Blog

Het laatste nieuws van OfficeGrip

De gevolgen voor data governance van regelgeving

Data governance is belangrijk voor een goede naleving van de regelgeving. Best practices voor data governance vormen de basis van wereldwijde regelgeving om de privacy van persoonsgegevens te beschermen. Een effectieve, goed gedocumenteerde data governance-strategie helpt organisaties om naleving te bereiken en te handhaven door duidelijke beleidsregels, procedures en processen vast te stellen voor het beheren en beveiligen van data, inclusief persoonsgegevens.

gevolgen--data-governance-regelgeving-1

De gevolgen voor data governance van regelgeving

Data governance is belangrijk voor een goede naleving van de regelgeving. Best practices voor data governance vormen de basis van wereldwijde regelgeving om de privacy van persoonsgegevens te beschermen. Een effectieve, goed gedocumenteerde data governance-strategie helpt organisaties om naleving te bereiken en te handhaven door duidelijke beleidsregels, procedures en processen vast te stellen voor het beheren en beveiligen van data, inclusief persoonsgegevens.

Privacyregelgeving is meestal ontworpen om de privacy van personen te beschermen. Een betrokkene is een geïdentificeerd of identificeerbaar natuurlijk persoon. Een natuurlijk persoon wordt over het algemeen gedefinieerd als een individueel persoon, dus geen onderneming of andere rechtspersoon die voor juridische doeleinden als een ‘persoon’ kan worden beschouwd. Om effectieve privacybescherming te bieden, bestrijkt de regelgeving een breed scala aan data, zoals namen, adressen, e-mailadressen, IP-adressen, identificatienummers, biometrische id’s (vingerafdrukken, irispatronen, DNA), fysieke of fysiologische kenmerken, beroep, locatie, medische/gezondheidsinformatie of zelfs website-cookies.

Data kunnen ook online-identificatiegegevens bevatten, zoals ‘apparaten, applicaties, tools en protocollen, zoals internetprotocoladressen, cookie-id’s of andere identificatiegegevens, zoals identificatielabels voor radiofrequenties’. Wanneer deze sporen achterlaten die kunnen worden gecombineerd met andere unieke identificatiegegevens om profielen van natuurlijke personen te maken en deze te identificeren, kunnen ze onder de definitie van persoonsgegevens vallen.

Beginselen voor verwerking

De beginselen van dataverwerking sluiten nauw aan bij de methoden van data governance. Regels voor dataverwerking zijn bedoeld om ervoor te zorgen dat persoonsgegevens op rechtmatige wijze worden verzameld, nauwkeurig zijn, correct worden beveiligd en beperkt zijn in doel, gebruik en opslagduur.

Vereisten en data governance

Regelgeving bevat specifieke instructies voor de manier waarop persoonsgegevens moeten worden verzameld, verwerkt, gebruikt en opgeslagen in overeenstemming met de hierboven besproken beginselen. Deze vereisten kunnen worden onderverdeeld in twee brede categorieën die ook de basis vormen voor een effectief data governanceplan:

• Datadetectie (identificatie en classificatie van persoonsgegevens)
• Databescherming (alle aspecten van het beveiligen van persoonsgegevens)

Datadetectie

De eerste stap in het opzetten van data governance is het identificeren van de persoonsgegevens die de organisatie in bezit heeft en waar deze zich bevinden. Dit kan lastig zijn, omdat data zich in verschillende indelingen op diverse systemen kunnen bevinden, van e-mailarchieven tot bestandsshares in de cloud. De juiste tools en processen moeten worden geïmplementeerd om effectieve datadetectie te garanderen en tegelijk zoveel mogelijk van het proces te automatiseren.

Databescherming

Veiligheid is een essentieel onderdeel van data governance. Organisaties moeten de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -services waarborgen. Ze moeten ook de databescherming afstemmen op het risico dat de data zouden lopen bij een datalek. Hiervoor zijn mogelijk anonimisering en versleuteling van persoonsgegevens vereist als maatregelen.
In de huidige, snel ontwikkelende cyberbeveiligingsomgeving is het niet meer voldoende om beveiliging en een reactieplan voor incidenten te implementeren. Organisaties moeten ook een proces opzetten voor het regelmatig testen en beoordelen van de effectiviteit van deze technische en organisatorische maatregelen.

Rollen en verantwoordelijkheden definiëren voor naleving van de regelgeving

Bij regelgeving zoals de AVG zijn er meestal twee belangrijke rollen in organisaties die zich bezighouden met persoonsgegevens: beheerders en verwerkers. In de AVG worden deze als volgt gedefinieerd:

Beheerder: de natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere instantie die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens bepaalt; wanneer het doel en de middelen van een dergelijke verwerking worden bepaald door de wetgeving van de Unie of de lidstaat, kan de beheerder of de specifieke criteria voor de aanwijzing hiervan worden geregeld door de wetgeving van de Unie of de lidstaten.

Verwerker: een natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere instantie die persoonsgegevens namens de beheerder verwerkt. De beheerder beheert de verwerking van de persoonsgegevens, terwijl de verwerker de verwerking uitvoert namens de beheerder. Dezelfde organisatie kan fungeren als zowel beheerder als verwerker of de twee rollen kunnen tot twee afzonderlijke organisaties behoren. In de meeste relaties met cloudservices is de klant de beheerder en de provider van de cloudservices de verwerker die
de verwerking uitvoert namens de klant.

Beheerders en verwerkers hebben beide verantwoordelijkheden op het gebied van databescherming

Verwerkers moeten passende beveiligingsmaatregelen implementeren en records van de verwerkingsactiviteiten bijhouden. Met beveiligingsmaatregelen worden de principes en het beleid van data governance geïmplementeerd en gehandhaafd, terwijl met processen voor het volgen en vastleggen de naleving van het data governanceplan wordt gedocumenteerd.

Beheerders moeten passende technische en organisatorische maatregelen implementeren om te garanderen en te kunnen aantonen dat verwerking wordt uitgevoerd in overeenstemming met deze verordening. Deze maatregelen moeten waar nodig worden herzien
en bijgewerkt.

Organisaties mogen alleen externe dataverwerkers gebruiken als deze verwerkers per contract garanderen dat ze de technische en organisatorische vereisten van toepasselijke regelgeving kunnen naleven. Als verwerker heeft Microsoft uitgebreide expertise in het beschermen van data, het zorgen voor privacy en het voldoen aan complexe regelgeving en streeft Microsoft naar naleving. Microsoft stelt de contractuele garanties die zijn vereist van verwerkers op basis van de regelgeving, ter beschikking, waaronder het helpen van klanten bij het beantwoorden van verzoeken van betrokkenen om persoonsgegevens te corrigeren, te wijzigen of te verwijderen, inbreuken in verband met persoonsgegevens te detecteren en te melden en klanten te helpen naleving aan te tonen.
Bij het opstellen van een data governanceplan moeten zowel beheerders als verwerkers beleid opstellen en verantwoordelijkheden binnen hun organisatie toewijzen voor toegang, beheer en gebruik van persoonsgegevens.

Rollen en verantwoordelijkheden toewijzen binnen de organisatie

Voor een succesvol data governancemodel in een bedrijfsomgeving moeten veel mensen in vele business units en op veel niveaus samenwerken, van het managementteam tot de IT-implementeerders en de gebruikers die de data maken en gebruiken.

Afhankelijk van de organisatie en de grootte en structuur hiervan, voor de rollen en verantwoordelijkheden van het data governance zijn alle of sommige van de volgende niveaus betrokken:

• Uitvoerend (meestal managers op C-niveau)
• Strategisch (raad voor data governance)
• Tactisch (datadomeinstewards, datastewardcoördinatoren)
• Operationeel (operationele datastewards, waaronder gebruikers van data)
• Ondersteuning (data governancepartners, waaronder IT, informatiebeveiliging, risicobeheer en naleving)

De bovenstaande lijst is gebaseerd op de piramide voor rollen en verantwoordelijkheden voor data governance.
In kleinere organisaties moeten rollen mogelijk worden gecombineerd, waarbij één persoon of groep meerdere rollen op zich neemt.
Leidinggevenden op het hoogste niveau van de organisatie hebben de uiteindelijke beslissingsbevoegdheid over het programma voor data governance en de benoeming van de leden van de raad voor data governance.
Een raad voor data governance rapporteert aan de leidinggevenden en is verantwoordelijk voor het coördineren en communiceren van data governanceactiviteiten in alle afdelingen van de organisatie.
IT- en beveiligingsrollen zijn onder andere dataclassificatie, technische verwerking van data, het beveiligen van de infrastructuur en zorgen dat projecten de best practices voor data governance volgen.
Datastewards zijn onder andere databewaarders en dataexperts. Zij zijn verantwoordelijk voor het beheer van data, voor het documenteren van regels voor data en voor het doorgeven van deze regels aan belanghebbenden van data.
Aanvullende rollen, afhankelijk van de organisatie, kunnen data-architecten (die de structuur en de organisatie van data ontwerpen) en data-analisten (die problemen met de data en datakwaliteit onderzoeken en analyseren) zijn.

Programma’s voor data governance voor kleine bedrijven hebben noodzakelijkerwijs een andere structuur. De interne organisatie is anders dan
die van een onderneming en de budgetten zijn mogelijk kleiner, waardoor er minder geld is voor het formaliseren van een programma voor data governance. Desondanks is data governance altijd belangrijk, ongeacht de bedrijfsgrootte.
Cloudservices kunnen kleine bedrijven helpen bij het realiseren van beter data governance tegen lagere kosten, dankzij het gedeelde verantwoordelijkheidsmodel en de schaalvoordelen waarmee cloudproviders zoals Microsoft beheer- en beveiligingsmaatregelen kunnen aanbieden die te duur zouden zijn voor kleine organisaties om zelf te implementeren.

Rollen toewijzen op technologisch niveau

Vanuit het oogpunt van IT-implementatie kunnen de rollen van gebruikers en groepen gebruikers worden gebruikt om de toegang tot data en andere netwerkresources
te beheren. Met op rollen gebaseerd toegangsbeheer wordt de mogelijkheid van gebruikers met verschillende rollen om specifieke taken uit te voeren, geregeld. Rollen zijn gebaseerd op functieomschrijving, verantwoordelijkheden en bevoegdheidsniveau. Machtigingen worden toegewezen aan elke rol, op basis van het principe van alleen de noodzakelijke bevoegdheden.
Organisaties moeten technologieën en processen implementeren waarmee ervoor wordt gezorgd
dat persoonsgegevens alleen worden gebruikt voor goedgekeurde, noodzakelijke doeleinden. De toegang moet worden beperkt en bewaakt.
Met Microsoft-producten en -services kan data governance technologisch mogelijk worden gemaakt door gebruikersrollen te definiëren voor toegang, beheer en gebruik van persoonsgegevens en door beleid op basis van rollen toe te passen en af te dwingen. Dit wordt uitgebreider besproken in een volgend artikel.

 OfficeGrip

Officegrip zet uw bedrijf in de cloud. Daarbij passen wij de nieuwste technologie toe van Microsoft. Wij voorzien uw bedrijf van het complete Office365 pakket aangevuld met Sharepoint, Dynamics en de beste trainingen zodat u optimaal gebruik kunt maken van uw nieuwe IT-omgeving.

No Comments

Leave a feedback