Datainspektionens allmänna råd - Dokument

Transcription

Datainspektionens allmänna råd - Dokument
VALLENTUNA KOMMUN
KOMMUNLEDNINGSKONTORET
TJÄNSTESKRIVELSE
2015-03-10
DNR KS 2014.524
STEFAN NYBERG
SID 1/2
IT-CHEF
0858785118000
KARIN.KILERUD@VALLENTUNA.SE
KOMMUNSTYRELSEN
Tjänsteskrivelse
Personuppgiftsbiträdesavtal mellan
Vallentuna kommun och Microsoft
avseende Office 365
Förslag till beslut
Kommunstyrelsen beslutar att upprätta ett personuppgiftsbiträdesavtal med
Microsoft enligt bifogat förslag.
Ärendet i korthet
Kommunstyrelsen beslutade 2015-01-26 § 8 att återremittera ärendet med ett
uppdrag åt förvaltningen att ta fram en risk- och konsekvensanalys. Förvaltningen har
nu genomfört en sådan analys. Analysen presenteras som bilaga (4) i detta ärende.
Med risk- och konsekvensanalysen som fördjupat underlag föreslås kommunstyrelsen
ingå ett biträdesavtal med Microsoft enligt bifogat förslag (bilaga 5).
Vallentuna kommun anlitar Microsoft som leverantör för av Office 365 för att bland
annat användas som skolportal, webbplats, e-posthantering, lagring av data hos
Microsoft i form av molntjänster och som kommunikationsverktyg för chat, ljud och
video (Lync).
Gemensamt för dessa tjänster är att olika personuppgifter upprättas och behandlas
vid användningen. Personuppgiftslagen (PuL) har till syfte att skydda människor mot
att deras personliga integritet kränks när personuppgifter behandlas. Med behandling
avses bland annat insamling, registrering, lagring och bearbetning av personuppgifter
(bilaga 3).
Varje nämnd/kommunstyrelse är personuppgiftsansvarig, och en tjänsteman för varje
nämnd/kommunstyrelse är av nämnden/styrelsen utsedd som personuppgiftsombud.
Ett personuppgiftsbiträdesavtal mellan nämnd/kommunstyrelse krävs när
personuppgifter behandlas av, eller lagras, hos extern samarbetspartner.
Handlingar
1. Protokollsutdrag, kommunstyrelsen § 8/2015
2. Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft
avseende Office 365
3. Faktabroschyr-allmanna råd-säkerhet
KOMMUNLEDNINGSKONTORET
TUNA TORG 1· 186 86 VALLENTUNA
TFN 08-587 850 00 · FAX 08-587 850 88
KLK@VALLENTUNA.SE
WWW.VALLENTUNA.SE
VALLENTUNA KOMMUN
TJÄNSTESKRIVELSE
KOMMUNLEDNINGSKONTORET
2015-03-10
DNR KS 2014.524
SID 2/2
4. PuL-bedömning och riskanalys av Office365 som molntjänst
5.
Personuppgiftsbiträdesavtal (Huvudavtal) mellan Vallentuna kommun
och Microsoft avseende Office 365
6. Tillägg till biträdesavtalet Amendment EES18
7.
Tillägg till biträdesavtalet Amendment M100
______________________
Ska expedieras till:
Akten
Säkerhet
för personuppgifter
Datainspektionens allmänna råd
Reviderad november 2008
Datainspektionens allmänna råd
Vid sidan av lagar och förordningar samt de föreskrifter som
Datainspektionen utarbetat, ger vi även ut allmänna råd med
rekommendationer i olika frågor. De allmänna råden är inte
bindande men de är rekommendationer om hur de bindande
kraven i lagarna kan uppnås. Råden ligger också till grund för de
föreskrifter som Datainspektionen ger exempelvis i samband med
tillsyn och när tillstånd för inkassoverksamhet utfärdas.
De allmänna råden är inte uttömmande och får inte uppfattas så
att allt som inte behandlas i råden är tillåtet.
Av Datainspektionen utgivna Allmänna råd
Säkerhet för personuppgifter
Information till registrerade
Tillämpning av inkassolagen
De allmänna råden går att beställa eller hämta på Datainspek­
tionens webbplats www.datainspektionen.se
Datainspektionens allmänna råd. Säkerhet för personuppgifter.
Pris 53 kr inklusive moms.
Reviderad i november 2008.
Tryckt hos Lenanders Grafiska (32387), november 2008 på Munken Lynx
FSC-certifierat
papper.
Miljömärkt trycksak 341 145. IISSN 1100-3308.
Har du frågor om innehållet kontakta Datainspektionen, telefon 08-657 61 00,
e-post datainspektionen@datainspektionen.se, eller besök www.datainspektionen.se
2
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Innehåll
Förord..................................................................... 4
Inledning................................................................ 5
Ansvaret för säkerheten........................................ 7
Organisation.......................................................... 12
Hotbild................................................................... 15
Säkerhetsnivå......................................................... 17
Säkerhetsåtgärder.................................................. 20
Sammanfattning................................................... 27
Datainspektionens allmänna råd – Säkerhet för personuppgifter
3
Förord
Den här skriften innehåller allmänna råd som preciserar
personuppgiftslagens (1998:204) krav på säkerhet vid
behandling av personuppgifter.
Säkerhetskraven innebär enligt 31 § personuppgiftslagen
att den personuppgiftsansvarige ska vidta lämpliga
tekniska och organisatoriska åtgärder för att skydda de
personuppgifter som behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är
lämplig med beaktande av:
„„ de tekniska möjligheter som finns,
„„ vad det skulle kosta att genomföra åtgärderna,
„„ de särskilda risker som finns med behandlingen
av personuppgifterna, och
„„ hur pass känsliga de behandlade
personuppgifterna är.
Råden riktar sig alltså till den som behandlar personupp­
gifter enligt personuppgiftslagen.
Stockholm november 2008
4
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Inledning
I personuppgiftslagen finns bestämmelser om säkerhet
vid behandling av personuppgifter. Syftet med person­
uppgiftslagen är att skydda människor mot att deras
personliga integritet kränks vid behandling av person­
uppgifter.
Säkerhet
Säkerhet är en viktig del av skyddet för den personliga
integriteten. Den som behandlar personuppgifter
med hjälp av informationsteknik måste därför skydda
uppgifterna. En tillfredsställande säkerhet är ett krav
enligt personuppgiftslagen.
Många har redan en god säkerhet för att skydda uppgifter,
till exempel för att skydda sig mot ekonomiska förluster.
Detta är dock inte alltid detsamma som att ha en god
säkerhet för att skydda de registrerades integritet.
Råden är inte bindande. De är rekommendationer om hur
de bindande kraven i personuppgiftslagen om säkerhet
kan uppnås. Enligt personuppgiftslagen får Datainspek­
tionen i enskilda fall besluta om vilka säkerhetsåtgärder
som ska vidtas. Bindande föreskrifter om säkerhet kan
meddelas till exempel vid behandling av personuppgifter
som innebär särskilda risker för otillbörligt intrång i den
personliga integriteten eller om inspektionen vid till
exempel tillsyn finner brister vid behandling av person­
uppgifter.
Bedömningen av vilka säkerhetsåtgärder som behövs
är beroende bland annat av vilka personuppgifter som
behandlas.
Ytterligare åtgärder, som inte nämns i dessa allmänna råd,
kan vara nödvändiga för att skydda de personuppgifter
som behandlas.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
5
FAK TA
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet.
Behandling av personuppgifter
Varje åtgärd eller serie av åtgärder som vidtas i fråga om
personuppgifter till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande,
användning, utlämnande genom översändande, spridning eller
annat tillhandahållande av uppgifter, sammanställning eller
samkörning, blockering, utplåning eller förstöring.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer
ändamålen med och medlen för behandlingen av person­
uppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgifts­
ansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter
behandlas på ett korrekt och lagligt sätt.
Utöver Datainspektionens allmänna råd om säkerhet
finns Ledningssystem för informationssäkerhet med krav
och råd om säkerhet i svensk standard för informations­
säkerhet, SS-ISO/IEC 27001 och SS-ISO/IEC 27002 som
ingår i ISO 27000-serien.
Datainspektionens allmänna råd om säkerhet innehåller
både råd och allmän information. De allmänna råden
anges med fetstil.
6
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Ansvaret för säkerheten
Personuppgiftsansvarig är den som ensam eller
tillsammans med andra bestämmer ändamålen med och
medlen för behandlingen av personuppgifter
Personuppgiftsansvarig
(3 § personuppgiftslagen)
Personuppgiftsansvarig är normalt den juridiska person
(till exempel aktiebolag, stiftelse eller förening) eller
den myndighet som behandlar personuppgifter i sin
verksamhet och som bestämmer vilka uppgifter som ska
behandlas och vad uppgifterna ska användas till. Det är
alltså är inte chefen på en arbetsplats eller en anställd
som är personuppgiftsansvarig. Undantagsvis kan en
fysisk person vara personuppgiftsansvarig, till exempel en
enskild företagare.
Det är de faktiska omständigheterna i det enskilda fallet
som avgör vem som är personuppgiftsansvarig, det vill
säga vem som faktiskt bestämmer över behandlingen.
Avtal där ansvaret preciseras kan ge vägledning vid
bedömningen. Om två eller flera gemensamt bestämmer
över en viss behandling är de personuppgiftsansvariga
tillsammans.
Vem som är personuppgiftsansvarig för en viss behandling
kan också särskilt anges i lag eller förordning, till exempel
i särskilda registerlagar.
En användare som enbart har rätt att komma åt person­
uppgifter genom att läsa dem och söka bland dem, men
som inte självständigt får ändra, komplettera eller radera
uppgifterna är inte personuppgiftsansvarig.
En juridisk person eller en myndighet är personuppgifts­
ansvarig även om verksamheten bedrivs i filialer eller
andra organisatoriska enheter.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
7
Om flera juridiska personer i en organisation behöver
behandla samma personuppgifter (till exempel föra ett
register över alla anställda i en koncern), kan ansvars­
fördelningen se ut på olika sätt.
Om moderbolaget ensamt bestämmer över behandlingen
blir moderbolaget personuppgiftsansvarig.
För det fall alla bolag inom en koncern gemensamt
bestämmer över behandlingen blir de tillsammans
ansvariga för det aktuella registret.
De olika koncernbolagen kan naturligtvis samtidigt var för
sig vara personuppgiftsansvariga för andra register som de
självständigt bestämmer över.
I en kommun är normalt både kommunstyrelsen och de
kommunala nämnderna om de är så självständiga att de
är förvaltningsmyndigheter personuppgiftsansvariga,
var och en i sin verksamhet. Vilket organ i kommunen
som är personuppgiftsansvarig kan inte anges generellt;
de faktiska omständigheterna i det enskilda fallet måste
beaktas, till exempel om nämnden och dess förvaltning
självständigt förfogar över de personuppgifter som
behandlas.
Den personuppgiftsansvarige ska enligt 31 § personupp­
giftslagen vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är
lämplig med beaktande av:
„„ de tekniska möjligheter som finns,
„„ vad det skulle kosta att genomföra åtgärderna,
„„ de särskilda risker som finns med behandlingen av
personuppgifterna, och
„„ hur känsliga de behandlade personuppgifterna är.
8
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Personuppgiftsbiträde är den som behandlar person­
uppgifter för den personuppgiftsansvariges räkning.
(3 § personuppgiftslagen)
Personuppgiftsbiträde
Med benämningen personuppgiftsbiträde avses alltid
någon utanför den egna organisationen. En anställd eller
någon annan som behandlar personuppgifter under den
personuppgiftsansvariges direkta ansvar är inte person­
uppgiftsbiträde.
Ett personuppgiftsbiträde kan vara antingen en fysisk eller
en juridisk person. Om en personuppgiftsansvarig anlitar
till exempel en servicebyrå, blir denna ett personupp­
giftsbiträde som får behandla personuppgifter enligt den
personuppgiftsansvariges instruktioner.
När den personuppgiftsansvarige anlitar ett personupp­
giftsbiträde, ska den personuppgiftsansvarige enligt 31 §
personuppgiftslagen förvissa sig om att personuppgifts­
biträdet kan genomföra de säkerhetsåtgärder som måste
vidtas och se till att personuppgiftsbiträdet verkligen
vidtar åtgärderna.
Ett personuppgiftsbiträde får behandla personuppgifter
enbart i enlighet med instruktioner från den personupp­
giftsansvarige och är skyldig att vidta de säkerhetsåtgärder
som den personuppgiftsansvarige kräver/instruerar om.
Ett skriftligt avtal som reglerar förhållandet mellan
personuppgiftsbiträdet och den personuppgiftsansvarige
ska enligt 30 § personuppgiftslagen upprättas. I avtalet ska
säkerhetsåtgärderna vid behandlingen av personuppgifter
regleras.
Kravet på skriftlighet innebär att avtalet måste vara
uttryckt i text, men texten kan finnas på papper eller i
elektronisk form. Något krav på att avtalshandlingen ska
Datainspektionens allmänna råd – Säkerhet för personuppgifter
9
vara undertecknad finns inte, men kan ur bevishänseende
rekommenderas.
Den personuppgiftsansvarige kan överlåta den faktiska
behandlingen av personuppgifter, men personuppgifts­
ansvaret kan aldrig överlåtas. Det är alltid den person­
uppgiftsansvarige som ytterst svarar för att personupp­
giftslagen följs och att de registrerade behandlas korrekt.
Person­
uppgifts­ombud
Personuppgiftsombud är den fysiska person som den
personuppgiftsansvarige har utsett att självständigt
se till att personuppgifter behandlas på ett korrekt
och lagligt sätt.
(3 § personuppgiftslagen)
Har personuppgiftsombudet anledning att misstänka att
den personuppgiftsansvarige bryter mot de bestämmelser
som gäller för behandlingen av personuppgifter och vidtas
inte rättelse så snart det kan ske efter påpekande, ska
personuppgiftsombudet enligt 38 § andra stycket person­
uppgiftslagen anmäla förhållandet till Datainspektionen.
Även om det finns ett personuppgiftsombud svarar den
personuppgiftsansvarige för att det vidtas lämpliga
tekniska och organisatoriska åtgärder för att skydda de
personuppgifter som behandlas.
Mer information om ombudets roll och arbetsuppgifter
finns på Datainspektionens webbplats www.datainspek­
tionen.se/personuppgiftsombud.
Övriga
personer
10
Den eller de personer som arbetar under ledning av den
personuppgiftsansvarige eller personuppgiftsbiträdet får
behandla personuppgifter enbart i enlighet med instruk­
tioner från den personuppgiftsansvarige eller personupp­
giftsbiträdet.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Skada och kränkning av den personliga integriteten som
uppkommer till följd av till exempel bristande säkerhet
kan leda till skadestånd enligt 48 § personuppgiftslagen.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Skadestånd
11
Organisation
Inledning
Personalen är den viktigaste resursen i säkerhetsarbetet.
Man kan ha bra och dyr teknisk utrustning för säkerhet,
men om utrustningen inte används rätt är investeringen
bortkastad. Fungerande administrativa rutiner är väl så
viktiga som tekniska lösningar.
Säkerhetspolicy
En personuppgiftsansvarig bör, i vart fall om en
omfattande behandling av personuppgifter utförs
eller om känsliga personuppgifter behandlas, ha en
fastställd säkerhetspolicy.
I en säkerhetspolicy bör man lämpligen redovisa
organisationens säkerhetsstrategi, ansvarsfördelning
och övergripande mål för säkerheten. En säkerhets­
policy bör vara tydlig samt lätt att förstå och tillämpa
i praktiken.
Om det finns anställda i verksamheten bör policyn
vara skriftlig och allmänt tillgänglig inom organisa­
tionen.
Säkerhetspolicyn bör fortlöpande omprövas och
anpassas till det aktuella behovet av skydd.
En säkerhetspolicy bildar grunden för säkerhetsarbetet
och ligger till grund för organisationens riktlinjer och
regler för hantering av personuppgifter.
En otydlig och svårtillämpad säkerhetspolicy kan
uppfattas som en formalitet som måste finnas men som
inte berör de anställda.
Kontroll/
avstämning
12
För att säkerställa att riktlinjer och regler följs bör
kontroller genomföras. Inom en organisation bör det
även finnas rutiner för rapportering och uppföljning
av säkerhetsincidenter.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Rätt kompetens är en viktig faktor för en fungerande
säkerhetsorganisation.
Personalen
Den personuppgiftsansvarige bör utforma arbets­
rutiner och arbetsuppgifter på ett sådant sätt att
det blir möjligt för personalen att arbeta och tänka
säkerhetsmedvetet.
En effektiv stödfunktion för praktiska IT-frågor eliminerar
många misstag som orsakas av okunnighet.
I en organisation bör man undvika ett person­
beroende. Mer än en person bör till exempel känna
till hur IT-utrustningen fungerar.
Den personuppgiftsansvarige bör se till att alla
som har tillgång till personuppgifter får relevant
utbildning.
Intrång kan förorsakas av den egna personalen. Intrången
kan både vara avsiktliga och oavsiktliga. Genom att ge de
anställda en klar uppfattning om:
„„ vad som är tillåtet,
„„ vilka konsekvenserna blir om man bryter mot
en regel, och
„„ hur efterlevnaden av reglerna följs upp kan man
minska risken för intrång inom verksamheten.
Det är viktigt att skapa medvetenhet inom hela organisa­
tionen om vilka riskerna är samt att:
„„ lära personalen att uppmärksamma tecken på
eventuella intrång,
„„ göra klart vem personalen ska vända sig till när den
misstänker intrång.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
13
Mänskliga
misstag
Den personuppgiftsansvarige bör se till att perso­nalen informeras om vikten av att följa gällande
säkerhetsrutiner. Den personuppgiftsansvarige bör
göra klart för personalen att det är viktigt att:
„„ inte skriva upp lösenord,
„„ logga ut när man lämnar arbetsstationen,
„„ inte använda gemensam användaridentitet,
„„ inte ha bildskärmen vänd så att obehöriga
„„ kan läsa informationen,
„„ inte dela med sig information till någon annan
utan att vara säker på att den personen är
behörig att få ta del av informationen,
„„ inte skriva ut känslig information på en skrivare
som obehöriga har eller lätt kan skaffa sig
tillgång till.
14
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Hotbild
Störningar kan medföra att personuppgifter förstörs, att
de förändras så de blir felaktiga eller missvisande eller
sprids till obehöriga. Detta kan medföra att människors
personliga integritet kränks.
Störningar
Störningarna kan till exempel bestå i felaktigt handhavande, driftstörningar, olyckshändelser, sabotage, stöld
av utrustning eller obehörig åtkomst till personuppgifter.
Utgångspunkten för säkerhetsarbetet är medvetenhet om
vilka risker som finns i den egna IT-miljön. Först när man
vet vad man vill skydda sig mot och vad man vill skydda
kan man bygga upp en god och kostnadseffektiv säkerhet.
Genom att kartlägga riskerna kan man undvika att
resurser koncentreras till områden där de inte gör någon
nytta, medan områden där de verkliga hoten finns förblir
oskyddade.
Hotbilden
En bedömning av sannolikheten för olika typer av
störningar och konsekvenserna av dessa bör göras
som underlag för utformningen av säkerhetsåtgärder.
Den personuppgiftsansvarige bör därför göra klart
för sig:
„„ vilken hotbild som finns, det vill säga vilka
händelser som skulle kunna drabba den egna
IT-miljön,
„„ hur stor risken är för att ett hot blir verklighet,
„„ vilka konsekvenserna kan bli om ett hot blir
verklighet,
„„ vilka resurser en obehörig behöver för att
realisera ett hot, det vill säga vilken kunskap,
utrustning, eller omständighet som krävs för att
hotet ska kunna inträffa.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
15
Sårbarhets- Det finns flera etablerade metoder för sårbarhets- och
och risk­ riskanalyser. När man använder dessa metoder, särskilt
analyser de som baseras på checklistor, är det viktigt att komma
ihåg att det ofta är fråga om generella riktlinjer. Styrkan
med metoderna är att någon redan har tänkt igenom
olika situationer som kan uppstå. Man får stöd så att inte
något viktigt glöms bort. Dessutom går man systematiskt
till väga när man arbetar efter en redan fastlagd metod.
Nackdelen med att använda en checklista är att det
finns en risk för att man arbetar mekaniskt efter listan
och därmed låter bli att tänka själv samt att verkligen
analysera resultaten.
16
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Säkerhetsnivå
Personuppgiftslagen kräver att den personuppgifts­
ansvarige vidtar lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna ska ställas i relation till:
Lämplig
säkerhetsnivå
„„ de tekniska möjligheter som finns,
„„ kostnader för åtgärderna,
„„ de risker som finns, samt
„„ de behandlade uppgifternas känslighet.
Bedömningen av de tekniska möjligheter som finns kan till
exempel avse vilka fysiska och logiska säkerhetshjälpmedel
som finns tillgängliga på marknaden.
Vidare kan vägas in vad det skulle kosta att genomföra
åtgärderna. Den personuppgiftsansvarige behöver alltså
inte använda den allra bästa tekniken om det skulle kosta
för mycket. Det räcker således i huvudsak att använda
utrustning som normalt används och finns att tillgå på
marknaden.
En särskild riskfaktor är antalet personer som de
behandlande uppgifterna avser. Skador av till exempel
ett angrepp kan bli mer omfattande när uppgifter om
många personer behandlas. En angripare kan antas vara
beredd att lägga ned större resurser på ett intrång om han
samtidigt kan skaffa sig tillgång till uppgifter om många
personer.
Känsligheten hos de personuppgifter som behandlas beror
på flera faktorer och måste alltid bedömas särskilt. Arten
av de uppgifter som behandlas har stor betydelse men
även mängden av uppgifter om varje person måste beaktas
eftersom den bestämmer hur detaljerad bild som kan
erhållas.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
17
Anledningen till behandlingen av personuppgifterna kan
vara känslig liksom förekomsten av en personuppgift (till
exempel ett register över personer som utgör en utsatt
grupp).
Som exempel på personuppgifter som normalt inte är att
anse som känsliga är personuppgifter som följer av:
„„ medlemskap,
„„ anställningsförhållande,
„„ kundförhållande, eller
„„ något därmed jämförligt förhållande.
Som exempel på personuppgifter som normalt är att anse
som känsliga kan nämnas uppgifter angående:
„„ ekonomisk hjälp eller vård inom socialtjänsten,
„„ enskilds personliga och ekonomiska förhållanden
inom bank- och försäkringsväsendet,
„„ uppgifter inom kreditupplysning eller inkasso­
verksamhet.
Ett uttryck för att det är fråga om känsliga uppgifter
kan vara att uppgifterna omfattas av sekretess enligt
sekretess­lagen (1980:100).
Känsliga
uppgifter
Som känsliga personuppgifter enligt personuppgiftslagen
betecknas uppgifter som avslöjar:
„„ ras eller etniskt ursprung,
„„ politiska åsikter,
„„ religiös eller filosofisk övertygelse,
„„ medlemskap i fackförening, eller
„„ personuppgifter som rör hälsa eller sexualliv.
Personuppgifter om lagöverträdelser som innefattar
brott, domar i brottmål, straffprocessuella
tvångsmedel eller administrativa frihetsberövanden
18
Datainspektionens allmänna råd – Säkerhet för personuppgifter
klassificeras inte som känsliga enligt person­
uppgiftslagen men bör ändå när det gäller säkerhet
jämställas med känsliga uppgifter.
Uppgifternas art är alltså av stor betydelse för vilken
säkerhet som bör iakttas. Om känsliga uppgifter
behandlas ställs högre krav på säkerheten.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
19
Säkerhetsåtgärder
Fysisk
säkerhet
IT-utrustning som används för behandling av person­
uppgifter bör ha ett tillfredsställande skydd mot
stöld och händelser som kan förstöra utrustningen.
Den personuppgiftsansvarige bör därför se över
behovet av till exempel
låsutrustning,
inpasseringskontroll,
galler för fönster,
en fungerande larmutrustning för till exempel
rök, brand, vatten och inbrott,
„„ utrustning som skyddar vid strömavbrott
och strömstörningar,
„„ kylanläggning,
„„ skydd mot rök- och vattenskada,
„„ brandsläckningsutrustning,
„„ speciell placering av utrustning,
„„ säkerhetsskåp,
„„ märkning av utrustning.
„„
„„
„„
„„
Det kan ibland bli konflikt mellan olika skyddsåtgärder.
Till exempel kan brandskyddskrav på olåsta dörrar komma
i konflikt med krav på inpasseringskontroll. Kravet på att
begränsa antalet personer som har åtkomst till systemet
kan strida mot kravet på personoberoende när det gäller
IT-utrustning och system. I sådana situationer måste man
vara extra vaksam när man väljer lämpliga skyddsåtgärder.
Särskilda krav på säkerhet behövs när portabel ITutrustning som mobila enheter och flyttbara lagringsmedia används. När man använder sådan utrustning är
risken särskilt stor för att utomstående kan komma åt
personuppgifterna. Känsliga personuppgifter kan därför
behöva krypteras.
20
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Rutiner för användning av portabel IT-utrustning och
hur utrustningen och personuppgifterna i den ska
skyddas bör, beroende på känsligheten hos person­
uppgifterna, upprättas.
För att säkerställa att endast behörig personal får
tillträde till utrymmen där IT-utrustning finns bör
rutiner för en tillträdeskontroll upprättas.
Tillträdeskontroll
Behovet av att kunna utföra en arbetsuppgift bör vara
utgångspunkten för en tillträdeskontroll. I en organi­
sation bör övervägas att skapa områden med olika
typer av tillträdeskontroll.
För att förhindra obehörig användning eller åtkomst
bör ett system för behörighetskontroll upprättas. Ett
sådant system bör omfatta möjligheter att identifiera
användare och bekräfta användarens identitet,
exempelvis genom användning av personliga
lösenord. Andra tekniker för identifiering, till
exempel engångslösenord, aktiva behörighetskort
eller biometriska metoder, till exempel fingeravtryck
bör övervägas.
Behörighetskontroll
Systemet bör kunna kontrollera användningen så att
endast de som behöver uppgifterna för sitt arbete
får tillgång till åtkomstskyddade personuppgifter.
Det bör finnas rutiner för tilldelning och kontroll av
behörigheter.
Kryptering, där krypteringsnycklarna är tillräckligt
kraftfulla och där nycklarna handhas på ett säkert sätt,
kan användas som skydd även när man vill försäkra sig
om att personal som behöver fullständiga rättigheter till
systemet inte ska kunna läsa viss information.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
21
Behandlingshistorik (logg)
För att åtkomsten ska kunna kontrolleras bör det,
beroende på känsligheten hos personuppgifterna,
finnas en behandlingshistorik som sparas en viss tid.
En behandlingshistorik behövs normalt inte om endast en
person använder utrustningen.
En behandlingshistorik bör följas upp och skyddas
mot otillåtna ändringar.
En behandlingshistorik bör normalt vara så
detaljerad att den kan användas för att utreda
felaktig eller obehörig användning av person­
uppgifter. Behandlingshistoriken bör, beroende
på känsligheten hos personuppgifterna, ange till
exempel läsning, ändring, utplåning eller kopiering
av personuppgifter.
En behandlingshistorik bör inte utformas eller
utnyttjas så att den medför risk för intrång i
personalens integritet.
En behandlingshistorik har också en förebyggande
funktion. Förutsättningen för det är att användarna
informeras om att det förs en behandlingshistorik och att
den kontrolleras.
Inloggning
och lösenord
I fråga om inloggning och lösenord bör följande
iakttas:
„„ Användaridentitet och lösenord bör inte
antecknas där andra kan komma åt uppgifterna.
„„ Lösenordet bör regelbundet bytas.
„„ Personlig inloggningsidentitet bör aldrig
överlåtas till någon annan.
„„ En skärmsläckare med lösenord bör användas
om inte utloggning alltid sker när en arbets­
station lämnas obemannad, även för en kort tid.
22
Datainspektionens allmänna råd – Säkerhet för personuppgifter
„„ Lösenord bör vara långa och det är bra att
blanda små och stora bokstäver med siffror.
Ett lösenord bör vara lätt att komma ihåg och svårt att
gissa och bör inte kunna hänföras till användaren.
Dessa krav är motsägelsefulla, men om man tänker på
en hel mening, till exempel 5 Fula elefanter flög till de
7 månarna och använder de första bokstäverna i varje
ord och siffrorna blir lösenordet 5Feftd7m . Lösenordet
blir då svårt att gissa för en utomstående, men lätt för
innehavaren att komma ihåg. Lösenord bör inte lagras i
klartext i behörighetskontrollsystem.
För att förhindra att personuppgifter förstörs, ändras
eller förvanskas vid överföring via nät och för att
skydda anslutna tjänster mot obehörig åtkomst
bör den personuppgiftsansvarige införa lämpliga
åtgärder för att åstadkomma en tillfredsställande
säkerhet. Personuppgifter som överförs via nät bör,
beroende på känsligheten hos personuppgifterna,
skyddas, till exempel genom kryptering.
Kommu­
nikation
När utrustningen ansluts till Internet eller annat
öppet nät bör anslutningen skyddas för att förhindra
obehörig trafik. I samma syfte bör åtkomst
förhindras från det öppna nätet till annan utrustning
eller lokala nät hos den personuppgiftsansvarige. Om
uppgifterna endast får lämnas ut till identifierade
användare bör mottagarens identitet säkerställas.
Mottagarens identitet kan säkerställas genom e-legiti­
mation, engångslösenord, aktiva behörighetskort eller
motsvarande.
Behovet av åtgärder och policy för att minska
säkerhetsrisker vid användning av elektronisk post
bör övervägas.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
23
Genom exempelvis kryptering förhindrar man att
uppgifterna kan läsas eller förvanskas i samband med
överföringen. För att kryptering ska ge det skydd som
krävs måste krypteringsnycklarna vara tillräckligt
kraftfulla och nycklarna måste handhas på ett säkert sätt.
Om extern datakommunikation upprättas via en
anslutning kan obehöriga få åtkomst till datorsystemet om
inte en säker identifiering av användaren utförs.
Åtgärder mot
förlust av
information
Information kan försvinna och förstöras på olika sätt. Det
viktigaste skyddet mot förlust är säkerhetskopiering.
För att förhindra förlust av personuppgifter bör
rutiner för säkerhetskopiering finnas. För att
säkerhetskopieringen ska fungera bör den person­
uppgiftsansvarige se till att:
„„ Säkerhetskopior tas tillräckligt ofta.
„„ Kopieringen automatiseras för att eliminera
risken för mänskliga misstag.
„„ Flera generationer av säkerhetskopior sparas.
„„ Prova regelbundet att det går att återskapa
säkerhetskopian. Prova om möjligt också på
annan dator än den där kopian gjordes.
„„ Förvara kopian skyddad och gärna i flera
exemplar på olika skyddade platser.
„„ Skapa rutiner för att logga kopieringen och att
loggen läses efter varje kopiering för att se att
inga fel har uppstått under kopieringen.
Att systemet kan återskapas från säkerhetskopian testas
lämpligen av den som i praktiken är ansvarig för att
informationen återskapas. Regelbundna tester gör den
systemansvarige rutinerad och säker när han ska utföra
kopieringen i praktiken. Tyvärr är det vanligt att informa­
tionen går förlorad på grund av att rutiner för säkerhets­
24
Datainspektionens allmänna råd – Säkerhet för personuppgifter
kopiering inte fungerar. Informationen kanske inte har
blivit kopierad trots att det såg ut så. Det förekommer
också att ingen vet hur man återskapar systemet från
säkerhetskopian, liksom att den enda säkerhetskopian som
fanns har förvarats i samma rum som datorn och förstörts
samtidigt vid en brand.
När fasta eller löstagbara lagringsmedier som
innehåller personuppgifter inte längre ska användas
för sitt ändamål bör lagringsmedierna förstöras, eller
alternativt raderas på sådant sätt att uppgifterna inte
kan återskapas.
Utplåning
Reparation och service bör ske på ett sådant sätt att
personuppgifter inte blir tillgängliga för obehöriga.
När reparation och service av IT-utrustning utförs av
annan än den personuppgiftsansvarige bör, beroende
på personuppgifternas känslighet, ett avtal om
säkerhet träffas med serviceföretaget. Ett sådant avtal
bör till exempel innehålla bestämmelser om vilka
säkerhetsrutiner som ska tillämpas i samband med
service.
Reparation
och service
Information kan förstöras av skadliga program. Det
ökande behovet av datakommunikation ökar risken för
spridning av skadliga program.
Skydd mot
skadliga
program
Den personuppgiftsansvarige bör se över vilka
åtgärder som bör införas för att upptäcka och skydda
mot skadliga program.
Det finns leverantörer som erbjuder stöd vid till exempel
en virusattack. Leverantörer har ofta goda kunskaper på
området och är experter på hur man gör för att minska
skadan.
Datainspektionens allmänna råd – Säkerhet för personuppgifter
25
Genom att upprätta en särskild policy för användande
av Internet och portabel IT-utrustning kan man minska
risken för att skadliga program kommer in i datorsystemet.
En kartläggning av alla ingångar till datorsystemet är en
relevant åtgärd när man ser över sin hotbild angående
skadliga program.
Verifiering
av säkerheten
Regelbundna tester är viktiga om man ska försäkra sig om
att säkerhetsorganisationen och utrustningen fungerar
samt för att hitta eventuella brister i säkerheten.
Det finns företag som erbjuder tjänster för detta. Dessa
företag har kunskap om var brister kan finnas. De har även
den tekniska utrustning som krävs för testerna.
Andra
åtgärder
När det gäller åtgärder mot otillbörlig åtkomst bör
den personuppgiftsansvarige även se över behovet av
till exempel:
„„ rutiner vid besök,
„„ rutiner och regler vid distansarbete
och Internetanvändning,
„„ rutiner för att ta bort inaktuella användar­
konton,
„„ avstängning av modem när det inte används,
„„ installation av aktuella programrättelser från
leverantörerna för att motverka säkerhetshål
i programvaror,
„„ skyddsåtgärder mot avlyssning och röjande
signaler.
26
Datainspektionens allmänna råd – Säkerhet för personuppgifter
Sammanfattning
Den personuppgiftsansvarige bör tänka på att:
„„ Kartlägga hotbilden
„„ Sätta mätbara mål för säkerhet
„„ Fastställa policy för säkerhet
„„ Skapa en fungerande organisation för säkerhet
„„ Skaffa den utrustning som behövs och använda
den rätt
„„ Upprätta regler och rutiner
„„ Informera och utbilda kontinuerligt
„„ Följa upp att regler och rutiner efterlevs
och respekteras
„„ Testa säkerheten regelbundet
Datainspektionens allmänna råd – Säkerhet för personuppgifter
27
Datainspektionen
Datainspektionen är en myndighet som arbetar för att behand­
lingen av personuppgifter i samhället inte ska medföra
otillbörliga intrång i enskilda människors personliga integritet.
Ansvarsområdet omfattar framförallt personuppgiftslagen,
inkassolagen och kreditupplysningslagen. Datainspektionen gör
inspektioner och hanterar klagomål från enskilda medborgare
samt tar fram vägledningar och ger synpunkter på utredningar
och lagförslag. Datainspektionen har också en omfattande
informationsverksamhet, vi utbildar, svarar på frågor och ger stöd
till personuppgiftsombud.
Datainspektionens allmänna råd
Datainspektionen ger ut allmänna råd med rekommendationer
i olika frågor. Råden ligger till grund för de föreskrifter som
Datainspektionen ger exempelvis i samband med tillsyn och när
tillstånd för inkassoverksamhet utfärdas. Broschyrerna beställer
på vår webbplats www.datainspektionen.se.
Kontakta Datainspektionen
E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se
Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.
28
Datainspektionens allmänna råd – Säkerhet för personuppgifter
2015-03-05
1
PuL-bedömning och riskanalys av
Office365 som molntjänst
.
2
1. Beskrivning av användningen




Kommunikationsverktyg
o lärare-lärare (utbyte av erfarenheter, dela goda exempel, lektionsplaneringar etc.),
o lärare-elev (läxor, inlämningsuppgifter, arbetsmaterial, feedback från lärare etc.)
o lärare-vårdnadshavare (möjlighet att följa arbetsprocesser och elevens utvecklingsplan och
omdöme, förberedelse inför utvecklingssamtal, information om läxor, kalendarium m.m.)
o Allmän kommunikation mellan anställda
o Videokonferens såväl internt inom kommunen som externt med annan part.
Planeringsverktyg för lärare
o terminsplanering, lektionsplanering, digitala samarbetsytor för pedagoger etc.
Arbetsdokument
E-post
2. Behandling av personuppgifter
Arbetsuppgifter, bedömningar och individuella utvecklingsplaner kopplade till enskilda elever och
klasser.
2.1 Ändamål med behandlingen



Att stödja elevers utveckling mot målen och att ge vårdnadshavare möjlighet att följa processen.
Lagring av data
Kommunikation
2.2 Typ av uppgifter
Definition på personuppgift: ”All slags information som direkt eller indirekt kan hänföras till en fysisk
person som är i livet.”
I detta fall är det inte bara namn och klass som behandlas, utan allt som kan utgöra uppgifter som kan
härröra till en viss person, är att betrakta som en personuppgift: tex diagnoser, diverse problem som tex
ätstörningar, aggressivt beteende, specifika händelser som ett bråk, dvs allt som kan röja en persons
integritet.
Det systemet ska användas till hör ihop med vilka personuppgifter som kommer att behandlas.




Elevers namn samt klass och skoltillhörighet.
E-postadresser
E-post
Arbetsdokument
2.3 Tillåten behandling
§ 9 PUL Vara laglig, korrekt och i enlighet med god sed.
Ändamålen ska vara särskilda, uttryckligt angivna och berättigade och man får ej behandla personuppgifter
för oförenliga ändamål.
Uppgifterna ska vara adekvata, relevanta, riktiga och aktuella. Får inte vara fler än nödvändigt, får ej bevaras
längre än nödvändigt (och bara för det ursprungliga ändamålet).
•
§ 10 PUL om Samtycke: Vad är samtycke enligt PUL?
3
•
Frivilligt
•
Särskilt
•
Otvetydigt
•
Individuellt
•
Informerat
•
Skriftligt, muntligt eller konkludent handlande
•
Kan återkallas
§ 10 Behandlingen ska också vara nödvändig pga:
a)
Avtal med den registrerade
b) Rättslig skyldighet
c)
Skydda vitala intressen för den registrerade
d) Arbetsuppgift av allmänt intresse
e)
Myndighetsutövning
f)
Berättigat intresse – efter en intresseavvägning
Känsliga personuppgifter är:
•
Ras eller etniskt ursprung
•
Politiska åsikter
•
Religiös eller filosofisk övertygelse
•
Medlemskap i fackförening
•
Hälsa och sexualliv
Som huvudregel är det förbjudet att behandla känsliga personuppgifter.
Personnummer får behandlas om:
1.
Samtycke finns
2.
Klart motiverat med hänsyn till:
a.
Ändamålet med behandlingen
b.
Vikten av säker identifiering
c.
Något annat beaktansvärt skäl
2.4 Information till registrerade
Information om kommunikationsverktyget ges via förvaltningens hemsida samt till elever och
vårdnadshavare via respektive skola i samband med föräldramöte, utvecklingssamtal, skolsamråd
etc.
2.5 Personsuppgiftbiträde
Microsoft.
4
2.6 Överföra personuppgifter till tredje land
Nej enligt avtal.
3. Avtalsvillkor för tjänsten
3.1 Standardavtal
Ja, bifogade avtal
Grundskole- och gymnasienämnden har till huvudavtalet ”Microsoft Campus och School-avtal”
bilagt med tilläggsavtalen EES18 vilket är personuppgiftsbiträdesavtalet och M100 vilket avser
EUs standardkontraktsklausuler.
3.2 Underleverantörer och kontroll
Personuppgiftsbiträdet kommer att anlita underleverantörer. Den personuppgiftsansvarige har
kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den
personuppgiftsansvariges personuppgifter. Den personuppgiftsansvarige kan säkerställa sin
kontroll över behandlingen.
Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer
som för tillfället deltar i behandlingen av personuppgifterna. En fullständig och uppdatera lista på
Microsofts underleverantörer för Office 365 finns på Microsofts Office 365 Säkerhetscenter.
(http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us).
Därutöver ges Vallentuna kommun rätt att få meddelanden om det läggs till underleverantörer och
säga upp avtalet om de inte godkänner dessa.
3.5 Uppsägning av tjänsten
Microsofts avtalsupplägg utgör en rörlighet och flexibilitet mellan molntjänster och klassisk
mjukvara på lokala servrar en garant för att Vallentuna Kommun löpande ska kunna anpassa sitt
upplägg efter ändrade risker och sårbarhet.
Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär
en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via
reviderade risk- och sårbarhetsanalyser.
5
4. Risk- och sårbarhetsanalys
Beskrivning
Elevers arbetsmaterial i skolan går förlorad pga. systemfel
Risk
Konsekvens
av det
inträffade
Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
Allvarlig
Konsekvens
X
Betydande
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Obehörig får del av personuppgifter och arbetsmaterial
risk
Konsekvens
Oönskad spridning av informationen.
av det
inträffade
Störningar i det pedagogiska arbetet.
Osäkerhet när det gäller användares aktivitet om det finns oklarhet i
identifieringen.
Kan leda till att användare tappar förtroende för tjänsten.
Allvarlig
Konsekvens
Betydande
Måttlig
X
6
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig
risk
informationssäkerhet
Konsekvens
Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte
av det
inträffade
uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för
informationsförlust.
Allvarlig
Konsekvens
X
Betydande
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget
risk
avtal eller att tjänsten avvecklas.
Konsekvens
Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed
av det
inträffade
verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete
går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin
arbetsmiljö.
7
Allvarlig
Konsekvens
X
Betydande
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Personal hos leverantör läser elevernas e-post
risk
Konsekvens
av det
inträffade
Obehörig får del av information av privat karaktär. Kan leda till att användare
tappar förtroende för tjänsten.
Allvarlig
Konsekvens
Betydande
Måttlig
X
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel
risk
Konsekvens
av det
inträffade
Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
8
Allvarlig
Konsekvens
Betydande
X
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Leverantören förmår inte upprätthålla tillgängligheten på tjänsten
risk
Konsekvens
av det
inträffade
Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö.
Ekonomiska konsekvenser vid förlorad arbetstid.
Allvarlig
Konsekvens
Betydande
X
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Information och personuppgifter raderas inte efter att elever har slutat i
risk
verksamheten
Konsekvens
Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern
av det
inträffade
information kan spridas till utomstående. Personuppgifter kan bevaras längre än
vad som är motiverat från verksamhetens behov.
Allvarlig
Konsekvens
Betydande
Måttlig
Försumbar
X
9
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö.
risk
Konsekvens
av det
inträffade
Störningar i IT-leveransen. Ekonomiska konsekvenser.
Allvarlig
Konsekvens
Betydande
X
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Leverantören behandlar personuppgifterna för egna ändamål
risk
Konsekvens
Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal
av det
inträffade
och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller
ekonomisk förlust för kommunen. Användares brist på förtroende.
Allvarlig
Konsekvens
X
Betydande
Måttlig
Försumbar
Mycket
sällan
Sällan
Regelbundet
Ofta
10
Sannolikhet
Beskrivning
. Leverantören uppgraderar/förändrar innehållet i tjänsten.
risk
Konsekvens
Avtalet kan behöva förändras för att stämma med ny funktionalitet.
av det
inträffade
Personupphandlingen kan förändras. Kan framtvinga hävande av avtal och/eller
byte av leverantör och därmed verksamhetsnyttoförlust.
Allvarlig
Konsekvens
Betydande
X
Måttlig
Försumbar
Mycket
Sällan
Regelbundet
Ofta
sällan
Sannolikhet
Beskrivning
Data och metadata kan inte överföras till annan IT-lösning vid avslutande av
risk
tjänsten.
Konsekvens
Information som man vill behålla i verksamheten förloras och man
måste börja om från noll varje gång man byter leverantör.
av det
inträffade
Konsekvens
Risk för inlåsning till befintlig leverantör.
Allvarlig
Betydande
X
11
Måttlig
Försumbar
Mycket
sällan
Sannolikhet
Sällan
Regelbundet
Ofta
12
Slutsats riskanalys
Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys.
För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Vallentuna Kommun och Microsoft
som molntjänstleverantör.
Beskrivning
Riskbedömning
Åtgärd
Elevers arbetsmaterial i
skolan går förlorat pga.
systemfel
Allvarlig/Mycket Sällan Det ska finnas backup av informationen
i tjänsten. Denna ska kunna kontrolleras
och prövas fortlöpande av kommunen.
Obehörig får del av
arbetsmaterial.
Betydande/Sällan
Leverantören ska etablera och
upprätthålla en informationssäkerhet
som skyddar mot intrång. Denna ska
kunna kontrolleras och prövas
fortlöpande av kommunen.
Utbildning och instruktioner till
användare.
Leverantören visar sig inte
kunna etablera
eller upprätthålla tillräcklig
informationssäkerhet.
Allvarlig/Mycket Sällan Leverantören ska etablera och
upprätthålla en informationssäkerhet
som kan kontrolleras och prövas
fortlöpande av kommunen.
Nivån för informationssäkerheten ska
göra det möjligt för kommunen att
uppfylla motsvarande krav som gäller
enligt Myndigheten för samhällsskydd
och beredskaps föreskrifter om statliga
myndigheters informationssäkerhet
(MSBFS 2009:10).
Personal hos leverantören
läser Elevernas e-post.
Måttlig/Mycket Sällan
Kommunen ska på egen hand kunna
sätta behörigheter för information i
tjänsten.
Leverantören går i konkurs,
köps upp av intressent som
inte respekterar ingånget
avtal eller att tjänsten
avvecklas.
Allvarlig/ Mycket Sällan Det ska finnas back-up av informationen
från tjänsten. Denna ska kunna
kontrolleras och prövas fortlöpande av
kommunen.
Back-up ska kunna användas av
kommunen utan leverantörens
medverkan eller godkännande.
Medarbetares arbetsmaterial Betydande /Mycket sällan Det ska finnas backup av informationen
i skolan går förlorad pga.
i tjänsten. Denna ska kunna kontrolleras
systemfel
och prövas fortlöpande av kommunen.
13
Leverantören förmår inte
upprätthålla tillgängligheten
på tjänsten.
Betydande /Mycket
sällan
Nivån på tillräcklig tillgänglighet ska
Virus eller annan fientlig kod
kan via tjänsten hota
kommunen övriga IT-miljö.
Betydande /Mycket
sällan
Leverantören har väl etablerade skydd
mot virus och fientlig kod där data
lagras och behandlas. Kommunen har
också virusskydd lokalt på klienter och
servrar i egen miljö där data kan
behandlas.
Information och
personuppgifter raderas inte
efter att elever har slutat i
verksamheten
Måttlig /Sällan
Avslutande av konton styrs från
kommunen. Leverantören garanterar att
data raderas i enlighet med instruktioner
från kommunen.
Leverantören behandlar
personuppgifterna för egna
ändamål
Allvarligt /Mycket
sällan
Leverantören garanterar i avtal att
personuppgifter endast kommer att
behandlas för de ändamål som
leverantören har anlitats för.
Leverantören
uppgraderar/förändrar
tjänsten.
Betydande / Mycket
sällan
Leverantören informerar löpande om
förändringar.
regleras i avtal. Nivån ska vara
konkret och mätbar och ge konsekvens
för leverantören vid återkommande
brister.
Data och metadata kan inte Betydande/ Mycket
överföras till annan IT-lösning sällan
vid avslutande av tjänsten.
Kommunen har rutiner för att granska
förändringarna och ta ställning till
konsekvens. Informationen till
användare kan behöva uppdateras.
Leverantören beskriver i avtalet hur
detta ska kunna genomföras
Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa
tjänsten efter nya bedömningar och ändrade förutsättningar.
Nämnden/Kommunen konstaterar att den valda tjänsten kan skötas både som en
molntjänst och som en lokal installation. Det innebär att kommunen kan välja att sköta
delar eller hela tjänsten och själv hämta tillbaka data om behov skulle uppstå i framtiden.
Formulär för undertecknande av Program
6-EWB37J2IZ
MBA-/MBSA-nummer
avtalsnummer
6177065
Obs! Ange tillämpliga aktiva nummer som tillhör dokumenten nedan. Microsoft kräver att associerade
aktiva nummer skall anges här eller som nya i listan nedan.
I detta formulär avser ”Kunden” den enhet som undertecknar formuläret, Anslutet Koncernbolag,
Myndighetspartner, Institution eller annan part som ingår ett volymlicensieringsprogramavtal.
Detta formulär för undertecknande och alla kontraktsdokument som anges i tabellen nedan har ingåtts
mellan Kunden och undertecknande Microsoft-koncernbolag, per nedan angivet ikraftträdandedatum.
Kontraktsdokument
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
EES Amendment
EES Amendment
Nummer eller Kod
Office 365 Data Process Agr - M100
Office 365 Data Process Agr - EES18
Genom att underteckna detta formulär nedan intygar Kunden och Microsofts Koncernbolag att båda
parter (1) har mottagit kopior av, läst och förstått ovan nämnda kontraktsdokument, inklusive eventuella
webbplatser eller dokument som ingår som referens och eventuella ändringar och (2) samtycker till att
vara bundna av villkoren i alla sådana dokument.
Kund
Enhetens namn (måste vara namnet på en juridisk person)* Vallentuna kommun
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
ProgramSignForm(MSSign)(EMEA)(SWE)(Oct2013)
Page 1 of 2
Microsofts koncernbolag
Microsoft Ireland Operations Limited
Momsnummer IE8256796U
Underskrift
Textat för- och efternamn
Textad titel
Datum för undertecknande
(det datum då Microsofts Koncernbolag kontrasignerar)
Avtalets ikraftträdandedatum
(kan vara annat än Microsofts datum för undertecknande)
Valfri ytterligare underskrift av Kund eller outsourcingleverantör (om tillämpligt)
Kund
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Outsourcing-leverantör
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Om Kunden kräver fysiska medier, ytterligare kontaktpersoner eller anger flera tidigare Registreringar
skall lämpliga formulär bifogas till detta formulär för undertecknande.
När Kunden har undertecknat detta formulär skickas det, tillsammans med kontraktsdokumenten, till
Kundens samarbetspartner (kanal) eller till Microsofts kundansvarige som måste inge dem till
nedanstående adress. När formuläret för undertecknande har undertecknats av Microsoft erhåller
Kunden ett exemplar som bekräftelse på detta.
Microsoft Ireland Operations Limited
Atrium Building Block B
Carmenhall Road
Sandyford Industrial Estate
Dublin 18, Ireland
Attention: EOC Program Operations Dept.
ProgramSignForm(MSSign)(EMEA)(SWE)(Oct2013)
Page 2 of 2
Enrollment for Education Solutions Addendum
Microsoft Online Services Data Processing Agreement
(with EU Standard Contractual Clauses)
Amendment ID EES18
Enrollment for Education
Solutions number
6390604
6-EWB37J2IZ
Microsoft to complete
This Amendment consists of two parts. This is part 1 of 2 and must
be accompanied by and signed with part 2 of 2 (Annex 1) to be valid.
This amendment (“Amendment”) is entered into between the parties identified on the attached program
signature form. It amends the Enrollment or Agreement identified above. All terms used but not defined
in this Amendment will have the same meanings provided in that Enrollment or Agreement.
This amendment (“Amendment”) adds the Microsoft Online Services Data Processing Agreement (with
EU Standard Contractual Clauses) (“DPA”) to the enrollment identified above (“Enrollment”). The
Amendment is between the parties identified on the attached signature form. The parties agree that the
DPA supplements the Enrollment and applies to only the Microsoft Online Services, defined below,
Customer buys under the Enrollment.
1.
Defined terms.
Capitalized terms used but not defined in this DPA will have the meanings provided in the Enrollment.
The following definitions are used in this DPA:
“Customer” means Institution.
“Customer Data” means all data, including all text, sound, or image files that are provided to Microsoft
by, or on behalf of, Customer through Customer’s use of the Microsoft Online Services.
“Dynamics CRM Online Services” means Dynamics CRM Online services made available through
volume licensing or the Microsoft online services portal, excluding Dynamics CRM for supported
devices, which includes but it is not limited to Dynamics CRM Online services for tablets and/or
smartphones and any separately branded service made available with or connected to Dynamics CRM
Online.
“End User” means an individual that accesses the Microsoft Online Services.
“EU Data Protection Directive” means Directive 95/46/EC of the European Parliament and of the Council
of 24 October 1995 on the protection of individuals with regard to the processing of personal data and
on the free movement of such data.
“Microsoft Online Services” for this Microsoft Online Services Addendum only, means Office 365
Services and/or Dynamics CRM Online Services.
“Office 365 Services” means (a) Exchange Online, Exchange Online Archiving, SharePoint Online, Lync
Online, and Office Web Apps included in Office 365 Academic Plans A2, A3, and A4; and (b) Exchange
Online Plans 1, 2, Basic and Kiosk; SharePoint Online Plans 1, 2 and Kiosk; Office Web Apps Plans 1
and 2; and Lync Online Plans 1, 2 and 3. Office 365 Services do not include Office 365 ProPlus or any
separately branded service made available with an Office 365-branded plan or suite.
“Standard Contractual Clauses” means the agreement, executed by and between Customer and
Microsoft Corporation and attached to this Office 365 DPA as Annex 1 pursuant to European
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 1 of 8
Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal
data to processors established in third countries under the EU Data Protection Directive.
2.
Privacy.
a. Privacy Practices. Microsoft complies with all laws and regulations generally applicable
to its provision of the Microsoft Online Services. However, Microsoft is not responsible for
compliance with any laws applicable to Customer or Customer’s industry that are not
generally applicable to information technology services providers.
b. Customer Data. Microsoft will process Customer Data in accordance with the provisions
of this DPA and, except as stated in the Enrollment and this DPA, Microsoft (1) will acquire
no rights in Customer Data and (2) will not use or disclose Customer Data for any purpose
other than stated below. Microsoft’s use of Customer Data is as follows:
(i) Customer Data will be used only to provide Customer the Microsoft Online Services.
This may include troubleshooting aimed at preventing, detecting and repairing
problems affecting the operation of the Microsoft Online Services and the
improvement of features that involve the detection of, and protection against,
emerging and evolving threats to the user (such as malware or spam).
(ii) Microsoft will not disclose Customer Data to law enforcement unless required by
law. Should law enforcement contact Microsoft with a demand for Customer Data,
Microsoft will attempt to redirect the law enforcement agency to request that data
directly from Customer. As part of this effort, Microsoft may provide Customer’s
basic contact information to the agency. If compelled to disclose Customer Data to
law enforcement, then Microsoft will promptly notify Customer and provide a copy
of the demand, unless legally prohibited from doing so.
c. Customer Data Deletion or Return. Upon expiration or termination of Customer’s use of
the Microsoft Online Services, Customer may extract Customer Data and Microsoft will
delete Customer Data. The Product Use Rights specify the procedure and timeframes
applicable to extraction and deletion of Customer Data.
d. End User Requests. Microsoft will not independently respond to requests from
Customer’s End Users without Customer’s prior written consent, except where required by
applicable law.
e. Transfer of Customer Data; Appointment. Customer Data that Microsoft processes on
Customer’s behalf may be transferred to, and stored and processed in, the United States
or any other country in which Microsoft or its Affiliates or subcontractors maintain facilities.
Customer appoints Microsoft to perform any such transfer of Customer Data to any such
country and to store and process Customer Data in order to provide the Microsoft Online
Services. Microsoft (1) abides by the EU Safe Harbor and the Swiss Safe Harbor
frameworks as set forth by the U.S. Department of Commerce regarding the collection, use,
and retention of data from the European Union, the European Economic Area, and
Switzerland, and (2) will, during the term designated under the Enrollment, remain certified
under the EU and Swiss Safe Harbor programs so long as they are maintained by the
United States government. In addition, all transfers of Customer Data out of the European
Union, European Economic Area, and Switzerland shall be governed by the Standard
Contractual Clauses.
f.
Microsoft Personnel. Microsoft personnel will not process Customer Data without
authorization from Customer. Microsoft personnel are obligated to maintain the security
and secrecy of any Customer Data as provided in Section 5 below and this obligation
continues even after their engagement ends.
g. Subcontractor; Transfer. Microsoft may hire other companies to provide limited services
on its behalf, such as providing customer support. Any such subcontractors will be
permitted to obtain Customer Data only to deliver the services Microsoft has retained them
to provide, and they are prohibited from using Customer Data for any other purpose.
Microsoft remains responsible for its subcontractors’ compliance with the obligations of this
DPA. Any subcontractors to whom Microsoft transfers Customer Data will have entered
into written agreements with Microsoft requiring that the subcontractor provide at least the
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 2 of 8
same level of privacy protection with respect to personal data received from Microsoft as is
required by the relevant Safe Harbor principles. Customer has previously consented to
Microsoft’s transfer of Customer Data to subcontractors as described in this DPA. Except
as set forth above, or as Customer may otherwise authorize, Microsoft will not transfer to
any third party (not even for storage purposes) personal data Customer provides to
Microsoft through the use of the Microsoft Online Services.
3.
Customer responsibilities.
Customer must comply with applicable legal requirements for privacy, data protection, and
confidentiality of communications related to its use of Microsoft Online Services.
4.
Additional European terms.
If Customer has End Users in the European Economic Area or Switzerland, the additional terms in this
Section 4 will apply. Terms used in this Section that are not specifically defined will have the meaning
in the EU Data Protection Directive.
a. Intent of the Parties. For the Microsoft Online Services, Customer is the data controller
and Microsoft is a data processor acting on Customer’s behalf. As data processor, Microsoft
will only act upon Customer’s instructions. This DPA and the Enrollment (including the
terms and conditions incorporated by reference therein) are Customer’s complete and final
instructions to Microsoft for the processing of Customer Data. Any additional or alternate
instructions must be agreed to according to the process for amending Customer’s
Enrollment.
b. Duration and Object of Data Processing. The duration of data processing shall be for
the term designated under the Enrollment. The objective of the data processing is the
performance of the Microsoft Online Services.
c. Scope and Purpose of Data Processing. The scope and purpose of processing of
Customer Data, including any personal data included in the Customer Data, is described
in this DPA and the Enrollment.
d. Customer Data Access. For the term designated under the Enrollment Microsoft will, at
its election and as necessary under applicable law implementing Article 12(b) of the EU
Data Protection Directive, either: (1) provide Customer with the ability to correct, delete, or
block Customer Data, or (2) make such corrections, deletions, or blockages on Customer’s
behalf.
e. Adding new Subcontractors. Each Microsoft Online Service has a website that lists
subcontractors that are authorized to access Customer Data. At least 14 days before
authorizing any new subcontractor to access Customer Data, Microsoft will update the
applicable website and provide notice to all customers that have subscribed to compliance
notifications, as described in the website. If Customer does not approve of a new
subcontractor, then Customer may terminate the affected Microsoft Online Service without
penalty by providing, before the end of the notice period, written notice of termination that
includes an explanation of the grounds for non-approval. If the affected Microsoft Online
Service is part of a suite (or similar single purchase of services), then any termination will
apply to the entire suite. After termination, Microsoft will remove payment obligations for
the terminated Microsoft Online Services from subsequent Customer invoices.
f.
Privacy Officer. Microsoft’s privacy representative for the European Economic Area and
Switzerland can be reached at the following address:
Microsoft Ireland Operations Ltd.
Attn: Privacy Officer
Carmenhall Road
Sandyford, Dublin 18, Ireland
5.
Security.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 3 of 8
a. General Practices. Microsoft has implemented and will maintain appropriate technical and
organizational measures, internal controls, and information security routines intended to
protect Customer Data against accidental, unauthorized, or unlawful destruction as follows:
(i) Domain: Organization of information security.
1) Security ownership. Microsoft has appointed one or more security officers
responsible for coordinating and monitoring the security rules and procedures.
2) Security roles and responsibilities. Microsoft personnel with access to
Customer Data are subject to confidentiality obligations.
3) Risk management program. Microsoft performed a risk assessment before
processing the Customer Data or launching the Microsoft Online Service.
4) Microsoft retains its security documents pursuant to its retention requirements after
they are no longer in effect.
(ii) Domain: Asset management.
1) Asset inventory. Microsoft maintains an inventory of all media on which Customer
Data is stored. Access to the inventories of such media is restricted to Microsoft
personnel authorized in writing to have such access.
2) Asset handling.
A. Microsoft classifies Customer Data to help identify it and to allow for access to
it to be appropriately restricted (e.g., through encryption).
B. Microsoft imposes restrictions on printing Customer Data and has procedures
for disposing of printed materials that contain Customer Data.
C. Microsoft personnel must obtain Microsoft authorization prior to storing
Customer Data on portable devices, remotely accessing Customer Data, or
processing Customer Data outside Microsoft’s facilities.
(iii)
Domain: Human Resources security.
1) Security training.
A. Microsoft informs its personnel about relevant security procedures and their
respective roles. Microsoft also informs its personnel of possible
consequences of breaching the security rules and procedures.
B. Microsoft will only use anonymous data in training.
(iv)
Domain: Physical and environmental security.
1) Physical access to facilities. Microsoft limits access to facilities where
information systems that process Customer Data are located to identified
authorized individuals.
2) Physical access to components. Microsoft maintains records of the incoming
and outgoing media containing Customer Data, including the kind of media,
the authorized sender/recipients, date and time, the number of media and the
types of Customer Data they contain.
3) Protection from disruptions. Microsoft uses a variety of industry standard
systems to protect against loss of data due to power supply failure or line
interference.
4) Component disposal. Microsoft uses industry standard processes to delete
Customer Data when it is no longer needed.
(v) Domain: Communications and Operations Management.
1) Operational policy. Microsoft maintains security documents describing its
security measures and the relevant procedures and responsibilities of its
personnel who have access to Customer Data.
2) Data recovery procedures.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 4 of 8
A. On an ongoing basis, but in no case less frequently than once a week (unless
no Customer Data has been updated during that period), Microsoft maintains
multiple copies of Customer Data from which Customer Data can be
recovered.
B. Microsoft stores copies of Customer Data and data recovery procedures in a
different place from where the primary computer equipment processing the
Customer Data is located.
C. Microsoft has specific procedures in place governing access to copies of
Customer Data.
D. Microsoft reviews data recovery procedures at least every six months.
E. Microsoft logs data restoration efforts, including the person responsible, the
description of the restored data and which data (if any) had to be input manually
in the data recovery process.
3) Malicious software. Microsoft has anti-malware controls to help avoid malicious
software gaining unauthorized access to Customer Data, including malicious
software originating from public networks.
4) Data Beyond Boundaries.
A. Microsoft encrypts Customer Data that is transmitted over public networks.
B. Microsoft restricts access to Customer Data in media leaving its facilities (e.g.,
through encryption).
(vi)
Domain: Access control.
1) Access policy. Microsoft maintains a record of security privileges of individuals
having access to Customer Data.
2) Access authorization.
A. Microsoft maintains and updates a record of personnel authorized to access
Microsoft systems that contain Customer Data.
B. Microsoft deactivates authentication credentials that have not been used for a
period of time not to exceed six months.
C. Microsoft identifies those personnel who may grant, alter or cancel authorized
access to data and resources.
D. Microsoft ensures that where more than one individual has access to systems
containing Customer Data, the individuals have separate identifiers/log-ins.
3) Least privilege.
A. Technical support personnel are only permitted to have access to Customer
Data when needed.
B. Microsoft restricts access to Customer Data to only those individuals who
require such access to perform their job function.
4) Integrity and Confidentiality.
A. Microsoft instructs Microsoft personnel to disable administrative sessions
when leaving premises Microsoft controls or when computers are otherwise
left unattended.
B. Microsoft stores passwords in a way that makes them unintelligible while they
are in force.
5) Authentication.
A. Microsoft uses industry standard practices to identify and authenticate users
who attempt to access information systems.
B. Where authentication mechanisms are based on passwords, Microsoft
requires that the passwords are renewed regularly.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 5 of 8
C. Where authentication mechanisms are based on passwords, Microsoft
requires the password to be at least eight characters long.
D. Microsoft ensures that de-activated or expired identifiers are not granted to
other individuals.
E. Microsoft monitors repeated attempts to gain access to the information system
using an invalid password.
F. Microsoft maintains industry standard procedures to deactivate passwords that
have been corrupted or inadvertently disclosed.
G. Microsoft uses industry standard password protection practices, including
practices designed to maintain the confidentiality and integrity of passwords
when they are assigned and distributed, and during storage.
6) Network Design. Microsoft has controls to avoid individuals assuming access
rights they have not been assigned to gain access to Customer Data they are
not authorized to access.
(vii)
Domain: Information security incident management.
1) Incident response process.
A. Microsoft maintains a record of security breaches with a description of the
breach, the time period, the consequences of the breach, the name of the
reporter, and to whom the breach was reported, and the procedure for
recovering data.
B. Microsoft tracks disclosures of Customer Data, including what data has been
disclosed, to whom, and at what time.
2) Service monitoring. Microsoft security personnel verify logs at least every six
months to propose remediation efforts if necessary.
(viii)
Domain: Business continuity management.
1) Microsoft maintains emergency and contingency plans for the facilities in which
Microsoft information systems that process Customer Data are located.
2) Microsoft’s redundant storage and its procedures for recovering data are designed
to attempt to reconstruct Customer Data in its original state from before the
time it was lost or destroyed.
(ix)
The security measures described in this Section 4 are Microsoft’s only
responsibility with respect to the security of Customer Data. For Customer Data,
these measures replace any confidentiality obligations contained in the Enrollment
or any other non-disclosure agreement between Microsoft and Customer.
b. Certifications and audits.
(i) In addition to Clause 5 paragraph f and Clause 12 paragraph 2 of the Standard
Contractual Clauses, Microsoft has established and agrees to maintain a data
security policy that complies with the ISO 27001 standards for the establishment,
implementation, control, and improvement of the Information Security Management
System and the ISO/IEC 27002 code of best practices for information security
management (“Microsoft Online Information Security Policy”). On a confidential
need-to-know basis, and subject to Customer’s agreement to non-disclosure
obligations Microsoft specifies, Microsoft will make the Microsoft Online Information
Security Policy available to Customer, along with other information reasonably
requested by Customer regarding Microsoft security practices and policies.
Customer is solely responsible for reviewing the Microsoft Online Information
Security Policy, making an independent determination as to whether the Microsoft
Online Information Security Policy meets Customer’s requirements, and for
ensuring that Customer’s personnel and consultants follow the guidelines they are
provided regarding data security.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 6 of 8
(ii) Microsoft will audit the security of the computers and computing environment that
it uses in processing Customer Data (including personal data) on the Microsoft
Online Services and the physical data centers from which Microsoft provides the
Microsoft Online Services. This audit: (a) will be performed at least annually; (b) will
be performed according to ISO 27001 standards; (c) will be performed by third party
security professionals at Microsoft’s selection and expense; (d) will result in the
generation of an audit report (“Microsoft Audit Report”), which will be Microsoft’s
confidential information; and (e) may be performed for other purposes in addition to
satisfying this Section (e.g., as part of Microsoft’s regular internal security
procedures or to satisfy other contractual obligations).
(iii)
If Customer requests in writing, Microsoft will provide Customer with a
confidential summary of the Microsoft Audit Report (“Summary Report”) so that
Customer can reasonably verify Microsoft’s compliance with the security obligations
under this DPA. The Summary Report is Microsoft confidential information.
(iv)
Customer agrees to exercise its audit right by instructing Microsoft to execute
the audit as described in Section 5(b)(i) – (iii). If Customer desires to change this
instruction regarding exercising this audit right, then Customer has the right to
change this instruction as mentioned in the Standard Contractual Clauses, which
shall be requested in writing.
(v) Nothing in this Section 5(b) varies or modifies the Standard Contractual Clauses
nor affects any supervisory authority’s or data subject’s rights under the Standard
Contractual Clauses. Microsoft Corporation is an intended third-party beneficiary of
this Section 5b.
6.
Security Incident Notification
a. If Microsoft becomes aware of any unlawful access to any Customer Data stored on
Microsoft’s equipment or in Microsoft’s facilities, or unauthorized access to such equipment
or facilities resulting in loss, disclosure, or alteration of Customer Data (each a “Security
Incident”), Microsoft will promptly: (a) notify Customer of the Security Incident; (b)
investigate the Security Incident and provide Customer with detailed information about the
Security Incident; and (c) take reasonable steps to mitigate the effects and to minimize any
damage resulting from the Security Incident.
b. Customer agrees that:
(i) An unsuccessful Security Incident will not be subject to this Section. An
unsuccessful Security Incident is one that results in no unauthorized access to
Customer Data or to any of Microsoft’s equipment or facilities storing Customer
Data, and may include, without limitation, pings and other broadcast attacks on
firewalls or edge servers, port scans, unsuccessful log-on attempts, denial of
service attacks, packet sniffing (or other unauthorized access to traffic data that
does not result in access beyond IP addresses or headers) or similar incidents; and
(ii) Microsoft’s obligation to report or respond to a Security Incident under this Section
is not and will not be construed as an acknowledgement by Microsoft of any fault or
liability with respect to the Security Incident.
c. Notification(s) of Security Incidents, if any, will be delivered to one or more of Customer’s
administrators by any means Microsoft selects, including via email. It is Customer’s sole
responsibility to ensure Customer’s administrators maintain accurate contact information
on the Online Services portal at all times.
7.
Miscellaneous.
a. Confidentiality. Customer will treat the terms and conditions of this DPA, the contents of
the Microsoft Online Information Security Policy, the Microsoft Audit Report and the
Summary Report as confidential and shall not disclose them to any third party except for
Customer’s auditors or consultants that need access to this information for the purpose of
this business relationship as articulated in this DPA and the Enrollment.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 7 of 8
b. Term and termination. This DPA shall automatically terminate upon any termination or
expiration of the Enrollment.
c. Order of precedence. If there is a conflict between any provision in this DPA and any
provision in the Enrollment and Campus and School Agreement, this Office 365 DPA shall
control.
d. Entire agreement. Except for changes made by this DPA, the Enrollment remains
unchanged and in full force and effect.
Except for changes made by this Amendment, the Enrollment or Agreement identified above remains
unchanged and in full force and effect. If there is any conflict between any provision in this Amendment
and any provision in the Enrollment or Agreement identified above, this Amendment shall control.
This Amendment must be attached to a signature form to be valid.
EESEnrAmend(WW)(ENG)(Nov2013)
Office 365 Data Processing Agreement with Model Clauses
(Part 1 of 2)
EES18
B
Page 8 of 8
This Annex 1 is part 2 of 2 and must be accompanied by and signed
with part 1 of 2 titled “Microsoft Online Services Data Processing
Agreement (with EU Standard Contractual Clauses)” to be valid.
Annex 1:
Standard Contractual Clauses (processors)
For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors
established in third countries which do not ensure an adequate level of data protection
The entity identified as “Customer” on the
Program Signature Form for the Enterprise
Enrollment Addendum Microsoft Online Services
Data Processing Agreement (with EU Standard
Contractual Clauses) to which these Standard
Contractual Clauses are annexed
(the “data exporter”)
And
Microsoft Corporation
One Microsoft Way, Redmond, WA 98056 USA
(the “data importer”)
each a “party”; together “the parties”,
HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate
safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals
for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 1 of 9
Clause 1
Definitions
For the purposes of the Clauses:
(a)
'personal data', 'special categories of data', 'process/processing', 'controller', 'processor', 'data
subject' and 'supervisory authority' shall have the same meaning as in Directive 95/46/EC of
the European Parliament and of the Council of 24 October 1995 on the protection of individuals
with regard to the processing of personal data and on the free movement of such data;
(b)
'the data exporter' means the controller who transfers the personal data;
(c)
'the data importer' means the processor who agrees to receive from the data exporter personal
data intended for processing on his behalf after the transfer in accordance with his instructions
and the terms of the Clauses and who is not subject to a third country's system ensuring
adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;
(d)
'the subprocessor' means any processor engaged by the data importer or by any other
subprocessor of the data importer who agrees to receive from the data importer or from any
other subprocessor of the data importer personal data exclusively intended for processing
activities to be carried out on behalf of the data exporter after the transfer in accordance with
his instructions, the terms of the Clauses and the terms of the written subcontract;
(e)
'the applicable data protection law' means the legislation protecting the fundamental rights and
freedoms of individuals and, in particular, their right to privacy with respect to the processing
of personal data applicable to a data controller in the Member State in which the data exporter
is established;
(f)
'technical and organisational security measures' means those measures aimed at protecting
personal data against accidental or unlawful destruction or accidental loss, alteration,
unauthorised disclosure or access, in particular where the processing involves the transmission
of data over a network, and against all other unlawful forms of processing.
Clause 2
Details of the transfer
The details of the transfer and in particular the special categories of personal data where applicable are
specified in Appendix 1 which forms an integral part of the Clauses.
Clause 3
Third-party beneficiary clause
1.
The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause
5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as
third-party beneficiary.
2.
The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and
(g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has
factually disappeared or has ceased to exist in law unless any successor entity has assumed the
entire legal obligations of the data exporter by contract or by operation of law, as a result of which
it takes on the rights and obligations of the data exporter, in which case the data subject can
enforce them against such entity.
3.
The data subject can enforce against the subprocessor this Clause, Clause 5(a) to (e) and
(g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter
and the data importer have factually disappeared or ceased to exist in law or have become
insolvent, unless any successor entity has assumed the entire legal obligations of the data
exporter by contract or by operation of law as a result of which it takes on the rights and
obligations of the data exporter, in which case the data subject can enforce them against such
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 2 of 9
entity. Such third-party liability of the subprocessor shall be limited to its own processing
operations under the Clauses.
4.
The parties do not object to a data subject being represented by an association or other body
if the data subject so expressly wishes and if permitted by national law.
Clause 4
Obligations of the data exporter
The data exporter agrees and warrants:
(a)
that the processing, including the transfer itself, of the personal data has been and will
continue to be carried out in accordance with the relevant provisions of the applicable data
protection law (and, where applicable, has been notified to the relevant authorities of the
Member State where the data exporter is established) and does not violate the relevant
provisions of that State;
(b)
that it has instructed and throughout the duration of the personal data processing services will
instruct the data importer to process the personal data transferred only on the data exporter's
behalf and in accordance with the applicable data protection law and the Clauses;
(c)
that the data importer will provide sufficient guarantees in respect of the technical and
organisational security measures specified in Appendix 2 to this contract;
(d)
that after assessment of the requirements of the applicable data protection law, the security
measures are appropriate to protect personal data against accidental or unlawful destruction
or accidental loss, alteration, unauthorised disclosure or access, in particular where the
processing involves the transmission of data over a network, and against all other unlawful forms
of processing, and that these measures ensure a level of security appropriate to the risks
presented by the processing and the nature of the data to be protected having regard to the
state of the art and the cost of their implementation;
(e)
that it will ensure compliance with the security measures;
(f)
that, if the transfer involves special categories of data, the data subject has been informed or will
be informed before, or as soon as possible after, the transfer that its data could be transmitted
to a third country not providing adequate protection within the meaning of Directive 95/46/EC;
(g)
to forward any notification received from the data importer or any subprocessor pursuant to
Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter
decides to continue the transfer or to lift the suspension;
(h)
to make available to the data subjects upon request a copy of the Clauses, with the exception
of Appendix 2, and a summary description of the security measures, as well as a copy of any
contract for subprocessing services which has to be made in accordance with the Clauses,
unless the Clauses or the contract contain commercial information, in which case it may
remove such commercial information;
(i)
that, in the event of subprocessing, the processing activity is carried out in accordance with
Clause 11 by a subprocessor providing at least the same level of protection for the personal
data and the rights of data subject as the data importer under the Clauses; and
(j)
that it will ensure compliance with Clause 4(a) to (i).
Clause 5
Obligations of the data importer
The data importer agrees and warrants:
(a)
to process the personal data only on behalf of the data exporter and in compliance with its
instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it
agrees to inform promptly the data exporter of its inability to comply, in which case the data
exporter is entitled to suspend the transfer of data and/or terminate the contract;
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 3 of 9
(b)
that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the
instructions received from the data exporter and its obligations under the contract and that in
the event of a change in this legislation which is likely to have a substantial adverse effect on
the warranties and obligations provided by the Clauses, it will promptly notify the change to the
data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the
transfer of data and/or terminate the contract;
(c)
that it has implemented the technical and organisational security measures specified in
Appendix 2 before processing the personal data transferred;
(d)
that it will promptly notify the data exporter about:
(i)
any legally binding request for disclosure of the personal data by a law enforcement
authority unless otherwise prohibited, such as a prohibition under criminal law to
preserve the confidentiality of a law enforcement investigation,
(ii)
any accidental or unauthorised access, and
(iii)
any request received directly from the data subjects without responding to that request,
unless it has been otherwise authorised to do so;
(e)
to deal promptly and properly with all inquiries from the data exporter relating to its processing
of the personal data subject to the transfer and to abide by the advice of the supervisory
authority with regard to the processing of the data transferred;
(f)
at the request of the data exporter to submit its data processing facilities for audit of the
processing activities covered by the Clauses which shall be carried out by the data exporter or
an inspection body composed of independent members and in possession of the required
professional qualifications bound by a duty of confidentiality, selected by the data exporter,
where applicable, in agreement with the supervisory authority;
(g)
to make available to the data subject upon request a copy of the Clauses, or any existing
contract for subprocessing, unless the Clauses or contract contain commercial information, in
which case it may remove such commercial information, with the exception of Appendix 2 which
shall be replaced by a summary description of the security measures in those cases where the
data subject is unable to obtain a copy from the data exporter;
(h)
that, in the event of subprocessing, it has previously informed the data exporter and obtained
its prior written consent;
(i)
that the processing services by the subprocessor will be carried out in accordance with Clause
11;
(j)
to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the
data exporter.
Clause 6
Liability
1.
The parties agree that any data subject, who has suffered damage as a result of any breach of
the obligations referred to in Clause 3 or in Clause 11 by any party or subprocessor is entitled
to receive compensation from the data exporter for the damage suffered.
2.
If a data subject is not able to bring a claim for compensation in accordance with paragraph 1
against the data exporter, arising out of a breach by the data importer or his subprocessor of
any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has
factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees
that the data subject may issue a claim against the data importer as if it were the data exporter,
unless any successor entity has assumed the entire legal obligations of the data exporter by
contract of by operation of law, in which case the data subject can enforce its rights against such
entity.
The data importer may not rely on a breach by a subprocessor of its obligations in order to
avoid its own liabilities.
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 4 of 9
3.
If a data subject is not able to bring a claim against the data exporter or the data importer referred
to in paragraphs 1 and 2, arising out of a breach by the subprocessor of any of their obligations
referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer
have factually disappeared or ceased to exist in law or have become insolvent, the subprocessor
agrees that the data subject may issue a claim against the data subprocessor with regard to its
own processing operations under the Clauses as if it were the data exporter or the data
importer, unless any successor entity has assumed the entire legal obligations of the data
exporter or data importer by contract or by operation of law, in which case the data subject can
enforce its rights against such entity. The liability of the subprocessor shall be limited to its own
processing operations under the Clauses.
Clause 7
Mediation and jurisdiction
1.
2.
The data importer agrees that if the data subject invokes against it third-party beneficiary
rights and/or claims compensation for damages under the Clauses, the data importer will
accept the decision of the data subject:
(a)
to refer the dispute to mediation, by an independent person or, where applicable, by
the supervisory authority;
(b)
to refer the dispute to the courts in the Member State in which the data exporter is
established.
The parties agree that the choice made by the data subject will not prejudice its substantive or
procedural rights to seek remedies in accordance with other provisions of national or
international law.
Clause 8
Cooperation with supervisory authorities
1.
The data exporter agrees to deposit a copy of this contract with the supervisory authority if it
so requests or if such deposit is required under the applicable data protection law.
2.
The parties agree that the supervisory authority has the right to conduct an audit of the data
importer, and of any subprocessor, which has the same scope and is subject to the same
conditions as would apply to an audit of the data exporter under the applicable data protection
law.
3.
The data importer shall promptly inform the data exporter about the existence of legislation
applicable to it or any subprocessor preventing the conduct of an audit of the data importer,
or any subprocessor, pursuant to paragraph 2. In such a case the data exporter shall be
entitled to take the measures foreseen in Clause 5 (b).
Clause 9
Governing Law
The Clauses shall be governed by the law of the Member State in which the data exporter is established.
Clause 10
Variation of the contract
The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding
clauses on business related issues where required as long as they do not contradict the Clause.
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 5 of 9
Clause 11
Subprocessing
1.
The data importer shall not subcontract any of its processing operations performed on behalf
of the data exporter under the Clauses without the prior written consent of the data exporter.
Where the data importer subcontracts its obligations under the Clauses, with the consent of
the data exporter, it shall do so only by way of a written agreement with the subprocessor
which imposes the same obligations on the subprocessor as are imposed on the data importer
under the Clauses. Where the subprocessor fails to fulfil its data protection obligations under
such written agreement the data importer shall remain fully liable to the data exporter for the
performance of the subprocessor's obligations under such agreement.
2.
The prior written contract between the data importer and the subprocessor shall also provide
for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject
is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against
the data exporter or the data importer because they have factually disappeared or have
ceased to exist in law or have become insolvent and no successor entity has assumed the
entire legal obligations of the data exporter or data importer by contract or by operation of law.
Such third-party liability of the subprocessor shall be limited to its own processing operations
under the Clauses.
3.
The provisions relating to data protection aspects for subprocessing of the contract referred to in
paragraph 1 shall be governed by the law of the Member State in which the data exporter is
established.
4.
The data exporter shall keep a list of subprocessing agreements concluded under the Clauses
and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a
year. The list shall be available to the data exporter's data protection supervisory authority.
Clause 12
Obligation after the termination of personal data processing services
1.
The parties agree that on the termination of the provision of data processing services, the
data importer and the subprocessor shall, at the choice of the data exporter, return all the
personal data transferred and the copies thereof to the data exporter or shall destroy all the
personal data and certify to the data exporter that it has done so, unless legislation imposed
upon the data importer prevents it from returning or destroying all or part of the personal data
transferred. In that case, the data importer warrants that it will guarantee the confidentiality of
the personal data transferred and will not actively process the personal data transferred
anymore.
2.
The data importer and the subprocessor warrant that upon request of the data exporter and/or
of the supervisory authority, it will submit its data processing facilities for an audit of the
measures referred to in paragraph 1.
Signature…..……………………………………….
On behalf of the data exporter:
The name, position and address of the signatory on behalf of the data exporter is as identified on (the
Program Signature Form attached to) the amendment to which these Standard Contractual Clauses
are annexed.
On behalf of the data importer:
Rajesh Jha, Corporate Vice President
Microsoft Corporation
One Microsoft Way, Redmond WA, USA 98052
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 6 of 9
APPENDIX 1 TO THE STANDARD CONTRACTUAL CLAUSES
Data exporter
The data exporter is the entity identified as “Customer” on the Program Signature Form for the Enterprise
Enrollment Addendum (Direct) Microsoft Online Services Data Processing Agreement (with EU Standard
Contractual Clauses) (“Microsoft Online Services Addendum”) to which these Standard Contractual
Clauses are annexed. The Customer is a user of Microsoft Online Services as defined in the Microsoft
Online Services Addendum.
Data importer
The data importer is MICROSOFT CORPORATION, a global producer of software and services.
Data subjects
Data subjects include the data exporter’s customer’s representatives and end-users including
employees, contractors, collaborators, and customers of the data exporter. Data subjects may also
include individuals attempting to communicate or transfer personal information to users of the services
provided by data importer.
Categories of data
The personal data transferred includes e-mail, documents and other data in an electronic form in the
context of the Microsoft Online Services.
Processing operations
The personal data transferred will be subject to the following basic processing activities:
a. Duration and Object of Data Processing. The duration of data processing shall be for the term
designated under the Enterprise Enrollment (“Enrollment”) signed between data exporter and the
Microsoft entity on the Program Signature Form for the Microsoft Online Services Addendum to which
these Standard Contractual Clauses are annexed (“Microsoft”). The objective of the data processing is
the performance of Microsoft Online Services.
b. Scope and Purpose of Data Processing. The scope and purpose of processing personal data is
described in the Microsoft Online Services Addendum. The data importer operates a global network of
data centers and management/support facilities, and processing may take place in any jurisdiction where
data importer or its sub-processors operate such facilities.
c. Customer Data Access. For the term designated under the Microsoft Online Services Addendum
data importer will at its election and as necessary under applicable law implementing Article 12(b) of the
EU Data Protection Directive, either: (1) provide data exporter with the ability to correct, delete, or block
Customer Data, or (2) make such corrections, deletions, or blockages on its behalf.
d. Data Exporter’s Instructions. For Microsoft Online Services, data importer will only act upon data
exporter’s instructions as conveyed by Microsoft.
e. Customer Data Deletion or Return. Upon expiration or termination of data exporter’s use of
Microsoft Online Services, it may extract Customer Data and data importer will delete Customer Data,
each in accordance with the Product Use Rights applicable to the Enrollment.
Subcontractors
The data importer may hire other companies to provide limited services on data importer’s behalf, such
as providing customer support. Any such subcontractors will be permitted to obtain customer data only
to deliver the services the data importer has retained them to provide, and they are prohibited from using
customer data for any other purpose.
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 7 of 9
Signature…..……………………………………….
On behalf of the data exporter:
The name, position and address of the signatory on behalf of the data exporter is as identified on (the
Program Signature Form attached to) the amendment to which these Standard Contractual Clauses
are annexed.
On behalf of the data importer:
Rajesh Jha, Corporate Vice President
Microsoft Corporation
One Microsoft Way, Redmond WA, USA 98052
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 8 of 9
APPENDIX 2 TO THE STANDARD CONTRACTUAL CLAUSES
This Appendix forms part of the Clauses and must be completed and signed by the parties
Description of the technical and organisational security measures implemented by the data
importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached)
1. Personnel.
Data importer’s personnel will not process Customer Data without authorization. Personnel are
obligated to maintain the confidentiality of any Customer Data and this obligation continues even
after their engagement ends.
2. Data Privacy Contact
The data privacy officer of the data importer can be reached at the following address:
Microsoft Corporation
Attn: Chief Privacy Officer
1 Microsoft Way
Redmond, WA 98052 USA
3. Technical and Organization Measures
a. General Practices; Incorporation by Reference. The data importer has implemented
and will maintain appropriate technical and organizational measures, internal controls, and
information security routines intended to protect Customer Data, as defined in the part 1
document titled “Microsoft Online Services Data Processing Agreement (with EU Standard
Contractual Clauses)”, against accidental loss, destruction, or alteration; unauthorized
disclosure or access; or unlawful destruction as follows: The technical and organizational
measures, internal controls, and information security routines set forth in Section 4(a)(i)
through 4(a)(ix) of the part 1 document titled “Microsoft Online Services Data Processing
Agreement (with EU Standard Contractual Clauses) are hereby incorporated into this
Appendix 2 by this reference and are binding on the data importer as if they were set forth
in this Appendix 2 in their entirety.
EnrAmend(WW)(ENG)(Apr2012)
Microsoft Online Services Data Processing Agreement with
Model Clauses (Part 2 of 2)
M100
B
Page 9 of 9