Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

AVG-compliancy hoeft echt niet zo ingewikkeld te zijn

Wat veel gebruikers niet beseffen is dat binnen bijvoorbeeld de Office 365 omgeving al veel functies aanwezig zijn die je direct compliant maken met de Algemene Verordening Gegevensbescherming (ofwel de General Data Protection Regulation, GDPR). Deze online werkomgeving, waar dus ook veel informatie via andere stakeholders wordt vastgelegd (capture), gedeeld (share), bewerkt & verwerkt (process) wordt steeds meer gemeengoed. 

‘Maar dat de AVG daarin al nagenoeg helemaal in is meegenomen als basisvoorwaarden, heeft bijna niemand in de gaten’, aldus Lourens Siderius, Business Development manager bij ETTU. Als gebruiker is het soms wel lastig om die instellingen in te regelen, maar meestal komen ze er wel uit, en anders is het voor een IT’er is dat geenszins een ingewikkeld verhaal.

‘Het is weliswaar veel techniek, maar een groot deel van die techniek zit in de software verscholen, onder het daadwerkelijke gebruikersoppervlak. Daar heeft de gebruiker dus weinig erg in. Niettemin kun je je als organisatie veel extra werk besparen, bijvoorbeeld om te voldoen aan de AVG en als het gaat om beveiliging van (al dan niet) vertrouwelijke bedrijfsinformatie, door die onderliggende technologie letterlijk te activeren.’

 

Toenemende mobiliteit

Steeds meer medewerkers zijn onderweg, gebruiken mobiele apparaten en maken gebruik van online werkomgevingen zoals Microsoft Office 365 en/of het cloud-platform Microsoft Azure. ‘Dergelijke omgevingen maken het makkelijker om met elkaar te werken. Medewerkers worden niet alleen steeds mobieler, maar werken ook steeds vaker in wisselende samenstellingen met andere medewerkers en/of externen. Tussen al die stakeholders wordt informatie uitgewisseld, bewerkt en verwerkt binnen het ‘online projectplatform’, zoals Azure. Onder het motto ‘niet mailen maar delen’ vindt daarin veel uitwisseling van informatie plaats, zonder dat deze nog de hele doorloop van digitalisering, herkenning en verwerking hoeft te doorlopen.

Wat veel gebruikers niet weten is dat daar een zogenaamd compliancy center beschikbaar is. Allerlei zaken met betrekking tot de AVG, zoals precies weten hoe en waar en voor wie specifieke informatie toegankelijk is etc. zijn allemaal via dat Compliance Center in te stellen. Dat maakt het plaats- en tijdonafhankelijk werken een stuk eenvoudiger en vooral veiliger. Informatie kan onderweg prima worden aangevuld, bewerkt, toegevoegd, beschikbaar gemaakt voor (deel)groepen en ga zo maar door. Volledig gecontroleerd door de instellingen in het Compliance Center, aangevuld met bijvoorbeeld functionaliteit als Enterprise Mobility Security (EMS). Daarmee kan informatie die binnenkomt langs zo’n online werkomgeving worden herkend als zijnde gevoelig, omdat er een BSN-nummer in staat o.i.d., met vervolgens direct daaraan gekoppeld de vereiste protocollen: encryptie en/of een melding zodra iemand gebruik wil maken van die informatie. Er vindt dus kwalificatie op informatieniveau plaats. Het systeem houdt ook bij welke informatie zich waar bevindt. Neem als simpel voorbeeld scholieren of studenten die vaak samenwerken in groepsverband. Gevoelige informatie zouden examens kunnen zijn die worden gedownload en gedeeld. Die functie is uiteraard niet voor iedereen weggelegd. Er kan zelfs een tijdslot worden toegepast op specifieke informatie, waarmee die maar een beperkte tijd beschikbaar is voor de geautoriseerde, bij het project aangesloten gebruikers. Een ander voorbeeld zijn aanbestedingen: ook die wil je niet zomaar aan iedereen ter inzage hebben. Dat voorkomt problemen achteraf.’

Microsoft Compliance Center

 

Volgens Siderius worden dergelijke werkomgevingen steeds meer gemeengoed. ‘Dat informatie – letterlijk – aan de deur van een organisatie binnenkomt en daar pas verwerkt moet worden voor verder gebruik is niet meer van deze tijd. Althans, dat gaat met rasse schreden verdwijnen. Online samenwerkingsomgevingen worden met grote snelheid geaccepteerd en in gebruik genomen. We gaan meer toe naar een virtuele werkplek, waar je je ook bevindt heb je met een mobiel apparaat toegang tot precies die informatie die voor jou is bedoeld. En kun je alleen die informatie binnenhalen, vastleggen en bewerken waartoe jij bent geautoriseerd. Dat met veilig en vertrouwd. Dan is het wel prettig om te weten dat je alle relevante functies rondom informatie capture & processing inclusief delen en beveiligen direct voorhanden hebt. Dit is zoveel eenvoudiger en effectiever dan rondsturen van informatie – digitaal én fysiek – die vervolgens moet worden herkend en beschikbaar gesteld aan de juiste mensen in de juiste processen en in de omgeving of werkbak van de betrokkene. Hier wisselen de gebruikers alleen maar digitale informatie met elkaar uit. En laten we wel zijn: nagenoeg alles is al digitaal, dus waarom zouden we die dan eerst weer op papier zetten om het ergens anders weer te laten digitaliseren, met gevaar op allerlei mogelijke fouten.’

 

Monitoren en rapporteren

Informatie die een projectomgeving binnenkomt, inclusief alles wat daarbij hoort en wat ermee gebeurt, wordt via Azure vastgelegd en gevolgd. Siderius: ‘Alles is te volgen: om welke informatie het gaat, wat gebruikers daarmee doen, wie dat zijn, wat ze met specifieke informatie doen, welke informatie ze toevoegen etc. Er is ID-management, zodat niet iedere willekeurige gebruiker ‘zomaar’ in deze projectomgeving kan ‘rondneuzen’. Kortom, er is volledige traceability als het gaat om de gebruikers, de processen en de data. Het voldoen aan wet- en regelgeving De AVG speelt daarin een belangrijke rol. Dat is nodig omdat zoals al gememoreerd, werknemers steeds mobieler worden en dus onderweg informatie vastleggen en processen. Je kunt zo mooi alle inkomende (en rondgaande en uitgaande) informatiestromen in de gaten houden, inclusief alles wat er in de tussentijd mee gebeurt.’

Eigenlijk zijn maar weinigen op de hoogte van al deze geavanceerde functionaliteit, ziet Siderius. ‘En dat is weer jammer, want het scheelt een organisatie in ieder geval veel kopzorgen en waarschijnlijk onnodige investeringen om te kunnen voldoen aan die wetgeving. De complexiteit van ons werk, van de manier waarop mensen samenwerken en wat de consequenties daarvan zijn neemt alleen maar toe. Wie een goede basis kiest, de juiste combinatie van bijvoorbeeld Azure als cloud platform, EMS voor ondersteuning van de mobiliteitsstrategie, met daarop Office 365, beschikt echter al over zoveel standaardfunctionaliteit, dat je je met recht kunt afvragen of het voldoen aan de AVG nu werkelijk zo ingewikkeld en zoveel werk zou moeten zijn.’