GDPR Sessies – Deel 3: Identificeren van persoonsgegevens

In de vorige sessies gingen we in op wat GDPR precies is en inhoudt en keken we naar een platformaanpak voor de GDPR. Deze keer gaan we kijken naar het identificeren van persoonsgegevens en waar deze zich bevinden en gaan we beschrijven hoe je met Microsoft-producten en -services vandaag nog kunt beginnen.

Identificeren: stel vast welke persoonsgegevens je hebt en waar ze zijn opgeslagen 

De eerste stap richting GDPR compliance is beoordelen of de GDPR ook geldt voor jouw bedrijf en zo ja: tot op welke hoogte? Deze analyse begint met achterhalen welke gegevens je hebt en waar ze zijn opgeslagen.

Geldt de GDPR voor mijn gegevens?

De GDPR reguleert de verzameling, de opslag, het gebruik en het delen van “persoonsgegevens”. In de GDPR wordt een brede definitie gehanteerd van persoonsgegevens, namelijk alle gegevens over een geïdentificeerde of identificeerbaar natuurlijk persoon. Je vindt persoonsgegevens bijvoorbeeld in klantendatabases, feedbackformulieren van je klanten, e-mailcontent, foto’s, CCTV footage, records van loyaliteitsprogramma’s, HR-databases of ergens anders. Heeft jouw bedrijf dergelijke gegevens of ben je van plan om ze te verzamelen? En hebben de gegevens betrekking op inwoners van de EU? Dan moet je voldoen aan de GDPR. Onthoud goed dat de GDPR niet alleen geldt voor persoonsgegevens opgeslagen binnen de EU: de wet is ook van toepassing op gegevens die zijn verzameld, verwerkt of opgeslagen buiten de EU als deze gegevens zijn gekoppeld aan inwoners binnen de EU.

Je gegevens in kaart brengen

Om te begrijpen of de GDPR van toepassing is op jouw organisatie en welke verplichtingen hier eventueel bij komen kijken, is het belangrijk om de gegevens van je bedrijf in kaart te brengen.
Hierdoor weet je welke gegevens persoonlijk zijn en kun je vaststellen door welke systemen de gegevens worden verzameld en opgeslagen. Je begrijpt dan ook waarom de gegevens zijn verzameld, hoe ze worden verwerkt en gedeeld en hoe lang ze worden bewaard. Hieronder vind je voorbeelden van specifieke manieren waarop je met het lokale en cloudaanbod van Microsoft de eerste stappen kunt zetten richting naleving van de GDPR.

Azure

Azure is een open en flexibel cloudplatform en biedt een service waarmee je gegevensbronnen eenvoudig kunt ontdekken en identificeren. De Microsoft Azure Data Catalog is een volledig beheerde cloudservice. Het is een systeem waarmee je de gegevensbronnen van je organisatie kunt registreren maar ook kunt identificeren. Anders gezegd: Azure Data Catalog is bedoeld om jou te ondersteunen bij het ontdekken, begrijpen en gebruiken van je gegevensbronnen zodat je meer waarde kunt halen uit bestaande gegevens. Nadat een gegevensbron is geregistreerd in de Azure Data Catalog worden de metagegevens geïndexeerd door de service, zodat jij eenvoudig op zoekt kunt gaan naar gewenste gegevens.

Dynamics 365

Dynamics 365 biedt via de Rapportage en analysedashboards van Dynamics 365 verschillende zichtbaarheids- en auditmogelijkheden voor het identificeren van persoonsgegevens:

  • Dynamics 365 heeft een Rapport-wizard waarmee je eenvoudig rapporten kunt aanmaken zonder dat je daarvoor op XML-of SQL-gebaseerde query’s nodig hebt.
  • Dashboards in Dynamics 365 geven je een overzicht van bedrijfsgegevens: praktische informatie die binnen je hele organisatie kan worden bekeken.
  • Microsoft Power BI is een selfservice-platform voor Business Intelligence (BI) waarmee je gegevens kunt opsporen, analyseren en visualiseren. De inzichten die hieruit voortkomen kun je delen met collega’s of je kunt er samen aan verder werken.

 

Enterprise Mobility + Security (EMS) Suite

Enterprise Mobility + Security biedt je functies met identiteitsgestuurde beveiligingstechnologieën waarmee je persoonlijke gegevens binnen je organisatie ontdekt, beheert en beveiligt. Daarnaast kun je mogelijke blinde vlekken blootleggen en gegevensinbreuken ontdekken op het moment dat ze plaatsvinden.

Microsoft Cloud App Security is een uitgebreide service voor diepere gegevensinzichten met veel controlemogelijkheden en verbeterde beveiligingsopties voor de gegevens binnen je cloudtoepassingen. Je ziet welke cloudapps worden gebruikt in je netwerk – met meer dan 13.000 apps die je kunt identificeren op alle apparaten – en je hebt mogelijkheden voor risicobeoordeling en doorlopende analyse.

Microsoft Azure Information Protection helpt je achterhalen welke gegevens vertrouwelijk zijn en waar deze zijn opgeslagen. Je kunt een zoekopdracht naar gegevens met een bepaald vertrouwelijkheidsniveau of op een slimme manier vertrouwelijke gegevens identificeren wanneer een bestand of e-mail wordt aangemaakt. Eenmaal geïdentificeerd, kun je de gegevens automatisch classificeren en labelen. En allemaal op basis van het gewenste beleid van je bedrijf.

Office 365

Er zijn verschillende Office 365-oplossingen waarmee je persoonlijke gegevens kunt identificeren en de toegang ertoe kunt beheren:

  • Met Data Loss Prevention (DLP) in Office en Office 365 kun je meer dan 80 veelvoorkomende types vertrouwelijke gegevens ontdekken, waaronder financiële, medische en persoonlijke informatie.
  • Via Inhoud zoeken in het Office 365 Security & Compliance Center kun je zoeken naar inhoud binnen inboxen, openbare mappen, Office 365-groepen, Microsoft Teams, SharePoint Online-sites, OneDrive voor Bedrijven-locaties en Skype voor Bedrijven-gesprekken.
  • Office 365 eDiscovery-zoekfunctionaliteit gebruik je om tekst en metadata te zoeken binnen de content van je Office 365-programma’s: SharePoint Online, OneDrive voor Bedrijven, Skype voor Bedrijven Online en Exchange Online.
  • Office 365 Advanced eDiscovery wordt ondersteund door machine learning-technologie. Je gebruikt het om documenten te vinden die relevant zijn voor bepaalde onderwerpen (bijvoorbeeld wanneer je een compliance-onderzoek verricht). Dit gaat sneller en preciezer dan wanneer je zoekt via de traditionele manieren, zoals met trefwoorden of door grote hoeveelheden bestanden handmatig langs te lopen. Via machine learning (zelflerende apparaten) train je het systeem om op een slimme manier grote datasets te verkennen en om zich te richten op dat wat relevant is. Hiermee verklein je de hoeveelheid gegevens voordat je tot controle over gaat, waardoor je met Advanced eDiscovery behoorlijk op kosten en tijd kunt besparen.
  • Advanced Data Governance gebruikt intelligence en door machines ondersteunde inzichten bij het zoeken en classificeren van gegevens, het opstellen van beleid ervoor en de actie die je erop onderneemt. Hierdoor kun je de levenscyclus voor de belangrijkste gegevens van je bedrijf beter beheren.

 

SharePoint

Benut de SharePoint Search Service en de zoekfunctionaliteit binnen de toepassing om persoonlijke gegevens op te sporen. Wil je vertrouwelijke informatie zoeken en identificeren? SharePoint Server 2016 biedt wat betreft gegevensverliespreventie dezelfde mogelijkheden als Office 365.

SQL Server en Azure SQL Database

Gebruik de SQL-taal om zoekopdrachten uit te voeren in databases en om de tools en services die je hierbij helpen aan je wensen aan te passen. Zoeken wordt volledig ondersteund via zoekopdrachten maar volledige traceerlogboekregistratie van gegevens gebeurt op toepassingsniveau. Scripttaak levert code waarmee je aangepaste functies kunt uitvoeren, zoals complexe gegevens-query’s die niet beschikbaar zijn in de ingebouwde taken en transformaties van SQL Server Integration Services. Met Scripttaak kun je ook binnen een script functies combineren, waardoor je niet langer meerdere taken en transformaties hoeft te gebruiken. Dit productpakket biedt daarnaast krachtige Business Intelligence-mogelijkheden met toegang tot gegevensinzichten op eindgebruikersniveau.

Windows en Windows Server

Zoeken naar gegevens binnen Windows kan met Windows Search. Je kunt persoonlijke gegevens opsporen en lokaliseren op je lokale machine en op alle verbonden apparaten waarvoor je de juiste toegangsrechten hebt. Wil je gezochte gegevens nog beter lokaliseren met Windows Search? Gebruik dan de Indexeringsopties in het configuratiescherm om de Windows Search-mogelijkheden aan te passen (bijvoorbeeld indexeren van bestandsinhoud).

What’s next

In de volgende sessie gaan we kijken naar het beheer van persoonsgegevens; het controleren van hoe persoonsgegevens worden gebruikt en benaderd.

Deel dit artikel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *