OfficeGrip_logo

Bouwstenen van een programma voor data governance

Het opzetten van een programma voor data governance is gebaseerd op een drieledige aanpak: beleid, processen en mensen. De effectiviteit van het programma voor data governance is afhankelijk van de planning en ideeën met betrekking tot het beleid en de processen en de selectie, opleiding en motivatie van de personen die hierbij zijn betrokken. 

Beleid geeft prioriteit aan de kwaliteit, integriteit en betrouwbaarheid van data en de vertrouwelijkheid en privacy van persoonsgegevens, als zakelijke doelstelling.

Processen zorgen voor de handhaving van beleid door middel van gestandaardiseerde, geautomatiseerde of handmatige procedures. Dit omvat zowel de werkzaamheden die worden uitgevoerd om een taak te voltooien (zoals het corrigeren van een fout in persoonsgegevens als reactie op het verzoek van een betrokkene) als de technologieën die worden gebruikt om de werkzaamheden uit te voeren.

Mensen, bestaande uit het management van de organisatie, IT- en beveiligingspersoneel, belanghebbenden bij data en stewards (alle data governancerollen binnen een organisatie die we hierboven hebben besproken), zijn de aanjagers van zowel beleid als processen en van de technologieën die worden gebruikt om deze te implementeren.

Om beleid en processen goed te laten werken, zijn mensen nodig. Gebruikers negeren of omzeilen beleid dat moeilijk te begrijpen is of onredelijk lijkt en gebruiken liever geen processen die tijdrovend zijn, waarvoor ze eerst veel moeten leren of waarvoor ze hun werkwijze drastisch moeten veranderen. Voor een vlotte acceptatie door de mensen die met de data werken, moet beleid zinvol zijn en een duidelijk voordeel hebben en moeten processen gebruikersvriendelijk zijn.

Beleid en processen voor data governance moeten zijn gericht op de volgende brede gebieden:

• Dataverzameling
• Datadetectie (identificatie en classificatie)
• Eigendom van en verantwoordelijkheid voor data
• Data governance (inclusief beheer van metadata)
• Datatoegang en -gebruik
• Databescherming (via beveiliging op bestandsniveau, schijf-/volumeniveau en netwerkniveau)
• Documentatie van al het bovenstaande

Tijdens het maken van het beleid moet met dit alles rekening worden gehouden. Zodra alle bouwstenen zijn geplaatst en het framework voor het programma voor data governance is opgezet, kun je doorgaan naar de implementatiefase, waarin de processen voor elke fase van de data governance en beschermingslevenscyclus duidelijk worden gedefinieerd.

Implementatie en technologieën voor data governance

Een succesvolle implementatie van een programma voor data governance is een teaminspanning, waarbij bedrijfsexperts, IT-professionals, IT-beveiliging en nalevingsspecialisten samenwerken om beleid en procedures die alleen op papier bestaan, om te zetten in werkende processen.

Het bedrijfsteam bestaat uit experts die begrijpen hoe de data worden gebruikt om de zakelijke doelstellingen en doelen te bereiken en die helpen het beleid hiervoor te ontwikkelen. Het IT-team begrijpt de technologie die wordt gebruikt voor het opslaan en verwerken van de data en die kan worden gebruikt om het beleid af te dwingen dat door het bedrijfsteam is vastgesteld. Het beveiligingsteam begrijpt de technologieën die kunnen worden gebruikt om de data te beschermen in een beveiligingsstrategie met meerdere lagen. Het nalevingsteam begrijpt de wettelijke vereisten voor het beleid en hoe de technologieën kunnen helpen bij het voldoen hieraan.

Alle deze teams moeten samenwerken om zowel de menselijke processen als de technologische tools te implementeren waarmee het data governance wordt uitgevoerd en afgedwongen. Bekwame en toegewijde teams van mensen leggen de basis voor een effectief data governance, maar een succesvolle implementatie is ook afhankelijk van de juiste technologieën en tools om deze klus te klaren.

De Microsoft Cloud, waarbij veel is geïnvesteerd in onderzoek, neemt een deel van de last van nalevingsprocessen over en is nu toonaangevend op het gebied van nalevingscertificeringen en sterke dataprivacyverplichtingen.

Microsoft biedt een aantal technologische oplossingen waarmee klanten de verplichtingen aan betrokkenen kunnen beheren en hieraan kunnen voldoen, ongeacht of de data worden verwerkt en opgeslagen in Microsoft Cloud of in de on-premises datacenters van de klant.

Deze omvatten functies, functionaliteiten en tools voor het identificeren, classificeren, beheren en beveiligen van persoonsgegevens en tools voor volgen, bewaken en rapporteren om te helpen bij het documenteren van maatregelen die zijn genomen om te voldoen aan nalevingsvereisten.

Datadetectie: identificatie en classificatie

Een belangrijk onderdeel van een effectief data governanceplan en de eerste stap naar het voldoen aan wettelijke vereisten is het identificeren van persoonsgegevens die worden beheerd door de controlerende organisatie, zodat passende maatregelen kunnen worden genomen om deze te beschermen en om verzoeken van betrokkenen te vergemakkelijken.

Het beleid
In een beleid voor dataclassificatie wordt voorgeschreven hoe data moeten worden verwerkt, op basis van het beveiligingsniveau en de vereiste privacy. De eerste stap bij het bepalen van de beveiligingen die op een bepaald type data moeten worden toegepast, is het bepalen van de classificatie. Met beleid voor dataclassificatie worden niveaus toegewezen en de mate waarin data op elk niveau moeten worden beheerd en beveiligd. Persoonsgegevens, inclusief speciale categorieën persoonsgegevens, moeten als zodanig worden gelabeld voor eenvoudige identificatie.

De processen
Met een volwassen proces voor dataclassificatie krijgen organisaties beter inzicht in hun gebruik van persoonsgegevens en kunnen ze beter beveiligingsmaatregelen en toegangsrechten toepassen op basis van gevoeligheidsniveaus. In de processen voor datadetectie, -identificatie en -classificatie wordt gebruikgemaakt van zoekmethoden om data van een bepaald type (in dit geval persoonsgegevens) te zoeken en te labelen, zodat de data eenvoudiger kunnen worden gevonden, gewijzigd en er eenvoudiger beheer- en beveiligingsbewerkingen op kunnen worden toegepast.

Databescherming en -beveiliging

Het beschermen en beveiligen van data is een essentieel onderdeel van een data governanceplan en Microsoft-services en -producten bieden tal van ingebouwde beveiligingsmechanismen en aanvullende, optionele beveiligingsfuncties die door de klant kunnen worden ingeschakeld.

Organisaties die persoonsgegevens verzamelen of verwerken, moeten technische en organisatorische maatregelen implementeren om data te beschermen. Voorzieningen voor cyberbeveiliging en dataversleuteling zijn tools die hiervoor kunnen worden gebruikt. Bovendien moeten ze kwetsbaarheden en inbreuken op persoonsgegevens kunnen voorkomen, detecteren en hierop kunnen reageren.
Privacy door ontwerp en privacy door standaarden zijn hierbij belangrijke uitgangspunten. Microsoft ontwikkelt de services en producten al vele jaren op een dergelijk model, met beveiligingsfuncties waarmee data worden beschermd, of deze nu inactief zijn of via het netwerk worden verzonden. Klanten hebben hiermee controle over de verzameling, het gebruik en de distributie van hun data. Extra informatie over dit onderwerp kun je vinden in het Microsoft Trust Center.

Rapporteren en documenteren

Documentatie is een essentieel element in zowel bedrijven als IT. Het menselijke geheugen is feilbaar. Schriftelijke records bevatten een nauwkeurige weergave van een overeengekomen beleid, procedurestappen of acties die in het verleden zijn ondernomen, inclusief wanneer, waar, hoe en door wie.

Om naleving te realiseren, moet je niet alleen voldoen aan de wettelijke vereisten met betrekking tot beheer en bescherming van persoonsgegevens, maar moet je ook bewijsmateriaal kunnen aanleveren om te laten zien dat je dit hebt gedaan. Dit kunnen records zijn waaruit een wettige basis voor dataverzameling en -verwerking blijkt (en als toestemming de basis is, waaruit blijkt dat deze is verkregen op basis van de vereisten), evenals het bijhouden van records voor bewerkingen die zijn uitgevoerd op de persoonsgegevens en informatie waarin je beveiligingsbeleid, -procedures en -configuraties zijn vastgelegd.

Om aan te tonen dat verzoeken voor de rechten van betrokkenen op de juiste manier zijn beheerd, moeten de records meestal worden bewaard om de resultaten van de verzoeken voor de rechten van betrokkenen te laten zien. Deze records moeten op verzoek beschikbaar zijn voor regelgevende instanties.
Microsoft-services en -producten bevatten functies voor logboekregistratie en controles en tools waarmee organisaties verwerkingsactiviteiten kunnen volgen en vastleggen.

Grip krijgen op data governance

Het effectief beheren van informatie om te voldoen aan interne en externe nalevingsvereisten is tegenwoordig complexer dan ooit vanwege de exponentiële groei van de hoeveelheid data, in combinatie met nieuwe regelgeving. Voor organisaties waarop de wetgeving van invloed is, is het beschermen van de privacy van individuen niet meer alleen een best practice voor bedrijven, maar is het een wettelijke verplichting.

De oplossing begint met effectief data governance, waarbij traditioneel veel mensen verschillende rollen hebben op alle niveaus van de organisatie. Organisaties kunnen baat hebben bij het automatiseren van meer processen om de belasting van IT-professionals en gebruikers te beperken, zodat deze zich helemaal kunnen concentreren op het bedrijf. Hierdoor worden de kosten lager en neemt de efficiëntie met betrekking tot naleving toe.

De producten en services van Microsoft bieden intelligente oplossingen voor informatiebeheer die betrekking hebben op het identificeren, classificeren, beheren en beschermen van data, inclusief de persoonsgegevens die centraal staan in intensief toezicht door de regelgevende instanties. In de bedrijfsomgeving van vandaag waarin data centraal staan, is je framework voor data governance een essentieel onderdeel van je algehele beveiligings- en nalevingsstrategie. Microsoft biedt tools om de uitdagingen op het gebied van dataprivacy en beveiliging aan te pakken waarmee je te maken hebt bij het bereiken van je nalevingsdoelen.

Deel dit artikel

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Inschrijven voor de nieuwsbrief

Het laatste Microsoft 365 nieuws in jouw mailbox? Schrijf je dan nu in voor onze nieuwsbrief!