Wat ik merk is dat veel organisaties het management rondom hun persoonsgegevens nog niet goed op orde hebben - en soms zelfs helemaal niet goed weten om wat voor data het eigenlijk gaat.
Niet alleen naam, adres en burgerservicenummer vallen onder de wetgeving van de GDPR/AVG - maar ook bijzondere persoonsgegevens over ras, godsdienst, geloof, strafrechtelijk verleden, of iemands seksuele leven.
Wat ook weinig mensen weten is dat informatie die indirect, door middel van herleiding, mogelijkheid biedt tot identificatie - IP-adressen, kentekengegevens, etc. - ook worden gezien als persoonsgegevens.
De boetes bij onzorgvuldige omgang met deze informatie kunnen oplopen tot flinke percentages van je jaaromzet.
Te laat?
Als ik om mij heen kijk, zie ik dat veel bedrijven en organisaties te laat zijn begonnen - en waarschijnlijk al te laat zijn om hun zaken op orde te krijgen. Zelfs de overheid heeft aangegeven dat ze de uitvoerende wetgeving er nog niet door krijgen voor mei 2018.
Dat lijkt misschien enige ademruimte te geven, maar de regelgeving rondom gevoelige persoonsgegevens zal de komende jaren hoe dan ook steeds strenger worden. Bedrijven die zich nog niet echt bewust zijn van wat de GDPR voor hen betekent, moeten beginnen met heel goed nadenken over welke gevoelige data zich in hun organisatie bewegen.
Plan van aanpak
Wanneer je een inventarisatie hebt gemaakt van de soorten data die zich binnen de organisatie bevinden, is de volgende stap: inzichtelijk maken waar de pijnpunten en zwakke plekken in je netwerk liggen, zodat je snel kunt starten met het dichten van de gaten.
Denk hierbij out-of-the box:
- Waar gaat deze data heen? (Tegenwoordig heeft iedereen werkgerelateerde gegevens op zijn/haar smartphone)
- Wat als iemand zijn telefoon kwijtraakt?
- Moet deze data bewaard blijven? En zo ja: hoe lang eigenlijk? (Ruim op wat je niet meer nodig hebt!)
- Weet ik wat mijn werknemers rondsturen buiten de organisatie?
Tools in Office 365
Zodra je een antwoord hebt op bovenstaande vragen, is dat een mooi vertrekpunt om je gegevensstructuur te gaan verbeteren en te beveiligen. Dat kan op verschillende manieren, maar Office 365 heeft een aantal tools die je al een heel eind op weg helpen:
Data Loss Prevention (DLP): Met DLP kun je binnen verschillende locaties van je Office 365 tenant gevoelige informatie identificeren. Met deze tool kun je verschillende beleidsregels voor jouw organisatie instellen. Deze beleidsregels kunnen vervolgens worden ingezet om bestaande gevoelige informatie in kaart te brengen. Je kunt bijvoorbeeld zoeken op informatie met gevoelige informatie die gedeeld zijn met externen.
GDPR Activity Hub: Hoewel de GDPR Activity Hub geen standaard Office 365 tool is, maar een open source project , kun je hem wel gebruiken als starterskit voor het registreren van aanvragen, taken en activiteiten omtrent GDPR. Het is voornamelijk gebouwd op SharePoint Online en gebruikt verschillende Microsoft technieken zoals SPFX, PowerBI, Werkstromen en natuurlijk SharePoint zelf.
Multi-factor authenticatie: Multi-factor authenticatie is een verificatiemethode waarbij de gebruiker naast een gebruikersnaam en wachtwoord ook nog aan een tweede verificatiefactor moet voldoen. In het geval van Office 365 moet de gebruiker bijvoorbeeld ook een telefoongesprek, sms of een melding in de app bevestigen waarna pas met het account ingelogd kan worden. Mocht een derde persoon op welke manier dan ook het wachtwoord van één van de gebruikers in je tenant achterhalen kan deze nog steeds niet inloggen zonder ook de gekoppelde smartphone bij zich te hebben.
Advanced Audit Logs:
Het loggen en verifiëren van beveiliging gerelateerde activiteiten en meldingen zijn belangrijke aspecten bij een strategie van gegevensbeveiliging. Advanced Audit Logs van je Office 365 omgeving bestaat uit een digitaal logboek van allerlei verschillende gebruikersactiviteiten. Advanced Audit Logs staat standaard uit, maar kan in het Office 365 Security & Compliance Center aangezet worden door een tenant level admin. Je kunt door middel van een aantal zoekfilters op de Audit Logs pagina zoeken naar vele verschillende soorten activiteiten binnen je tenant. Van het uitlezen wie bestanden uit SharePoint heeft geopend, bewerkt en verwijdert, tot het uitlezen van een gebruiker die aan een AD groep is toegevoegd, het staat er allemaal in.
Met deze tools van Office 365 kun je de meeste gestructureerde data binnen je organisatie op zo'n manier ordenen en beveiligen dat je voldoet aan de nieuwe GDPR wetgeving voor bedrijven en organisaties.
Met Valid kunnen wij hier gericht in adviseren, omdat wij alles weten van Office 365. Voor organisaties waar complexere data circuleert die niet kan worden gedetecteerd met Office 365 hebben wij de Privacy Detection Crawler ontwikkeld, een geavanceerde technische maatwerk tool waarmee je ook kunt zoeken in ongestructureerde data die rondzwerft binnen je IT omgeving.
Meer informatie over onze Privacy Detection Crawler lees je in een volgende blogpagina.
Ondertussen kan je ook een webinar volgen over dit onderwerp.
Nick over z'n job bij Valid
“Ik vind het leuk om klanten te helpen met het beter (en efficiënter) maken van hun dagelijkse werkprocessen. Door de hoge mate van verantwoordelijkheid die ik krijg bij Valid kan ik snel schakelen met de klant. Als ik dan een oplossing bedenk waar de klant dagelijks plezier aan beleeft kan ik daar veel voldoening uit halen. Je merkt dat klanten dit erg kunnen waarderen en dat vervolgens ook uitspreken! Dat geeft een goed gevoel.”
