Office Store og Add-ins

Office Store er et sted hvor man kan finne mange tillegg ("add-ins" (norsk: "tillegg")) til ulike Microsoft produkter (Outlook, Word, Excel, Powerpoint, Teams, etc). Veldig mange av tilleggene er laget av tredjeparts firmaer, og ved bruk vil tillegget få ulike rettigheter til USN innhold. Pga. Personopplysningsloven (GDPR) kan ikke USN gi fri tilgang til bruk av USN brukerkonti i forbindelse med alle tilleggene i Office Store og derfor er tilgang til Office Store stengt.

Rettigheter som Office Store tillegg krever

Et eksempel på et tillegg er "Grammarly for Microsoft Word". Dette er et tillegg som mange sikkert synes er nyttig. Det kan hjelpe til med stavekontroll og grammatikk i Word.

Hvis man ser på informasjonen om tillegget, står følgende:


--- sitat ---
Add-in capabilities
When this add-in is used, it

  • Can read and make changes to your document
  • Can send data over the Internet

--- sitat slutt ---

Hvert tillegg trenger altså om ulike slags rettigheter til ting. I dette tilfellet ser vi at Grammarly tillegget trenger rettigheter til å se alt man skriver i de dokumentene man har oppe i Word og gjøre endringer i dokumentet. Dette er jo logisk, siden det er et stavekontroll-tillegg.

Andre tillegg krever også rettigheter til ulike ting. Det kan være rettigheter til innhold i USN epostkassen/kalenderen, eller det kan være rettigheter til å lese innhold i USN OneDrive mappen.

Personopplysningsloven

Utdrag fra https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/om-personopplysningsloven-og-nar-den-gjelder/:  "Personopplysningsloven handler om behandling – altså innsamling og bruk – av personopplysninger.".

Personopplysninger defineres videre som "alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson" (https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/)

Det kan ligge personopplysninger i USN epostkasser/kalendre, og også i USN OneDrive mapper. Når man redigerer et Word dokument kan det også tenkes at det skrives/settes inn ting som er personopplysninger. Selve USN brukernavnet kan også regnes som en personopplysning, siden det kan knyttes til en enkelt person.

Dermed utløses behovet for å følge personopplysningsloven.

Datatilsynet har laget mye god informasjon angående dette. På nettsiden https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/ kan man lese om personvernprinsippene som ligger til grunn for personopplysningsloven.

Dataminimering

Ett av avsnittene på Datatilsynets nettside om personvernprinsipper handler om dataminimering. Ut fra det som står der kan man lese at "Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn."

Det handler altså om å samle inn/lagre minst mulig personopplysninger for å kunne oppnå et definert formål. Da må man også se på hva slags formål man vil oppnå, og hva man kanskje allerede har av tjenester. Hvis for eksempel formålet er å kunne kommunisere innad i USN og med resten av verden med epost, trenger man ikke å ha to eposttjenester.

Skal det åpnes for et Office Store tillegg?

Hvis man ønsker å ta i bruk et tillegg som dekker et formål som ikke dekkes av noen av de andre tilleggene USN allerede benytter, kan vi vurdere å åpne for å bruke det ønskede tillegget. Da må det i så fall gjøres en prosess på dette, som bl.a. innebærer følgende:

Behov

Behovet for å ta i bruk tillegget bør være at en slik art at det er hensiktsmessig for USN å ta i bruk tillegget. Det bør da helst være flere (ansatte eller studenter) som har dette behovet.

Riktig programtillegg for formålet?

Det bør undersøkes om det finnes andre tillegg som dekker det samme formålet som kanskje er bedre egnet.

Personvernkonsekvenser

USN plikter å gjøre en vurdering av personvernkonsekvensene ved å ta i bruk programtillegget.

Risikovurdering

USN plikter også å gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem. Dette er for å vurdere om personoppslysningene og andre informasjonsverdier kan håndteres på en tilfredsstillende måte.

Databehandleravtale

Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med lover og regler, og bestemmer hvordan databehandleren kan behandle opplysningene.

Hvis et Office Store programtillegg skal benyttes sammen med en USN brukerkonto og dermed automatisk lagrer en del informasjon, hvor noe av informasjonen kan regnes som personopplysninger, skal da USN ha en databehandleravtale med den virksomheten som er ansvarlig for det aktuelle programtillegget.

Hvor i verden lagres dataene?

... og kan de lagres der?

GDPR oppstiller krav om et overføringsgrunnlag for overføring av personopplysninger til land utenfor EU/EØS (tredjeland). Overføringsgrunnlaget skal sikre at personopplysningene vil ha det samme vernet hvis de blir overført til et tredjeland. (Kilde: https://www.youtube.com/watch?v=iCOIExqilA8).

De såkalte "Schrems I - dommen" fra 2015, og "Schrems II - dommen" fra 2020 gjør at både "Safe Harbour" og "Privacy Shield" - avtalene som EU/EØS hadde med USA ikke lenger er gyldige.

Disse dommene gjør det svært krevende for USN å kunne ta i bruk nye tjenester hvor dataene lagres utenfor EU/EØS. Derfor er vi nå restriktive med å ta i bruk nye tjenester der dataene lagres utenfor EU/EØS.

 

For den interesserte: