Tel: 70 26 48 50
Opret din support sag Support ikon      Remote support TeamViewer logo

Microsoft 365 GDPR for advokater og revisorer: 5 opsætninger I mangler

Advokat gennemgår Microsoft 365 GDPR-sikkerhedsindstillinger på laptop

Microsoft 365 GDPR for advokater og revisorer: 5 opsætninger I mangler

Af Sten Albert Person A-one Solutions ·
·
Kategori: Compliance

Jeres klienter betror jer CPR-numre, regnskabsdata og fortrolige sagsakter. Alligevel sender de fleste advokat- og revisionsfirmaer den slags som ukrypterede mail-vedhæftninger. Microsoft 365 Business Premium har værktøjerne til at stoppe det – men de er slået fra som standard. Denne guide viser jer præcis, hvilke fem opsætninger I aktiverer for at lukke de mest kritiske GDPR-huller.

Det vigtigste I tager med

  • Sensitivity Labels krypterer automatisk – mærk dokumenter som “Klient Fortrolig”, og de kan ikke videresendes eller kopieres uden tilladelse.
  • DLP blokerer CPR-numre i mails og Teams – Data Loss Prevention fanger følsomme data, før de forlader organisationen.
  • Compliance Manager scorer jeres GDPR-niveau – og giver konkrete anbefalinger til, hvad I skal lukke først.
  • eDiscovery håndterer indsigtsanmodninger på minutter – ikke timer. Søg på tværs af mail, Teams og filer i én operation.
  • Adaptive Protection opdager insider-risici – hvis en medarbejder pludselig downloader store mængder klientdata, strammes politikkerne automatisk.

Oversigt over Microsoft Purview Sensitivity Labels i administrationscenter

Hvorfor standardopsætningen ikke er nok til GDPR

Microsoft leverer værktøjerne. Men de konfigurerer dem ikke for jer. Det er den såkaldte “Shared Responsibility”-model: Microsoft sikrer platformen, I sikrer jeres data. Og det er her, de fleste firmaer med 10-80 medarbejdere falder igennem.

Datatilsynet kræver, at I kan dokumentere jeres tekniske og organisatoriske foranstaltninger. Audit logs, kryptering, adgangsstyring – det hele skal være på plads og aktiveret. Ikke bare tilgængeligt i licensen.

Før: En revisor sender et regnskabsudkast med CPR-numre som vedhæftning til klienten. Mailen videresendes til en tredjepart. Ingen ved det.
Efter: DLP-politikken fanger CPR-nummeret, blokerer afsendelsen og foreslår i stedet et krypteret SharePoint-link med udløbsdato. Revisoren bruger 10 sekunder ekstra. Klientens data forbliver beskyttet.

Tjekliste: 5 Microsoft 365 GDPR-opsætninger I aktiverer nu

Denne tjekliste er bygget til M365 Business Premium – den licens, de fleste mindre advokat- og revisionsfirmaer allerede har.

# Opsætning Hvad I konfigurerer Hvad I tjekker
1 Sensitivity Labels Opret minimum 3 labels: “Intern”, “Klient Fortrolig”, “Strengt Fortrolig”. Tildel kryptering og begræns videresendelse på de to sidste. Test at et dokument med labelen “Klient Fortrolig” ikke kan åbnes af en ekstern modtager uden godkendelse.
2 Data Loss Prevention (DLP) Aktivér DLP-politikker for danske CPR-numre, pasnumre og kreditkortnumre i Exchange, Teams og SharePoint. Send en test-mail med et fiktivt CPR-nummer. Verificér at politikken blokerer eller advarer.
3 Conditional Access + MFA Kræv MFA for alle brugere. Blokér login fra lande, I ikke opererer i. Kræv compliant enheder for adgang til SharePoint. Forsøg login uden MFA fra en ny enhed. Bekræft at adgangen blokeres.
4 Compliance Manager Åbn Compliance Manager i Purview-portalen. Vælg GDPR-skabelonen. Gennemgå jeres score og prioritér de røde anbefalinger. Er jeres score over 60 %? Hvis nej, tag de tre øverste anbefalinger først.
5 Sikker ekstern deling Skift fra mail-vedhæftninger til SharePoint-links med udløbsdato og adgangskode. Begræns gæsteadgang i Teams til specifikke kanaler. Verificér at et delt link udløber efter den angivne periode, og at gæster ikke kan se andre klienters filer.

Compliance Manager dashboard med GDPR-score og anbefalinger

Sådan erstatter I usikre mail-vedhæftninger med klientportaler

Mail er den største risiko i de fleste rådgivningsfirmaer. Ikke fordi Outlook er usikkert i sig selv, men fordi vedhæftninger lever deres eget liv, når de er sendt.

Alternativet er allerede i jeres licens. Opret et SharePoint-site pr. klient eller pr. sag. Del filer via tidsbegrænsede links, der kræver godkendelse. Klienten får adgang via et enkelt klik – uden at oprette en Microsoft-konto.

Før: En advokat sender sagsakter som PDF-vedhæftning. Klienten videresender mailen til sin revisor. Sagsakterne ender i tre postkasser uden kontrol.
Efter: Advokaten deler et SharePoint-link med 14 dages udløb. Kun den inviterede kan åbne det. Adgangen logges i audit-loggen. Når sagen lukkes, deaktiveres linket.

Få et gratis M365 Compliance Tjek

Vi gennemgår jeres Microsoft 365-opsætning og leverer en rapport over de GDPR-huller, I skal lukke først. Ingen binding – kun klarhed over, hvor I står.

Book jeres compliance-tjek her →

Sådan håndterer I GDPR-indsigtsanmodninger med eDiscovery

Når en person beder om indsigt i, hvilke data I har om vedkommende (en DSAR), har I 30 dage til at svare. For et advokatfirma med tusindvis af mails og dokumenter kan det tage dagevis at søge manuelt.

eDiscovery i M365 søger på tværs af Exchange, Teams, SharePoint og OneDrive i én samlet søgning. Angiv personens navn eller CPR-nummer, og værktøjet samler alle relevante resultater. Eksportér dem som en samlet pakke.

Det tager minutter – ikke advokattimer til 2.500 kr. stykket.

Hvorfor dataklassificering skal komme før Copilot

Mange firmaer overvejer Microsoft Copilot for at spare tid på dokumentudkast og mailbesvarelser. Men Copilot har adgang til alt det, brugeren har adgang til. Uden Sensitivity Labels kan Copilot trække klientfortrolige data ind i et svar til en anden klient.

Reglen er enkel: klassificér først, automatisér bagefter. Opsæt jeres labels og DLP-politikker, inden I aktiverer Copilot. Ellers bygger I hastighed oven på kaos.

Flowdiagram der viser rækkefølgen: dataklassificering før Copilot-aktivering

Adaptive Protection: Automatisk forsvar mod insider-risici

Purviews Adaptive Protection er en nyere funktion, der overvåger brugeradfærd og justerer DLP-politikker dynamisk. Hvis en medarbejder i opsigelsesperioden begynder at downloade usædvanligt mange filer, strammes reglerne automatisk.

For advokat- og revisionsfirmaer, hvor en enkelt partner kan have adgang til hundredvis af klienters data, er det en afgørende sikkerhedsmekanisme. Funktionen kræver M365 E5 Compliance som add-on til Business Premium – men for firmaer med høj risiko er investeringen minimal sammenlignet med konsekvensen af et databrud.

FAQ: Microsoft 365 GDPR for advokater og revisorer

Dækker Microsoft 365 Business Premium GDPR-kravene?

Licensen indeholder de nødvendige værktøjer (Sensitivity Labels, DLP, Conditional Access, audit logs). Men de er ikke aktiveret som standard. I skal selv konfigurere dem – eller få en IT-partner til det.

Hvad er Sensitivity Labels, og hvordan virker de i praksis?

Det er mærkater, I sætter på dokumenter og mails. En label som “Klient Fortrolig” kan automatisk kryptere filen, forhindre videresendelse og begrænse, hvem der kan åbne den. Labelen følger dokumentet, uanset hvor det kopieres hen.

Kan vi bruge Microsoft 365 til at besvare GDPR-indsigtsanmodninger?

Ja. eDiscovery søger på tværs af mail, Teams, SharePoint og OneDrive. I angiver søgekriterier (fx navn eller CPR), og værktøjet samler resultaterne til eksport. Det reducerer arbejdet fra timer til minutter.

Hvad sker der, hvis vi aktiverer Copilot uden dataklassificering?

Copilot kan trække data fra alle filer, brugeren har adgang til. Uden labels og adgangsstyring risikerer I, at fortrolige klientdata blandes på tværs af sager. Klassificér jeres data først.

Hvordan dokumenterer vi GDPR-compliance overfor Datatilsynet?

Brug Compliance Manager i Purview-portalen. Vælg GDPR-skabelonen, og I får en score plus konkrete anbefalinger. Eksportér rapporten som dokumentation.

Er SharePoint-deling sikkert nok til klientdata?

Ja, hvis I konfigurerer det korrekt: kræv godkendelse for adgang, sæt udløbsdato på links, aktivér audit logging, og begræns gæsteadgang til specifikke sites. Det er markant sikrere end mail-vedhæftninger.

Hvad koster det at opsætte disse sikkerhedsforanstaltninger?

Selve værktøjerne er inkluderet i M365 Business Premium (undtagen Adaptive Protection, der kræver E5 Compliance add-on). Den primære investering er konfigurationstiden – typisk 2-5 dage for et firma med 10-50 medarbejdere, afhængigt af kompleksiteten.

Sådan kommer I i gang: 4 konkrete skridt

  1. Auditér jeres nuværende opsætning. Åbn Compliance Manager, vælg GDPR-skabelonen, og notér jeres score. Alt under 60 % kræver handling nu.
  2. Aktivér Sensitivity Labels og DLP. Start med tre labels og én DLP-politik for CPR-numre. Test i en pilotgruppe på 5 brugere i to uger, før I udruller bredt.
  3. Erstat mail-vedhæftninger med SharePoint-links. Opret ét klient-site som pilot. Sæt udløbsdato på 30 dage og kræv godkendelse. Mål om klienterne kan tilgå filerne uden support.
  4. Book et M365 Compliance Tjek med en IT-partner, der kan validere jeres opsætning og identificere de huller, I ikke selv ser.
Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed beskytte din virksomheds kommunikation mod phishing og svindel

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Mand arbejder koncentreret ved computer med fokus på Microsoft 365 Backup sikkerhed

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde
IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?