SIA365

På denne side kan du læse om Statens Its arbejde med SIA365

Primo 2024 igangsatte  Økonomistyrelsen og et arbejde med at få udarbejdet en DPIA for brugen af M365 i staten. Opgaven involverede bidrag fra mange samarbejdspartnere, som,  foruden Statens It, har involveret Udviklings- og Forenklingsstyrelsen, Rigspolitiet, og ikke mindst Microsoft. mange blev fuldført i september 2024.

Pakken indeholder for nuværende følgende dokumenter:

  • DPIA (Data Privacy Impact Assessment) for M365
  • TIA (Transfer Impact Assessment) – bilag F
  • Bilag:
    • A – Oversigt over behandlngsaktiviteter, som udfyldes af De Dataansvarlige
    • Bilag B: Microsoft Product Terms, February 2024, Program EA EAS SCE
    • Bilag C: Microsoft Product and Services Data Protection Addendum, January 2, 2024
    • Bilag D: Microsoft Data Protection and Security Terms for products and services, Business Operations, March 2023
    • Bilag E: Microsofts documentation vedrørende EU Data Boundary ”What is the EU Data Boundary) 01.02. 2024
    • BIlag F: TIA
    • BIlag G: udgår, underlagt fortrolighedsaftale med Microsoft
    • BIlag H: “Microsoft 365 and Office 365 Service descriptions” fra Microsofts hjemmeside 27. Februar 2024
    • Bilag I: Microsofts svar af 2.april 2024
    • Bilag J: Microsofts svar af 23. april 2024
    • Bilag K: Microsofts svar af 6. maj 2024

Som dataansvarlig skal man holde sig for øje, at man skal tage konkret stilling til scopet og afgrænsningen i DPIA´en, ligesom man skal have sin DPO (databeskyttelsesrådgivers) udtalelse. Derudover anbefaler vi, at man får udarbejdet følgende interne dokumenter:

  • Risikovurdering af de identificerede restrisici i DPIA (ift. egen forretningsmæssig risikoappeti)
  • Model for tilsyn med leverandøren og evt. stikprøvekontrol
  • Exitstrategi og -plan (SIT udarbejder fsva. SIA 365-kunder)
  • Oplysningstekst til de registrerede
  • Slettepolitik

Der påligger således de dataansvarlige et betydeligt stykke arbejde, også efter at man har læst og forholdt sig til den her anførte materialepakke.

Statens It er pt ved at analysere, hvorledes DPIA skal opdateres for fremtiden ift. udvidelse af scope. Når der nyt herom vil det fremgå her.