GDPR en Office 365 tooling: Wat kun jij betekenen voor jouw IT-omgeving?
Deel 2 van 4
In het eerste deel van deze blogreeks heb ik je uitleg gegeven over "het Valid vierstappenplan om GDPR compliant te worden" en de mogelijkheden van standaard Office 365 tooling voor inventarisatie. Als je de vorige blogpost hebt gelezen komt deze afbeelding je dan ook niet onbekend voor:
In deel twee van deze blogreeks ga ik verder in op het juist registreren van gegevens binnen Office 365. Registreren is een ruim begrip. In elke organisatie worden steeds meer gegevens verzameld en opgeslagen. Het idee van vastleggen van alle soorten gegevens is in principe goed maar het kan ook tot valkuilen leiden. Mag je bijvoorbeeld wel alle gegevens opslaan en zo ja; Hoe lang mag je deze dan bewaren? Enerzijds moet je voorzichtig zijn met het opslaan van gegevens, anderzijds ben je verplicht om bepaalde gegevens te bewaren. Denk bijvoorbeeld aan incidentbeheer en het registreren van aanvragen voor persoonlijke gegevens.
Registratie
Advanced Data Governance
Zoals de titel al zegt: “Goed registreren is het halve werk”. Deze titel is natuurlijk niet voor niets gekozen! De praktijk leert dat veel bedrijven op dit moment veel tijd (en vooral ook geld) steken in het ophalen van privacygevoelige gegevens uit hun archief- en werkomgeving. Vervolgens is de omgeving opgeruimd en begint het “vervuilen van de omgeving” opnieuw. Nu hoor ik je al zeggen: “Zou het niet mooi zijn als ik bepaalde beleidsregels kan (laten) definiëren in mijn organisatie om de medewerkers te sturen in juiste registratie van gegevens”? Het antwoord is natuurlijk: Ja dat kan! Microsoft heeft hier met Advanced Data Governance een hele mooie oplossing voor bedacht.
Met Advanced Data Governance kun je verschillende soorten gegevensstromen binnen je organisatie beheren. Zo kun je binnen Advanced Data Governance ook “Bewaring” vastleggen. Onder bewaring kun je verschillende beleidsregels aanmaken om de gewenste (wettelijke) bewaartermijnen vast te leggen. Hoe je dit precies doet...? Ik leg het je graag uit!
Naast het instellen van bewaartermijnen voor een hele omgeving (of deel van een omgeving) kun je ook bewaartermijnen aan verschillende labels hangen. Hiermee geef je gebruikers zelf de ruimte om inhoud te kunnen classificeren. De gebruiker weet immers bij het opslaan van een document wat voor informatie deze bevat. Een goed voorbeeld is om een dergelijk label te noemen naar een algemene omschrijving “5 jaar bewaren” of in een ander scenario naar een specifiek documenttype zoals bijvoorbeeld “Verhuurcontract”.
Hoe je een label met een beleidsregel voor bewaring in moet stellen leg ik je hier uit:
Naast het streven van de wettelijke bewaartermijnen, is Advance Data Governance natuurlijk ook een heel handig hulpmiddel om na een bepaalde tijd verouderde gegevens op te schonen. Zo blijft je Office 365 omgeving actueel en zoek je alleen nog maar door relevante inhoud.
GDPR Activity Hub
Hoewel de GDPR Activity Hub geen standaard Office 365 tool is, wil ik nog wel even stil staan bij deze tool. De GDPR Activity Hub is een open source project die je kunt gebruiken als starterskit voor het registreren van aanvragen, taken en activiteiten omtrent GDPR. Het is voornamelijk gebouwd op SharePoint Online en gebruikt verschillende Microsoft technieken zoals SPFX, PowerBI, Werkstromen en natuurlijk SharePoint zelf.
Compliance Manager (Preview voor First Release candidates).
Hoewel de Compliance Manager pas sinds 16 november 2017 in preview staat voor first release tenants, hoort deze ook zeker thuis onder beheer. Zoals je al eerder kunt lezen gaat beheer niet alleen over documenten, maar ook de processen van een organisatie moeten worden ingericht zodat ze wettelijke naleving garanderen.
De Compliance Manager is een nieuwe dashboardtool die ontworpen is om de wettelijke nalevingsstatus van de standaard Microsoft oplossing te tonen, evenals de oplossing die in klantomgeving wordt gebruikt.
De Manager kan gebruikt worden voor verschillende compliance beoordelingen zoals bijvoorbeeld verschillende ISO-standaarden, maar het project draait op dit moment toch wel rondom GDPR, de wet die blijkbaar toch wel veel impact heeft.
In deze manager zie je onder een “Assesment” de volgende “Controls” staan:
1 - Office 365 in-Scope Cloud Services
Hieronder staat de scope van de assessment beschreven:
2 - Microsoft Managed Controls
Aangezien GDPR compliant worden een gezamenlijke taak is van zowel Microsoft als de klant heeft ook Microsoft een Managed Controls log over haar producten en gegevens. Hierin kun je het rapport opvragen van Microsoft zelf.
Wat opvalt is dat achter bijna elk action item staat “Third party”. Microsoft geeft hierover aan:
Compliance Manager includes Microsoft Managed Controls, which provide you with implementation and auditor test details regarding the operating effectiveness of each of the listed controls. You can review the audit reports produced by our auditors on the Service Trust Portal. Microsoft has hired and continues to hire a variety of accredited, independent third-party to test and validate Microsoft’s compliance with standards and regulations. Some of the previous and current auditors are Deloitte, BSI, PwC, KPMG, and E&Y.
3 - Customer Managed Controls
In de Customer Managed Controls kun je aangeven welke action items voor jouw organisatie van toepassing zijn. Je kunt gebruikers assesments laten maken en hier de betreffende documenten bijvoegen. Hier kun je ook een test datum instellen.
Hoewel de Compliance Manager Preview nu alleen nog voor Office 365 is ingericht gaat Microsoft dit later uitbreiden naar het totale MS-platform. Microsoft heeft ook aangegeven te willen kijken of er ook third-party processen/software mee getest kan worden, maar hier is verder nog niets over bekend.
In het derde deel van deze blogreeks vertel ik welke standaard Office 365 tools je kunt gebruiken omtrent stap 3: Bescherming.
Mocht je meer informatie willen omtrent één van de bovenstaande tools dan ga ik graag een keer met je in gesprek. Laat een comment achter of stuur een bericht op m'n LinkedIn profiel!
Klik hier voor meer informatie over Valid's AVG dienstverlening.
