Automatisk oppdatering fra Microsoft utløser omfattende plikter for din bedrift

Mange har lagt merke til at en har begynt å motta e-poster fra MyAnalytics med jevne mellomrom. Dette skjer fordi Microsoft Office gjennom en oppdatering har endret standardinnstillingene, og skrudd på tillegget MyAnalytics. Dette utløser omfattende plikter for din bedrift, med mindre tillegget skrus av.

Publisert: 21. februar 2020 Skrevet av: Advokat Martin Dyb

Svært mange bedrifter benytter Microsoft Office-pakken, med programmer som Word, Excel, PowerPoint og Outlook. De fleste gjør derfor lurt i å merke seg at Microsoft, gjennom en av de siste automatiske oppdateringene, har endret standardinnstillingene uten noe nærmere varsel. Endringen går ut på at MyAnalytics, som lenge har vært tilgjengelig i Office-pakken, nå har fått endret standardinnstilling fra «deaktivert» til «aktivert».

MyAnalytics har som uttalt formål å gi arbeidstakere og bedriftsledere bedre innsikt i den enkeltes tidsbruk og arbeidsmønster, med beskrivelse av potensiale for effektivisering. Dette gjøres ved at MyAnalytics høster omfattende mengder av informasjon om den enkelte Office-brukers handlingsmønster og personopplysninger.

Stort sett alle bedrifter er omfattet av personopplysningsloven som trådte i kraft for halvannet år siden, herunder også EØS-reglene i GDPR («General Data Protection Regulation» / personvernforordningen). Reglene oppstiller en plikt til å benytte de innstillingene som best ivaretar personvernet, bl.a. i dataprogramvare. Microsofts endring er i strid med dette, da aktivering av MyAnalytics i større grad går utover personvernet. Dette medfører derfor et løpende brudd for svært mange bedrifter, som kan ha pågått siden juni 2019.

Det Nederlandske justisdepartementet har vurdert Microsofts endring og MyAnalytics nærmere, og har konkludert med at hver enkelt bedrift må gjennomføre en såkalt «DPIA» dersom MyAnalytics skal brukes. En DPIA («Data Protection Impact Assessment») er en grundig og skriftlig vurdering av personvernkonsekvenser. Plikten til å foreta DPIA oppstår i de tilfeller hvor ny type behandling, f.eks. ved ny bruk av programvare, kan antas å medføre høy risiko for personvernet til den enkelte.

Gjennomføring av DPIA kan være en arbeidskrevende prosess. Imidlertid er det enkelt å skru av MyAnalytics-tillegget. Vår klare anbefaling blir at alle virksomheter gjør dette så snart som mulig, med mindre en har et særskilt behov for MyAnalytics og er forberedt på å gjennomføre en DPIA.

Advokatfirmaet Judicia har advokater med ekspertise på personvernområdet, som kan bistå med å sikre at din bedrift overholder GDPR-reglene eller med å gjennomføre DPIA ved behov.