FAQ - Baseline GDPR Toolbox

Det er en løsning der sikrer, at GDPR-data i mails og filer bliver identificeret og håndteret. Løsningen scanner automatisk GDPR-data for den enkelte medarbejder og gør det nemt og overskueligt at håndtere GDPR-data.

Baseline GDPR Toolbox scanner, som udgangspunkt, altid Microsoft 365 applikationerne Exchange (mails og vedhæftede dokumenter), OneDrive og SharePoint og Teams sites (SharePoint sites).

Exchange Online Archive:
Exchange Online Archive i Microsoft 365 scannes IKKE.
Tag gerne kontakt til gdprtoolbox@mening.dk for info herom.

Nogle personer bør ikke scannes for GDPR data:

• Tillidsrepræsentant – Det er ikke tilladt at scanne mails for en tillidsrepræsentant medmindre du har personens skriftlige tilladelse. Derfor skal du enten have den eller undlade at melde en tillidsrepræsentant til scanning 
• Orlov, barsel eller langtidssygemeldt – Du skal være opmærksom på at brugere på orlov, barsel eller langtidssygemeldte ikke kigger på de notifikationsrapporter, der udsendes. Det betyder at de potentielt kan få slettet deres GDPR mails uden at have vurderet dem*. Derfor skal de måske ikke markeres til scanning eller fjernes fra scanningslisten.

Bemærk: Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

• Mails og dokumenter, som er undladt af virksomheden (f.eks. HR-mapper) 
• Foldere navngivet med ”Privat” i Outlook og OneDrive
• ”Slettet post” i Outlook. Vi anbefaler i stedet, at der laves en slettepolitik på mappen 

Løsningen scanner efter en lang række kriterier. Kriterierne er sammensat ud fra Datatilsynets retningslinjer for hvad GDPR-relateret indhold er:

• Følsomme personoplysninger
  • Oplysninger om sundhed
  • Fagforeningsmedlemskab
  • Etniske og religiøse overbevisninger
  • Seksuel orientering
• Almindelige personoplysninger
  • PII-billeder (Personal Identifiable Information)
  • Rejseinformation
• Fortrolige personoplysninger
  • CPR & +20 europæiske landes nationale ID
  • Dansk kørekort & +20 europæiske lande 
  • Dansk Pas & +20 europæiske lande 
  • Skriftlige advarsler 
  • Årsregnskab
  • Løn / Lån
  • Ansøgning / Jobtilbud / CV
  • Provisioner / Bonusaftaler
  • Opsigelse
• Strafbare forhold
  • Straffeattest
  • Forseelser, bøder, domme

Løsningen scanner konstant efter nye GDPR data.

Brugerne får ny notifikationsmail hver måned, men det er altid muligt at bruge linket i notifikationsmail for at gå ind og få aktuelt billede af situationen.

Den enkelte bruger har følgende muligheder for håndtering af GDPR-data:

• Markering som ”Ikke GDPR” på dataset (mail og dokumenter), der alligevel ikke er relateret til GDPR-data. Dataset markeret med ”Ikke GDPR” vil ikke fremgå i den fremtidige notifikationsrapport
• Markering som ”Privat” på dataset (mail og dokumenter), der er relateret til brugeren som privatperson. Dataset markeret med ”Privat” vil ikke fremgå i den fremtidige notifikationsrapport.
• Markering som ”Dispensation” på dataset (mail og dokumenter), hvorpå der er behov for fortsat at beholde informationen. 
• Markering som ”Slet nu” på dataset (mail og dokumenter), der skal slettes nu (sletningen sker ved en kørsel, der foretages inden for et døgn).
• Visualisering af processen som Baseline GDPR Toolbox er baseret på. Har du fået foretaget kundespecifikke ændringer, så kan dette have indflydelse på processen.

Dataset der ikke bliver håndteret jf. ovenstående muligheder vil blive slettet automatisk efter 2½ måneder.

Bemærk: Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

Den enkelte bruger modtager en e-mail med et link til Baseline GDPR Toolboxen.
Via linket får den enkelte bruger adgang til GDPR-data, der er relateret til brugerens mails og/eller dokumenter.
Adviseringsmail fremsendes en gang om måneden, men linket virker hele tiden og indholdet opdateres løbende. Den enkelte bruger behøver derfor ikke vente til næste måned for at gennemgå GDPR-data.

Ved opstart sendes adviseringsmails separat for mail, sharepoint, onedrive m.m.
men det er muligt at samle flere kilder i samme adviseringsmail.

Bemærk: Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

Indsigtssøgning på defineret person (navn / cpr-nummer) kan foretages via itm8. 

For hjælp hertil skrives e-mail til gdprtoolbox@mening.dk.

Fastlagt procedure herfor følges efterfølgende i samarbejde med jeres ansvarlig for løsningen

Dataset (dokumenter og emails) der er placeret i Privat folder eller elementer, der er markeret med ”privat” (Uanset store og små bogstaver) medtages ikke i Notifikationsrapporten og indgår ikke i Baseline GDPR Toolbox rapporteringen.

Hvis en medarbejder markerer data med ”Privat” i Notifikationsrapporten tæller det med i Baseline GDPR Toolbox rapporteringen, men fjernes fremover fra notifikationsrapporten.

Forklaring:

• Elementer i Privat folder eller med ’privat’ i emnelinje har medarbejder ansvaret for at opbevare forsvarligt.
• Elementer, der er tagget som ’privat’, er ikke i første omgang identificeret som et privat element og derfor er det firmaets ansvar at opbevare det forsvarligt.

Data skal være mindst 3 måneder gammelt og indeholde et eller flere GDPR-ord for at komme i notifikationsrapporten.

Når en Mailbox/ OneDrive folder bliver scannet, bliver notifikationsmailen sendt til ejeren af denne Mailbox/OneDrive og det er ejeren, der kan benytte linket til notifikationsrapporten og behandle evt. GDPR elementer på listen.

Når en Shared Mailbox bliver scannet, bliver notifikationsmailen sendt til den delte mailbox og det er de personer der har adgang til den delte mailbox, der kan benytte linket til notifikationsrapporten og behandle GDPR-elementer på listen.

Det er ikke muligt at ændre modtageren af en notifikationsmail til en fælles postkasse i Baseline GDPR Toolboxen til fx en person.

Såfremt modtageren af notifikationsmailen ønskes ændret, så kan dette ske via Microsoft 365 og brugen af ”Regler” i Exchange / Outlook. Baseline GDPR Toolbox sender mails fra gdprtoolbox@mening.dk og mails herfra kan så videresendes til en eller flere modtagere. Disse modtagere kan benytte linket til notifikationsrapporten og håndtere GDPR-elementerne herfra.

Såfremt en modtager ikke har rettighed til den pågældende fælles postkasse, så vil det ikke være muligt at benytte linket i notifikationsrapporten til det enkelte element.

I forbindelse med igangsætningen af Baseline GDPR Toolbox er der mulighed for at definere den ansvarlige for håndtering af GDPR-elementer på eksisterende SharePoint sites – dette sker via Baseline GDPR Toolbox onboarding procedure, hvor det også er muligt at specificere hvilke sites der skal eventuelt skal undlades.

Den ansvarlige modtager notifikationsmailen og kan benytte linket til notifikationsrapporten og behandle GDPR-elementer på listen.

Når nye SharePoint sites oprettes i Microsoft 365, så vil notifikationsmailen som standard blive sendt til ejeren af det enkelte SharePoint Site og ejeren kan benytte linket til notifikationsrapporten og behandle GDPR-elementer på listen. Det er ikke nødvendigvis den rette modtager, og det er muligt at skrive til os (gdprtoolbox@mening.dk) for at få det rettet.

Hvis der i Microsoft 365 ikke er påført en ejer af det enkelte SharePoint site vil sitet stå uden ejer – et overblik over ejere på SharePoint sites ses via Baseline GDPR Toolbox rapporteringen på kundeportalen.

Fastsættelse af ansvarlig person i SharePoint foregår på Site niveau.

Baseline GDPR Toolbox kan ikke udsende nye notifikationsrapporter med links til enkeltpersoner.

Vi kan lave en udsendelse af ny notifikationsrapport til alle i firma

Ellers må han/hun vente til næste automatiske udsendelse d 7. i næste måned

1 bruger = 1 O365 konto

Det vil sige at både personlige og fælles postkasser tæller som én bruger hver.

Til gengæld scanner vi Sharepoint uden at tælle det med i brugerantal.

Vi laver en optælling ca. d. 20. i hver måned og dette danner grundlag for pr. bruger afregningen hver måned.

Når vi skal undersøge om en bruger har GDPR data eller om en mail er kategoriseret korrekt eller....

Det bliver hurtigere og nemmere for alle, hvis vi har flest mulige informationer om den pågældende bruger/mail

Det vil sige at vi gerne vil vide:

• Hvilken mailadresse handler det om

Hvis det er en specifik mail vil vi gerne vide:

• Til
• Fra
• Emnefelt (hvis du har det - eller så godt som muligt)
• Dato og tid

Det letter vores eftersøgning

Du skal angive en default email adresse.

Hvis du IKKE skriver noget i GDPR ansvarlig for en given folder, så vil default mail adressen modtage GDPR notifikations rapport

Hvis du skriver en mail adresse, så får den pågældende mailadresse GDPR notifikations rapporten.

Notifikationsmail udsendes månedligt ligesom for e -mails.

Nedenstående er en midlertidig løsning på opgaven at tilføje/fjerne brugere fra GDPR-scanningen.

I en kommende release af Baseline GDPR Toolbox vil det være muligt at automatisere tilføj/slet af brugere så det følger den normale IT Relation procedure for nye/fjernede brugere.

Hvis du ønsker at tilføje eller fjerne brugere fra GDPR Toolbox scanning, så henvend dig til itm8, der derefter vil hjælpe dig på vej
Drejer det sig om mange brugere er det måske nemmere med et regneark, så finder vi også ud af det.

Indsigtssøgning på defineret person (navn / cpr-nummer) kan foretages via itm8. 

For hjælp hertil skrives e-mail til gdprtoolbox@mening.dk.

Fastlagt procedure herfor følges efterfølgende i samarbejde med jeres ansvarlig for løsningen

Baseline GDPR Toolbox scanner brugerens konti indtil vi får besked på at stoppe og fjerne scanning af kunde via mail til gdprtoolbox@mening.dk eller din IT-samarbejdspartner i ITM8.  

Hver måned sendes en notifikationsmail ud til brugerne.

Link til notifikationsrapporten i mail er den samme fra gang til gang, så det er altid muligt at bruge det link til at få ind og checke sin aktuelle status.

Du kan gemme det i din browser og bruge det hver gang du skal ind og checke din GDPR status. Også midt på måneden.

Hver måned sende notifikationsmail ud til de brugere, der har potentielt GDPR følsomme mails.

Det er vigtigt at bemærke hvorfra mail afsendes, da hackere også kan finde på at sende mails ud for at fiske efter data.

Hvis du modtager en notifikationsmail fra Baselinie GDPR Toolbox, så skal header se sådan ud:

Fra: gdprtoolbox@mening.dk <gdprtoolbox@mening.dk>
Sendt: den 1 juni 2021 04:03
Til: XXXXXXXXX
Emne: Baseline GDPR Toolbox rapport

Mail kan komme fra gdprtoolbox@mening.dk

Notifikationsmail indeholder et link, som leder hen til en webside med notifikationsrapporten, hvor man kan se alle de mails, som potentielt indeholder GDPR data.

Denne notifikationsmail kommer fra Baseline GDPR Toolbox.

Det er vigtigt at informere alle brugere inden første udsendelse om at der kommer en mail fra Baseline GDPR Toolbox og at det er ok.
Brugere advares igen og igen (og med god grund) med at man ikke klikker på et link i en mail fra en ukendt afsender.
Man risikere at brugere sletter notifikationsmail, for "det har de lært".

Derfor skal der sendes en intern mail ud, så brugere informeres om at notifikationsmail er i orden.

Notifikation sendes ud, når virksomheden har besluttet at sætte i gang. Derefter sendes mail ud en gang om måneden.

Erfaringen viser at perioden lige omkring d. 1. er tidspresset for både kunder og leverandører.

Der er tidsregistreringer, månedsafslutninger og faktureringer, så der behøver ikke også komme en notifikationsmail, som man skal forholde sig til.

Derfor rykker vi udsendelse af den månedlige mail til d. 7. i måneden.

Det er altid muligt at bruge linket i en gammel mail til at gå ind og kigge, men udsendelse sker d. 7. i måned.

Notifikationsmail kommer til brugere i deres personlige mailbox. Brugere, der administrerer fællespostkasser eller Sharepoint foldere, der er medtaget i GDPR scanning modtager også notifikationsmail for disse.

Best practise er kun at sende mails ud til de personer, der har potentielt GDPR følsomme data. Derfor udsendes der kun mails til brugere som har potentielt GDPR følsomme data.

Hver notifikationsmail indeholder et link til Baseline GDPR Toolbox serveren, hvor det er muligt at se hvilke dokumenter, der potentielt indeholder GDPR-data for den enkelte bruger.

Link og notifikationsmail er det samme fra gang til gang, så den kan med fordel gemmes i favoritter, så man altid kan checke sine GDPR-data uden at skulle vente på næste udsendelse af notifikationsmail.

ogle gange optræder der GDPR følsomme mails i notifikationsrapport, der er placeret i synkroniseringsfolder.

Den folder kan være svær at finde, så her er hjælp til at finde folder:

1. Tryk på de 3 prikker nedenunder mailfoldere i Outlook
   
2. Vælg "Foldere"/"Folders" 
   
3. Det er nu muligt at se synkroniseringslog sammen med andre mailfoldere.
   
4. Den fjernes ved at trykke på mail folder igen.
   

Mails, der befinder sig hernede er mails, der af den ene eller anden grund er fejlet under synkronisering af Outlook.
De kan som regel slettes uden nærmere gennemsyn. 

Det er kun muligt at tilgå notifikationsrapporten fra det dybe link, der medsendes i notifikationsmail.

Her er et eksempel på dybt link  (det er ændret, så det ikke virker, det er udelukkende et eksempel)
https://gdprtoolbox02.itrelation.dk/report-dashboard?token=Ip7hY88xxxxxxx4OFiHeInYBAoxxxxxxxhW5pGmPd5hqqorKat2QGvr50XtY RlXc7MngyF.mHQyMBmXCO_cdvRTj8Qs8Czu9SAmiW7Q.Degilu.xxxxxxxxx0a6D 8TXj6l_P0UjRvAYKisydYnCiho_XxxxxxxxVqCpG8tp18dmo-

Det er ikke muligt at tilgå notifikationsrapport fra overordnet link fx https://gdprtoolbox02.itrelation.dk/

Som bruger går man ind og ser GDPR data for enten Exchange, SharePoint, OneDrive eller Filer (Plus-kunder).

Når man starter fra toppen, så ved GDPR Toolbox ikke hvad den skal vise.

Man får adgang til sin Notifikationsrapport vha. sit almindelige AD login.

Når man trykker på link'et i sin Notifikationsmail, så åbnes en browser med en login side

Man skal vælge "Sign in with Office 365"  og indtaste sine AD login informationer.

Bemærk: Det er IKKE muligt at logge ind ved at trykke Advanced Login.

I dette afsnit kan du få hjælp til hvordan notifikationsrapport virker

Den enkelte bruger har følgende muligheder for håndtering af GDPR-data

• Markering som ”Ikke GDPR” på dataset (mail og dokumenter) der alligevel ikke er relateret til GDPR-data. Dataset markeret med ”Ikke GDPR” vil ikke fremgå i den fremtidige notifikationsrapport. 
• Markering som ”Privat” på dataset (mail og dokumenter) der er relateret til brugeren som privatperson. Dataset markeret med ”Privat” vil ikke fremgå i den fremtidige notifikationsrapport. 
• Markering som ”Dispensation” på dataset (mail og dokumenter) hvorpå der er behov for fortsat at beholde informationen. 
• Markering som ”Slet” på dataset (mail og dokumenter) der skal slettes nu (sletningen sker ved en kørsel der foretages inden for et døgn). 

Dataset markeret med ”Ikke GDRP”, ”Privat” og ”Dispensation” fremgår fortsat i rapporteringen via kundeportalen. Se eventuelt mere under punktet: Rapportering / Kundeportal

De næste kapitler handler om funktionalitet af de enkelte elementer på notifikationsrapporten.

BEMÆRK: Kundespecifik konfiguration af nedenstående kan være aftalt anderledes for netop din virksomhed. 

Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

Når en mail/dokument har optrådt i en notifikationsmail i 2½ måned (3 gange) fordi den indeholder GDPR data, så slettes den automatisk, hvis ikke brugeren har reageret med en tagging. (Dispensation, Ikke-GDPR, Privat, Slet-Nu)

Det vil sige at en mail er minimum 5½ måned.
Den optræder først i en notifikationsrapport, når den er 3 måneder gammel.

Når en kunde sættes i drift kan der være en del gamle data, der skal håndteres og det er ikke sikkert at alt er processeret til opstartsdato.

Derfor bliver "Automatisk Sletning" ikke igangsat før vi er sikre på at al "backlog" er processeret og kunden har haft rimelig tid til at checke gamle mails.

Når Baseline GDPR Toolbo sætter automatisk sletning i gang, så er det mailens alder, der gælder. Mail skal være ældre end 3+2½ = 5½ måned.

Det er muligt at vælge hvilket sprog, man ønsker tekster på siden vist i.

Det er ikke muligt at se formålstekst i flere sprog, kun websidens anvisninger

Teksten som står over alle fundne GDPR-e-mails giver en hurtig beskrivelse af, hvilke data der er fundet, og hvad man kan gøre ved dem.

Det man indtaster i søgefelt bruges til at gennemsøge indhold for alle mails, der er indsat i GDPR listen.

Første gang man går ind på notifikationsrapporten vil de to tal være ens. Der er et totalt antal GDPR-elementer og alle vises.

Efterhånden som brugeren tager stilling til de forskellige elementer og markerer dem som Private, Ikke GDPR, Dispensation eller sletter dem, vil antal ”Showing” reduceres til dem, der er tilbage og som mangler at blive håndteret. 

Det er muligt at filtrere på sine GDPR-data, så man kun ser delmængder.
Man kan fx. vælge kun at se GDPR-data, der indeholder CPR-numre eller både ”Sygdom” og ”CV” GDPR-data.

Hver Information optager en linie på siden. Det kan være en fordel at kunne se så mange elementer som muligt på en side. Derfor kan man skjule sine filtre. Det er altid muligt at folde dem ud igen.

Som udgangspunkt er et element ulæst. Men hvis man har været inde og kigget på et dataset så markeres det som ’læst’. Det er ikke længere skrevet med ’fed’ skrift.

Man kan markere flere og sætte dem til læst/ulæst ad gangen. Se ’Multiselect’

Det er muligt at få et preview af det enkelte dataset, hvis man hvis man trykker på ’+’.

Så foldes det enkelte dataset ud og man kan se hvorfor det blev markeret som GDPR.

Bagefter kan man lukke det igen ved at trykke på ’-’

Hvert enkelt data kan markeres med

• Dispensation
• Ikke-GDPR
• Privat

For at markere skal man klikke på de 3 lodrette prikker til højre for elementet.
Derved får man mulighed for at markere hvilken type man ønsker.

Se  afsnit med "Multi-select muligheder" for hvordan man kan udføre samme ting for flere elementer ad gangen.

Det er muligt at vælge flere elementer ad gangen ved at klikke i multi-select felterne.

Hvis man benytter multi-select, kan man udføre den samme funktionalitet på flere datasets på een gang.

Der åbnes en ’taskbar’ forneden på siden, hvor man har mulighed for at vælge handling:

Man kan markere alle som læst/ulæst og hvis men klikker på de 3 lodrette prikker, kan man sætte tag på om alle valgte elementer skal markeres som Ikke-GDPR, Privat eller Dispensation.

Der er muligvis flere funde GDPR-data, end der kan vises på een side. Derfor kan man gå til næste eller forrige side.

Det er muligt at vælge mellem at vise 25, 50 eller 100 items ad gangen.

I forbindelse med scanning af alle brugeres data, åbnes der for adgang til rapportering over virksomhedens GDPR-status sker via IT Relations kundeportal.
Det er muligt at få et overblik over virksomhedens GDPR data (uden adgang til specifikke GDPR data) og fordelingen af de forskellige typer af GDPR data.

Fordeling af de forskellige fundne GDPR-data:

• Fordeling over typer
• Fordeling over tid
• Fordeling over brugere (e-mail-adresser)
• Fordeling over dataset markeret med ”Ikke GDPR”, ”Privat” og ”Dispensation”

Oplever du og dine brugere, at der er bestemte filer, filtyper eller andet der altid bliver fanget af Baseline GDPR Toolboxen og som skal markeres med ”Ikke GDPR”, så er du velkommen til at kontakte os for en justering af søgefiltrene. ​

​Denne service faktureres særskilt efter forbrugt tid.

Det er IKKE muligt at se de specifikke dataset, kun type og antal samt fordelingen heraf på bruger og kilder.

ITR Kundeportal: https://servicedesk.itrelation.dk
Rapporteringen ligger under fanen ”Reports”.

Jeres kontaktperson har login til portalen.
Flere brugere kan få adgang, mail herom fremsendes til gdprtoolbox@itrelation.dk.

Baseline GDPR Toolbox giver via kundeportalen et overblik over hvilke SharePoint sites der er inklusiv og eksklusiv i GDPR-håndteringen.

Hvis flere SharePoint sites er oprettet med sammen navn i Microsoft 365, så vil de respektive SharePoint sites også stå med samme navn i Baseline GDPR Toolbox rapporteringen.

Baseline GDPR Toolbox rapporteringen giver et overblik over hvem den ansvarlige er for GDPR-håndteringen på de enkelte SharePoint sites.