Retningslinjer for databehandling i Teams

Dette dokument beskriver retningslinjerne for databehandling i Teams, så det sker i overensstemmelse med UC SYDs generelle regler for behandling af persondata og afdelingens specifikke brug af journaliseringspligtige oplysninger, så det sker i overensstemmelse med journaliseringsinstruksen på området.

Hovedregler og sikkerhedstiltag

Overordnet kan man sige at der er tre hovedregler man skal følge:

Det er IKKE tilladt at opbevare og behandle personfølsomme oplysninger i Teams!

Det er IKKE tilladt at opbevare og behandle journaliseringspligtige oplysninger i Teams!

Det ER tilladt at opbevare og behandle visse almindelige personoplysninger i Teams - dog skal man huske at slette disse når de ikke længere skal bruges.

NB: Typen af almindelige personoplysninger, som du må angive i Teams, er af den karakter, der typisk kan være behov for ifm. den daglige kommunikation såsom at bruge en kollegas navn i en chat eller en mødenote.

Se forskellen mellem almindelige og følsomme personoplysninger her

Persondata eller personoplysninger skal forstås meget bredt og dækker enhver oplysning, der kan henføres til en person.

Ansatte kan læse mere om databeskyttelse og persondata på intranettet her: https://intranet.ucsyd.dk/tvaergaaende-projekter/databeskyttelse/typer-af-persondata (åbner i nyt vindue)

Derudover er der en række sikkerhedstiltag man som bruger skal være opmærksom på, hvis man planlægger møder med særligt følsomt indhold for at sikre, at det kun er de tiltænkte personer som får adgang.

Disse regler og tiltag samt hvad man skal gøre rent praktisk i Teams beskrives nedenfor.

Retningslinjer for behandling af journaliseringspligtige oplysninger

Ifm. sagsbehandling og afgørelser er det vigtigt, at man altid følger journaliseringsvejledningen og de retningslinjer der er fastsat for behandling af journaliseringspligtige oplysninger i den enkelte afdeling. Her indgår Teams IKKE som et godkendt værktøj.

Retningslinjer for behandling af persondata

Regler for behandling af persondata findes på intranettet her: https://intranet.ucsyd.dk/tvaergaaende-projekter/databeskyttelse (åbner i nyt vindue)  

Afgrænsning

Det er ikke alle apps i Teams klienten som må bruges, da der endnu ikke er foretaget en GDPR risikoafdækning af dem alle.

Indtil videre må man kun bruge følgende apps:

Personfølsomme oplysninger

Følsomme oplysninger om personer må under ingen omstændigheder opbevares i Teams. Bliver sådanne lagret i Teams ved en fejl, skal de slettes omgående.

Almindelige personoplysninger

Personoplysninger som ikke er følsomme må gerne opbevares i Teams, så længe de tjener et formål. Når deres formål er udtjent, skal de slettes fra Teams igen.

Nedenfor beskrives det hvor i Teams man skal være opmærksom på at data kan lagres, samt hvordan man sletter dem igen.

Data i Teams

Der er mange steder i Teams hvor man har mulighed for at dele data og dermed personoplysninger. I det følgende beskrives de forskellige muligheder for deling af data, hvad man skal være opmærksom på samt hvordan man sletter data efter sig.

Generelt

Chat

I Teams er det både muligt at chatte med enkeltpersoner, med grupper, i forbindelse med møder og i Teams. For alle typer chat gælder det at det er muligt at skrive personoplysninger direkte i chatten.

  • Husk at slette personoplysninger når de ikke længere skal bruges. Dvs. slette de chatindlæg hvor personoplysninger indgår, når disse ikke længere skal bruges.

Se her hvordan man sletter en chatmeddelelse (åbner i nyt vindue)

Bemærk! Man kan kun slette sine egne chatmeddelelser - ikke andres!

  • Vær tilbageholdende med at dele chatbeskeder fra Teams igennem Outlook (Se evt. billede nedenfor).

Når chatbeskeder deles med personer udenfor samarbejdet igennem Outlook, er der en risiko for at disse videredeles med personer, der ikke har et relevant formål med at kunne se dem.

Filer

Der er mange steder man kan dele filer i Teams.

  • Sørg for at slette personoplysninger i filer når de ikke længere tjener et formål. Enten ved at slette hele dokumentet, anonymisere det eller slette personoplysningerne.

I Teams møder kan man dele filer i chatten. I et Team kan man både dele filer i en chat tilknyttet en kanal eller via et dokumentbibliotek. Alle kanaler indeholder et dokumentbibliotek med titlen "Filer". Se evt. billede herunder.

Apps

Apps er programmer som både kan fungere alene eller tilknyttes Teams eller møder. Deltagerne i mødet eller Teamet kan så bruge appen til samarbejde. Appen er som udgangspunkt tilgængelig for alle deltagerne i det møde eller den kanal i et Team hvor den bliver delt men i nogle tilfælde kan man også administrere adgange direkte gennem appen.

  • Undgå at administrere hvem der har adgang til appen direkte fra appen, men administrer det i stedet via mødet eller kanalen i Teamet.

Ellers bliver det vanskeligt for deltagerne at overskue hvem der har adgang til appen og de kan derfor komme til at dele personoplysninger utilsigtet gennem appen.

Kalenderaftaler/møder

Vær opmærksom på om der deles personoplysninger via kalenderaftaler/mødeinvitation. Hvis det er tilfældet bør det ikke være muligt at videresende kalenderaftalen/mødeinvitationen. Se mere her: Forhindr videresendelse af mødeinvitation

Hold styr på deltagere

Uanset om deler personoplysninger i et møde eller i et Team, så skal du være opmærksom på hvem der deltager, så du ikke deler personoplysninger utilsigtet.

Herunder er beskrevet de steder du skal være opmærksomme på deltagere før du deler personoplysninger:

  • Chat i Teamsmøde
  • Chat i Teams klienten*
  • Chat i en kanal i et Team
  • Dokumentbibliotek i en kanal i et Team
  • Apps tilknyttet et møde eller en kanal i et Team

I et Team skal du i øvrigt være opmærksom på at der kan være flere typer af kanaler som indeholder forskellige deltagere. Læs mere her: Deling via kanaler i et Team

*Teams klienten er programmet du bruger til at deltage i møder eller ringe/chatte med andre i UC SYD.

Del aldrig de mapper som Teams automatisk opretter i OneDrive eller i et Microsoft Team med nogen, da de utilsigtet kan få adgang til data som de ikke er berettiget til at have adgang til! F.eks. mapper til videooptagelser, møderapporter mm.

I forbindelse med opkald og møder

Mødenoter

Når man deltager i et Teams møde bliver der automatisk tilknyttet en chat samt et område man kan bruge til at skrive mødenoter i. Husk at slette mødenoter med almindelige personoplysninger når de ikke længere skal bruges.

Mødeoptagelser

Når du optager et opkald eller et møde, opretter Teams en mappe med navnet Optagelser i dit OneDrive og lægger videoen deri når du stopper optagelsen. Alle deltagere får automatisk adgang til videoen gennem et link i mødechatten/opkaldschatten når den er oprettet .

Når videoen ikke længere skal bruges i Teams, skal den slettes fra mappen Optagelser.

Husk altid at fortælle deltagerne at du optager!

Whiteboards

Husk at slette personoplysninger fra whiteboards når de ikke længere skal bruges.

I forbindelse med Teams samarbejde og fildeling

Deling via kanaler i et Team

Der findes tre typer af kanaler i et Team som kan indeholde forskellige deltagere inde i det samme Team.

  • En standard kanal indeholder alle deltagere som er tilføjet et Team.
  • En privat kanal indeholder et udsnit af deltagerne som er tilføjet et Team
  • En delt kanal kan indeholde både et udsnit af Teamets deltagere samt deltagere som ikke er en del af Teamet.

Sørg derfor at orientere dig om deltagerne i en kanal før du deler personoplysninger og løbende derefter. Opret evt. en ny kanal som passer til målgruppen for de oplysninger du har behov for at dele.

Del ikke specifikke mapper eller filer

I et Team er der mulighed for at dele undermapper eller filer med specifikke personer uden for Teamet.

  • Undlad at dele med personer som ikke allerede er tilknyttet Teamet eller en kanal i Teamet.

Det gør det vanskeligt at overskue hvilke materialer der er delt med hvem.

Har man alligevel behov for at dele med nogen uden for Teamet eller kanalen, bør det fremgå af titlen på filen eller mappen. F.eks. ”Litteraturanbefalinger  DELT MED INSTITUTTET”.

Eksterne deltagere
  • Vær særligt opmærksom med deling af personoplysninger i Teams hvor eksterne deltagere har adgang da konsekvensen ved databrud kan være større

Personer uden for UC SYD er ikke nødvendigvis underlagt tavshedspligt som det er tilfældet for ansatte på UC SYD.

  • Vær løbende opmærksom på om eksterne deltagere forsat skal have adgang til et Team

Der kan ske omrokkeringer hvor eksterne partnere bliver erstattet med andre. Sørg hele tiden for at der kun er de eksterne deltagere i et Team eller en delt kanal som bør have adgang.

Sikkerhedstiltag ifm Teams møder

Foruden opmærksomhed på data der lagres i Teams, skal man også være opmærksom på at det kun er de rette personer der får adgang til dine Teams møder eller indhold på din skærm.

Nedenfor er beskrevet en række foranstaltninger som sikrer at data ikke bliver delt utilsigtet.

Invitationer til Teams møder

Man deltager på Teams møder ved at tilgå et unikt link til mødet. Alle med linket kan deltage i mødet. Derfor er det vigtigt kun at dele mødelinket via kalenderinvitation, så du har styr på hvem der har adgang til linket og hvem der evt. får videresendt mødelinket i en kalenderinvitation.

Følg ikke links til møder du ikke (længere) er inviteret til.

Møder med særligt følsomt indhold

For at sikre møder med særligt følsomt indhold, er der forskellige forholdsregler man bør tage:

Forhindr videresendelse af mødeinvitation

Indkald Teamsmøder via Outlook og forhindr videresendelse af mødeinvitation. Dette forhindrer dog ikke modtageren i at kopiere mødelinket ud af indkaldelsen og videresende den på anden vis.

Se hvordan du forhindrer videresendelse af mødeindkaldelse her (åbner i nyt vindue)

Definér præsentationsvært

Definér hvem der er præsentationsvært i mødet via mødeindstillingerne.

Se en liste over roller i Teams møder og hvordan du ændrer dem her (åbner i nyt vindue)

Begræns adgang vha lobby

Som udgangspunkt kan alle fra UC SYD tilgå et Teams møde direkte. Begræns adgangen til mødet ved at sørge for at alle andre deltagere end dig selv lander i en lobby hvorfra du skal lukke dem ind.

Se hvordan du begrænser adgang til mødet ved brug af lobby her (åbner i nyt vindue)

Nye deltagere kræver nyt møde

Vær sikker på at tidligere deltagere i et møde ikke kan tilgå mødet fremadrettet. Personer som ikke længere er inviteret til et møde, vil stadig have mødeindkaldelsen (og dermed adgang til mødet) indtil de selv vælger at slette den.

Undlad derfor at bruge samme møde med andre/færre deltagere og indkald i stedet til et nyt møde med et nyt link.

Begræns brugen af mødechat

Når en person bliver inviteret til et møde i Teams, får vedkommende automatisk adgang til mødechatten som automatisk bliver oprettet sammen med mødet. Det er uanset om vedkommende bliver inviteret via en kalenderindkaldelse eller om vedkommende bliver ringet ind i mødet "ad hoc".

Personer som bliver ringet ind i mødet har adgang til mødechatten for den periode hvor de har deltaget i mødet. Al aktivitet før og efter deltagelsen er skjult for vedkommende.

Da det er forvirrende at holde styr på hvem der har adgang til hvad, er det vigtigt at begrænse brugen af mødechatten i møder med særligt følsomt indhold.

Bemærk! Inviterede deltagere har adgang til alle data i forbindelse med mødet inkl. mødechat, mødenoter samt filer.

Skærmdeling

Minimér risikoen for at dele følsomme oplysninger i forbindelse med skærmdeling ved at tage følgende forholdsregler:

Vær opmærksom på, hvad du har åbent på din skærm, inden du deler skrivebord eller et vindue

Hvis det er muligt, så del vinduet til et specifikt program frem for at dele alt på din skærm.

Slå pop-up beskeder fra i dine programmer eller luk dem inden du deler skærm. F.eks. Teams eller Outlook.

Hvis du benytter funktionen ‘del powerpoint’, så vær opmærksom på, at de andre deltagere har mulighed for selv at bladre rundt i dit powerpoint.

Ønsker du at undgå det, så del dit powerpoint via funktionen ‘Del vindue’ i stedet.