Microsofts konkrete formulering

"When processing for these business operations, Microsoft will apply principles of data minimization and will not use or otherwise process Customer Data, Professional Services Data, or Personal Data for: (a) user profiling, (b) advertising or similar commercial purposes, or (c) any other purpose, other than for the purposes set out in this section."

Efter Chromebook-sagen: Microsoft tager skridt mod skærpet databeskyttelse

Nyhed

01.07.2025

I starten af 2024 blev det i den såkaldte ”Chromebook-sag” fastslået, at kommunerne ikke må bruge Chromebooks i folkeskolerne, hvis Google anvender børnenes data til egne formål. Det vil i så fald være et brud på GDPR. Nu er der sket en vigtig udvikling i en anden cloud-leverandørs databehandlingsaftaler – nemlig Microsofts – som bør vække opmærksomhed hos alle offentlige myndigheder, der anvender Microsoft 365.

Microsoft vil ikke bruge data til egne formål

Af Microsofts seneste databehandleraftale fremgår en ny, tydelig formulering, hvor Microsoft nu forpligter sig til ikke at bruge data til egne formål.

"When processing for these business operations, Microsoft will apply principles of data minimization and will not use or otherwise process Customer Data, Professional Services Data, or Personal Data for: (a) user profiling, (b) advertising or similar commercial purposes, or (c) any other purpose, other than for the purposes set out in this section."

Microsofts formulering markerer et paradigmeskifte – ikke bare i Microsofts praksis – men i hele den måde, cloud-leverandører positionerer sig i forhold til databeskyttelse i EU. Forpligtelsen til at minimere brugen af data og begrænse formålet med databehandlingen minder i høj grad om det, Google måtte acceptere i kølvandet på den såkaldte Chromebook-sag.

Chromebook-sagen

I Chromebook-sagen blev det tydeligt, at usikkerhed omkring Googles brug af folkeskoleelevers data – herunder potentiel anvendelse til profilering eller kommercielle formål – var et brud på GDPR. Det udløste en bølge af bekymring i den offentlige sektor og førte til, at mange kommuner og skoler genovervejede eller helt opgav brugen af Googles løsninger i undervisningen.

Hvilken betydning har ændringen i Microsofts nye databehandlingsaftale?

Med den nye formulering signalerer Microsoft, at de anerkender samme grundlæggende princip: at offentlige kunders data ikke må anvendes til andet end det, der er klart defineret og nødvendigt for levering af tjenesten – og især ikke til profilering eller kommerciel udnyttelse.

Det er et vigtigt skridt i retning af overensstemmelse med GDPR's krav – og det kan potentielt bidrage til at mindske de juridiske og etiske bekymringer, der har præget brugen af kommercielle cloud-tjenester i den offentlige sektor.

Kan offentlige myndigheder have tillid til Microsoft og Google?

Det centrale spørgsmål er nu, om offentlige myndigheder kan føre reel kontrol med, at Microsoft (eller andre cloud-leverandører) faktisk overholder disse forpligtelser.

Mens formuleringen i sig selv er et skridt fremad, ændrer det ikke ved, at de fleste cloud-tjenester i praksis er lukkede systemer. Gennemsigtighed, efterprøvelse og reel datakontrol er fortsat udfordrende – og det er ikke altid klart, hvilke værktøjer myndigheder har til rådighed for at validere overholdelsen.

Derfor bliver det vigtigt at følge:

Hvordan Microsoft dokumenterer og synliggør deres praksis
Om der opstår muligheder for uafhængig kontrol eller audits
Hvordan nationale tilsynsmyndigheder og interesseorganisationer (som Kommunernes Landsforening og Datatilsynet) vælger at forholde sig til disse løfter

HjulmandKaptains vurdering af sagen

Chromebook-sagen viste, at databeskyttelse ikke kun handler om teknologi, men også om tillid, gennemsigtighed og ansvarlighed. Hvis Microsoft nu er på vej til at anlægge samme linje, som den Google blev tvunget til at følge, er det et tegn på, at presset fra både myndigheder og offentligheden virker. Men det ændrer ikke ved, at kontrolspørgsmålet fortsat er uløst – og at det bør stå højt på dagsordenen at finde svar på dette i den kommende tid.

Hos HjulmandKaptain følger vores specialister i databeskyttelse udviklingen tæt.

Lad HjulmandKaptains specialister i GDPR hjælpe dig

Har du brug for hjælp til at vurdere, hvad afgørelsen betyder for din virksomhed, eller hvordan du sikrer en lovlig praksis ved brug af cloud-løsninger, så ræk ud til HjulmandKaptains specialister i databeskyttelse. Vi står klar til at hjælpe dig og din virksomhed.