Region Syddanmarks påtænkte brug af Microsoft 365

Dato: 15-02-2024

På baggrund af en konkret forespørgsel fra Region Syddanmark i en aktuel sag har Datatilsynet forholdt sig til, i hvilket omfang den såkaldte Chromebook-sag har relevans for anskaffelse og brug af andre cloudservices. For Region Syddanmarks vedkommende drejer det sig konkret om regionens påtænkte migrering til Microsoft 365.

Journalnummer: 2023-431-0012

Resumé

Kort efter offentliggørelsen af Datatilsynets afgørelse af 30. januar 2024 i den såkaldte Chromebook-sag henvendte Region Syddanmark sig til Datatilsynet med to spørgsmål, som sagen rejste i forhold til regionens egen påtænkte migrering til Microsoft 365.

Det er Datatilsynets umiddelbare opfattelse – på baggrund af det materiale, som regionen har fremsendt til Datatilsynet – at der med hensyn til regionens påtænkte brug af Microsoft 365 er en tilsvarende problemstilling om videregivelse af personoplysninger til cloudserviceleverandøren – i dette tilfælde Microsoft – til brug for dennes egne formål, som regionen skal adressere.

I den forbindelse anviser Datatilsynet en række konkrete forhold, som Region Syddanmark skal kortlægge, afklare og vurdere.

Svaret til Region Syddanmark sker som led i en verserende sag, men belyser efter tilsynets opfattelse en række helt principielle spørgsmål, som er blevet rejst generelt som følge af Chromebook-sagen. Derfor vælger Datatilsynet undtagelsesvis at offentliggøre tilsynets svar til regionen.

Udtalelse

1. Henvendelse

Datatilsynet blev medio 2022 bekendt med, at Region Syddanmark havde iværksat en migration af flere it-systemer til drift ved brug af cloud[1]. Det drejede sig konkret om migration fra regionens on-premise Microsoft Office-løsning til en cloudbaseret Microsoft 365-løsning (herefter M365).

I den anledning besluttede Datatilsynet af egen drift at undersøge Region Syddanmarks overholdelse af databeskyttelsesreglerne ved migrering til M365 nærmere.

Senest har Region Syddanmark den 5. februar 2024 henvendt sig til Datatilsynet i sagen med følgende spørgsmål:

”[Chromebook-afgørelsen] rejser indledningsvis to principielle spørgsmål i forhold til Region Syddanmarks påtænkte migrering til M365:

  • I Chromebook-sagen er det primært børns oplysninger der behandles. Med det anvendelsesformål Region Syddanmark har beskrevet jf. den tidligere dialog vil vi da se ind i et tilsvarende forbud ved brugen af Microsoft som databehandler i forhold til problemstillingen omkring hjemmel til videregivelse af oplysninger til brug for vedligeholdelse af services?
  • Af Chromebook-sagen fremgår det blandt andet at ”funktionaliteten af de løsninger, der ønskes anvendt, eller markedspositionen af den leverandør, der ønskes valgt, ikke kan begrunde en manglende overholdelse af databeskyttelsesreglerne. En standardiseret opbygning af løsningerne eller den blotte anvendelse af et standardprodukt kan ligeledes ikke begrunde en manglende overholdelse af databeskyttelsesreglerne” – vil det forhold i sig selv kunne give anledning til et påbud?”

2. Besvarelse

Datatilsynet har den 30. januar 2024 i den såkaldte Chromebook-sag truffet afgørelse om spørgsmålet om, i hvilket omfang en række kommuner har hjemmel til at videregive personoplysninger til en cloudserviceleverandør til brug for (i) levering og (ii) forbedring af de leverende services samt (iii) udvikling af nye funktioner og tjenester.

Konklusionen i Datatilsynets afgørelse er, at der er hjemmel til at videregive elevernes oplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.

Det er dog samtidig Datatilsynets vurdering, at folkeskoleloven ikke tilstrækkeligt klart hjemler, at kommunerne videregiver elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.

Som det også fremgår af Chromebook-sagen er det en grundlæggende forudsætning for lovlig behandling af personoplysninger, at den dataansvarlige – i dette tilfælde Region Syddanmark – har kendskab til og har kortlagt, hvilke personoplysninger der behandles og til hvilke(t) formål.

Det omfatter bl.a. en afdækning af, om cloudserviceleverandøren – i dette tilfælde Microsoft – behandler de personoplysninger, som leverandøren får overladt, til egne formål. I bekræftende fald skal regionen vurdere, om oplysningerne kan videregives til leverandøren, og i så fald med hvilken hjenmmel.[2]

Region Syddanmark har 3. juli 2023 fremsendt en række dokumenter, som nærmere redegør for regionens vurdering af en række databeskyttelsesretlige forhold ved brugen af udvalgte produkter og services i M365-løsningen. Disse dokumenter omfatter bl.a. overordnede beskrivelser af, hvilke personoplysninger regionen forventer vil blive behandlet som led i regionens brug af M365.

Overordnet har Region Syddanmark oplyst, at M365-løsningen vil blive brugt såvel i administrationen som i hospitalsvæsenet. Løsningen vil dermed blive brugt af bl.a. ledelsen, administrative medarbejdere, klinisk administrativt personale, læger, sygeplejersker og øvrigt personale.

Konkret vil løsningen bl.a. blive brugt til at sende og modtage e-mails, håndtere dokumenter og anden information, opbevare filer og dokumenter, lyd- og videokommunikation mellem medarbejdere, udarbejde dokumenter og præsentationer og lignende.

Dokumenterne, kommunikationen mv. vil indholdsmæssigt indeholde oplysninger om bl.a. medarbejderne selv og patienter i Region Syddanmark.

Det står ikke derudover Datatilsynet klart, i hvilket omfang der vil blive behandlet metadata om regionens medarbejderes brug af M365-løsningen. Det kan f.eks. være oplysninger om produkt- og serviceindstillinger, oplysninger om brugen af værktøjerne mv. Hvis det er tilfældet, kan sådanne metadata – efter omstændighederne – også omfatte oplysninger om patienter mv. Det kan f.eks. være tilfældet, hvis oplysninger om patienter fremgår af filnavne eller på anden vis indgår som del af metadata.

Blandt de dokumenter, som regionen har fremsendt den 3. juli 2023, er også Microsofts kontraktuelle vilkår for levering af M365, herunder databehandleraftalen.

Af databehandleraftalen ”Tillæg om databeskyttelse for Produkter og Tjenester fra Microsoft, Sidst opdateret 1. januar 2023” fremgår bl.a. følgende:

Databehandlingens art; ejerskab
Microsoft vil kun bruge og på anden vis behandle Kundedata, Data fra Professionelle ydelser og Personoplysninger i overensstemmelse med Kundens dokumenterede instruks og som beskrevet i og i henhold til de begrænsninger, der fremgår herunder, (a) for at levere Produkterne og Tjenesterne til Kunden i overensstemmelse med Kunden dokumenterede instruktioner og (b) i forbindelse med forretningsaktiviteter vedrørende levering af Produkterne og Tjenesterne til Kunden. […]

Behandling for at levere Kunden Produkterne og Tjenesterne
For så vidt angår formålene med dette Tillæg om databeskyttelse, består det at ”levere” et ”Produkt” af følgende:

  • Levering af funktionsmuligheder som licenseret, konfigureret og anvendt af Kunden og dennes brugere, herunder levering af tilpassede brugeroplevelser;
  • Fejlfinding (forhindre, konstatere og afhjælpe problemer); og
  • Holde produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed. […]

I hvert enkelt tilfælde sker leveringen af Produkterne og Tjenesterne med hensyn til sikkerhedsforpligtelser i henhold til Databeskyttelseskravene.

Microsoft vil ikke bruge eller på anden vis behandle Kundedata, Data fra Professionelle ydelser eller Personoplysninger ved levering af Produkter og Tjenester i forbindelse med: (a) brugerprofilering, (b) annoncering eller lignende kommercielle eller (c) markedsundersøgelser, der har til formål at oprette nye funktioner, tjenester eller produkter eller noget andet formål, medmindre en sådan brug eller behandling er i overensstemmelse med Kundens dokumenterede instruks.

Microsofts behandling til forretningsaktiviteter i forbindelse med leverancen af Produkterne og Tjenesterne til Kunden
For så vidt angår dette Tillæg om databeskyttelse, betyder ”forretningsaktiviteter” de behandlingsaktiviteter, der er godkendt af kunden i denne sektion.

Kunden autoriserer Microsoft til at:

  • oprette aggregerede statistiske, ikke-Personoplysninger ud fra data, der indeholder pseudonymiserede id’er (f.eks. brugslogfiler, der indeholder unikke, pseudonymiserede id’er) og
  • beregne statistik, der er relateret til Kundedata eller Data fra Professionelle ydelser

i hvert enkelt tilfælde uden at tilgå eller analyserer indholdet af Kundedata eller Data fra Professionelle ydelser og begrænset til at opnå formålene herunder, hver især i forbindelse med leverancen af Produkterne og Tjenester til Kunden.

Disse formål er:

  • fakturerings- og kontoradministration
  • aflønning (f.eks. beregning af medarbejderprovision og partnerincitamenter)
  • intern rapportering og forretningsmodellering (f.eks. udarbejdelse af prognoser, omsætning, kapacitetsplanlægning og produktstrategi) og
  • økonomisk rapportering.

Microsoft vil anvende principperne om dataminimering og vil ikke brug eller på anden vis behandle Kundedata, Data fra Professionelle ydelser, eller Personoplysninger, når det gælder: (a) brugerprofilering, (b) annoncering eller lignende kommercielle formål eller (c) alle andre formål på nær i forbindelse med de formål, der er angivet i dette afsnit. Derudover, og som det gælder al behandling i dette Tillæg om databeskyttelse, forbliver Microsofts behandling af forretningsaktiviteter underlagt Microsofts fortrolighedsforpligtelser og betingelserne vedrørende Videregivelse af behandlede data. […]

Behandling af Personoplysninger, GDPR
Alle Personoplysninger, der behandles af Microsoft i forbindelse med levering af Produkterne og Tjenesterne, leveres som del af enten (a) Kundedata, (b) Data fra Professionelle ydelser eller (c) data, der er genereret, afledt eller indsamlet af Microsoft, herunder data, der er sendt til Microsoft, som følge af en Kundes brug af tjenestebaserede funktioner eller indsamlet af Microsoft fra lokalt installeret software. Personoplysninger, der er leveret til Microsoft af, eller på vegne af, Kunden via brug af Onlinetjenesten er også Kundedata. Personoplysninger, der er leveret til Microsoft af, eller på vegne af, Kunden via brugen af Professionelle ydelser er også Data fra Professionelle ydelser. Pseudonymiserede identifikatorer kan medtages i data, der behandles af Microsoft i forbindelse med levering af Produkterne, og er også Personoplysninger. Eventuelle Personoplysninger, der pseudonymiseres eller får fjernet identifikationen, men ikke anonymiseres, eller Personoplysninger, der er afledt fra Personoplysninger, er også Personoplysninger.

I det omfang Microsoft er behandler eller underbehandler af Persondata i henhold til GDPR, regulerer Vilkårene i GDPR i Tillæg 1, og teksten i underafsnittet (”Behandling af Persondata, GDPR”) skal anses for at være supplerende:

Roller og ansvarsområder for databehandlere og dataansvarlige
Kunder og Microsoft accepterer, at Kunden er dataansvarlig for Persondata, og Microsoft er databehandleren af sådanne data, undtagen (a) når Kunden fungerer som behandler af Persondata, i hvilket tilfælde Microsoft er en underdatabehandler, eller (b) hvis andet fremgår i de specifikke vilkår for Produkterne eller dette Tillæg om databeskyttelse. Når Microsoft fungerer som databehandler eller underdatabehandler af Persondata, behandler Microsoft kun Persondata efter dokumenteret instruktioner fra Kunden. Kunden accepterer, at Kundeaftalen (herunder vilkårene for Tillæg om databeskyttelse samt relevante opdateringer) sammen med produktdokumentationen og Kundens brug og konfiguration af funktioner i Produkterne er Kundens fyldestgørende og endelige dokumenterede instruktioner til Microsoft vedrørende behandling af Persondata eller dokumentationen til de Professionelle ydelser og Kunden brug af Professionelle ydelser. Oplysninger om brug og konfiguration af Produkterne kan findes på https://docs.microsoft.com (eller på efterfølgende websted) eller i en anden aftale, der inkorporerer dette Tillæg om databeskyttelse. Alle yderligere eller ændrede instruktioner skal aftales i henhold til ændringsprocessen for Kundens aftale. I det tilfælde, hvor Persondataforordningen gælder, og Kunden er en behandler, garanterer Kunden over for Microsoft, at Kundens anvisninger, herunder udnævnelsen af Microsoft som en behandler eller underbehandler, er godkendt af den relevante dataansvarlige.

I det omfang Microsoft bruger eller på anden vis behandler Personoplysninger i henhold til GDPR til forretningsaktiviteter i forbindelse med leveringen af Produkterne og Tjenesterne til Kunden, overholder Microsoft de forpligtelser som påhviler en uafhængig dataansvarlig i henhold til GDPR for sådan brug. Microsoft accepterer de ekstra ansvarsområder, der medfølger det at være ”dataansvarlig” i henhold til GDPR for en sådan behandling, for at: (a) handle i overensstemmelse med gældende lovkrav i det omfang, det påkræves i henhold til GDPR, og (b) sikre øget gennemsigtighed for Kunderne og bekræfte Microsofts ansvar i forbindelse med denne databehandling. Microsoft anvender sikkerhedsforanstaltninger for at beskytte Kundedata, Data fra Professionelle ydelser og Personoplysninger under en sådan behandling, herunder dem, der er identificeret i dette Tillæg om databeskyttelse og dem, der er nævnt i artikel 6, stk. 4, i GDPR. For så vidt angår behandlingen af Personoplysninger i henhold til dette afsnit, påtager Microsoft sig de forpligtelser, der er angivet i Appendiks C – Yderligere sikkerhedsforanstaltninger med henblik herpå anses (i) enhver videregivelse af Microsoft af Personoplysninger, som beskrevet i Appendiks C – Yderligere sikkerhedsforanstaltninger, der er blevet overført i forbindelse med forretningsaktiviteter, som en ”Relevant videregivelse” og (ii) forpligtelserne i det Appendiks C – Yderligere sikkerhedsforanstaltninger gælder for sådanne Personoplysninger.”

Ud fra ovenstående forstår Datatilsynet, at Microsoft som led i Region Syddanmark eventuelle brug af M365 vil behandle visse personoplysninger om regionens medarbejdere og eventuelt patienter i regionen. Microsoft vil behandle disse oplysninger (i) for at levere tjenesten og (ii) til forretningsaktiviteter i forbindelse med levering af tjenesten.

Ifølge databehandleraftalen består levering af tjenesten af (i) levering af funktionsmuligheder, herunder levering af tilpassede brugeroplevelser, (ii) fejlfinding og (iii) opdatering af produkter samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed.

Derudover består Microsofts forretningsaktiviteter af (i) fakturerings- og kontoadministration, (ii) aflønning, (iii) intern rapportering og forretningsmodellering samt (iv) økonomisk rapportering. Det fremgår, at behandling til disse formål vil ske på baggrund af aggregerede statistiske (anonymiserede) oplysninger, som genereres ud fra pseudonymiserede oplysninger.

Datatilsynet forstår endvidere, at Microsoft ikke vil behandle personoplysninger, som virksomheden vil modtage fra regionen til (i) brugerprofilering, (ii) annoncering eller lignende samt (iii) markedsundersøgelser, der har til formål at oprette nye funktioner, tjenester eller produkter (eller andre formål).

Det nærmere omfang af den ovennævnte databehandling står imidlertid ikke Datatilsynet klart.

Grundlæggende er det Datatilsynets opfattelse, at offentlige myndigheder har en vis adgang til at videregive personoplysninger til it-leverandører til brug for leverandørens egne formål. Det kan bl.a. ske med henblik på levering af tjenesten, forbedring af sikkerheden og pålideligheden af tjenesten, overholdelse af retlige forpligtelser mv.

Det beror imidlertid på en vurdering af det retsgrundlag, som berettiger eller forpligter myndigheden til at udføre sine opgaver, præcist i hvilket omfang, myndigheden kan videregive personoplysninger til leverandøren. I vurderingen indgår også, hvilke oplysninger der vil blive videregivet.

Endvidere er databeskyttelsesreglerne ikke til hinder for at videregive anonymiserede oplysninger. Det skyldes, at anonymiserede oplysninger ikke er omfattet af databeskyttelses­reglerne. Tilsvarende vil personoplysninger altid lovligt kunne anonymiseres med henblik på, at de anonymiserede oplysninger kan videreanvendes.

I konteksten af levering af cloudservices er det afgørende, hvornår personoplysningerne anonymiseres. Der vil ikke være tale om videregivelse af personoplysninger, hvis oplysningerne anonymiseres lokalt, hvorefter det alene er de anonymiserede oplysninger, der videregives til leverandøren. Anderledes forholder det sig, hvis personoplysninger indsamles og videregives til leverandøren, hvorefter leverandøren som selvstændigt dataansvarlig vælger at anonymisere oplysningerne. I sidstnævnte tilfælde er der tale om videregivelse af personoplysninger.

På baggrund af det materiale, som Region Syddanmark foreløbig har fremsendt, er det Datatilsynets umiddelbare opfattelse, at der med hensyn til regionens påtænkte brug af Microsoft 365 er en tilsvarende problemstilling om videregivelse af personoplysninger til cloudserviceleverandøren til brug for dennes egne formål, som regionen skal adressere.

Region Syddanmark skal derfor – som også anført i Datatilsynets e-mail af 12. januar 2024 – kortlægge, afklare og vurdere:

  • Hvilke kategorier af personer vil regionen behandle personoplysninger om, herunder f.eks. medarbejdere, patienter mv., som led i brugen af M365?
  • Hvilke personoplysninger vil regionen behandle om disse kategorier af personer, og i hvilket omfang vil der blive indsamlet og behandlet metadata om disse personer?
  • Hvilket retsgrundlag vil danne baggrund for regionens behandling af de pågældende personoplysninger?
  • Hvilke specifikke formål vil Microsoft konkret behandle oplysninger til som led i at holde ”produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed”, og i hvilken rolle?
  • Hvordan genereres den ovennævnte aggregerede statistik konkret, herunder navnlig om aggregeringen eller anonymiseringen sker, inden oplysninger videregives til Microsoft?
  • Vil det pågældende retsgrundlag kunne danne baggrund for videregivelse af de pågældende personoplysninger til Microsoft til brug for de formål, der er beskrevet ovenfor?

Datatilsynet bemærker, at det er Region Syddanmark som har ansvaret for at gennemføre ovennævnte kortlægning, afklaring og vurdering. Det følger af databeskyttelsesforordningens artikel 24, stk. 1, og artikel 5, stk. 2.

Datatilsynet står naturligvis til rådighed og kan rådgive og vejlede om de forpligtelser, der følger af databeskyttelsesreglerne, herunder eventuelt afgive en udtalelse om, i hvilket omfang en behandlingsaktivitet kan ske inden for rammerne af databeskyttelsesreglerne. Det forudsætter imidlertid et større kendskab til de omstændigheder, som tilsynet skal vurdere. I dette tilfælde drejer det sig om en mere omfattende kortlægning af datastrømme.

Afslutningsvis bemærker Datatilsynet, at tilsynet i den såkaldte Chromebook-sag har anført, at funktionaliteten af de løsninger, der ønskes anvendt, eller markedspositionen af den leverandør, der ønskes valgt, ikke kan begrunde en manglende overholdelse af databeskyttelsesreglerne. En standardiseret opbygning af løsningerne eller den blotte anvendelse af et standardprodukt kan ligeledes ikke begrunde en manglende overholdelse af databeskyttelsesreglerne.

Databeskyttelsesreglerne er naturligvis ikke til hinder for brugen af standardiserede løsninger eller løsninger fra bestemte leverandører.

Det følger imidlertid af forordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise bl.a., at personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde. Denne forpligtelse gælder uanset, om den dataansvarlige vælger at bruge standardiserede eller skræddersyede løsninger, og det er den dataansvarlige, der har ansvaret for, at de løsninger, som den pågældende beslutter at bruge, overholder databeskyttelsesreglerne.

3. Afsluttende bemærkninger

Datatilsynet bemærker, at ovenstående er tilsynets umiddelbare vurdering, som er baseret på de omstændigheder og oplysninger, som Region Syddanmark har fremsendt. Datatilsynet kan ikke udelukke, at der er omstændigheder, som tilsynet ikke har taget højde for, og som kan indebære en anden vurdering.

 

[1]  Region Syddanmark har ved e-mail af 21. februar 2024 præciseret, at der mere specifikt er tale om, at regionen har igangsat analyser om forholdene omkring brug af cloud og har endnu ikke iværksat en konkret migration til Microsoft 365.

[2]   Datatilsynets vejledning om cloud, marts 2022, s. 8 (eksempel 3), s. 10 samt s. 12-14.