Det er en løsning der sikrer, at GDPR-data i mails og filer bliver identificeret og håndteret. Løsningen scanner automatisk GDPR-data for den enkelte medarbejder og gør det nemt og overskueligt at håndtere GDPR-data.

Løsningen scanner konstant efter nye GDPR data.

Brugerne får ny notifikationsmail hver måned, men det er altid muligt at bruge linket i notifikationsmail for at gå ind og få aktuelt billede af situationen.

Nogle personer bør ikke scannes for GDPR data:

• Tillidsrepræsentant – Det er ikke tilladt at scanne mails for en tillidsrepræsentant medmindre du har personens skriftlige tilladelse. Derfor skal du enten have den eller undlade at melde en tillidsrepræsentant til scanning .
• Orlov, barsel eller langtidssygemeldt – Du skal være opmærksom på at brugere på orlov, barsel eller langtidssygemeldte ikke kigger på de notifikationsrapporter, der udsendes. Det betyder at de potentielt kan få slettet deres GDPR mails uden at have vurderet dem*. Derfor skal de måske ikke markeres til scanning eller fjernes fra scanningslisten. Du kan ændre din beslutning ved at tilføje/fjerne bruger til AD gruppe eller give besked til gdprtoolbox@itm8.com

Bemærk: Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

Løsningen scanner efter en lang række kriterier. Kriterierne er sammensat ud fra Datatilsynets retningslinjer for hvad GDPR-relateret indhold er:

• Følsomme oplysninger
  • Oplysninger om sundhed
  • Fagforeningsmedlemskab
  • Etniske og religiøse overbevisninger
  • Seksuel orientering
• Almindelige oplysninger
  • PII-billeder (Personal Identifiable Information)
  • Rejseinformation
• Fortrolige oplysninger
  • CPR & +20 europæiske landes nationale ID
  • Dansk kørekort & +20 europæiske lande 
  • Dansk Pas & +20 europæiske lande 
  • Skriftlige advarsler 
  • Årsregnskab
  • Løn / Lån
  • Ansøgning / Jobtilbud / CV
  • Provisioner / Bonusaftaler
  • Opsigelse
• Strafbare forhold
  • Straffeattest
  • Forseelser, bøder, domme

Hver måned sendes en notifikationsmail ud til brugerne.

Link til notifikationsrapporten i mail er den samme fra gang til gang, så det er altid muligt at bruge det link til at gå ind og checke sin aktuelle status.

Du kan gemme det i din browser og bruge det hver gang du skal ind og checke din GDPR status. Også midt på måneden.

Du kan også dele det med dine kollegaer i organisationen. Det er dit AD login, der bestemmer, hvad du får adgang til.

Der udsendes notifikationsmail for hver datakilde der scannes. De har følgende emnefelt i mail:

• Baseline GDPR Toolbox rapport (for Mail + SharedMail + OneDrive)
• SharePoint – Baseline GDPR Toolbox rapport
• FileShare – Baseline GDPR Toolbox rapport (for Professional-kunder)

Baseline GDPR Toolbox kan ikke udsende nye notifikationsrapporter med links til enkeltpersoner.

Vi kan lave en udsendelse af ny notifikationsrapport til alle i firma
ellers må han/hun vente til næste automatiske udsendelse d 7. i næste måned

Men du kan dele dit link med din kollega. Det er dit AD login, der bestemmer hvad du kan se i notifikationsrapporten.

Hver måned sender vi notifikationsmail ud til de brugere, der har potentielt GDPR følsomme mails.

Det er vigtigt at bemærke hvorfra mail afsendes, da hackere også kan finde på at sende mails ud for at fiske efter data.

Hvis du modtager en notifikationsmail fra Baselinie GDPR Toolbox, så skal header se sådan ud:

Fra: gdprtoolbox@itm8.com
Sendt: den 1 januar 2024 04:03
Til: XXXXXXXXX
Emne: Baseline GDPR Toolbox rapport

Mail kommer fra gdprtoolbox@itm8.com

Notifikationsmail indeholder et link, som leder hen til en webside med notifikationsrapporten, hvor man kan se alle de mails, som potentielt indeholder GDPR data.

Denne notifikationsmail kommer fra Baseline GDPR Toolbox.

Det er vigtigt at informere alle brugere inden første udsendelse om at der kommer en mail fra Baseline GDPR Toolbox og at det er ok.
Brugere advares igen og igen (og med god grund) med at man ikke klikker på et link i en mail fra en ukendt afsender.
Man risikere at brugere sletter notifikationsmail, for "det har de lært".

Derfor skal der sendes en intern mail ud, så brugere informeres om at notifikationsmail er i orden.

Notifikation sendes ud, når virksomheden har besluttet at sætte i gang. Derefter sendes mail ud en gang om måneden.

Erfaringen viser at perioden lige omkring d. 1. er tidspresset for både kunder og leverandører.

Der er tidsregistreringer, månedsafslutninger og faktureringer, så der behøver ikke også komme en notifikationsmail, som man skal forholde sig til.

Derfor rykker vi udsendelse af den månedlige mail til d. 7. i måneden.

Det er altid muligt at bruge linket i en gammel mail til at gå ind og kigge, men udsendelse sker d. 7. i måned.

Notifikationsmail kommer til brugere i deres personlige mailbox. Notifikationsmail dækker over de mails, onedrive og fællespostkasser, hvis man er ansvarlig for sådan nogle. Sharepoint foldere, der er medtaget i GDPR scanning modtager også notifikationsmail for disse.

Best practise er kun at sende mails ud til de personer, der har potentielt GDPR følsomme data. Derfor udsendes der kun mails til brugere som har potentielt GDPR følsomme data.

Hvis du får en notifikationsmail og synes din notifikationsrapport er tom, så check om du har elementer i fanerne Slet Nu, Privat eller Dispensation. Det kan stadig ligge GDPR data i disse faner 

Adgang til notifikationsrapporten får du via linket i notifikationsmailen.

Man får adgang til sin Notifikationsrapport vha. sit almindelige AD login.

Når man trykker på link'et i sin Notifikationsmail, så åbnes en browser med en login side.

Man skal vælge "Sign in with Office 365"  og indtaste sine AD login informationer.

Bemærk: Det er IKKE muligt at logge ind ved at trykke Advanced Login.

Data skal være mindst 3 måneder gammelt og indeholde et eller flere GDPR-ord for at komme i notifikationsrapporten.

Best practise er kun at sende mails ud til de personer, der har potentielt GDPR følsomme data. Derfor udsendes der kun mails til brugere som har potentielt GDPR følsomme data.

Hvis du får en notifikationsmail og synes din notifikationsrapport er tom, så check om du har elementer i fanerne Slet Nu, Privat eller Dispensation. Det kan stadig ligge GDPR data i disse faner

Nogle gange optræder der GDPR følsomme mails i notifikationsrapport, der er placeret i synkroniseringsfolder.

Den folder kan være svær at finde, så her er hjælp til at finde folder:

Tryk på de 3 prikker nedenunder mailfoldere i Outlook:

Vælg "Foldere"/"Folders"

Det er nu muligt at se synkroniseringslog sammen med andre mailfoldere

Den fjernes ved at trykke på mail folder igen.

Mails, der befinder sig hernede er mails, der af den ene eller anden grund er fejlet under synkronisering af Outlook.
De kan som regel slettes uden nærmere gennemsyn. 

Den enkelte bruger har følgende muligheder for håndtering af GDPR-data

• Markering som ”Fejlklassificeret” på dataset (mail og dokumenter) der alligevel ikke er relateret til GDPR-data. Dataset markeret med ”Fejlklassificeret” vil ikke fremgå i den fremtidige notifikationsrapport. 
• Markering som ”Privat” på dataset (mail og dokumenter) der er relateret til brugeren som privatperson. Dataset markeret med ”Privat” vil fortsat fremgå i den fremtidige notifikationsrapport i en fane øverst i vinduet. 
• Markering som ”Dispensation” på dataset (mail og dokumenter) hvorpå der er behov for fortsat at beholde informationen. Dataset markeret med ”Dispensation” vil fortsat fremgå i den fremtidige notifikationsrapport i en fane øverst i vinduet. 
• Markering som ”Slet” på dataset (mail og dokumenter) der skal slettes nu (sletningen sker ved en kørsel der foretages inden for et døgn). 

Er du i tvivl om hvordan de resterende GDPR-relaterede elementer efter håndtering skal håndteres, så ræk ud til virksomhedens kontaktperson inden for GDPR. 

Dataset markeret med ”Fejlklassificeret”, ”Privat” og ”Dispensation” fremgår fortsat i rapporteringen via kundeportalen. Se eventuelt mere under punktet: Rapportering / Kundeportal

BEMÆRK: Kundespecifik konfiguration af nedenstående kan være aftalt anderledes for netop din virksomhed. 

Dit firma vælger om Automatisk Sletning af GDPR relaterede mails/dokumenter skal aktiveres.

Når en mail/dokument har optrådt i en notifikationsmail i 2½ måned (3 gange) fordi den indeholder GDPR data, så slettes den automatisk, hvis ikke brugeren har reageret med en tagging. (Dispensation, Fejlklassificeret, Privat, Slet-Nu)

Det vil sige at en mail er minimum 5½ måned.
Den optræder først i en notifikationsrapport, når den er 3 måneder gammel.

Når en kunde sættes i drift kan der være en del gamle data, der skal håndteres og det er ikke sikkert at alt er processeret til opstartsdato.

Derfor bliver "Automatisk Sletning" ikke igangsat før vi er sikre på at al "backlog" er processeret og kunden har haft rimelig tid til at checke gamle mails.

Når Baseline GDPR Toolbo sætter automatisk sletning i gang, så er det mailens alder, der gælder. Mail skal være ældre end 3+2½ = 5½ måned.

Når man klikker på link i sin notifikationsmail, så bliver man bedt om at logge ind med sit AD brugernavn.

Når man har gjort det, så åbnes notifikationsrapporten:

Notifikationsrapport er opdelt i 4 dele:

1. Faner
2. Formålstekst
3. Søgefelt og filtrering og information om antal
4. Håndtering af GDPR elementer

Se de 4 næste afsnit om håndtering af de enkelt felter.

Øverst i notifikationsmail er forskellige faner:  

• Datasæt – Det er alle potentielle GDPR elementer, der endnu ikke er behandlet. Det er her dit arbejde skal foregå
• Slettet – Alle de mails du har slettet, men som ikke er slettet i din mailbox endnu. Dette gøres en gang i døgnet, så du har tid til at fortryde
• Privat – Alle de elementer, du har markeret med Privat står i denne liste.
• Dispensation – Alle de elementer, du har markeret som Dispensation står i denne liste og forbliver der indtil du er færdig med at arbejde med dem og fjerner ”Dispensation” markeringen. Så rykkes de til datasæt siden og kan behandles ligesom alle andre GDPR data elementer.

Hvis du synes du har håndteret alle dine GDPR data og derfor ikke burde have en mail med påmindelser, så kig i Privat og Dispensation. Der ligger måske data, som stadig har GDPR indhold.

Privat data kan ses ved at klikke på Privat fanen:

Dispensation data kan ses ved at klikke på Dispensation fanen:

Teksten som står over alle fundne GDPR elementer giver en hurtig beskrivelse af, hvilke data der er fundet, og hvad man kan gøre ved dem.

Der er mulighed for at benytte ”Vis mere” for at få vist hele teksten.

Man kan søge i sine GDPR elementer ved at indtaste i søgefeltet og trykke retur.

Hvis man trykker på de 3 vandrette filterstreger med bobler på så foldes filtersektion ud:

Man kan til- og fravælge filter ved at klikke på dem og man folder filteret ind ved at trykke på 3 vandrette filterstreger igen.

Til højre får man vist information om 

• Antal man har puttet i sin skraldespand, men de er ikke slettet i Outlook endnu.
• Antal GDPR elementer, der vises på aktuelle side
• Antal GDPR elementer man har i alt

Den enkelte bruger har følgende muligheder for håndtering af GDPR-data:

• Markering som ”Fejlklassificeret” på dataset (mail og dokumenter), der alligevel ikke er relateret til GDPR-data. Dataset markeret med ”Fejlklassificeret” vil ikke fremgå i den fremtidige notifikationsrapport
• ​Markering som ”Privat” på dataset (mail og dokumenter), der er relateret til brugeren som privatperson. Dataset markeret med ”Privat” vil fortsat fremgå i den fremtidige notifikationsrapport i en fane i toppen af rapport. 
• Markering som ”Dispensation” på dataset (mail og dokumenter), hvorpå der er behov for fortsat at beholde informationen. Dataset markeret med ”Dispensation” vil fortsat fremgå i den fremtidige notifikationsrapport i en fane i toppen af rapport. 
• Markering som ”Slet nu” på dataset (mail og dokumenter), der skal slettes nu (sletningen sker ved en kørsel, der foretages inden for et døgn).

Baseline GDPR Toolbox scanner, som udgangspunkt, altid Microsoft 365 applikationerne Exchange (mails og vedhæftede dokumenter), OneDrive og SharePoint og Teams sites (SharePoint sites).

Exchange Online Archive:
Exchange Online Archive i Microsoft 365 scannes IKKE som udgangspunkt.
Tag gerne kontakt til gdprtoolbox@itm8.com for info herom.

Benyttes Baseline GDPR Toolbox Professional version så scannes onpremise filshare også.

• Mails og dokumenter, som er undladt af virksomheden (f.eks. HR-mapper) 
• Foldere navngivet med ”Privat” i Outlook og OneDrive *1
• ”Slettet post” i Outlook. Vi anbefaler i stedet, at der laves en slettepolitik på mappen *1
• Mødeindkaldelse i outlook *2

*1 Privat og slettet post bliver som udgangspunkt ikke scannet, men det er muligt at tilvælge scanning af disse data også

*2 Når en mødeindkaldelse slettes, så kan det give en ”reply” til afsenderen.
Det forvirrer mange gange afsenderen – specielt hvis det er en gammel mødeindkaldelse eller fra en ekstern afsender.

Løsningen scanner 24/7 og løsningen scanner i ”klumper” på forskellige brugere og på de forskellige datakilder. 

Det gør løsningen for at tilgodese så mange brugere som muligt; altså at så mange brugerne som muligt så hurtigt som muligt kan komme i gang med at håndtere GDPR-relateret data.
Der er altså ikke tale om, at løsningen scanner en bruger ”færdig” før løsningen går videre til næste bruger. 

Når en bruger er ”færdig” fortsætte GDPR Toolbox stadig med at kontrollere denne persons datamængde.

• Gamle mails kan være slettet i Outlook
• Ny mails kommer til (ældre end 3 måneder)
• Scanningsalgoritmerne ændrer sig *

* GDPRToolbox bliver kontinuerligt opdateret og forbedret mht. scanningsalgoritmer.
Lovgivning mht. GDPR ændrer sig og finjustering for at undgå falske positiver bliver konstant foretaget. 
Fx var ’Corona’ i 2019 et spansk pigenavn, hvor det nu er en helbredsoplysning.
 

Baseline GDPR Toolbox giver mulighed for at lave 1 eller 2 PREVIEW udsendelser.

En PREVIEW udsendelse betyder, at 5 til 6 udvalgte medarbejdere får en PREVIEW notifikationsrapport før alle andre og de har derfor mulighed for at afprøve og lære systemet at kende, før der sendes ud til alle i organisationen.

Der sendes kun PREVIEW notifikationsrapport for Mail.

Det er vigtigt når de 5-6 personer udvælges, at man vælger personer, der kan tænkes at have GDPR data, da løsningen kun sender ud, hvis der ER GDPR data fundet på den enkelte bruger.

De 5-6 personer udvælges i forbindelse med onboarding procedures, så de kan sættes i gang før alle andre og dermed være længere i scanningsprocessen.

Den enkelte bruger modtager en e-mail med et link til Baseline GDPR Toolboxen.
Via linket får den enkelte bruger adgang til GDPR-data, der er relateret til brugerens mails og/eller dokumenter.

Notifikationsmail fremsendes en gang om måneden, men linket virker hele tiden og indholdet opdateres løbende. Den enkelte bruger behøver derfor ikke vente til næste måned for at gennemgå GDPR-data.

Notifikationsmails sendes separat for Exchange (mails), SharePoint, OneDrive og FileShare (Baseline GDPR Toolbox Professional). 

Én Office 365 konto tæller som én Baseline GDPR Toolbox konto.

Både personlige og fælles postkasser tæller som én bruger hver i Baseline GDPR Toolbox løsningen og dækker også scanning af OneDrive tilhørende den enkelte konto.

SharePoint scannes uanset antallet af konti.

Vi laver optælling af antallet af konti i hver måned og dette danner grundlag for pr. afregningen af Baseline GDPR Toolboxen.

Support kan kontaktes på gdprtoolbox@itm8.com 

Hvis det er en specifik mail vil vi gerne vide:

• Til
• Fra
• Emnefelt (hvis du har det - eller så godt som muligt)
• Dato og tid

Det letter vores support til dig!

Vi håndterer scanning af brugere vha Entra AD (tidligere Azure Active Directory) gruppe.

Det betyder off-/onboarding af brugere sker ved at justere indhold i Entra AD gruppe.

Hvis du er i tvivl om hvilken Entra AD gruppe, vi benytter for dit firma, så skriv til

gdprtoolbox@itm8.com

Bemærk: Det er dog nødvendigt at håndtere on-prem løsninger (Exchange servere og filscanning) og OnlineArchive scanning ved at tilføje/fjerne email adresser fra GDPR Toolbox manuelt.

Når en bruger slettes i Office 365, så fjernes brugeren fra AAD grupper.

Det betyder at brugeren fjernes i Baseline GDPR Toolbox og al scanning af dennes brugers data fjernes.

Privat folder i Outlook
Dataset (dokumenter og emails) der er placeret i Privat folder i Outlook eller OneDrive medtages ikke i Notifikationsrapporten og indgår ikke i Baseline GDPR Toolbox rapporteringen.

Bemærk:
Det er din virksomheds beslutning om data placeret i Privat folder i Outlook eller OneDrive skal medtages i Notifikationsrapporten eller ej.

”Privat” markeret med tag i notifikationsrapport
Elementer markeret med ”Privat” udgår af hovedliste i Notifikationsrapporten, men kan ses i fanen privat og indgår i Baseline GDPR Toolbox rapporteringen

Når en Mailbox/ OneDrive folder bliver scannet, bliver notifikationsmailen sendt til ejeren af denne Mailbox/OneDrive og det er ejeren, der kan benytte linket til notifikationsrapporten og behandle evt. GDPR elementer på listen.

Når en Shared Mailbox bliver scannet, bliver notifikationsmailen sendt til den delte mailbox.
Det er ikke muligt bare at logge ind med sit eget AD login, da linket er knyttet til den fællespostkasse mail adresse.

Det er muligt at opsætte en ansvarlig for håndtering af en fællespostkasse.
Skriv til gdprtoolbox@itm8.com for nærmere information

I forbindelse med igangsætningen af Baseline GDPR Toolbox er der mulighed for at definere den ansvarlige for håndtering af GDPR-elementer på eksisterende SharePoint sites – dette sker via Baseline GDPR Toolbox onboarding procedure, hvor det også er muligt at specificere hvilke sites der eventuelt skal undlades.

Der sendes en 'Custodian Report' til GDPR Toolbox kontaktperson eller person udpeget af GDPR Toolbox kontaktperson.
I denne specielle Custodian Rapport er det muligt at udpege ansvarlig for de forskellige SharePoint sites.

Den ansvarlige modtager notifikationsmailen og kan benytte linket til notifikationsrapporten og behandle GDPR-elementer på listen.

Når nye SharePoint sites oprettes i Microsoft 365, så vil notifikationsmailen som standard blive sendt til ejeren af det enkelte SharePoint Site og ejeren kan benytte linket til notifikationsrapporten og behandle GDPR-elementer på listen. Hvis det ikke er den rette modtager, er det muligt at ændre ejer vha custodian report.

Hvis der i Microsoft 365 ikke er påført en ejer af det enkelte SharePoint site vil sitet stå uden ejer – et overblik over ejere på SharePoint sites ses via Baseline GDPR Toolbox rapporteringen på kundeportalen.

Fastsættelse af ansvarlig person i SharePoint foregår på Site niveau.

Exchange / Outlook distributionsliste, så flere brugere kan håndtere GDPR-elementerne på SharePoint sites, kan laves.
Dette er ikke en del af Baseline GDPR Toolboxen og er Kundens ansvar.

I forbindelse med scanning af alle brugeres data, åbnes der for adgang til rapportering over virksomhedens GDPR-status sker via Kundeportal.
Det er muligt at få et overblik over virksomhedens GDPR data (uden adgang til specifikke GDPR data) og fordelingen af de forskellige typer af GDPR data.

Fordeling af de forskellige fundne GDPR-data:

• Fordeling over typer
• Fordeling over tid
• Fordeling over brugere (e-mail-adresser)
• Fordeling over dataset markeret med ”Fejlklassificeret”, ”Privat” og ”Dispensation”

Det er IKKE muligt at se de specifikke dataset, kun type og antal samt fordelingen heraf på bruger og kilder.

Brugeradgang til Cherwell Kundeportal

Hvis man har adgang til Cherwell Kundeportal, skal man bruge dette link

https://portal.itsd.dk/

Først vælges den kontrakt, der indeholder GDPRToolbox. Der kan være flere kontrakter at vælge imellem, selvom der kun er een i det viste eksempel. Hvis du er i tvivl hvilken kontrakt, så skriv til os og spørg.

Bruger statistikken ligger under fanen ”Compliance” og så "Baseline GDPR Toolbox".

Brugeradgang til Ivanti kundeportal

Hvis man har adgang til Ivanti Kundeportal, skal man bruge dette link

https://itsm.itm8.com/HEAT/

Når man kommer ind, skal man vælge kontrakt:

Så kan man vælge Baseline rapport og se kundestatistik

Jeres kontaktperson har login til portalen.
Flere brugere kan få adgang, mail herom fremsendes til gdprtoolbox@itm8.com.