Meddelande om dataintrång i enlighet med GDPR

Läs om hur Microsoft upptäcker och hanterar a personuppgiftsincidenter ochd hur vi meddelar dig om det i enlighet med GDPR.

GDPR ställer krav på att personuppgiftsansvariga och personuppgiftsbiträden informerar de berörda vid en eventuell personuppgiftsincident. Här nedanför får du information om dessa krav och om hur Microsoft försöker förhindra att intrång sker, hur Microsoft upptäcker ett intrång och hur Microsoft hanterar ett eventuellt intrång och meddelar dig som personuppgiftsansvarig om det.


Dokumentation om dataintrång för Online Services

Office 365

Dynamics 365

Microsoft Professional Services

Administrativa verktyg

Ange organisationens sekretesskontakt. Klientadministratörer kan använda administrationsportalen för Azure Active Directory till att ange organisationens sekretesskontakt om Microsoft skulle behöva kommunicera med denna.

Vanliga frågor om meddelanden om dataintrång

Här nedanför följer viktiga frågor och svar angående meddelanden om dataintrång:
|

Med personuppgifter avses all information relaterad till en person, vilken kan användas till att identifiera honom/henne direkt eller indirekt. En personuppgiftsincident är ”ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt yppande av eller obehörig åtkomst till personuppgifter som skickas, lagras eller behandlas på annat sätt”.

Vid en personuppgiftsincident som sannolikt kan leda till hög risk för människors friheter och rättigheter (till exempel diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadlig ryktesspridning) måste du enligt GDPR:
  • meddela tillämplig dataskyddsmyndighet inom 72 timmar från det att du uppmärksammas om intrånget – till exempel från det att Microsoft meddelar dig om det. Om du inte meddelar dataskyddsmyndigheten inom den tiden måste du förklara varför. Du måste meddela dataskyddsmyndigheten även om risken för enskilda individer troligen inte kommer att vara hög.
  • meddela de registrerade om intrånget utan onödigt dröjsmål.
  • Dokumentera intrången och inkludera en beskrivning av intrånget – till exempel hur många personer och dataposter som påverkades, konsekvenserna av intrånget och alla eventuella korrigerande åtgärder organisationen föreslår eller har vidtagit.

När vi har uppmärksammat en personuppgiftsincident måste vi enligt GDPR informera dig om det utan onödigt dröjsmål. När Microsoft har rollen som personuppgiftsbiträde återspeglar våra krav både kraven enligt GDPR och våra vanliga globala avtalskrav. Vi anser att alla bekräftade personuppgiftsincidenter omfattas och det finns inte något tröskelvärde för skaderisk. Vi meddelar våra kunder oavsett om dataintrånget drabbar Microsoft direkt eller någon av våra underbiträden. Vi har rutiner på plats för att snabbt identifiera och kontakta de personer du angett som ansvariga för säkerhetsincidenter i organisationen. Alla underbiträden är dessutom bundna enligt avtal att rapportera sina egna intrång till Microsoft, och att tillhandahålla garantier gällande sådana.

Alla våra tjänster och medarbetare följer interna incidenthanteringsrutiner för att se till att vi vidtar de försiktighetsåtgärder som gör att vi kan undvika att dataintrång sker överhuvudtaget. Online Services har emellertid dessutom inrättat särskilda säkerhetskontroller på alla våra plattformar för att upptäcka dataintrång i de sällsynta fall de faktiskt inträffar.

Som stöd vid en personuppgiftsincident har Microsoft:
  • säkerhetspersonal som har utbildats i de särskilda rutiner som ska följas
  • policyer, rutiner och kontroller för att se till att Microsoft skapar detaljerad dokumentation. Det innefattar dokumentation som innehåller alla fakta kring incidenten, dess effekter och korrigerande åtgärder, samt spårning och lagring av information i våra system för incidenthantering.

Microsoft har policyer och rutiner för att se till att du informeras snarast. Vi uppfyller din rätt till information enligt kraven i DPA genom att tillhandahålla en beskrivning av processen vi använt oss av för att fastställa om en personuppgiftsincident inträffat, en beskrivning av incidenten och en beskrivning av de åtgärder vi vidtagit för att minimera effekterna av incidenten.