De AVG naleven met Microsoft 365: de tips en tricks

Hans van der Meer
De Algemene Verordening Gegevensbescherming (AVG) mag dan al enige tijd van kracht zijn, toch krijgen we nog veel vragen hoe je daar nou op technologisch vlak mee om gaat.

Sommige organisaties kiezen voor op maat gemaakte softwareoplossingen, echter heb je met Microsoft 365 (pakket voor kleine en grote organisaties inclusief onder meer Office 365 en Windows 10) meer handige tools in huis dan je misschien denkt. Bovendien hoef je voor veel van die tools niet een IT-professional te zijn om er gebruik van te kunnen maken.  Dan heb ik het niet alleen over bijvoorbeeld Excel, maar ook over oplossingen die wellicht je nog niet kent. 

Grofweg kun je de AVG naleven aan de hand van vier belangrijke stappen: 

1. Identificeren; 
2. Beheren; 
3. Beveiligen;
4. Rapporteren. 

Hieronder deel ik graag enkele tips en Microsoft 365-tools die je hierbij op weg kunnen helpen. 

1. Identificeren

De eerste stap richting naleving van de AVG is het ontdekken welke gegevens binnen jouw organisatie onder deze wetgeving vallen. Kort gezegd moet je begrijpen welke gegevens je hebt en waar die zich bevinden. Dat is vooral belangrijk om te kunnen reageren op dataverzoeken van klanten en leveranciers. We hebben enkele tools die je kunnen helpen bij het vinden en classificeren ofwel kenmerken van data binnen je organisatie. 
   

  • Naast Content Search om te zoeken op bepaalde trefwoorden (zoals cv, adres of telefoonnummer) en bestandstypen kan je ook Advanced eDiscovery gebruiken. Deze tool is ontwikkeld met machine learning-technologie en zoekt daardoor nog efficiënter naar bepaalde data. 

Beheren

De AVG biedt individuen meer controle over hoe hun persoonlijke gegevens worden verzameld en gebruikt. Bovendien kunnen ze een verzoek tot wijziging, verwijdering of transport van hun data indienen. Het efficiënt beheren van data is daarom extra belangrijk. Enkele Microsoft 365-tools die daarbij handig zijn:  

  • Office 365 Advanced Data Governance (ADG) is in combinatie met bovenstaande hulpmiddelen goed te gebruiken bij het classificeren en beheren van persoonlijke gegevens. Bovendien kan je hiermee binnen de Office 365-omgeving van je organisatie onder andere dataretentie-restricties instellen. Dat is belangrijk en handig omdat de AVG regels stelt over hoe lang je bepaalde data mag bewaren.  Bovendien kan je met deze tool snel handelen als het systeem melding maakt van beveiligingsrisico’s. Daarnaast filter en migreer je data eenvoudig naar Office 365.
  • De Labels-functie is wellicht niet heel bekend maar wel heel handig om documenten en data binnen een Microsoft 365-omgeving te kenmerken. Zo kan je persoonlijke data eenvoudig labelen en daarmee slimmer beheren, met het oog op onder andere de wettelijke bewaartermijnen. 
  • Gebruik Document Inspector om persoonlijke data in bestanden te vinden en te verwijderen.

Beveilig

In een tijd dat datalekken het nationale nieuws halen, hoeft niemand meer ervan overtuigd te worden hoe belangrijk het is om gegevens, en zeker gevoelige en persoonlijke gegevens, zorgvuldig te beschermen. Een goed begin is om ervoor te zorgen dat je systemen up-to-date zijn. Check of je automatische updates in Microsoft 365 hebt ingeschakeld om er zeker van te zijn dat je altijd de laatste en veiligste versie hebt. Het is goed om te weten dat alle persoonlijke data – zowel onderweg als inactief - versleuteld zijn binnen Exchange Online, OneDrive for Business, SharePoint Online, en Skype for Business (Skype-to-Skype voice, video, bestandstransfers en berichten). Daarnaast investeert Microsoft continu in veiligheid binnen Microsoft 365. Enkele tips om zelf actief bij te dragen aan veiligheid van data in je organisatie:

  • Information Rights Management stelt je in staat om persoonlijke data en bestanden zoals cv’s of beoordelingsformulieren te beschermen tegen toegang van onbevoegden binnen je organisatie.
  • Pas instellingen aan in Office 365 aan om datalekken te voorkomen. Bedenk bijvoorbeeld goed welke Office-applicaties verbonden moeten zijn met het internet. Maar vergeet ook niet om verborgen aanpassingen en markeringen (of track changes) in documenten altijd zichtbaar te maken om gênante datalekken te voorkomen. 
  • Maak gebruik van SharePoint Online om bestanden binnen je organisatie op te slaan. Met SharePoint beheer je eenvoudig toegang tot bepaalde mappen zodat alleen mensen binnen je organisatie erbij kunnen die hiertoe bevoegd zijn. Ook heb je daarmee alle data veilig gecentraliseerd waardoor het beheersbaarder is. 
  • Beveilig gevoelige Word-, Excel- en PowerPoint-documenten met password protection. Zo voorkom je datalekken en zorg je ervoor dat alleen bevoegden bepaalde informatie kunnen raadplegen of bewerken. Dat kan ook met e-mails met gevoelige data aan externen. Die beveilig je eenvoudig met Office 365 Message Encryption (OME).

Rapporteren

De AVG vraagt organisaties ook om transparantie en het bijhouden van activiteiten met betrekking tot persoonlijke data van individuen. Naleving van de wetgeving vereist dan ook dat organisaties, klein en groot, hierover kunnen rapporteren. Door gebruik te maken van Unified Audit log volg en registreer je wat er met bepaalde data binnen je organisatie gebeurt. Hiermee zie je bijvoorbeeld of data per mail of via de Cloud is gedeeld met externe organisaties. Daarnaast kan je om je registratie overzichtelijk te organiseren natuurlijk aan de slag met het niet te onderschatten Microsoft Excel.

Belangrijk is wel om je te realiseren dat je hiermee een eind op weg raakt maar dat AVG-naleving altijd een proces is met meer dan alleen technologische componenten. Zoek daarom goed uit wat de AVG voor jouw organisatie betekent en laat je bij twijfel informeren of helpen door een deskundige. 

Weten waar je aan toe bent? Vraag via Kennisportal.com een gratis AVG Assessment aan!  
 

afbeelding van Hans van der Meer

Hans van der Meer |

Microsoft 365/Windows Lead bij Microsoft NL

Bekijk alle artikelen van Hans