10 steps til at beskytte dine data i Microsoft 365 og sikre compliance med GDPR

Virksomheder over hele Danmark arbejder dagligt i Microsoft 365, men med de mange data, der genereres og deles, vokser risikoen for databrud og manglende overholdelse af GDPR. At beskytte dine data i Microsoft 365 handler ikke kun om teknisk sikkerhed. Det handler også om bevidsthed, processer og løbende vedligeholdelse.

I denne blog tager vi dig gennem 10 konkrete steps, der hjælper din virksomhed med at beskytte data og sikre compliance uden at gå på kompromis med brugervenlighed eller produktivitet.

1. Start med et datakortlægningsoverblik

Før du kan beskytte noget, skal du vide, hvad du har. Det kræver en systematisk gennemgang af alle lagrede data i Microsoft 365. Identificér, hvilke typer personoplysninger virksomheden opbevarer, hvor de befinder sig, og hvem der har adgang.

Brug Microsoft Purview til at oprette et datakort, der visualiserer og kategoriserer oplysninger. Det giver dig et klart overblik over, hvor de mest følsomme data er placeret.

Sådan gør du:

• Log ind i Microsoft Purview Compliance Portal via compliance.microsoft.com.

• Navigér til “Data Classification” og klik på “Overview” for at se eksisterende datatyper.

• Brug Content Explorer og Activity Explorer til at finde ud af, hvilke typer følsomme oplysninger virksomheden opbevarer som f.eks. CPR-numre, kreditkortoplysninger eller e-mails med persondata.

• Gennemgå data på tværs af Exchange Online, SharePoint, OneDrive og Teams.

• Brug automatiseret scanning til at finde og kategorisere ustrukturerede data, som f.eks. PDF’er og regneark.

Når du har kortlagt, hvilke data der findes, hvor de befinder sig, og hvem der har adgang, kan du begynde at implementere de rette sikkerhedsforanstaltninger. Dette er også en central forudsætning for at overholde GDPRs krav om datakontrol og dokumentation.

2. Anvend rollebaseret adgangskontrol

En af de mest effektive metoder til at beskytte dine data i Microsoft 365 er at begrænse adgangen, og det bør ske ud fra princippet om mindst nødvendige rettigheder. Ved at tildele adgang baseret på brugernes rolle, reducerer du risikoen for uautoriseret adgang og interne fejl.

Sådan gør du:

• Brug Azure Active Directory (Azure AD) til at definere sikkerhedsgrupper ud fra medarbejderroller som f.eks. “Salg”, “HR” og “Ledelse”.

• Opret conditional access policies, der kun giver adgang til følsomme data, hvis brugeren f.eks. er på virksomhedens netværk eller bruger MFA.

• Brug SharePoint-permissions og Teams kanalindstillinger til at styre adgang til specifikke filer og dokumenter.

• Slå Just-In-Time adgang til via Azure Privileged Identity Management, så medarbejdere kun har adgang til bestemte systemer i en tidsbegrænset periode.

• Foretag en kvartalsvis adgangsrevision for at sikre, at gamle tilladelser fjernes.

Ved at give adgang ud fra princippet om “mindste privilegium” reducerer du drastisk risikoen for, at data havner i de forkerte hænder – enten ved en fejl eller som følge af ondsindet aktivitet.

3. Implementér dataklassificering og labels

Microsoft 365 giver dig mulighed for at klassificere data og tilføje følsomhedslabels. Dataklassificering hjælper med at give dine dokumenter og mails et beskyttelsesniveau, der matcher deres indhold. Det er med andre ord en måde at sætte intelligent kontekst på data.

Ved at definere, hvilke dokumenter der er fortrolige, interne eller offentlige, kan du desuden automatisere sikkerhedsregler og adfærd. For eksempel, et dokument markeret “Fortroligt” kan automatisk krypteres og beskyttes mod videresendelse.

Sådan gør du:

• I Microsoft Purview finder du menuen for Information Protection, hvor du kan oprette egne Sensitivity Labels som f.eks.:

  • • “Offentlig”

    • “Intern”

    • “Fortrolig”

• Aktiver Unified Labeling, så labels kan anvendes på tværs af Word, Excel, PowerPoint, Outlook og SharePoint.

• Brug Auto-labeling policies, så systemet automatisk tilføjer en følsomhedslabel, hvis dokumentet indeholder bestemte datatyper som f.eks. et CVR-nummer eller ord som “kontrakt”.

• Konfigurer regler, så dokumenter med bestemte labels f.eks. ikke kan videresendes, downloades uden kryptering eller deles med eksterne.

• Integrer med Microsoft Defender for Cloud Apps for at overvåge og kontrollere data, der flyttes mellem cloud-platforme.

Denne funktion er ikke kun en hjælp til compliance, men et vigtigt værktøj til at styrke sikkerhedskulturen i virksomheden. Når labels og klassificering er på plads, bliver sikkerhedsreglerne mere intelligente, og dine brugere får hjælp til at håndtere data korrekt uden at skulle træffe alle beslutninger selv.

4. Aktivér multifaktorautentificering (MFA)

Et simpelt login med brugernavn og kodeord er ikke længere nok til at beskytte adgang til Microsoft 365. Cyberkriminelle benytter sig af phishing, brute-force angreb og stjålne legitimationsoplysninger, og det kræver mere end bare stærke adgangskoder at imødegå dem.

Multifaktorautentificering (MFA) tilføjer et ekstra lag sikkerhed ved at kræve, at brugeren bekræfter sin identitet gennem en sekundær metode: typisk via smartphone, biometrisk verifikation eller godkendelsesapp.

Sådan gør du:

• Gå til Microsoft Entra Admin Center (tidl. Azure AD) og vælg Security > Conditional Access.

• Opret en ny Conditional Access policy, der kræver MFA for alle brugere eller start med bestemte grupper som f.eks. administratorer og HR.

• Anvend Microsoft Authenticator App, SMS eller biometrisk login (f.eks. Windows Hello) som godkendelsesmetode.

• Brug Security Defaults i Entra for hurtigt at aktivere MFA, hvis du ikke har komplekse behov.

• Overvåg implementeringen og tilbyd brugervenlig onboarding til medarbejdere for at undgå modstand.

MFA reducerer risikoen for uautoriseret adgang med op til 99%. Det bør derfor være obligatorisk for alle brugere med adgang til følsomme data og tjenester i Microsoft 365.

5. Kryptér e-mails og følsom kommunikation

E-mails er en af de mest anvendte kommunikationsformer, og en af de mest oversete risikofaktorer. Mange mails indeholder personoplysninger, kontrakter, rapporter og fortrolige bilag, som let kan kompromitteres, hvis de ikke er korrekt sikret.

Microsoft 365 tilbyder stærke muligheder for kryptering via Microsoft Purview Message Encryption og Information Rights Management (IRM).

Sådan gør du:

• Gå til Microsoft Purview > Information Protection > Mail flow rules (transportregler).

• Opret regler, der automatisk krypterer mails, der indeholder følsomme oplysninger som f.eks. CPR-numre eller dokumenter med bestemte følsomhedslabels.

• Brug Outlook’s indbyggede krypteringsfunktion: Når du sender en mail, klik på “Options > Encrypt” og vælg en passende beskyttelsesindstilling.

• Konfigurer Data Loss Prevention (DLP) til at identificere følsomme oplysninger og udløse kryptering automatisk.

• Test med eksterne modtagere for at sikre, at de kan åbne og læse krypterede mails korrekt.

Kryptering beskytter indholdet under overførsel og sikrer, at kun den rette modtager kan åbne det. Det opfylder samtidig GDPR’s krav om fortrolighed i datakommunikation.

6. Overvåg og log aktiviteter i realtid

Det er ikke nok at sætte sikkerhedsforanstaltninger op og håbe på det bedste. Du skal kunne dokumentere, hvad der foregår og reagere hurtigt, når noget ser mistænkeligt ud. Det kræver overvågning og detaljerede logs.

Microsoft tilbyder stærke værktøjer til dette via Microsoft Defender for Office 365 og Microsoft Purview Audit (Standard eller Premium).

Sådan gør du:

• Aktiver Microsoft Purview Audit for at logge alle brugeres aktiviteter – f.eks. hvem der åbner, redigerer eller sletter dokumenter.

• Gå til Microsoft 365 Defender portal > Advanced Hunting, hvor du kan oprette brugerdefinerede forespørgsler for at identificere mistænkelig aktivitet.

• Konfigurer advarsler for hændelser som:

  • • Stort antal downloadede filer på kort tid

    • Uautoriserede delinger med eksterne brugere

    • Loginforsøg fra usædvanlige geografiske placeringer

• Brug Microsoft Sentinel til at sammenkoble logdata på tværs af platforme og analysere mønstre over tid.

Denne form for overvågning er essentiel, hvis du vil opdage databrud tidligt samt nødvendig for at kunne dokumentere hændelsesforløb over for Datatilsynet i tilfælde af en sikkerhedshændelse.

7. Brug DLP (Data Loss Prevention) politikker

Data Loss Prevention (DLP) hjælper med at forhindre, at følsomme oplysninger som persondata, betalingsoplysninger eller interne dokumenter utilsigtet forlader virksomheden. Det er en effektiv måde at beskytte dine data i Microsoft 365 mod både menneskelige fejl og bevidst datalæk.

Sådan gør du:

• Gå til Microsoft Purview Compliance Portal > Data Loss Prevention.

• Opret en ny DLP policy, og vælg hvilke workloads den skal dække (f.eks. Exchange, SharePoint, OneDrive, Teams).

• Vælg en skabelon (f.eks. “GDPR”) eller opret dine egne regler, f.eks.:

  • • Bloker e-mails med CPR-numre, kreditkortoplysninger eller bankdata.

    • Advare brugere, hvis de forsøger at dele dokumenter med eksterne.

    • Krypter automatisk mails med følsomme oplysninger.

• Aktivér policy tips, så brugere får besked direkte i Outlook eller Office, når de er ved at bryde en DLP-regel.

• Overvåg hændelser i Activity Explorer og tilpas politikkerne løbende.

DLP hjælper ikke kun med at forhindre datalæk, men sikrer også dokumentation og sporbarhed, hvilket er en væsentlig del af GDPR’s krav om ansvarlighed og kontrol med persondata.

8. Uddan dine medarbejdere løbende

Teknologi alene er ikke nok. Menneskelige fejl – som klik på phishing-links eller deling af følsomme oplysninger – er en af de største trusler mod datasikkerheden i Microsoft 365. Medarbejderne skal derfor forstå både truslerne og deres eget ansvar.

Sådan gør du:

• Integrér awareness-træning i onboarding og som tilbagevendende forløb.

• Brug Microsoft Attack Simulation Training til at sende simulerede phishing-mails og måle respons.

• Afhold kvartalsvise sessioner om emner som:

  • • Brug af stærke adgangskoder

    • Håndtering af personoplysninger i Teams og Outlook

    • Vurdering af risikofyldte links og vedhæftninger

• Kommunikér sikkerhedspolitikkerne klart – fx gennem infografikker, videoer og guides.

• Lav små tests efter hver træning for at forankre læring.

Når medarbejdere er rustet til at identificere og reagere på trusler, forstærker det hele din organisations forsvar mod databrud.

9. Hav en klar databehandleraftale og dokumentation

Når du bruger Microsoft 365, er Microsoft databehandler, og din virksomhed er dataansvarlig. GDPR kræver, at du kan dokumentere, hvordan dine databehandlere opfylder kravene herunder tekniske og organisatoriske sikkerhedsforanstaltninger.

Sådan gør du:

• Gennemgå Microsofts Data Protection Addendum (DPA), som er standardaftalen mellem Microsoft og kunden.

• Gennemlæs og arkivér dokumentation om:

  • • Dataplacering (datacentre)

    • Kryptering og sikkerhed

    • Underdatabehandlere

    • Revisionsspor

• Dokumentér jeres interne behandlinger og sikkerhedstiltag i et GDPR-overblik, herunder:

  • • Behandlingsaktiviteter i Microsoft 365

    • Adgangskontrol

    • Logning og hændelsesstyring

• Brug Compliance Manager i Microsoft Purview til at måle og forbedre jeres GDPR-overholdelse over tid.

RackPeople kan hjælpe jer med at navigere i både Microsofts og jeres egen dokumentation, så I altid står stærkt ved et eventuelt tilsyn.

10. Fastsæt politikker for datalagring og sletning

Et af GDPR’s kerneprincipper er “dataminimering”, altså at personoplysninger ikke må opbevares længere end nødvendigt. Mange virksomheder glemmer dette, og det kan medføre både compliance-brud og unødvendige risici. Microsoft 365 giver dig fleksible muligheder for at kontrollere lagringsperioder og slette data automatisk.

Sådan gør du:

• Gå til Microsoft Purview > Data Lifecycle Management.

• Opret Retention Policies, der definerer:

  • • Hvor længe bestemte datatyper (e-mails, dokumenter, chats) må gemmes.

    • Hvornår de skal slettes, arkiveres eller gennemgås.
• Brug Retention Labels, som kan anvendes manuelt eller automatisk til specifikke filer.

• Aktivér regler som:

• • • “Slet kundedata 3 år efter seneste aktivitet”

    • “Arkivér HR-filer efter 5 år”

• Brug audit logs til at dokumentere, hvornår data er slettet eller behandlet i henhold til politikkerne.

Denne tilgang hjælper jer ikke kun med GDPR-compliance. Den reducerer også datamængder, forbedrer systemperformance og gør det lettere at finde relevante oplysninger.

Gør sikkerhed og compliance til en integreret del af din Microsoft 365-strategi

At beskytte dine data i Microsoft 365 og samtidig overholde GDPR er ikke et enkelt flueben, der skal krydses af. Det kræver en helhedsorienteret tilgang, hvor teknologi, processer og mennesker spiller sammen.

Ved at følge de 10 steps ovenfor kan din virksomhed sikre, at både sikkerhed og compliance er tænkt ind fra starten, og at data forbliver beskyttede, uanset hvor og hvordan de bruges.

Hos RackPeople hjælper vi virksomheder med at implementere og vedligeholde effektive sikkerhedsforanstaltninger i Microsoft 365-miljøer. Vores eksperter sikrer, at du har den nødvendige tekniske opsætning, dokumentation og rådgivning til at stå stærkt.

Kontakt os i dag, og hør mere om, hvordan vi kan hjælpe dig med IT-outsourcing og sikker Microsoft 365-drift.