GDPR

GDPR en de Microsoft Cloud, voor niet-ICTers

Voor een versnelde GDPR-conformiteit

In vele organisaties ligt de verantwoordelijkheid voor het interne GDPR-project bij een niet-technische medewerker. Een belangrijk deel van de invoering van een GDPR-conforme manier van werken heeft immers te maken met wetgeving, interne procedures, audit en controle. Nochtans ligt een groot deel van de oplossing bij ICT, omdat er vele ICT-hulpmiddelen beschikbaar zijn om GDPR-conformiteit te ondersteunen en zelfs af te dwingen. Het is belangrijk dat Business en ICT een gezamenlijk beeld vormen van de mogelijkheden van ICT-hulpmiddelen om de organisatie te helpen in haar GDPR-project.  

 

Snel resultaat met Microsoft Cloud-hulpmiddelen

De GDPR bevat ongeveer 160 eisen, gaande van hoe de organisatie persoonlijke gegevens verzamelt, opslaat en bewaart, over waarvoor die gegevens worden gebruikt, tot een verplichte melding van inbreuken binnen de 72 uren, de eisen van de GDPR zijn niet mis. Gelukkig kan de Microsoft Cloud wonderen doen: de diverse hulpmiddelen die onderdeel uitmaken van Microsoft 365 kunnen je helpen om sneller je GDPR-doelstellingen te halen. Dat is mogelijk omdat Microsoft van bij het begin zijn Cloud heeft opgezet en ontwikkeld op basis van Trusted Cloud Principles. Die principes gaan over veiligheid, privacy, transparantie en conformiteit. Dat wil zeggen dat van bij de start de Microsoft Cloud beantwoordde aan de meeste van de huidige GDPR-eisen. En daardoor kan ook jouw organisatie sneller beantwoorden aan de eisen van de GDPR door de beschikbare Microsoft 365 tools op de juiste manier in te schakelen.

De Microsoft tools bieden een onmiddellijke oplossing voor de belangrijkste GDPR-eisen (zie tabel met verwijzing naar GDPR-artikelen verder in de tekst):

  • Beheer van gebruikers en hun toegangsrechten waardoor enkel de juiste mensen toegang krijgen tot persoonsgebonden data   -Bescherming van data, devices (PCs, GSMs, tablets) en apps: waardoor het inbreken en oneigenlijk gebruik van data kan worden beperkt, en bij verlies de gevoelige data op het device kan worden verwijderd op afstand 
  • Automatisch vinden van persoonlijke gegevens in alle documenten: waardoor ook persoonlijke data in ongestructrureerde informatie kan worden gevonden (denk aan Word- en Excel-documenten) 
  • Classificeren van ongestructureerde informatie: om ervoor te zorgen dat Word- en Excelbestanden met persoonlijke gegevens op een andere manier kunnen worden behandeld 
  • Beperken van het gebruik van persoonlijk gegevens: om er automatisch voor te zorgen dat bestanden met persoonlijke gegevens niet ongewild op een verkeerde manier kunnen worden verwerkt 
  • Monitoring en rapportering: om te kunnen opvolgen of de afspraken worden gevolgd, en om inbreuken te detecteren en te rapporteren

 

Bijzondere aandacht voor ongestructureerde informatie

In vele GDPR-projecten wordt ongestructureerde informatie met persoonsgebonden data over het hoofd gezien. Nochtans heeft elke organisatie honderden bestanden (meestal Excel-files) met lijsten van personen en hun persoonlijke informatie (contactgegevens, demografische gegevens, etc.). Zonder de juiste hulpmiddelen is het niet eenvoudig deze bestanden te vinden, of ze te beschermen.

Hier schuilt een groot risico: Word- en Excel-bestanden kunnen gemakkelijk, gewild of ongewild, naar de verkeerde partijen worden gemaild, of ermee worden gedeeld. Dit leidt telkens tot een ‘data breach’!.

 

 

Een duidelijk stappenplan voor een snel resultaat

Spikes heeft een aanpak ontwikkeld om in 4 duidelijke stappen, en met behulp van de Microsofthulpmiddelen, snel resultaten te kunnen boeken in GDPR-projecten.

Illustratie 1: de 4 stappen om een snelle GDPR-start te nemen

In een eerste stap worden Microsoft Cloud-producten gebruikt om data te vinden die mogelijk persoonsgebonden data bevatten; daarbij wordt vooral gelet op de ongestructureerde informatie (Word- en Excel-documenten), omdat die meestal over het hoofd wordt gezien.

Vervolgens wordt bepaald hoe de gevoelige informatie kan worden geclassificeerd, zodat voor iedereen duidelijk wordt welke informatie op welke manier moet worden behandeld.

In een derde stap wordt vastgelegd wat met bepaalde informatie mag gebeuren, en wat niet. Een deel van deze afspraken worden vastgelegd in richtlijnen en procedures, en aan ander deel wordt geautomatiseerd met de Microsoft-hulpmiddelen, zodat ze automatisch kunnen worden uitgevoerd telkens wanneer dat nodig is.

In de 4de en laatste stap wordt gemonitord en opgevolgd of de afspraken worden gerespecteerd, en worden hulpmiddelen ingeschakeld om mogelijke inbreuken tijdig te detecteren en te rapporteren.

 

GDPR-regels en Cloud-hulpmiddelen

Als je organisatie gebruik maakt van Microsoft Cloud-producten, dan heeft ze hoogstwaarschijnlijk alles in huis om op belangrijke punten snel GDPR-conform te werken. Onderstaande illustraties geven een beeld van wat je in de verschillende stappen moet doen, en welke Microsoft Cloud tools daarbij kunnen helpen:

Illustratie 2: Wat moet je in elke stap doen …

 

Illustratie 3: … en welke Microsoft Cloud hulpmiddelen kunnen daarbij helpen

Wie neemt de leiding?

Of het nu iemand van de Business is of iemand van ICT die de leiding neemt in het GDPR-project van jouw organisatie, maakt niet uit. Wat wel belangrijk is, is dat iedereen begrijpt wat de mogelijkheden zijn die de beschikbare Microsoft Cloud-tools bieden om sneller GDPR-conform te werken.

 

Laat je bijstaan

Laat je bijstaan door Spikes en contacteer ons via onderstaand formulier voor een heldere assessment van jouw databeheer, een realistische aanpak en de juiste tools om ook van jouw werkplek een ‘secure modern workplace’ te maken.

  • * verplicht veld