigelser, der kan indikere kompromittering af kontoen, fx malware-afvikling, ændringer i adfærd, unormale arbejdstider, overførsler af filer til eksterne drev (fx USB-sticks) eller tredjeparts-opbevaringsløsninger som Dropbox, massiv filaktivitet (fx print og sletning af mange filer), download af ophavsretligt beskyttet materiale eller logins fra to forskellige steder med kort tidsinterval, kendt som "impossible travel". Dette er alle tegn, der kan indikere, at kontoen kan være kompromitteret eller misbrugt.

Daglig opfølgning på sikkerhedslogs

SDU følger dagligt op på de registreringer, der bliver lavet i systemernes sikkerhedslogs. Det er både vigtigt for sikkerheden og et krav, som vi bliver kontrolleret på. SDU modtager med jævne mellemrum tilsyn fra Rigsrevisionen og Uddannelses- og Forskningsstyrelsen.

Sikkerhedsforanstaltninger for logdata

SDU har en række sikkerhedsforanstaltninger, som skal sikre, at logs ikke bliver misbrugt, og at uvedkommende ikke har adgang til fortrolige oplysninger. SDU har en politik om, at medarbejdere, der har adgang til at se på centrale personhenførbare logoplysninger årligt, får godkendt sin adgang til dette af universitetsdirektøren. Der er tale om få (aktuelt 3) betroede medarbejdere i SDU IT’s SecOps (Security Operations), der har adgang til at se på logoplysninger i Sentinel. Derudover er der 5 såkaldte ”Global admin”, som har teknisk adgang, men som ikke kigger på logs i Sentinel, og hvor SecOps får alarmer på det, hvis de gør.

SecOps reagerer ved brugers adfærdsændring

SDU har mere end 50.000 aktive brugerkonti, så medarbejderne i SecOps sidder ikke live og overvåger enkelte ansattes brug af systemer, men de reagerer på alarmer jf. tidligere beskrivelse, hvorefter de undersøger, om der kan være tale om suspekte handlinger. Det betyder, at disse medarbejdere i princippet har adgang til at se, hvilke systemer og websites en bruger tilgår. I nogle situationer, vil de også have adgang til at se uddrag af indhold fra mails eller dokumenter, fx hvis en mail eller et dokument er sat i karantæne på grund af mistanke om virus.

Medarbejderne i SecOps vil kun have en anledning til at kigge på bestemte brugere, hvis der udløses en alarm eller brugerens risikoscore er høj. Brugerkonti er pseudonymiseret, hvor det er muligt, og medarbejderen skal her aktivere deres privilegerede adgang, hvis de skal have adgang til at se identiteten på brugeren.

Systemet logger også disse betroede medarbejders handlinger, og der er etableret funktionsadskillelse, så medarbejderne i SecOps ikke har adgang til at ændre eller slette disse logs. Den digitale organisations complianceenhed fører stikprøvekontroller på de betroede medarbejderes adgang til logoplysninger i Sentinel. 

Formål med behandling af sikkerhedslogs

SDU’s formål med at behandle disse sikkerhedslogs er at sikre universitetet mod angreb og misbrug. Sikkerhedslogs vil aldrig blive brugt til kontrol af ansattes produktivitet. Retningslinjer for brug af it for ansatte giver eksempler på acceptabel privat brug af SDU’s systemer, men det anbefales generelt bl.a. i publikationen ”Er jeres forskning i fare?” udgivet af Uddannelses- og Forskningsministeriet, at man ikke blander privat og arbejdsmæssig brug af it-systemer og udstyr.

Privat/Administreret udstyr

Udgangspunktet er, at hvis du benytter udstyr, der er indkøbt og administreret af SDU og dermed konfigureret efter universitetets sikkerhedsstandard, vil du ikke opleve at møde så mange sikringsforanstaltninger, som de brugere, der har behov for at benytte privat udstyr fx eksterne lektorer.

Som udgangspunkt bør SDU’s ressourcer kun tilgås fra godkendt udstyr, jf. retningslinjer for brug af it. Der kan dog være nogle tilfælde, hvor det vil være nødvendigt for nogle brugere at benytte privat udstyr, fx hvis du er studerende eller ekstern lektor.

Du bør være særligt opmærksom på, hvis du tilgår SDU ressourcer fra privat udstyr, fx en ekstern lektor, der tilgår et link til en eksamensliste tilsendt på mail, så vil systemet i nogle tilfælde indsamle logs på de efterfølgende browsersessioner (fx søgninger på nettet), hvis ikke du sørger for at lukke browseren, efter at have tilgået en SDU-ressource. Det gælder også selvom du sidder på privat netværk på din private pc, da det er den benyttede browsers sikkerhedsindstilling, der tillader det. Det er samme problematik, som hvis du åbner et link inde fra Facebook. Her giver du i nogle tilfælde også adgang til, at Facebook kan følge med i, hvad du efterfølgende tilgår i samme browsersession.

SDU-mail: Krav om opdateret telefon for mailadgang

SDU har udrullet sikkerhedstiltag, der medfører, at hvis du vil læse SDU-mail på din private telefon, så er der krav om, at telefonen er forholdsvis opdateret, og at SDU-data holdes i apps, der kan sikres med politikker fx Outlook- og Word-App samt Edge-browseren. 

Det betyder, at det ikke længere er muligt at kopiere SDU-data ud fra disse apps på en privat telefon. SDU har ikke adgang til at tilgå private dokumenter, du også måtte læse i din Word-app, eller indhold fra en privat mailkonto, du evt. også har koblet til Outlook-app’en.

SDU kan heller ikke se hvilke websites du tilgår fra Edge-browseren på din private telefon, medmindre du tilgår et blokeret website, hvorved der vil forefindes en log over hjemmesideadressen (URL).

Såfremt du benytter en privat enhed på SDU’s netværk skal du være opmærksom på, at SDU jf. krav fra myndighederne logger netværkstrafik, men medarbejderne i SecOps har ikke direkte adgang til at se, hvilke websites konkrete brugere tilgår fra en privat enhed. Det vil kræve en nærmere samkøring af logs, som kan udføres, hvis vi bliver bedt om det fx af politiet. SecOps kan se logs af hjemmesideadressen (URL), hvis en bruger forsøger at tilgå et blokeret website. SDU blokerer websites på baggrund af anbefalinger fra Microsoft og andre sikkerhedsfirmaer samt på anmodning fra danske myndigheder.

Indholdsdata

Det data, du som medarbejder selv genererer og gemmer kaldes indholdsdata. Data, du selv indtaster, kan indeholde egne eller andres personoplysninger. Det kan være et Word-dokument med referat af din MUS, en mail med din signatur eller en kalenderinvitation, hvor der står dit navn i titlen.

Metadata

Når man benytter et Microsoft-program, bliver der dannet noget data, der fortæller noget om, hvordan man bruger programmet, fx sprogindstillinger og om programmet fx fejler ved brug af særlige funktioner eller indlæsning af en fil. Det kaldes servicegenereret data eller metadata. Microsoft har brug for at kunne behandle disse metadata for at kunne levere servicen til os.

Normalt vil metadata være aggregerede data, og dermed ikke direkte personhenførbare, men i nogle tilfælde kan metadata henføres til en bestemt bruger. Det vil typisk være metadata, der er relateret til sikkerhed. Idet SDU benytter Defender-suiten og Sentinel vil disse løsninger også indeholde personhenførbare oplysninger om brugeres adfærd i andre systemer end Microsoft-software fx 3. parts løsninger som ItsLearning og trafik på SDU’s netværk.

Behandling af følsomme data i Microsoft-tjenester

SDU anvender Microsofts services i hele organisationen og anvender forskellige dele af Microsofts programsuite til både forskning, undervisning, kommunikation og administration. SDU behandler personoplysninger som led i vores opgavevaretagelse som universitet. Idet der er tale om alle de oplysninger, som du og andre kan finde på at skrive i fx et Word-dokument eller i en mail, er der både tale om behandling af almindelige, fortrolige og følsomme personoplysninger.

Opbevaring af ansattes oplysninger

Oplysninger om ansatte opbevares primært i SDU’s journaliseringssystem og SDU’s personalesystem HCM, men mange HR-dokumenter oprettes i Word, hvorfor der vil være behandling af ansattes personoplysninger i indholdsdata, selvom dokumenterne som udgangspunkt ikke opbevares i Microsoft.

For at få adgang til alle SDU’s it-systemer, skal man oprettes i det centrale brugerstyringssystem med en række stamoplysninger, der stammer fra HCM og CRM som navn, alder, køn, kontaktoplysninger, fødselsdato, stillingsbetegnelse, arbejdssted, cpr-nr. og omkostningssted. Derudover får man et brugernavn og e-mail, og der angives systemrettigheder og evt. fratrædelsesdato.

Brugerdata behandles pseudonymiseret

Derudover behandles pseudonymiserede oplysninger om din brug af systemet, jf. afsnittet om profilering i Microsofts sikkerhedsprodukter. Dvs. oplysninger om, hvornår der logges på og af systemer, hvorfra (by) der logges på, fra hvilken enhed (fx PC) systemer tilgås, hvilke programmer der tilgås, herunder log af websites (kun hvis du er på SDU’s netværk), trafik til og fra enheden fx upload og download af filer (metadata).

Det er vigtigt at pointere, at oplysningerne ikke bruges til at kontrollere arbejdsopgaver eller arbejdstid. SDU abonnerer ikke på Microsoft Viva Engage premium, der kan lave ledelsesrapporter over produktivitet og samarbejde. Oplysningerne behandles udelukkende mhp. at beskytte universitets data.

Behandlingen af dine personoplysninger er normalt baseret på GDPR artikel 6, stk. 1, litra c, der benyttes, når en anden lov fx universitetsloven siger, at behandlingen er nødvendig eller artikel 6, stk. 1, litra e, der kan benyttes, når der er tale om en behandling, der udføres af eller for en offentlig myndighed.

Cpr-nr. behandles med hjemmel i databeskyttelsesloven § 11.

Behandling af personoplysninger som led i ansættelsesforholdet behandles med hjemmel i databeskyttelsesloven § 12 og GDPR art. 6, stk. 1, litra b, når det følger af en kontrakt.

Skulle indholdsoplysninger indeholde følsomme personoplysninger som fagforeningsforhold eller helbredsoplysninger fx fra et referat fra en sygesamtale, vil behandlingen også ske med hjemmel i databeskyttelsesloven § 7, stk. 2 i relation til GDPR art. 9, stk. 2, litra b og databeskyttelsesloven § 7, stk. 4 i relation til GDPR art. 9, stk. 2, litra g.

Microsoft som databehandler for SDU

SDU benytter Microsoft som databehandler og overlader i den forbindelse indholdsdata og nogle servicegenererede data, herunder logdata fra Defender-produkterne til Microsoft. Microsoft må som databehandler kun behandle disse oplysninger efter aftale med SDU.

Indholdsdata opbevares på SDU’s egen lagerplads hos Microsoft på servere i Europa. Microsoft-ansatte har som udgangspunkt ikke adgang til SDU’s data, medmindre SDU giver adgang via Customer Lockbox, som SDU har tilkøbt.

SDU har aktiveret ”optional connected experiences”, der er en række cloud-baserede tjenester fx ”indsæt billeder i Word og PowerPoint fra online ressourcer”, som Microsoft tilbyder via direkte adgang fra din SDU-brugerprofil, men hvor SDU’s licens ikke dækker brugen, da Microsoft anser disse services som en aftale direkte mellem slutbrugeren og Microsoft. Derfor skal du være klar over, at man accepterer Microsofts generelle bestemmelser og privatlivspolitik, når man bruger produkterne. Det er dog SDU’s opfattelse, at den danske lovgivning begrænser ansattes ansvar, når systemet anvendes som led i arbejdet for SDU, også selvom Microsofts licensstruktur er sammensat på denne måde.

Det er muligt at slå funktionen fra på Windows' maskiner ved at fjerne fluebenet fra ”Aktivér valgfri forbundne oplevelser” under ”Filer”, ”Konto” og ”Administrer indstillinger”. På mac gør man det under menuen ”Word”, ”Indstillinger” og ”Anonymitet”. SDU har ikke deaktiveret funktionen som default, da det vil afskære alle brugere fra at benytte funktionerne.

Læs mere om ”optional connected experiences” her.

Microsoft arbejder på at kunne tilbyde et fuldt driftssetup fra Europa, der betyder, at alt drift og support i fremtiden vil kunne foregå fra Europa.

SDU får som kunde i Europa gradvist flyttet alle services over på denne ordning. Enkelte services vil ikke kunne tilbydes med et rent europæisk driftssetup bl.a. bearbejdning af sikkerhedssignaler, der indeholder sikkerhedslogs fra Defender-produkterne. Her vil Microsoft stadig behandle data primært i USA.

Microsoft er certificeret under det nye Data Privacy Framework, hvorfor overførelsen laves efter GDPR art. 45, fordi EU Kommissionen har fastslået, at det er tilstrækkeligt sikkert at overføre oplysninger efter aftalen. I de tilfælde, hvor Microsoft stadig benytter underdatabehandlere (underleverandører) i usikre tredjelande, sker overførelsen mellem Microsoft Irland og underleverandøren efter GDPR art. 46, stk. 2, litra c. Det er vigtigt at pointere, at der aldrig sker overførelse eller videregivelse af indholdsdata.

Se Microsofts opdaterede liste af underdatabehandlere her.

Nogle metadata videregiver vi til Microsoft. Videregivelse betyder i denne sammenhæng, at Microsoft får data, de må benytte til deres egne selvstændige formål. Disse formål er:

• Microsofts egen fakturerings- og kontoadministration
• Aflønning af Microsofts medarbejdere og samarbejdspartnere (fx beregning af medarbejderprovision og partnerincitamenter)
• Microsofts intern rapportering og forretningsmodellering (fx udarbejdelse af prognoser, omsætning, kapacitetsplanlægning og produktstrategi) og
• Microsofts økonomisk rapportering.

SDU har implementeret og er i gang med at implementere en række foranstaltninger, der nedsætter risikoen for, at metadata indeholder fortrolige og følsomme personoplysninger. SDU videregiver disse servicegenererede metadata til Microsoft med hjemmel i GDPR art. 6, stk. 1, litra e, som led i universitetets virke som universitet (myndighedsudøvelse).

Undgå følsomme data i emnefelt og titel

Bemærk, at ”emne” i mail og ”titel” på kalenderinvitationer indgår i metadata, som vi videregiver til Microsoft. Derfor må disse fremadrettet ikke indeholde følsomme personoplysninger fx helbredsoplysninger eller fortrolige oplysninger som cpr-nr. eller andre fortrolige oplysninger fx navne på personer, der skal til tjenestlig samtale. Dette gælder også selvom man ”privat markerer” sin kalenderinvitation, da der i særlige tilfælde kan være situationer, hvor andre kan benytte mailprogrammer, der ikke understøtter privatmarkeringen. Derfor bør du undlade at skrive egentlige ”private” informationer i titelfeltet.

SDU gør din konto i Microsoft utilgængelig, når du stopper på SDU. Kontoen inklusiv alle data bliver slettet efter 3 måneder, herunder data i mailbox og på OneDrive.

Teamsites og SharePoint-websteder skal overdrages til en kollega, før du stopper.

Metadata genereret om din brug af systemerne bliver slettet efter 6 måneder.

Du har som udgangspunkt følgende rettigheder.

Ret til indsigt

Du har som udgangspunkt ret til at se de personoplysninger, SDU behandler om dig. Du har desuden ret til at få en række oplysninger om, hvordan dine personoplysninger behandles, herunder hvad formålet med behandlingen er.

Ret til berigtigelse
Du har i visse situationer ret til at få urigtige/forkerte personoplysninger om dig rettet.

Ret til sletning
Du har begrænset adgang til at få slettet dine personoplysninger, da SDU bl.a. er omfattet af reglerne om journalisering.

Ret til indsigelse
Du har ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger.

Ret til begrænsning af behandling
Du har ret til at få begrænset behandlingen af dine personoplysninger, fx hvis du har søgt berigtigelse, og det endnu ikke er effektueret.

Ret til dataportabilitet

Du har i visse tilfælde ret til at modtage dine personoplysninger og til at anmode om, at personoplysningerne overføres fra én dataansvarlig til en anden.

Ret til ikke at være genstand for en automatisk afgørelse
Du har ret til ikke at være genstand for en automatisk afgørelse udelukkende baseret på automatisk behandling, herunder profilering.

Hvis du vil gøre brug af dine rettigheder, skal du henvende dig til Rektorsekretariatet.

Har du har spørgsmål omkring databeskyttelse og dine rettigheder, kan du kontakte SDU’s databeskyttelsesrådgiver, Simon Kamber.

Ønsker du at klage over SDU’s behandling af dine personoplysninger, kan du henvende dig til Datatilsynet. Inden du klager til Datatilsynet, skal du først kontakte SDU.

Har du spørgsmål til denne konkrete oplysningsskrivelse, kan du kontakte SDU IT, Governance, Risk & Compliance.

Desuden henvises der til SDU’s generelle oplysningsskrivelse, som du har fået udleveret ved ansættelsesstart.