Behandling af personoplysninger i cloud-løsningen Office 365

Publiceret 06-06-2012
Historisk afgørelse

Journalnummer: 2011-082-0216

1. Datatilsynet vender hermed tilbage til sagen vedrørende behandling af personoplysninger i Microsofts cloud-løsning Office 365. 

2. Sagsfremstilling

Microsoft har oplyst, at virksomheden har tilsluttet sig Safe Harbor-ordningen. Microsoft har tillige valgt at implementere Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til en databehandler i et tredjeland.1  Danske brugere af Office 365 vil således kunne indgå en aftale med Microsoft om overførsel af personoplysninger til tredjelande baseret på Kommissionens standardkontraktbestemmelser.

Microsoft har fremsendt kopi af dels en aftale baseret på Kommissionens standardkontraktbestemmelser, dels den databehandleraftale, som vil blive indgået med Microsofts kunder. Aftalen baseret på Kommissionens standardkontraktbestemmelser vil blive indgået mellem kunden (den dataansvarlige) og Microsoft Corporation i USA, mens databehandleraftalen vil blive indgået mellem kunden (den dataansvarlige) og Microsoft Ireland Operations Ltd. i Irland.

Datatilsynet har konstateret, at disse aftaler i forbindelse med online-køb af Office 365-ydelser ikke automatisk bliver præsenteret for kunden, men derimod kan findes og tilvælges på Microsofts hjemmeside under punktet ’Valgfrie kontrakttillæg vedrørende beskyttelse af personlige oplysninger og sikkerhed i Office 365’. Microsoft har i den forbindelse telefonisk forklaret, at hvis der er tale om større kunder, sker oprettelsen ikke via hjemmesiden, men i en manuel licensprocedure hvor kontrakterne indgår. 

Det er oplyst, at Microsoft – for at skabe transparens vedrørende behandlingen af oplysninger i Office 365 – på sin hjemmeside har udarbejdet The Office 365 Trust Center. Her findes generelle informationer om bl.a., i hvilke lande Microsofts datacentre, herunder backup-datacentre, er placeret, hvad Microsoft gør for, at kunder (dataansvarlige) kan leve op til persondatalovgivningen i det land, hvor de er etablerede, hvordan Microsoft administrerer adgangen til behandlede oplysninger, samt informationer om sikkerhedsforanstaltninger, certificeringer og audits. På Microsofts danske hjemmeside findes en dansk version af Office 365 Trust Center, der betegnes ’Office 365 Sikkerhedscenter’. 

Det fremgår af dokumentet ’Customer Data Flows in Office 365 – Europe, Middle East, Africa’, som er tilgængeligt i Office 365 Trust Center, at Microsofts primære datacentre er placeret i Irland, Holland og USA. Det fremgår endvidere, at Microsoft har backup-datacentre i Irland, Holland og USA, samt at der er adgang til ”Service Logs Containing Customer Data” i Irland, Holland, USA og Canada. Endelig fremgår det, at kundesupport-personale i Bulgarien, Irland, USA og Canada kan have adgang til kunders oplysninger.

Microsoft har med hensyn til behandling uden for EU oplyst, at selv om man vælger en europæisk cloud-løsning, vil der være mulighed for, at der sker behandling uden for EU, f.eks. i backupdatacentre uden for EU.

Microsoft har endvidere oplyst, at virksomhedens brug af underkontrahenter (underdatabehandlere) vil ske ved brug af den model herfor, som er opstillet i Kommissionens standardkontraktbestemmelser. En liste over samtlige underdatabehandlere (navne på virksomheder) er tilgængelig på Microsofts hjemmeside. 

Microsoft har supplerende oplyst, at virksomheden, hvis en kunde fremsætter anmodning herom, vil fremsende kopi af underdatabehandleraftaler samt adresser på underdatabehandlere til kunden.

Den databehandleraftale, som Microsoft har fremsendt i kopi til Datatilsynet, indeholder bl.a. bestemmelser om datasikkerhed og audit, hvor Microsoft forpligter sig til at lade bl.a. sikkerheden i selve løsningen og i datacentrene underkaste audit, som udføres mindst én gang årligt i overensstemmelse med ISO27001-standarden og af sikkerhedsprofessionelle tredjeparter efter Microsofts valg og for Microsofts regning.

Microsoft har i den forbindelse oplyst, at virksomheden anerkender, at standardkontraktbestemmelserne giver kunden (den dataansvarlige) og datatilsynsmyndighederne ret til at inspicere Microsofts datacentre samt eventuelle underdatabehandlere, som Microsoft måtte gøre brug af. Hvis en kunde ønsker at inspicere et datacenter, vil Microsoft dog i første omgang henvise kunden til den årlige audit, som foretages af British Standards Institution (BSI).

Microsoft har endvidere oplyst, at man i den forbindelse vil samarbejde med kunder (dataansvarlige), hvis særlige behov ikke er blevet imødekommet i forbindelse med BSI’s audit. 

Det fremgår af den fremsendte kopi af databehandleraftale, at kunder (dataansvarlige) efter anmodning herom kan få udleveret et resumé af BSI’s inspektionsrapport. Microsoft har supplerende oplyst, at kunder (dataansvarlige) endvidere efter anmodning herom vil kunne få indsigt i BSI’s inspektionsrapport via et online-møde, hvor Microsoft også står til rådighed for afklaring af eventuelle tvivlsspørgsmål.

Microsoft har herudover oplyst, at Datatilsynet efter fremsættelse af skriftlig anmodning herom over for Microsoft Ireland Operations Ltd. i Irland vil kunne få oplyst adresserne på de datacentre, hvor behandling af personoplysninger vil kunne ske. Kunder (dataansvarlige), der har et særligt behov, vil under visse omstændigheder kunne få lov til at inspicere et eller flere datacentre.

Microsoft har også oplyst, at man – hvis kunder (dataansvarlige) fremsætter anmodning herom – vil udlevere oplysninger og dokumenter, som er nødvendige for, at kunderne kan foretage en fornøden risikovurdering af Office 365. I første omgang vil Microsoft dog henvise til oplysningerne i Office 365 Trust Center og til de foreliggende audit-rapporter.

3. Datatilsynet – der har behandlet sagen på et møde i Datarådet – afgiver i den anledning følgende vejledende udtalelse:

3.1. Indledningsvis bemærkes, at det er de danske virksomheder og myndigheder, der vil benytte Office 365-løsningen, som har ansvaret for at leve op til persondatalovens2  krav.

Datatilsynet vil med denne udtalelse fremkomme med bemærkninger om Microsofts ansvar som henholdsvis databehandler og dataansvarlig (se afsnit 3.2 og 3.3). Datatilsynet vil endvidere omtale en række spørgsmål, som danske dataansvarlige vil skulle tage i betragtning ved brug af Office 365 (se afsnit 3.4). 

Det bemærkes i den forbindelse, at Datatilsynet ikke godkender databehandleraftaler og ikke skal have sådanne forelagt. Sagens behandling og denne udtalelse er derfor ikke udtryk for, at Datatilsynet har godkendt den fremsendte databehandleraftale, som indgås med Microsoft Irland.3

3.2. Microsofts forpligtelser som databehandler

Persondatalovens krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, gælder tilsvarende for databehandlere. Dette fremgår af persondatalovens § 41, stk. 3, 2. pkt.

Hvis databehandleren er etableret i et andet EU-land, gælder de regler om sikkerhedsforanstaltninger, som er fastsat i det pågældende lands databeskyttelseslovgivning. 

Datatilsynet forudsætter derfor, at Microsoft i Irland vil leve op til den irske databeskyttelseslovgivnings krav til sikkerhedsforanstaltninger hos databehandlere i Irland. 

3.3. Microsofts forpligtelser som dataansvarlig

I det omfang, kunden er en fysisk person (herunder en enkeltmands-virksomhed), eller når der behandles oplysninger om administratorer, vil Microsoft behandle personoplysninger i forbindelse med administrationen af det pågældende kundeforhold. Datatilsynet anser i den forbindelse Microsoft for dataansvarlig for administrationen af løsningen.

Da danske kunders abonnementsaftaler bliver indgået med Microsoft i Irland, vil tilsynet umiddelbart forudsætte, at Microsoft i Irland i forhold til kunder, der er fysiske personer, iagttager den irske databeskyttelseslovgivning.

3.4. Danske dataansvarlige virksomheders og myndigheders pligt til at leve op til persondatalovens krav

3.4.1. Den fremsendte tredjelandskontrakt

3.4.1.1. Hvad angår den fremsendte kontrakt om overførsel af oplysninger til Microsoft i USA4 , bemærker Datatilsynet, at kontrakten svarer til Kommissionens standardkontrakt for overførsel af personoplysninger til databehandlere. 

En dansk dataansvarlig virksomhed eller myndighed vil imidlertid skulle have Datatilsynets tilladelse efter persondatalovens § 27, stk. 4, til overførsel af personoplysninger til tredjelande baseret på kontrakten. 

Ved brug af en kontrakt, hvor der ikke er ændret i forhold til Kommissionens standardkontrakt, skal den danske dataansvarlige virksomhed eller myndighed blot sende en blanket til Datatilsynet med erklæring om, at standardkontrakten anvendes uden ændringer. Selve kontrakten skal ikke sendes med til Datatilsynet.5  

Det skal understreges, at kravet om tilladelse fra Datatilsynet efter persondatalovens § 27, stk. 4, gælder for overførsler af såvel følsomme som ikke-følsomme personoplysninger og for såvel offentlige myndigheder som private virksomheder m.v.

3.4.1.2. Som nævnt ovenfor i afsnit 2 har Datatilsynet konstateret, at Microsofts kunder i forbindelse med online-køb af Office 365-ydelser ikke automatisk bliver præsenteret for tredjelandskontrakten (eller databehandleraftalen). Disse aftaler skal kunden derimod finde og tilvælge på Microsofts hjemmeside under punktet ’Valgfrie kontrakttillæg vedrørende beskyttelse af personlige oplysninger og sikkerhed i Office 365’.

Dataansvarlige virksomheder og myndigheder skal således være opmærksomme på, at indgåelse af disse aftaler ikke sker automatisk i forbindelse med online-køb af Office 365-ydelser, men derimod skal ske ved brug af de valgfrie kontrakttillæg. Det er de dataansvarliges ansvar at sikre, at disse aftaler indgås med Microsoft.

Efter Datatilsynets opfattelse bør Microsoft give letforståelig information herom, før en kunde i Danmark indgår aftale om brug/køb af Office 365-ydelser. Kunden skal i den forbindelse have tydelig besked om, at kunden skal indgå en tredjelandskontrakt og databehandleraftale. 

3.4.2. Persondatalovens krav til datasikkerhed

3.4.2.1. Persondatalovens regler indebærer, at en dansk virksomhed eller myndighed, der benytter Office 365, som dataansvarlig skal sørge for, at personoplysningerne er beskyttet med de fornødne sikkerhedsforanstaltninger. De nærmere regler findes i lovens §§ 41 og 42. 

For offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen6  og sikkerhedsvejledningen7 .

Der findes ikke en tilsvarende sikkerhedsbekendtgørelse for den private sektor, men Datatilsynet anbefaler generelt, at private dataansvarlige i videst muligt omfang tilrettelægger sikkerhedsforanstaltningerne i overensstemmelse med sikkerhedsbekendtgørelsen.

Persondatalovens sikkerhedskrav omfatter – afhængigt af den konkrete behandling af personoplysninger – navnlig følgende:  

1. forpligtelsen til at fastsætte nærmere retningslinjer, der beskriver, hvordan de fornødne sikkerhedsforanstaltninger konkret er etableret i organisationen, 
2. kravet om instruktion af medarbejderne,
3. kravet om skriftlige aftaler med databehandlere til sikring af, at datasikkerheden lever op til persondataloven, samt at den dataansvarlige påser dette,
4. kravet om særlige retningslinjer ved adgang til personoplysninger ved brug af it-udstyr uden for den dataansvarliges lokaliteter (hjemmearbejdspladser o.l.),
5. kravet om fysisk sikkerhed,
6. kravet om iagttagelse af de fornødne sikkerhedsforanstaltninger i forbindelse med reparation og service samt ved salg og kassation af anvendte datamedier,
7. kravet om formel autorisationsprocedure, der sikrer, at kun personer, som autoriseres hertil, har adgang til personoplysninger, og at der kun autoriseres personer, for hvem adgangen er nødvendig som led i deres jobfunktion, at disse tildeles et individuelt personligt login, samt at den udstedte autorisation ændres eller lukkes ved medarbejderens fratræden eller flytning inden for organisationen,
8. kravene om, at der ved transmission via internettet (eller andre åbne net) foretages en risikovurdering omfattende alle elementer i løsningen, at der implementeres de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici, herunder brug af kryptering, hvis fortrolige eller følsomme personoplysninger overføres via internettet (eller andre åbne net), og om sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger,
9. kravet om kontrol med afviste adgangsforsøg, herunder blokering for yderligere forsøg efter et antal afviste adgangsforsøg samt
10. kravet om registrering (logning) af alle anvendelser af personoplysninger.

3.4.2.2. Ad kravet om aftale og kontrol med databehandlere (pkt. 3)

3.4.2.2.1. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Det følger af persondatalovens § 42, stk. 2.

Endvidere fremgår det af sikkerhedsvejledningen § 7, stk. 1, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren.

Hertil kommer, at det efter både persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7, stk. 1, kræves, at hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

3.4.2.2.2. I tilfælde, hvor en dansk virksomhed er underlagt vilkår stillet af Datatilsynet i forbindelse med en tilladelse, har den dataansvarlige virksomhed også ansvaret for, at disse vilkår overholdes, uanset om der benyttes en databehandler inden for eller uden for Danmark. Det samme gælder for offentlige myndigheder, som tillige må sikre sig, at sikkerhedsbekendtgørelsen er opfyldt. 

De danske dataansvarlige skal bl.a. være opmærksomme på, om der kan blive tale om anvendelse af underdatabehandlere. Når dette som ved Office 365 er tilfældet, skal dette også håndteres med databehandleraftaler. 

Datatilsynet skal pege på, at man her vil kunne anvende den model, der er anvendt i Kommissionens standardkontrakt. Datatilsynet forudsætter herved, at samtlige elementer i standardkontrakten omhandlende ”underkontraherede registerførere” anvendes.8  Tilsynet skal i den forbindelse særligt pege på standardbestemmelse 5, litra j, hvoraf følger, at dataimportøren (Microsoft) straks skal sende dataeksportøren (kunden) et eksemplar af de udliciteringsaftaler (underdatabehandleraftaler), som han indgår i henhold til standardbestemmelserne.

Det må efter Datatilsynets umiddelbare opfattelse være op til den enkelte dataansvarlige virksomhed eller myndighed at beslutte, hvor bredt et mandat databehandleren skal have. Den dataansvarlige må således beslutte, om man ønsker at give et generelt forudgående samtykke eller et specifikt samtykke for hver ny underdatabehandler.9  

Som understreget ovenfor i afsnit 3.1 godkender Datatilsynet ikke databehandleraftaler og skal ikke have sådanne forelagt.

3.4.2.2.3. De virksomheder og myndigheder, der benytter Microsoft som databehandler, er pligtige at påse, at kravene om sikkerhedsforanstaltninger overholdes hos databehandleren, jf. herved sidste led i persondatalovens § 42, stk. 1.

Som anført i Datatilsynets sikkerhedsvejledning kan det i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem kan bl.a. indeholde uarbejdelse af denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren.

Datatilsynet har på denne baggrund umiddelbart ingen indvendinger imod en model, hvor danske dataansvarliges kontrol som udgangspunkt sker ved brug af revisionserklæringer fra en uafhængig tredjepart. 

Datatilsynet har i den forbindelse noteret sig, at Microsoft har oplyst at ville samarbejde med kunder, hvis særlige behov ikke er blevet imødekommet i forbindelse med den årlige audit, og at kunder i særlige situationer selv vil kunne foretage kontrol.

3.4.2.3. Ad kravet om risikovurdering (pkt. 8)

For at leve op til persondatalovens sikkerhedskrav må den dataansvarlige
efter Datatilsynets opfattelse foretage en risikovurdering i forhold til samtlige aspekter af den påtænkte anvendelse af cloud-løsningen.

Datatilsynet har i den forbindelse noteret sig, at Microsoft – hvis kunder (dataansvarlige) fremsætter anmodning herom – vil udlevere oplysninger og dokumenter, som er nødvendige for, at kunderne kan foretage en risikovurdering.

3.4.2.4. Ad kravet om logning (pkt. 10)
Logningskravet i sikkerhedsbekendtgørelsens § 19, stk. 1, gælder alene ved myndigheders registrering af oplysninger omfattet af anmeldelsespligten til Datatilsynet. Det vil groft sagt sige ved behandling af fortrolige og følsomme personoplysninger. 

Der gælder en række undtagelser til logningskravet, jf. sikkerhedsbekendtgørelsens § 19, stk. 2-5.

Ud fra det i sagen oplyste lægger Datatilsynet til grund, at Office 365 ikke indeholder logningsfunktion som krævet efter sikkerhedsbekendtgørelsen. 

Det er derfor vigtigt, at en dansk dataansvarlig myndighed, som behandler oplysninger, der kunne være omfattet af logningskravet – f.eks. følsomme personoplysninger i dokumenter og e-mails – sikrer sig, at der ikke sker en registrering i løsningen, som udløser krav om logning.

Der er ikke krav om logning ved den behandling af personoplysninger, som sker, når oplysningerne indgår i tekstbehandlingsdokumenter, regneark og lignende, så længe disse dokumenter er under udarbejdelse eller fungerer som arbejdsdokumenter, hvori der løbende tilføjes nye oplysninger i forbindelse med behandlingen af den enkelte sag. Der gælder heller ikke noget krav om logning for sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist. Dette følger af sikkerhedsbekendtgørelsens § 19, stk. 2.

Det fremgår af Datatilsynets sikkerhedsvejledning, at den dataansvarlige skal tage stilling til længden af den omtalte kortere periode, der generelt bør være af en størrelsesorden på højst en måned, og udfærdige retningslinjer for, hvorledes medarbejderne skal forholde sig. 

Det bemærkes, at der intet er til hinder for, at færdige dokumenter ikke slettes, men overføres til et dokumentarkiv med henblik på opbevaring i længere tid. I dette tilfælde vil der imidlertid være tale om en behandling (opbevaring), som vil være omfattet af kravet om logning.

Hvis der behandles personoplysninger i elektroniske kalendere, skal den dataansvarlige sikre sig, at disse oplysninger kun er tilgængelige for de personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles. Det gælder i særdeleshed for fortrolige og følsomme oplysninger. Den omstændighed, at de ansatte har tavshedspligt, ændrer ikke ved, at der skal foretages en vurdering af, hvilken kreds der skal have adgang til oplysningerne. Der henvises herved til pkt. 7 ovenfor i afsnit 3.4.2.1.

Det bemærkes i den forbindelse, at selve oplysningen om, at en borger har en sag til behandling hos en myndighed, eller at myndigheden har kontakt med den pågældende, kan være oplysninger af fortrolig eller følsom karakter, som er de øvrige ansatte i myndigheden uvedkommende. Myndigheden må derfor overveje, hvor bred en adgang kalendersystemet giver til den enkelte sagsbehandlers kalenderregistrering, og hvilke oplysninger kalendersystemet bør indeholde, ligesom muligheden for at ”skærme aftaler af” for en bredere kreds bør overvejes.

4. Afsluttende bemærkninger

Datatilsynet kan oplyse, at Artikel 29-gruppen10  i øjeblikket arbejder på en udtalelse om cloud computing. 

Datatilsynet må forbeholde sig sin stillingtagen til danske virksomheders og myndigheders brug af Office 365, hvis der i relation til persondataloven skulle visse sig uhensigtsmæssigheder ved brug af løsningen, ligesom tilsynet forbeholder sig at komme med yderligere bemærkninger, når Artikel 29-gruppens udtalelse foreligger. 

Datatilsynet kan herudover oplyse, at den såkaldte Berlin-gruppe11  har udarbejdet et arbejdsdokument med en række anbefalinger m.v. om brug af cloud computing.12  Arbejdsdokumentet af 24. april 2012 er tilgængeligt på www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-the-working-group.

Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside. Tilsynet forventer i øvrigt at offentliggøre en engelsk version af brevet på sin hjemmeside.

1 Jf. Kommissionens afgørelse af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (2010/87/EU)

2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

3 ‘Office 365 Data Processing Agreement with Model Clauses’, part 1 of 2

4 ‘Office 365 Data Processing Agreement with Model Clauses’, part 2 of 2 (Annex 1)

5 For yderligere informationer vedrørende den forenklede procedure for tredjelandsoverførsel baseret på Kommissionens standardkontraktbestemmelser henvises til Datatilsynets hjemmeside: www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/forenklet-procedure-for-tredjelandsoverfoersel-baseret-paa-eu-standardkontrakter/

6 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

7 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning

8 Datatilsynet har tidligere udtalt sig positivt om en sådan fremgangsmåde i sagen j.nr. 2010-321-0348

9 Jf. herved Artikel 29-gruppens WP 176 af 12. juli 2010 (‘FAQs in order to adress some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC’) 

10 I medfør af Europa-parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet) er der nedsat en ”gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger”, den såkaldte ”Artikel 29-gruppe”

11 Berlin-gruppen er en international arbejdsgruppe – International Working Group on Data Protection in Telecommunication – som blev etableret i 1983 på initiativ af tilsynsmyndighederne (Data Protection Commissioners) fra en række lande, herunder Danmark

12 ‘Working Paper on Cloud Computing – Privacy and data protection issues’ af 24. april 2012 (det såkaldte “Sopot Memorandum”)