Tio frågor en kund bör ställa till sin molntjänstleverantör

Microsoft Office 365 erbjuder alla Office 365-kunder viktiga säkerhetsfunktioner. Det här avsnittet beskriver säkerhetsfunktionerna och hur de uppfyller de höga krav på sekretess som fastställts av EU-myndigheter. Den 1 juli 2012 antog EU:s artikel 29-grupp - en grupp bestående av EU:s nationella dataskyddsmyndigheter - yttrande 05/2012 om datormolnet. Yttrandet om datormolnet belyser fördelarna med molnet, däribland förbättrad effektivitet och ökad säkerhet. I yttrandet betonar artikel 29-gruppen vikten av att välja en molntjänstleverantör som är öppnen med sin sekretesspolicy och respekterar kunddatasekretessen.

Artikel 29-gruppens yttrandet ger viktig vägledning för nuvarande och blivande molnanvändare. Det väcker också ett antal frågor som molnkunder, i sin roll som registeransvariga, bör tänka på när de väljer molntjänstleverantör. De viktigaste sekretessfrågorna och svaren för Office 365 beskrivs här.

Ur artikel 29-gruppens yttrande: I avsnitt 4.1 (den första punkten under rubriken "Överensstämmelse med grundläggande principer för uppgiftsskydd"), anger gruppen att "molnleverantören bör informera molnkunden om alla (för dataskydd) relevanta aspekter av sina tjänster ... i synnerhet bör kunden informeras om alla underleverantörer som bidrar till tillhandahållandet av respektive molntjänst och alla platser där data kan lagras eller bearbetas av molnleverantören och/eller dess underleverantörer." I avsnitt 3.4.1.1 (Transparens) understryks ytterligare vikten av öppenhet i relationen mellan molnleverantör och molnkund.

Office 365: Microsoft gör information om sekretess- och säkerhetsrutiner lätt tillgänglig i Office 365 Säkerhetscenter (www.microsoft.com/sv-se/office365/trust-center.aspx). Office 365 Säkerhetscenter innehåller information om var data lagras, vem som har åtkomst till dem och under vilka omständigheter samt vilka underleverantörer som är inblandade i bearbetningen av data.
Ur artikel 29-gruppens yttrande: Avsnitt 3.4.1.2 (Specifikation av syfte och begränsning). Artikel 29-gruppen klargör att "personuppgifter skall samlas in för särskilda, uttryckliga och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål" och att molnkunder är ansvariga för att "säkerställa [] att personuppgifter inte (olagligen) bearbetas för andra ändamål av molnleverantören."

Office 365: Microsoft Enterprises molntjänster använder kunddata endast för att tillhandahålla tjänsterna. Detta kan omfatta felsökning i syfte att förebygga, upptäcka och åtgärda problem som påverkar driften av tjänsterna och förbättring av funktioner som involverar upptäckt av och skydd mot nya och föränderliga hot mot användaren (som t.ex. skadlig kod och skräppost). Office 365 skapar inte reklamprodukter av kunddata. Vi genomsöker inte din e-post eller dina dokument för analys, datautvinning, reklam eller för att på annat sätt förbättra tjänsten.

Microsoft lämnar inte ut kunduppgifter till tredje part (inklusive för brottsbekämpningsändamål, till annat offentligt organ eller civil part, exklusive våra underleverantörer) förutom på kundens begäran eller vid krav enligt lag.
Ur artikel 29-gruppens yttrande: Avsnitt 3.4.1.2 (Specifikation av syfte och begränsning) och avsnitt 3.3.1 (Molnkund och molnleverantör).

Office 365: Microsoft Enterprises molnservrar är fysiskt och/eller logiskt åtskilda från servrarna för konsument-onlinetjänster. Enterprise-kunddata, data i Microsofts konsument-onlinetjänster och data som skapats av eller härrör från genomsökning, indexering, eller datautvinning av Microsoft blandas inte såvida det inte har godkänts av kunden i förväg.
Ur artikel 29-gruppens yttrande: Avsnitt 3.4.1.2 (Specifikation av syfte och begränsning) och avsnitt 3.3.1 (Molnkund och molnleverantör).

Office 365: Microsoft genomsöker inte e-post eller dokument i reklamsyfte. Microsoft Enterprise-tjänsterna underhåller, genomsöker och indexerar kunddata för att ge rika funktioner som ger kunderna möjlighet att komma åt och organisera sina data. Till exempel kan slutanvändarna enkelt söka efter dokument och annat innehåll i Office 365.
Ur artikel 29-gruppens yttrande: Avsnitt 3.4.1.2 (Tekniska och organisatoriska åtgärder för dataskydd och datasäkerhet).

Office 365: Office 365:s kommersiella tjänst är logiskt skild från onlinetjänster för konsumenter. Enterprise-kunddata och data i Microsofts onlinetjänster för konsumenter blandas inte om det inte har godkänts av kunden i förväg.
Artikel 29-gruppen anser att traditionella mekanismer för överföring av data från Europeiska ekonomiska samarbetsområdet har "begränsningar" när de appliceras på molnet. Artikel 29-gruppen pekar på Safe Harbor-riktlinjerna och råder molnkunder att "Safe Harbor-riktlinjerna inte kan anses vara tillräckliga som enda åtagande hos dataimportören" för överföring av uppgifter till USA-baserade leverantörer. Artikel 29-gruppen påminner också molnkunderna om behovet av att säkerställa överensstämmelse med eventuell nationell/regional lagstiftning.

Office 365 ger ett heltäckande dataskyddsavtal (DPA) och erbjuder EU:s standardklausuler utöver självcertifieringen enligt Safe Harbor-ramverket mellan USA och EU. Medan EU:s standardklausuler är speciellt utformade för EU-kunder, är DPA-avtalet en samling av de bästa sekretessreglerna i olika länder/regioner och erbjuds alla kunder oavsett geografiskt område eller storlek. De processer som har konstruerats i Office 365 för att uppfylla EU:s standardklausuler är inte begränsade till EU-kunder utan tillgängliga för alla.