AVG Office 365

Hoe helpt Office 365 met de AVG/GDRP?

In onderstaand artikel gaan we in op de gevolgen van de Algemene Verordering Gegevensbescherming (AVG) die in mei van kracht gaat. Hoe helpt Office 365 je organisatie om hieraan te voldoen?

Wat is AVG/GDRP precies?

De AVG is een Europese verordering die gaat over de bescherming van persoonsgegevens, GDRP is de engeltalige term hiervoor. De verordering is in mei 2016 al in werking getreden maar wordt per mei van dit jaar van kracht en vervangt dan de Wet Bescherming Persoonsgegevens (WBP). Eén van de redenen dat AVG veel aandacht krijgt is omdat deze strenger is dan WBP en de boetes voor overtreding véél hoger zijn.

Wat zijn belangrijke punten van de AVG ten opzichte van de WBP?

  • Er is expliciete toestemming nodig van de betrokkenen voor iedere verwerking van persoonsgegevens
  • Betrokkenen hebben meer uitgebreide rechten zoals recht op vergetelheid, dataportabiliteit en beperking van verwerkingen
  • Verwerkingen van persoonsgegevens, datalekken en compliancy met AVG moeten worden gedocumenteerd
  • Een functionaris voor de gegevensbescherming is verplicht bij overheden en sommige andere organisaties die zich hoofdzakelijk bezighouden met op grote schaal observeren van personen of verwerking van bijzondere persoonsgegevens
  • Er kan een (PIA) Privacy Impact Assessment van u verlangd worden, wanneer er een hoog risico is verbonden aan een verwerking
  • Digitale gegevens dienen beschermd te worden tegen toegang door onbevoegden, verlies of vernietiging en dienen correct en actueel te zijn

Welke rol speelt Office 365 hierin?

Indien binnen Office 365 persoonsgegevens aanwezig zijn dan is het onderhevig aan de AVG, het laatste punt uit de opsomming hierboven is dan van toepassing. Microsoft als leverancier van Office 365 kan dan als verwerker of subverwerker worden aangemerkt, Microsoft heeft hiervoor ook additionele toevoegingen in de Voorwaarden voor Online Diensten (Online Services Terms-OST) opgenomen.

Bescherming van gegevens in Office 365

Microsoft neemt de beveiliging van Office 365 erg serieus, er is een groot pakket aan beveiligingsmaatregelen actief, denk aan o.a. biometrische toegangsbeveiliging tot de datacentra, geografische spreiding van data, versleuteling van gegevens, dagelijkse back-ups van data, inbraakdetectie en spam- en virus bescherming. Meer informatie en een overzicht van alle certificeringen vind je in het Office 365 Vertrouwenscentrum.

Hoe kan ik mijn gegevens in Office 365 veilig houden?

Microsoft biedt je een veilige infrastructuur om je gegevens te bewaren, maar daarmee ben je er niet. Immers, de voordeur kan nog zo sterk zijn, als de achterdeur openstaat heeft het weinig zin. Je zult dus een aantal zaken ook zelf goed moeten regelen, denk hierbij aan goede wachtwoorden en meervoudige aanmelding, correcte autorisaties, instellingen voor delen of aanvullende back-up.

Microsoft heeft wat hulpmiddelen ontwikkeld die je hierbij helpen zoals het AVG Dashboard en Microsoft Secure Score. Het AVG Dashboard biedt een overzicht van functies voor classificatie van gegevens, toepassing van een bewaarbeleid, Data Loss Prevention en dataverzoeken. Microsoft Secure Score biedt concrete suggesties om de algemene beveiliging van je Office 365 omgeving te verbeteren en kan sommige van deze suggesties ook direct doorvoeren:

Gafiek met ccore 112 tov de hoogst mogelijke score van 364

Hoe bescherm ik gegevens in transport?

Alle dataverkeer tussen het eindpunt (werkstation, mobiel, toepassing) en Office 365 is versleuteld met heel sterke mechanismen. Een uitzondering hierop kan zijn e-mail verkeer van en naar Office 365. Dit heeft te maken met het (oude) ontwerp van de e-mail protocollen in een tijd dat gegevensbeveiliging nog minder hoog op de agenda stond. De IT beheerder kan de versleuteling eventueel wel vereisen, ook biedt Microsoft optionele e-mail versleuteling middels Azure Information Protection.

Hoe bescherming ik gegevens op netwerk, computers en mobiele apparatuur?

De laatste schakel in de keten is het eindpunt waarop we de gegevens inzichtelijk maken. Denk aan een PC of mobiele telefoon. Het gevaar hier is tweeledig, het apparaat kan in de verkeerde handen vallen en fysiek worden uitgelezen, ofwel het kan geïnfecteerd raken en daarmee worden uitgelezen of gegevens beschadigen (denk aan Ransomware).

Het is dus zaak om je (WiFi) netwerk en apparatuur te beschermen met goede wachtwoorden, de laatste software updates, versleuteling van netwerkverkeer en opslagmedia, goede antivirus en firewall hard- en software.

Welke maatregelen kun je op IT gebied nemen?

  • In kaart brengen en aanpassen van je Sharepoint en Exchange autorisaties en instellingen voor delen
  • Instellen van meervoudige authenticatie op Office 365
  • Instellen van een additionele, meer uitgebreide back-up, van Sharepoint en/of Exchange gegevens
  • Controleren van je algemene Office 365 beveiliging middels Secure Score
  • Controleren van je netwerkinfrastructuur op wachtwoorden, updates en versleuteling
  • Installatie van veilige WiFi en firewall apparatuur ter bescherming van het netwerk
  • Installatie van een centraal beheerde en gemonitorde antivirus oplossing
  • Instellen van versleuteling op PC’s en laptops