GDPR & Office 365, goed registreren is het halve werk
De General Data Protection Regulation (GDPR, in Nederland ook wel Algemene Vordering Gegevensbescherming – AVG genoemd) komt er aan! Dat heeft grote gevolgen op het IT-landschap, waaronder ook de Office 365 tooling. In een vierdelige serie zet Valid uiteen hoe je organisatie (of de organisatie van je klant) GDPR-compliancy realiseert zonder torenhoge investering.
Knowledge Partner blog door Nick van Hooydonk, Technisch Consultant bij Valid. Deze blog is eerder gepubliceerd via onze OutsourcingHub-website. Per mei 2020 zijn al onze activiteiten samengevoegd via iSourcinghub.nl
Het eerste deel van deze serie over GDPR compliancy vind je hier: GDPR, goed op weg met Microsoft Cloud (via Valid.nl). Onderstaande blog is de tweede in een serie van vier.
GDPR en Office 365
Microsoft doet zelf al veel aan gegevensbeveiliging en preventie van gegevenslekken. Zo heeft Microsoft in februari dit jaar zelf aangekondigd dat haar cloud diensten voor 25 Mei GDPR compliant zullen zijn. Volgens dit artikel heeft Microsoft ook de meest uitgebreide set aan compliance aanbiedingen van elke cloud provider.
Om compliant te worden aan bovenstaande veranderingen en verplichtingen heeft Valid een opzet (geïnspireerd door Microsoft) in de vorm van een vier-fasen stappenplan ontwikkeld:
Stap 1: Inventarisatie
De eerste stap bestaat uit het identificeren van persoonlijke gegevens binnen de organisatie. Dit is voor veel organisaties al direct een grote stap omdat er buiten gestructureerde gegevens vaak ook veel ongestructureerde gegevens “rondzwerven” over verschillende afdelingen en/of locaties. Daarnaast moet ook in kaart gebracht worden welke gegevens met wie gedeeld worden.
Stap 2: Registratie
Volgens de nieuwe wetgeving moet een betrokkene toegang kunnen krijgen tot zijn of haar persoonlijke gegevens en moet deze ook kunnen (laten) wijzigen en/of verwijderen. Om dit te kunnen verwezenlijken als organisatie is het essentieel om te weten hoe deze persoonlijke gegevens gebruikt en benaderd worden.
Stap 3: Bescherming
Onder de beveiligingsfase valt zowel het goed inrichten van je systeem voor het voorkomen van gegevenslekken alsmede het instellen van protocollen die gevolgd moeten worden bij een gegevenslek.
Stap 4: Monitoring
De nieuwe wet verplicht organisaties ook om meer transparant te zijn over het gebruik van persoonlijke gegevens. Organisaties moeten uiteindelijk aan kunnen tonen welke persoonlijke gegevens gebruikt worden, hoelang de betreffende gegevens bewaard worden en voor welke processen en doeleinden deze gegevens gebruikt worden. Daar hoort natuurlijk ook een stukje rapportage bij.
Bovenstaand stappenplan is een mooi vertrekpunt voor de organisatie die een professionalisering in het beheer van de beschikbare gegevens wilt behalen en GDPR-compliant wilt worden. Voor de geïnteresseerden heb ik de basisfuncties van een aantal handige standaard Microsoft tools aan de verschillende fasen gekoppeld, daar lees je hier meer over (zie tweede helft pagina). Met deze tools kun je een stap in de goede richting zetten om GDPR-compliant te worden.
Deze gastblog is verzorgd door Nick van Hooydonk, Technisch Consultant bij Valid.
Valid is Knowledge Partner van iSourcing Hub. Knowledge Partners zijn op de hub aangesloten leveranciers and adviesbedrijven die vanuit hun expertise op een bepaald domein helpen met het opstellen en onderhouden van de Public Library vragen.
