Spørgsmål til Databehandleraftalen

”Bilag 2 -Oplysninger om lokationer for behandling og underleverandører”. Hvor er data gemt?

Vi henholder os til at der ikke i fx Datatilsynets vejledning om databehandleraftaler er noget krav om NØJAGTIG ADRESSE, men alene om lokation. Og lokation kan gives som By og Land.

Microsoft Azure datacenter lokationer og dermed datastorage kan findes her: https://aka.ms/msclouddatalocation

Behandlingshåndtering ligger også tilgængelig på Microsoft Trust Center og Service Trust Portal, incl audit rapporter, standard certificeringer etc. https://aka.ms/mstrustcenter og https://aka.ms/stp

Af paragraf 5.3 fremgår det: ”Hvis Leverandøren overlader behandlingen af personoplysninger, som Systemejeren er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.”

I praksis indgår Geokon en Online Services Terms (og dermed en databehandleraftale) med  Microsoft Cloud Infrastructure Organization (som er modparten omtalt OST’ens indledning) så snart der tages en cloud service i brug.

Af paragraf 6.1 fremgår det: ”Leverandørens behandling af personoplysninger på vegne af Systemejeren sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt. 5.3, får tilsendt Systemejerens instruks, jf. bilag 3.”
Instruksen er en del af Online Services Terms. Dybest set giver Geokon Microsodt instruks i at holde platformen opdateret, sikker og performende. Og så er alle privacy, sikkerheds og compliance kontrollerne ellers refereret i resten af OST’ens ordlyd. Bl.a. også GDPR terms som naturligvis også skal inkluderes.

Andre emner

Hvor forefindes der revisionserklæringer?

Behandlingshåndtering ligger tilgængelig på Microsoft Trust Center og Service Trust Portal, incl audit rapporter, standard certificeringer etc. https://aka.ms/mstrustcenter og https://aka.ms/stp

Er Microsoft Azure sikkert?

Microsoft Azure er certificeret til tænderne, og kan gøre ethvert dansk hostingselskab rangen stridig når det handler om sikkerhed.

Det Offentlige Danmark anvender allerede Microsoft Azure i stor stil. Her er et udpluk af kommuner og styrelser, som allerede anvender Azure i forskellige sammenhænge. Flere løsninger inkluderer PII (Personal Identifiable Information), herunder også CPR numre - og dermed persondata, som er sammenligneligt med GeoEnviron data.

• Københavns kommune, Silkeborg Kommune, Aalborg Kommune, Albertslund Kommune, Vallensbæk Kommune
• Miljøstyrelsen, Digitaliseringsstyrelsen, Justitsministeriet, Erhvervsstyrelsen
• Rigspolitiet, SKAT, Kirkeministeriet, Københavns Universitet
• Og mange mange flere

Må persondata behandles udenfor Danmark?

JA! - Den persondata som GeoEnviron omfatter må gerne behandles i alle EU-lande... og det har faktisk været tilladt i lang tid. Microsoft garanterer at data aldrig forlader EU og Geokon vil normalt anvende datacentre i norden, dvs. Holland, Tyskland og Irland.

Hvad må explicit IKKE behandles udenfor Danmark? Her er tale om systemer som er omfattet af den såkaldte "3-9 krigsregel":

• Digital Post, MitID, Nemlog-In3, Offender Management System, DeMars, Statens Lønløsning

Retningslinjer vil blive vedtaget i efteråret, men der er pt. INGEN kommunale systemer, som er omfattet.

Hvor kan jeg få mere at vide om Microsoft Azure

https://azure.microsoft.com/da-dk/