Underretning om brud på datasikkerheden i henhold til GDPR

Få mere at vide om, hvordan Microsoft registrerer og reagerer på brud på persondatasikkerheden og giver dig besked i henhold til GDPR.

GDPR pålægger krav til dataansvarlige og databehandlere om underretning ved brud på persondatasikkerheden. Nedenfor beskrives disse bestemmelser, hvordan Microsoft opstiller forholdsregler mod brud i det hele taget, hvordan Microsoft registrerer et brud, og hvordan Microsoft reagerer ved et brud og underretter dig som databehandler.


Dokumentation vedrørende brud på datasikkerheden for Online Services

Dynamics 365

Microsoft Professional Services

Administratorværktøjer

Angiv din organisations kontaktperson i forbindelse med beskyttelse af personlige oplysninger. Lejeradministratorer kan bruge Azure Active Directory-administratorportalen til at definere organisationens kontaktperson i forbindelse med beskyttelse af personlige oplysninger i tilfælde af, at Microsoft får brug for at kommunikere med vedkommende.

Underretning om sikkerhedsbrud – Ofte stillede spørgsmål

Nedenfor er vigtige spørgsmål og svar i forbindelse med underretning om sikkerhedsbrud:
|

Persondata omfatter alle oplysninger relateret til en person, der kan bruges til at identificere personen direkte eller indirekte. Et brud på persondatasikkerheden er "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der transmitteres, opbevares eller på anden måde behandles."

I tilfælde af et brud på persondatasikkerheden, der sandsynligvis kan indebære en høj risiko for personers rettigheder og friheder (såsom diskrimination, identitetstyveri, svig, økonomisk tab eller krænkelser af deres omdømme), skal du i henhold til GDPR-kravene:
  • Underrette den relevante databeskyttelsesmyndighed inden for 72 timer efter, du er blevet opmærksom på det – f.eks. efter Microsoft har underrettet dig. Hvis du ikke underretter databeskyttelsesmyndigheden inden for denne tidsperiode, skal du forklare databeskyttelsesmyndigheden, hvorfor dette er tilfældet. Denne underretning til databeskyttelsesmyndigheden er påkrævet, selvom det indebærer en risiko for personer, der sandsynligvis ikke resulterer i en stor risiko.
  • Underrette de registrerede om bruddet uden unødig forsinkelse.
  • Dokumentere bruddet, herunder udarbejde en beskrivelse af omstændighederne ved bruddet – såsom antallet af berørte personer, antallet af berørte registreringer, konsekvenserne af bruddet, og hvilke afhjælpende foranstaltninger din organisation planlægger at træffe eller har truffet.

Når vi er blevet bekendte med et brud på persondatasikkerheden, er vi i henhold til GDPR-kravene forpligtede til at underrette dig uden unødig forsinkelse. Hvor Microsoft er en databehandler, afspejler vores forpligtelser både GDPR-kravene og vores verdensomspændende standardkontraktbestemmelser. Vi mener, at alle bekræftede brud på persondatasikkerheden er omfattet af bestemmelserne – der er ingen skadesrisikotærskel. Vi underretter vores kunder om, hvorvidt bruddet på datasikkerheden blev påført Microsoft direkte eller en af vores underdatabehandlere. Vi har etableret processer til hurtigt at identificere og kontakte personale ved sikkerhedsbrud, du har identificeret i din organisation. Derudover er alle underdatabehandlere kontraktligt forpligtede til at rapportere deres egne brud til Microsoft og afgive garantier vedrørende dette.

Alle vores tjenester og personale følger interne procedurer til håndtering af hændelser, der sikrer, at vi træffer de rette forebyggende foranstaltninger med henblik på, at der overhovedet sker brud på sikkerheden. Dog har Online Services etableret specifikke sikkerhedskontroller på tværs af vores platforme for at registrere brud på datasikkerheden, når de en sjælden gang sker.

For at kunne hjælpe dig i tilfælde af et brud på persondatasikkerheden har Microsoft:
  • Sikkerhedspersonale, der er uddannet i de specifikke procedurer, der skal følges.
  • Etableret politikker, procedurer og kontrolforanstaltninger til sikring af, at Microsoft fører detaljerede registre. Dette omfatter dokumentation, der registrerer hændelsens kendsgerninger, dens indvirkning og den afhjælpende foranstaltning, samt registrering og lagring af oplysninger i vores system til hændelsesadministration.

Microsoft har etableret politikker og procedurer for at kunne underrette dig med det samme. Vi opfylder kravene i forhold til underretning af databeskyttelsesmyndigheden ved at afgive en beskrivelse af den proces, som vi har brugt til at fastsætte, om der er sket et brud på persondatasikkerheden, en beskrivelse af omstændighederne ved bruddet og en beskrivelse af de foranstaltninger, vi har truffet for at afhjælpe følgerne af bruddet.