Retningslinjer for databehandling i Teams
Dette dokument beskriver retningslinjerne for databehandling i Teams, så det sker i overensstemmelse med UC SYDs generelle regler for behandling af persondata og afdelingens specifikke brug af journaliseringspligtige oplysninger, så det sker i overensstemmelse med journaliseringsinstruksen på området.
Hovedregler og sikkerhedstiltag
Overordnet kan man sige at der er tre hovedregler man skal følge:
Det er IKKE tilladt at opbevare og behandle personfølsomme oplysninger i Teams!
Det er IKKE tilladt at opbevare og behandle journaliseringspligtige oplysninger i Teams!
Det ER tilladt at opbevare og behandle visse almindelige personoplysninger i Teams - dog skal man huske at slette disse når de ikke længere skal bruges.
NB: Typen af almindelige personoplysninger, som du må angive i Teams, er af den karakter, der typisk kan være behov for ifm. den daglige kommunikation såsom at bruge en kollegas navn i en chat eller en mødenote.
Persondata eller personoplysninger skal forstås meget bredt og dækker enhver oplysning, der kan henføres til en person.
Ansatte kan læse mere om databeskyttelse og persondata på intranettet her: https://intranet.ucsyd.dk/tvaergaaende-projekter/databeskyttelse/typer-af-persondata (åbner i nyt vindue)
Derudover er der en række sikkerhedstiltag man som bruger skal være opmærksom på, hvis man planlægger møder med særligt følsomt indhold for at sikre, at det kun er de tiltænkte personer som får adgang.
Disse regler og tiltag samt hvad man skal gøre rent praktisk i Teams beskrives nedenfor.
Indhold:
Retningslinjer for behandling af journaliseringspligtige oplysninger
Ifm. sagsbehandling og afgørelser er det vigtigt, at man altid følger journaliseringsvejledningen og de retningslinjer der er fastsat for behandling af journaliseringspligtige oplysninger i den enkelte afdeling. Her indgår Teams IKKE som et godkendt værktøj.
Retningslinjer for behandling af persondata
Regler for behandling af persondata findes på intranettet her: https://intranet.ucsyd.dk/tvaergaaende-projekter/databeskyttelse (åbner i nyt vindue)
Afgrænsning
Det er ikke alle apps i Teams klienten som må bruges, da der endnu ikke er foretaget en GDPR risikoafdækning af dem alle.
Indtil videre må man kun bruge følgende apps:
Personfølsomme oplysninger
Følsomme oplysninger om personer må under ingen omstændigheder opbevares i Teams. Bliver sådanne lagret i Teams ved en fejl, skal de slettes omgående.
Almindelige personoplysninger
Personoplysninger som ikke er følsomme må gerne opbevares i Teams, så længe de tjener et formål. Når deres formål er udtjent, skal de slettes fra Teams igen.
Nedenfor beskrives det hvor i Teams man skal være opmærksom på at data kan lagres, samt hvordan man sletter dem igen.
Data i Teams
Der er mange steder i Teams hvor man har mulighed for at dele data og dermed personoplysninger. I det følgende beskrives de forskellige muligheder for deling af data, hvad man skal være opmærksom på samt hvordan man sletter data efter sig.
Generelt
I Teams er det både muligt at chatte med enkeltpersoner, med grupper, i forbindelse med møder og i Teams. For alle typer chat gælder det at det er muligt at skrive personoplysninger direkte i chatten.
- Husk at slette personoplysninger når de ikke længere skal bruges. Dvs. slette de chatindlæg hvor personoplysninger indgår, når disse ikke længere skal bruges.
Se her hvordan man sletter en chatmeddelelse (åbner i nyt vindue)
Bemærk! Man kan kun slette sine egne chatmeddelelser - ikke andres!
- Vær tilbageholdende med at dele chatbeskeder fra Teams igennem Outlook (Se evt. billede nedenfor).
Når chatbeskeder deles med personer udenfor samarbejdet igennem Outlook, er der en risiko for at disse videredeles med personer, der ikke har et relevant formål med at kunne se dem.
Der er mange steder man kan dele filer i Teams.
- Sørg for at slette personoplysninger i filer når de ikke længere tjener et formål. Enten ved at slette hele dokumentet, anonymisere det eller slette personoplysningerne.
I Teams møder kan man dele filer i chatten. I et Team kan man både dele filer i en chat tilknyttet en kanal eller via et dokumentbibliotek. Alle kanaler indeholder et dokumentbibliotek med titlen "Filer". Se evt. billede herunder.
Apps er programmer som både kan fungere alene eller tilknyttes Teams eller møder. Deltagerne i mødet eller Teamet kan så bruge appen til samarbejde. Appen er som udgangspunkt tilgængelig for alle deltagerne i det møde eller den kanal i et Team hvor den bliver delt men i nogle tilfælde kan man også administrere adgange direkte gennem appen.
- Undgå at administrere hvem der har adgang til appen direkte fra appen, men administrer det i stedet via mødet eller kanalen i Teamet.
Ellers bliver det vanskeligt for deltagerne at overskue hvem der har adgang til appen og de kan derfor komme til at dele personoplysninger utilsigtet gennem appen.
Vær opmærksom på om der deles personoplysninger via kalenderaftaler/mødeinvitation. Hvis det er tilfældet bør det ikke være muligt at videresende kalenderaftalen/mødeinvitationen. Se mere her: Forhindr videresendelse af mødeinvitation
Uanset om deler personoplysninger i et møde eller i et Team, så skal du være opmærksom på hvem der deltager, så du ikke deler personoplysninger utilsigtet.
Herunder er beskrevet de steder du skal være opmærksomme på deltagere før du deler personoplysninger:
- Chat i Teamsmøde
- Chat i Teams klienten*
- Chat i en kanal i et Team
- Dokumentbibliotek i en kanal i et Team
- Apps tilknyttet et møde eller en kanal i et Team
I et Team skal du i øvrigt være opmærksom på at der kan være flere typer af kanaler som indeholder forskellige deltagere. Læs mere her: Deling via kanaler i et Team
*Teams klienten er programmet du bruger til at deltage i møder eller ringe/chatte med andre i UC SYD.
Del aldrig de mapper som Teams automatisk opretter i OneDrive eller i et Microsoft Team med nogen, da de utilsigtet kan få adgang til data som de ikke er berettiget til at have adgang til! F.eks. mapper til videooptagelser, møderapporter mm.
I forbindelse med opkald og møder
Når man deltager i et Teams møde bliver der automatisk tilknyttet en chat samt et område man kan bruge til at skrive mødenoter i. Husk at slette mødenoter med almindelige personoplysninger når de ikke længere skal bruges.
Når du optager et opkald eller et møde, opretter Teams en mappe med navnet Optagelser i dit OneDrive og lægger videoen deri når du stopper optagelsen. Alle deltagere får automatisk adgang til videoen gennem et link i mødechatten/opkaldschatten når den er oprettet .
Når videoen ikke længere skal bruges i Teams, skal den slettes fra mappen Optagelser.
Husk altid at fortælle deltagerne at du optager!
Husk at slette personoplysninger fra whiteboards når de ikke længere skal bruges.
I forbindelse med Teams samarbejde og fildeling
Der findes tre typer af kanaler i et Team som kan indeholde forskellige deltagere inde i det samme Team.
- En standard kanal indeholder alle deltagere som er tilføjet et Team.
- En privat kanal indeholder et udsnit af deltagerne som er tilføjet et Team
- En delt kanal kan indeholde både et udsnit af Teamets deltagere samt deltagere som ikke er en del af Teamet.
Sørg derfor at orientere dig om deltagerne i en kanal før du deler personoplysninger og løbende derefter. Opret evt. en ny kanal som passer til målgruppen for de oplysninger du har behov for at dele.
I et Team er der mulighed for at dele undermapper eller filer med specifikke personer uden for Teamet.
- Undlad at dele med personer som ikke allerede er tilknyttet Teamet eller en kanal i Teamet.
Det gør det vanskeligt at overskue hvilke materialer der er delt med hvem.
Har man alligevel behov for at dele med nogen uden for Teamet eller kanalen, bør det fremgå af titlen på filen eller mappen. F.eks. ”Litteraturanbefalinger DELT MED INSTITUTTET”.
- Vær særligt opmærksom med deling af personoplysninger i Teams hvor eksterne deltagere har adgang da konsekvensen ved databrud kan være større
Personer uden for UC SYD er ikke nødvendigvis underlagt tavshedspligt som det er tilfældet for ansatte på UC SYD.
- Vær løbende opmærksom på om eksterne deltagere forsat skal have adgang til et Team
Der kan ske omrokkeringer hvor eksterne partnere bliver erstattet med andre. Sørg hele tiden for at der kun er de eksterne deltagere i et Team eller en delt kanal som bør have adgang.
Sikkerhedstiltag ifm Teams møder
Foruden opmærksomhed på data der lagres i Teams, skal man også være opmærksom på at det kun er de rette personer der får adgang til dine Teams møder eller indhold på din skærm.
Nedenfor er beskrevet en række foranstaltninger som sikrer at data ikke bliver delt utilsigtet.
Invitationer til Teams møder
Man deltager på Teams møder ved at tilgå et unikt link til mødet. Alle med linket kan deltage i mødet. Derfor er det vigtigt kun at dele mødelinket via kalenderinvitation, så du har styr på hvem der har adgang til linket og hvem der evt. får videresendt mødelinket i en kalenderinvitation.
Følg ikke links til møder du ikke (længere) er inviteret til.
Møder med særligt følsomt indhold
For at sikre møder med særligt følsomt indhold, er der forskellige forholdsregler man bør tage:
Indkald Teamsmøder via Outlook og forhindr videresendelse af mødeinvitation. Dette forhindrer dog ikke modtageren i at kopiere mødelinket ud af indkaldelsen og videresende den på anden vis.
Se hvordan du forhindrer videresendelse af mødeindkaldelse her (åbner i nyt vindue)
Definér hvem der er præsentationsvært i mødet via mødeindstillingerne.
Se en liste over roller i Teams møder og hvordan du ændrer dem her (åbner i nyt vindue)
Som udgangspunkt kan alle fra UC SYD tilgå et Teams møde direkte. Begræns adgangen til mødet ved at sørge for at alle andre deltagere end dig selv lander i en lobby hvorfra du skal lukke dem ind.
Se hvordan du begrænser adgang til mødet ved brug af lobby her (åbner i nyt vindue)
Vær sikker på at tidligere deltagere i et møde ikke kan tilgå mødet fremadrettet. Personer som ikke længere er inviteret til et møde, vil stadig have mødeindkaldelsen (og dermed adgang til mødet) indtil de selv vælger at slette den.
Undlad derfor at bruge samme møde med andre/færre deltagere og indkald i stedet til et nyt møde med et nyt link.
Når en person bliver inviteret til et møde i Teams, får vedkommende automatisk adgang til mødechatten som automatisk bliver oprettet sammen med mødet. Det er uanset om vedkommende bliver inviteret via en kalenderindkaldelse eller om vedkommende bliver ringet ind i mødet "ad hoc".
Personer som bliver ringet ind i mødet har adgang til mødechatten for den periode hvor de har deltaget i mødet. Al aktivitet før og efter deltagelsen er skjult for vedkommende.
Da det er forvirrende at holde styr på hvem der har adgang til hvad, er det vigtigt at begrænse brugen af mødechatten i møder med særligt følsomt indhold.
Bemærk! Inviterede deltagere har adgang til alle data i forbindelse med mødet inkl. mødechat, mødenoter samt filer.
Skærmdeling
Minimér risikoen for at dele følsomme oplysninger i forbindelse med skærmdeling ved at tage følgende forholdsregler:
Vær opmærksom på, hvad du har åbent på din skærm, inden du deler skrivebord eller et vindue
Hvis det er muligt, så del vinduet til et specifikt program frem for at dele alt på din skærm.
Slå pop-up beskeder fra i dine programmer eller luk dem inden du deler skærm. F.eks. Teams eller Outlook.
Hvis du benytter funktionen ‘del powerpoint’, så vær opmærksom på, at de andre deltagere har mulighed for selv at bladre rundt i dit powerpoint.
Ønsker du at undgå det, så del dit powerpoint via funktionen ‘Del vindue’ i stedet.