Gå till huvudinnehåll
Microsoft 365
Prenumerera

Skydda individers sekretessrättigheter enligt GDPR med Microsofts smarta molnfunktioner

Dagens inlägg har skrivits av Alym Rayani, chef för Microsoft 365.

Den allmänna dataskyddsförordning (GDPR) som nu börjar gälla är en milstolpe när det gäller skydd för individers sekretessrättigheter. Vi lever i en tid där digital teknik har en djup inverkan på våra liv, allt från hur vi har kontakt med varandra till hur vi tolkar omvärlden. Centralt i denna digitala omvandling är möjligheten att lagra och analysera enorma mängder data och skapa djupare insikter och mer personliga kundupplevelser. Det här hjälper oss alla att uppnå mer än någonsin tidigare, men det lämnar också omfattande dataspår, till exempel personliga uppgifter och känslig affärsinformation som måste skyddas.

Microsofts vision är att hjälpa alla personer och alla organisationer över hela världen att uppnå mer. Förtroende är grunden i allt vi gör eftersom vi har insett sedan länge att människor inte kommer att använda teknik de inte litar på. Vi anser även att sekretess är en grundläggande mänsklig rättighet som måste skyddas. Som Julie Brill, sekretessansvarig hos Microsoft, noterar i sitt senaste blogginlägg: Microsoft anser att GDPR etablerar viktiga principer som är relevanta över hela världen.

Utöver vårt pågående arbete inom sekretess har vi gjort ett antal investeringar under det senaste året som stöd för GDPR och individers sekretessrättigheter. Här följer en sammanställning av hur du kan använda dessa funktioner för att hjälpa din organisation att upprätthålla GDPR-efterlevnaden.

Utvärdera och hantera efterlevnadsrisker

Att uppnå efterlevnad i organisationen kan vara en stor utmaning, och att förstå efterlevnadsriskerna är därför av högsta prioritet. Kunder har berättat för oss om sina utmaningar med företagets brist på möjligheter att definiera och implementera kontroller, och ineffektiviteten i granskningsförberedelseaktiviteter.

Efterlevnadshanteraren och Efterlevnadspoäng hjälper dig att kontinuerligt övervaka efterlevnadsstatusen. Efterlevnadshanteraren fångar upp och tillhandahåller information för varje Microsoft-kontroll, som har implementerats för att uppfylla specifika krav, bland annat information om implementering och testplaner, och hanterar svar vid behov. Den ger även rekommendationer om åtgärder som organisationen kan vidta för att förbättra dataskyddsfunktionerna och hjälpa dig att uppfylla efterlevnadskraven.

Skärmbild som visar instrumentpanelen för Efterlevnadshanteraren.

Här följer en inblick i hur Microsoft 365-kunden Abrona använder Efterlevnadshanteraren:

Skydda personliga data

Syftet med GDPR är att skydda individers personliga uppgifter. Det handlar om att garantera säkerhet, styrning och hantering av sådana data för att förhindra att de missbrukas eller hamnar i orätta händer. För att se till att din organisation har ett effektivt skydd för personliga uppgifter och känsligt innehåll som är relevant för organisationens efterlevnadsbehov, måste du implementera lösningar och processer som gör det möjligt att upptäcka, klassificera, skydda och övervaka de data som är viktigast.

Funktionerna för informationsskydd i Microsoft 365, bland annat Datastyrning i Office 365 och Azure Information Protection, ger integrerad klassificering, etikettering och skydd – vilket ger ett mer beständigt skydd för data – oavsett var de finns eller vart de skickas. En proaktiv datastyrningsstrategi för klassificering av personliga uppgifter och känslig information gör att du kan svara med precision när du behöver hitta relevanta data för att uppfylla lagliga begäranden eller krav som exempelvis en begäran från registrerad person enligt GDPR.

Skärmbild av skyddsinställningar i centret för säkerhet och efterlevnad.

Azure Information Protection-skannern hanterar hybridscenarier och lokala scenarier genom att låta dig konfigurera principer för att automatiskt upptäcka, klassificera, märka och skydda dokument i dina lokala datalager, till exempel filservrar och lokala SharePoint-servrar. Du kan distribuera skannern i din egen miljö genom att följa anvisningarna i denna tekniska guide.

Azures fullständigt hanterade databastjänster, till exempel Azure SQL Database, hjälper till att minska arbetet med att korrigera och uppdatera dataplattformen, och tillför samtidigt inbyggda smarta funktioner som hjälper till att identifiera var känsliga data är lagrade. Nya tekniker, till exempel Azure SQL dataidentifiering och klassificering, ger avancerade funktioner för identifiering, klassificering, etikettering och skydd av känsliga data på databasnivå. Skydda personliga data med tekniker som Transparent datakryptering (TDE) som erbjuder stöd för BYOK (Bring Your Own Key) med Azure Key Vault-integrering.

Nu ska vi ta en titt på hur Microsoft 365-kunden INAIL utnyttjar Azure Information Protection för att klassificera, etikettera och skydda den mest känsliga informationen:

Svara på ett tryggt sätt

Att säkerställa att det finns fungerande processer för att effektivt hantera och uppfylla vissa GDPR-krav, till exempel att svara på begäranden från registrerade eller hantera dataintrång, är en utmaning för många organisationer.

För att hjälpa dig att hitta rätt bland GDPR-resurserna i våra molntjänster introducerade vi fliken Sekretess i Service Trust Portal förra månaden. Där hittar du den information du behöver för att förbereda för egna utvärderingar av dataskyddspåverkan i Microsoft Cloud-tjänster, vägledning för hur du svarar på begäranden från registrerade och information om hur Microsoft identifierar och svarar på intrång i personliga uppgifter och hur du får aviseringar direkt från Microsoft.

Titta på den nya Mechanics-videon om du vill veta mer om GDPR-resurser i Service Trust Portal.

Funktioner som stöder begäranden från registrerade

Som stöd för begäranden från registrerade i alla Microsoft Cloud-tjänster lägger vi till flera nya funktioner, till exempel en flik för datasekretess i Office 365, en portal för begäranden från registrerade i Azure och nya sökfunktioner som gäller begäranden från registrerade i Dynamics 365.

Den nya fliken Datasekretess, GDPR-instrumentpanelen och funktionerna för begäranden från registrerade i Office 365 är nu allmänt tillgängliga för alla kommersiella kunder. De här funktionerna är utformade för att ge dig de verktyg som behövs för att effektivt hantera en begäran från en registrerad person avseende Office 365-innehåll – till exempel Exchange, SharePoint, OneDrive, Grupper och nu även Microsoft Teams.

Som Kelly Clay på GlaxoSmithKline säger: ”GDPR 2016/679 är en förordning om dataskydd och sekretess i EU-lagen som gäller alla individer inom EU. GDPR innehåller även en ny uppsättning digitala rättigheter för EU-medborgare, i en tid då det ekonomiska värdet av personliga uppgifter ökar i den digitala ekonomin. GDPR kräver att aktörer som lagrar och bearbetar stora mängder data ska hantera begäranden från registrerade, och organisationerna behöver verktyg i Office 365 för att hantera begäranden från registrerade.”

Patrick Oots på advokatbyrån Shook, Hardy & Bacon observerar sina klientorganisationer och deras steg mot GDPR. ”Vi är glada över att Microsoft investerar i Office 365. Medan våra klienter förbereder sig för GDPR ser vi en stor nytta av verktygen i datasekretessportalen för hantering av begäranden från registrerade enligt artikel 15. Allt eftersom sekretesslagen förändras påminner vi våra Office 365-klienter om det nödvändiga i att rätt implementera principer för informationsstyrning i Säkerhets- och efterlevnadscentret för att minimera riskerna.” Patrick understryker ytterligare hur en proaktiv datastyrningsstrategi kan hjälpa organisationerna att agera enligt förordningar som GDPR med precision vid behov.

Skärmbild av instrumentpanelen för GDPR i centret för säkerhet och efterlevnad.

Portalen i Azure för behandling av begäranden från registrerade är nu också allmänt tillgänglig. Med hjälp av portalen för begäranden från registrerade i Azure kan innehavaradministratörerna identifiera information som är kopplad till en användare och rätta, göra tillägg i, ta bort eller exportera användarens uppgifter. Administratörerna kan även identifiera information som är kopplad till en registrerad person och kommer att kunna behandla begäranden från registrerade mot systemgenererade loggar (uppgifter som Microsoft genererar för att tillhandahålla en viss tjänst) för Microsoft Cloud-tjänster. Andra nya erbjudanden från Azure omfattar allmän tillgänglighet för Azure Policy, Efterlevnadshanteraren för Azure GDPR och Azure Security and Compliance Blueprint för GDPR.

Mer information finns i Azure-blogginlägget om GDPR-funktioner.

Skärmbild av ”Kom igång med användarsekretess” i Azure Directory.

För att hjälpa kunderna att svara på begäranden från registrerade i Dynamics 365 har vi två sökfunktioner: Relevanssökning och personsökningsrapporten. Med Relevanssökning, som drivs av Azure Search, får du ett snabbt och enkelt sätt att hitta vad du letar efter. Med personsökningsrapporten får du en utvald uppsättning utökningsbara enheter, som Microsoft tagit fram, för att identifiera personuppgifter som används för att definiera en person och de roller han eller hon kan tilldelas.

Läs mer i Dynamics 365-blogginlägget.

Skärmbild av funktionen Relevanssökning i Dynamics 365.

Den nya hubben för Windows-sekretess samlar relaterat innehåll om Windows-sekretess på docs.microsoft.com. Här hittar du ny vägledning som hjälper beslutsfattare inom IT att förbereda för GDPR, en lista med konfigurationsinställningar för Windows 10-tjänster som används för skydd av personlig datasekretess, beskrivningar av Windows-diagnostikdata och mycket mer.

Hantera dataintrång

Införandet av GDPR innebär också striktare regler för vad som gäller när organisationer utsätts för dataintrång. Microsoft 365 har en robust uppsättning funktioner, från Office 365 Avancerat skydd (ATP) till Azure ATP, som kan hjälpa till att skydda mot och upptäcka dataintrång.

Ta första steget mot GDPR redan idag med Microsoft

Microsoft har omfattande expertis vad gäller uppgiftsskydd och är en förkämpe för sekretess och efterlevnad av komplexa bestämmelser. Vi anser att GDPR är ett viktigt steg framåt när det gäller att klargöra och möjliggöra individers sekretessrättigheter och att ge GDPR-relaterade försäkranden i våra avtalsåtaganden.

Oavsett var du befinner dig i GDPR-arbetet finns vi här för att hjälpa dig på resan mot GDPR-efterlevnad. Vi har flera tillgängliga resurser som hjälper dig att komma igång idag:

Läs mer om hur Microsoft kan hjälpa dig med GDPR.