Datatilsynet vurderer Region Syddanmarks planlagte brug af Microsoft 365 og peger på behov for yderligere kortlægning

Region Syddanmark henvendte sig til Datatilsynet efter offentliggørelsen af Chromebook-sagen for at få afklaret, om regionens planlagte migrering til Microsoft 365 (M365) ville rejse lignende problemstillinger omkring videregivelse af personoplysninger til Microsoft. Regionen ønskede at vide, om der ville være et tilsvarende forbud mod at bruge Microsoft som databehandler, især i forhold til hjemmel til at videregive oplysninger til vedligeholdelse af services. Regionen spurgte også, om selve valget af en standardiseret løsning fra en stor leverandør kunne føre til et påbud, hvis databeskyttelsesreglerne ikke overholdes.

Datatilsynet undersøgte sagen på baggrund af dokumenter fremsendt af Region Syddanmark, som beskrev regionens vurdering af databeskyttelsesretlige forhold ved brugen af M365. Regionen planlægger at bruge M365 i både administrationen og hospitalsvæsenet, hvilket involverer behandling af oplysninger om medarbejdere og patienter. Det inkluderede brugen af M365 til e-mails, dokumenthåndtering, filopbevaring og kommunikation. Datatilsynet bemærkede, at det ikke var klart, i hvilket omfang der ville blive behandlet metadata om regionens medarbejderes brug af M365, hvilket potentielt kunne inkludere oplysninger om patienter.

Datatilsynet vurderede også Microsofts kontraktuelle vilkår, herunder databehandleraftalen, som beskriver, hvordan Microsoft behandler data for at levere tjenesten og til forretningsaktiviteter. Datatilsynet fremhævede, at det er afgørende, at Region Syddanmark har kortlagt, hvilke personoplysninger der behandles og til hvilke formål, samt om Microsoft behandler oplysningerne til egne formål.

Datatilsynets vurdering

Datatilsynet konkluderede, at Region Syddanmarks planlagte brug af Microsoft 365 rejser en lignende problemstilling som i Chromebook-sagen vedrørende videregivelse af personoplysninger til en cloudserviceleverandør til dennes egne formål. Datatilsynet påpegede, at regionen skal kortlægge, afklare og vurdere en række forhold:

• Hvilke kategorier af personer (medarbejdere, patienter mv.) vil regionen behandle personoplysninger om?
• Hvilke personoplysninger vil regionen behandle, og i hvilket omfang vil der blive indsamlet og behandlet metadata?
• Hvilket retsgrundlag vil danne baggrund for regionens behandling af personoplysninger?
• Hvilke specifikke formål vil Microsoft behandle oplysninger til for at holde "produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed", og i hvilken rolle?
• Hvordan genereres aggregeret statistik, og sker aggregeringen eller anonymiseringen, inden oplysninger videregives til Microsoft?
• Vil det pågældende retsgrundlag kunne danne baggrund for videregivelse af personoplysninger til Microsoft til de beskrevne formål?