Nog drie weken, en de GDPR treedt in werking. Als het goed is, heb je al een behoorlijke klus geklaard om je volledige IT-landschap klaar te maken. Maar na 25 mei 2018 houdt het niet op, dan begint het pas. Office 365 biedt je tools die het jou gemakkelijker maken om te voldoen aan de GDPR-regelgeving. Daar vertel ik je graag meer over.
Afgelopen maart was ik een van de sprekers tijdens de GDPR kennissessie bij ons op kantoor. Een druk bezochte sessie, waarin ik merkte dat veel bedrijven zoekende zijn hoe zij kunnen voldoen aan deze nieuwe wetgeving. Daarnaast viel mij op dat mensen de komst van de GDPR vaak zien als last dan als kans. Zelf zie ik de komst van de GDPR als positief. Ik vind het goed dat bedrijven zich bewust zijn welke data zij waar en hoe opslaan, maar we moeten daar natuurlijk niet in doorslaan. Tijdens de kennissessie liet ik zien dat je met de aanwezige tools in Office 365 al grote stappen maakt om te voldoen aan de GDPR-regelgeving. Deze moet je alleen wel ‘aanzetten’. Over deze tools gaat dit blog.
Het begint met inzicht
Het is goed te weten dat alle producten en diensten van Microsoft voldoen aan de GDPR-regelgeving. Om inzicht te krijgen in de mate waarin je bedrijf voldoet aan complexe nalevingsverplichtingen zoals de GDPR, is Microsoft Compliance Manager een goed hulpmiddel. Dit hulpmiddel gericht op IT beheer, reikt tips en tricks aan die helpen in jouw reis naar GDPR compliance. De Microsoft Compliance Manager zegt alleen iets over de technologie die je op dat moment inzet. Echter bij het veilig omgaan met persoonsgegevens en bedrijfskritische informatie spelen mensen, procedures en processen een nog belangrijkere rol. Ook hiervoor biedt Microsoft een aantal tools die je goed op weg helpen. De drie belangrijkste tools zijn Multifactor Authenticatie, Data Loss Prevention en Azure Information Protection. Tools die het meest effect hebben wanneer je ze gelijktijdig inzet. Maar wat houden deze tools in?
1. Multifactor Authenticatie
Met multifactor authenticatie beveilig je het inlogproces door – naast gebruikersnaam en wachtwoord – een extra authenticatiestap te verplichten. Je ontvangt via sms, e-mail of een mobiele app een extra verificatiecode. Office 365 biedt deze gratis dienst. Jij bepaalt zelf of je deze optie voor iedereen in je organisatie verplicht stelt of voor een bepaalde groep medewerkers. Denk bijvoorbeeld aan buitendienstmedewerkers of andere medewerkers die vaak inloggen op plaatsen waarvan je niet zeker weet hoe veilig het netwerk is – bij klanten, bij wegrestaurants of openbare flexwerkplekken.
2. Data Loss Prevention
Bescherm met Data Loss Prevention (DLP) het delen van persoonlijke en gevoelige informatie met onbevoegden. Leg bijvoorbeeld vast dat alleen HR-medewerkers BSN- of IBAN-nummers mogen verzenden. Deze regel checkt vervolgens alle documenten, e-mails en dergelijke op deze gegevens. Op het moment dat je een BSN- of IBAN-nummer intypt en niet tot deze specifieke groep behoort, krijg je een tooltip (de Policy tip) te zien die vermeldt dat dat tegen de beleidsregels is. Microsoft biedt deze dienst voor de online opslaglocaties: Exchange Online, SharePoint Online en OneDrive for Business.
3. Azure Information Protection
Mijn persoonlijke favoriet. Met Azure Information Protection classificeer je documenten als persoonlijk en beveilig je deze tegen ongeautoriseerd openen. Zo markeer je bijvoorbeeld een personeelscontract op basis van de inhoud of de opmaak van het sjabloon automatisch als HR-document, of hang je er zelf een ‘HR-document’ label aan. Azure Information Protection is onderdeel van Azure Rights Management waarmee je op basis van beleidsregels bepaalt of je specifieke data mag delen met externen. De beveiliging vindt plaats op basis van labels en tags, die je automatisch of handmatig aanbrengt.
Geen garantie, wel een grote stap in de juiste richting
Heb je jouw IT op orde, dan wil dat nog niet zeggen dat je GDPR compliant bent. IT vormt een klein onderdeel, zo’n 30%. De overige 70% gaat om beleidswijzigingen en organisatorische aspecten die je op orde moet hebben. Wil je meer weten over hoe je jouw Office 365-omgeving klaar maakt voor de naderende GDPR-wetgeving? Ik kijk graag met je mee!