Universitetssektoren er den sektor, der er udsat for flest hackerangreb på verdensplan. Det er derfor nødvendigt at have mange sikkerhedstiltag for at sikre, at uvedkommende ikke får adgang til SDU’s data. Moderne sikkerheds-produkter behandler også personoplysninger.
Her kan du blive klogere på, hvordan SDU behandler dine person-oplysninger i Microsoft.
Udvidet-oplysningsskrivelse
SDU bruger flere Microsoft-produkter under Microsofts E5-licens, herunder Microsoft 365, Microsoft Azure og Dynamics 365. Microsoft 365 omfatter værktøjer som Outlook, OneDrive, Teams og SharePoint. Softwaren vedligeholdes af Microsoft, og data opbevares i SDU's dedikerede lagerplads (tenant) på Microsoft-servere i Europa.
Microsoft Azure-platformen understøtter forskellige cloud-service modeller. Noget software vedligeholdes og hostes af Microsoft, men der er også mulighed for at installere software, som hostes på Azure-platformen, hvor SDU selv tager sig af vedligeholdelsen, f.eks. SDU's integrationer til HCM og ERP.
Dynamics 365 er primært et CRM-system (Customer Relationship Management) og er baseret på Azures infrastruktur.
SDU bruger også Microsofts sikkerhedsprodukter, inklusive Defender-suiten og Microsofts logopsamlingsløsning, Sentinel. Defender-suiten består af forskellige software, der beskytter SDU mod uønsket adfærd, som f.eks. hackerangreb. Tjenesterne beskytter SDU's mobile enheder (laptop, telefoner og tablets), Microsoft-software som Word og Excel, netværkstrafik samt tredjeparts-software som ItsLearning og Survey Xact. Dette gør det muligt at følge en bruger aktiviteter på tværs af systemer, hvilket er nødvendigt for at afsløre hackere, der har overtaget en brugerkonto.
SDU følger dagligt op på de registreringer, der bliver lavet i systemernes sikkerhedslogs. Det er både vigtigt for sikkerheden og et krav, som vi bliver kontrolleret på. SDU modtager med jævne mellemrum tilsyn fra Rigsrevisionen og Uddannelses- og Forskningsstyrelsen.
SDU har en række sikkerhedsforanstaltninger, som skal sikre at logs ikke bliver misbrugt, og at uvedkommende ikke har adgang til fortrolige oplysninger. SDU har en politik om, at medarbejdere, der har adgang til at se på logoplysninger årligt, får godkendt sin adgang til dette af Direktøren. Der er tale om få betroede medarbejdere i SDU IT’s SecOps (Security Operations), der har adgang til at se på logoplysninger i Sentinel. SDU har mere end 50.000 aktive brugerkonti, så medarbejderne i SecOps sidder ikke live og overvåger enkelte ansattes brug af systemer, men de reagerer på alarmer jf. tidligere beskrivelse, hvorefter de undersøger, om der kan være tale om suspekte handlinger. Det betyder, at disse medarbejdere i princippet har adgang til at se, hvilke systemer og websites en bruger tilgår. I nogle situationer, vil de også have adgang til at se uddrag af indhold fra mails eller dokumenter, fx hvis en mail eller et dokument er sat i karantæne på grund af mistanke om virus. Medarbejderne i SecOps vil kun have en anledning til at kigge på bestemte brugere, hvis der udløses en alarm eller brugerens risikoscore er høj. Som udgangspunkt er bruger-konti pseudonymiseret, og medarbejderen skal aktivere deres privilegerede adgang, hvis de skal have adgang til at se identiteten på brugeren. Systemet logger også disse betroede medarbejders handlinger, og der er etableret funktionsadskillelse, så medarbejderne i SecOps ikke har adgang til at ændre eller slette disse logs.
SDU’s formål med at behandle disse sikkerhedslogs er at sikre universitetet mod angreb og misbrug. Desuden henvises der til Retningslinjer for brug af it for studerende.
Udgangspunktet er, at hvis du benytter udstyr, der er indkøbt og administreret af SDU og dermed konfigureret efter universitetets sikkerhedsstandard, vil du ikke opleve at møde så mange sikringsforanstaltninger, som de brugere, der har behov for at benytte privat udstyr fx studerende.
Du bør være særligt opmærksom på, at når du tilgår SDU ressourcer fra privat udstyr fx en studerende, der tilgår et link til digital eksamen tilsendt på mail, så vil systemet i nogle tilfælde indsamle logs på de efterfølgende browsersessioner (fx søgninger på nettet), hvis ikke man sørger for at lukke browseren efter at have tilgået en SDU-ressource. Dette gælder også selvom man sidder på privat netværk på sin private pc, da det er den benyttede browsers sikkerhedsindstilling, der tillader det. Det er samme problematik, som hvis du åbner et link inde fra Facebook, så giver man adgang til at Facebook kan følge med i, hvad du tilgår i samme browsersession.
Såfremt du benytter en privat enhed på SDU’s netværk skal du være opmærksom på, at SDU jf. krav fra myndighederne logger netværkstrafik, men medarbejderne i SecOps har ikke direkte adgang til at se hvilke websites konkrete brugere tilgår fra en privat enhed. Det vil kræve en nærmere samkøring af logs, som kan udføres, hvis vi bliver bedt om det fx af politiet. SecOps kan se logs af hjemmesideadressen (URL), hvis en bruger forsøger at tilgå et blokeret website. SDU blokerer websites på baggrund af anbefalinger fra Microsoft og andre sikkerhedsfirmaer samt på anmodning fra danske myndigheder.
Der skelnes mellem to forskellige behandlinger af personoplysninger nemlig indholdsdata og metadata:
a) Det data, du som medarbejder selv genererer og gemmer kaldes indholdsdata. Data, du selv indtaster, kan indeholde egne eller andres personoplysninger. Det kan være et Word-dokument med referat af din MUS-samtale, en mail med din signatur eller en kalender invitation, hvor der står dit navn i titlen.
b) Når man benytter et Microsoft program, bliver der dannet noget data, der fortæller noget om, hvordan man bruger programmet fx sprogindstillinger og om programmet fx fejler ved brug af særlige funktioner eller indlæsning af en fil. Det kaldes servicegenereret data eller metadata. Microsoft har brug for at kunne behandle disse metadata for at kunne levere servicen til os. Normalt vil metadata være aggregerede data og dermed ikke direkte personhenførbare, men i nogle tilfælde kan metadata henføres til en bestemt bruger. Det vil typisk være metadata, der er relateret til sikkerhed. Idet SDU benytter Defender-suiten og Sentinel vil disse løsninger også indeholde personhenførbare oplysninger om brugeres adfærd i andre systemer end Microsoft software fx 3. parts løsninger som ItsLearning og trafik på SDU’s netværk
SDU anvender Microsofts services i hele organisationen og anvender forskellige dele af Microsofts programsuite til både forskning, undervisning, kommunikation og administration. SDU behandler personoplysninger som led i vores opgavevaretagelse som universitet. Der er både tale om behandling af almindelige, fortrolige og følsomme personoplysninger.
Studerendes egne personoplysninger opbevares primært i SDU’s journaliseringssystem, men mange dokumenter oprettes i Word, hvorfor der vil være behandling af studerendes personoplysninger i indholdsdata selvom dokumenterne som udgangspunkt ikke opbevares i Microsoft. Indholdet af oplysninger om studerende, der oprettes i Word, vil primært være i forbindelse med kommunikation med den studerende eller sager i Studienævnet, hvor navngivne studerende kan indgå, hvis de får behandlet en dispensationssag. Det kan også være sagsbehandling oprettet i Word, hvis den studerende har klaget, eller der er indledt en sag pga. mistanke om eksamenssnyd eller andet. Sagerne opbevares som udgangspunkt ikke i O365, men journaliseres i SDU’s journalsystem. Indholdet af konkrete oplysninger vil derfor variere alt efter den studerendes henvendelse/sag.
For at få adgang til alle SDU’s it-systemer, skal man oprettes i det centrale brugerstyringssystem, som er Microsoft Azure AD (Active Directory) med en række stamoplysninger som navn, alder, køn, kontaktoplysninger, fødselsdato, cpr. nr. Derudover får man et brugernavn og e-mail, og der angives systemrettigheder og evt. afslutningsdato.
Studerendes egne oplysninger
Studerende har mulighed for at anvende Microsofts services til egne formål – f.eks. at gemme noter i OneDrive. Disse oplysninger er du selv dataansvarlig for, og dermed skal du selv sikre lovligt brug (hjemmel). Dette gælder, som udgangspunkt, også når der er tale om indsamling til bachelor- eller specialeopgaver.
Oplysninger om studerende
Behandlingen af dine personoplysninger er normalt baseret på GDPR artikel 6, stk. 1, litra a (samtykke), GDPR artikel 6, stk. 1, litra c, der benyttes, når en anden lov fx universitetsloven siger behandlingen er nødvendig eller artikel 6, stk. 1, litra e, der kan benyttes, når der er tale om en behandling, der udføres af eller for en offentlig myndighed.
Cpr. nr. behandles med hjemmel i databeskyttelsesloven § 11. Oplysninger om lovovertrædelser eller andre strafbare forhold behandles efter GDPR artikel 10.
Skulle indholdsoplysninger indeholde følsomme personoplysninger som fx helbredsoplysninger fx fra en afgørelse fra Studienævnet, vil behandlingen også ske med hjemmel i databeskyttelsesloven § 7, stk. 4 i relation til GDPR art. 9, stk. 2, litra g eller GDPR artikel 9, stk. 2, litra f, når det er nødvendigt for at kunne fastlægge et retskrav.
Behandlingen består primært af indsamling i forbindelse med optagelse og ansøgning på studie, administration og eksamensafvikling og slutteligt arkivering efter arkivloven.
SDU benytter Microsoft som databehandler og overlader i den forbindelse indholdsdata og nogle servicegenerere-de data herunder logdata fra Defender produkterne til Microsoft. Microsoft må som databehandler kun behandle disse oplysninger efter aftale med SDU. Indholdsdata opbevares på SDU’s egen lagerplads hos Microsoft på servere i Europa. Microsoft ansatte har som udgangspunkt ikke adgang til SDU’s data, med mindre SDU giver adgang via Customer Lockbox, som SDU har tilkøbt.
SDU har aktiveret ”optional connected experiences”, der er en række cloud-baserede tjenester fx ”indsæt billeder i Word og PowerPoint fra online ressourcer”, som Microsoft tilbyder, gennem direkte adgang via din SDU-brugerprofil, men hvor SDU’s licens ikke dækker brugen, da Microsoft anser disse services som en aftale direkte mellem slutbrugeren og Microsoft. Derfor skal du være klar over, at man accepterer Microsofts generelle bestemmelser og privatlivspolitik, når man bruger produkterne.
Det er muligt at slå funktionen fra ved at fjerne fluebenet fra ”Aktivér valgfri forbundne oplevelser” under ”Filer”, ”Konto” og ”Administrer indstillinger”. SDU har ikke deaktiveret funktionen som default, da det vil afskære alle brugere fra at benytte funktionerne.
Du kan læse mere om ”optional connected experiences” her
Du kan tilgå Microsofts opdaterede liste af underdatabehandlere her
Nogle metadata videregiver vi til Microsoft. Videregivelse betyder i denne sammenhæng, at Microsoft får data, de må benytte til deres egne selvstændige formål. Disse formål er:
• Microsofts egen fakturerings- og kontoadministration
• Aflønning af Microsofts medarbejdere og samarbejdspartnere (fx beregning af medarbejderprovision og partnerincitamenter)
• Microsofts intern rapportering og forretningsmodellering (fx udarbejdelse af prognoser, omsætning, kapacitetsplanlægning og produktstrategi)
• Microsofts økonomisk rapportering
SDU har implementeret og er i gang med at implementere en række foranstaltninger, der nedsætter risikoen for, at metadata indeholder fortrolige og følsomme personoplysninger. SDU videregiver disse servicegenererede metadata til Microsoft med hjemmel i GDPR art. 6, stk. 1, litra e, som led i universitetets virke som universitet (myndighedsudøvelse).
Bemærk, at ”emne” i mail og ”titel” på kalenderinvitationer indgår i metadata, som vi videregiver til Microsoft. Derfor må disse fremadrettet ikke indeholde følsomme personoplysninger fx helbredsoplysninger eller fortrolige oplysninger som cpr. nr. eller andre fortrolige oplysninger fx forretningshemmeligheder. Dette gælder også selvom man ”privat markerer” sin kalenderinvitation, da der i særlige tilfælde kan være situationer, hvor andre kan benytte mailprogrammer, der ikke understøtter privatmarkeringen. Derfor bør du undlade at skrive egentlige ”private” informationer i titelfeltet.
Metadata generet om din brug af systemerne bliver slettet efter 6 måneder.
Du har som udgangspunkt følgende rettigheder:
Ret til indsigt:
Du har som udgangspunkt ret til at se de personoplysninger, SDU behandler om dig. Du har desuden ret til at få en række oplysninger om, hvordan dine personoplysninger behandles herunder bl.a. hvad formålet med behandlingen er.
Ret til berigtigelse:
Du har i visse situationer ret til at få urigtige/forkerte personoplysninger om dig rettet
Ret til sletning:
Du har begrænset adgang til at få slettet dine personoplysninger, da SDU bl.a. er omfattet af reglerne om journalisering
Ret til indsigelse:
Du har ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger
Ret til begrænsning af behandling:
Du har ret til at få begrænset behandlingen af dine personoplysninger, fx hvis du har søgt berigtigelse, og det endnu ikke er effektueret
Ret til dataportabilitet:
Du har i visse tilfælde ret til at modtage dine personoplysninger og til at anmode om, at personoplysningerne overføres fra én dataansvarlig til en anden
Ret til ikke at være genstand for en automatisk afgørelse:
Du har ret til ikke at være genstand for en automatisk afgørelse udelukkende baseret på automatisk behandling, herunder profilering
Hvis du vil gøre brug af dine rettigheder, skal du henvende dig til Rektorsekretariatet.
Har du har spørgsmål omkring databeskyttelse og dine rettigheder, kan du kontakte SDU’s databeskyttelsesrådgiver, Simon Kamber (dpo@sdu.dk).
Ønsker du at klage over SDU’s behandling af dine personoplysninger, kan du henvende dig til Datatilsynet via www.datatilsynet.dk. Inden du klager til Datatilsynet, skal du først kontakte SDU.
Desuden henvises der til SDU’s generelle oplysningsskrivelse, som du har fået udleveret ved studiestart.