Microsoft 365 Data Protection and Compliance är en paketering av tjänster som tillsammans ska hjälpa kunden att fastställa regelefterlevnad, skydda information och svara på regulatoriska krav - i Sverige och EU gäller det i första hand Dataskyddsförordningen GDPR.

Enligt Henrik Byström, Affärsområdeschef Modern Workplace & Microsoft 365, riktar som tjänsten främst till ledningsgrupper och styrelser, men i större organisationer även informationssäkerhetsansvariga, dpo:er och liknande roller som är ansvariga för att driva frågan inom organisationen, även om Henrik Byström framhåller att frågor som GDPR berör de flesta inom en organisation.

Ett nytt administrationsgränssnitt som kallas Microsoft 365 Compliance Center ska enligt Microsoft göra det enklare för dem med ansvar inom området att "skydda och hantera riskerna inom dataintegritet och göra det enklare att svara upp mot regulatoriska krav". I detta administrationsgränssnitt ska administratören kunna få överblick över organisationens regulatoriska status visavi regleringar som GDPR, men även ISO 27001 och NIST 800-53, utföra riskbedömningar och få råd genom steg-för-steg-guider i syfte att höja regelefterlevnaden och öka organisationens kontroll.

Systemet sägs även kunna hjälpa organisationen att sätta etiketter och markeringar på dokument och annan data inom Office 365 och göra det enklare för användare att använda rätt etiketter för rätt dokument. Henrik Byström säger till Computer Sweden att genom att införa tjänsten kan en organisation "få enklare att tydliggöra för användarna vilken information som är känslig och inte. Användaren kan genom olika meddelanden, i sitt dagliga arbete, informeras om känslighetsgraden av informationen som hanteras och tipsas om hur man kan efterleva uppsatta policys och regelverk".

– Information [om till exempel dokument] kan automatiskt sättas på informationen baserat på olika etiketter såsom personnummer, kreditkortsnummer et cetera. Detta utifrån organisationens policys och regelverk. Användare kan också ges möjlighet att etikettera information manuellt, säger Henrik Byström.

En av de stora utmaningarna med GDPR är att hålla samman personuppgifter på så få ställen i it-systemen som möjligt, speciellt ostrukturerade personuppgifter har en tendens att spridas okontrollerat inom en organisation.

I tjänstepaketet Information Protection & Compliance ingår Microsoft Cloud App Security (MCAS) som kan hjälpa organisationen att identifiera risker i olika applikationer, upptäcka så kallad skugg-it och övervaka beteenden som inte går hand i hand med regelverket. Till detta fogas funktioner för att klassificera känsliga data över plattformar som Mac OS X och mobilplattformar genom att sätta etiketter på dokument och epost direkt i Office-applikationerna, vilket enligt Microsoft ska göra det enklare för användarna att skydda dokument genom att applicera tillgänglighetsrättigheter, kryptering eller andra restriktioner.

Vid händelse av en revision eller annan efterlevnadskontroll, till exempel av Datainspektionen eller rättsvårdande myndigheter måste en organisation kunna visa att de efterlever reglerna och att de har kontroll över var personuppgifter finns och vem som har rätt att hantera personuppgifterna. Inte minst gäller detta i samband med incidenter då den organisation som hanterar personuppgifter kan råka ut för en inspektion några dagar efter incidenten. Den som råkat ut för en personuppgiftsincident måste rapportera detta till Datainspektionen inom 72 timmar.

– Microsoft Information Protection & Compliance förenklar en organisations revision och kontroller. Man kan göra förberedande analyser genom identifiering av relevant information, utvärdera sin beredskap och göra en gapanalys mot sitt önskade läge. Revision och kontroller kan följas upp på ett strukturerat sätt. Slutanvändarna får också ett stöd i sin förståelse för den efterlevnad och de policys som organisationen har infört, säger Henrik Byström.

Läs också:
Stora problem för Office 365 – mejl nere flera timmar
Google chockhöjer priserna för sin Office-utmanare