Voorbereidingen treffen voor een nieuw tijdperk van privacyregels met de Microsoft Cloud

Microsoft heeft uitgebreide expertise in het beveiligen van gegevens, het beschermen van privacy en het voldoen aan complexe regelgeving. Microsoft houdt zich aan een aantal privacybeginselen en biedt alle klanten EU-modelclausules. Wij vinden dat de Algemene verordening gegevensbescherming (AVG) een belangrijke stap vooruit is in het verduidelijken en uitvoeren van de privacyrechten van individuen.

Nu de datum waarop de AVG in werking treedt dichterbij komt, moet je organisatie mogelijk binnenkort al tijdens audits en als reactie op informatieaanvragen, kunnen aantonen dat de juiste maatregelen zijn genomen om de persoonlijke gegevens van je klanten te beschermen.

Het implementeren van de juiste beveiligingsmaatregelen is een belangrijke stap om je verantwoordelijkheid aan te tonen. Net zo belangrijk is het implementeren van de juiste procedures, zoals voor het reageren op AVG-aanvragen van betrokkenen (ook wel Data Subject Requests of DSR’s genoemd) en voor kennisgevingen van datalekken. Dit helpt je bij het naleven van de AVG en het winnen van het vertrouwen van je klanten.

Vandaag kondigen we een aantal nieuwe resources en mogelijkheden aan om je te helpen aan je AVG-verplichtingen te voldoen met de Microsoft Cloud. Dit zijn de volgende updates:

• Een openbare preview van nieuwe privacyresources in de Microsoft Cloud.
• Nieuwe mogelijkheden voor het reageren op gegevensaanvragen van betrokkenen met betrekking tot AVG in Microsoft Cloud-services.
• Nieuwe Privileged Access Management-functies in Office 365 met het oog op audits.
• Eén Office 365-tenant kan nu meerdere datacentergeografieën van Office 365 omspannen.

Lees verder voor meer details en een aantal andere updates.

Vergroot je mogelijkheden om aan de AVG-verplichtingen te voldoen met de Service Trust Portal

Ter ondersteuning van AVG-naleving kondigen we vandaag de openbare preview aan van tools en resources voor AVG, waaronder AVG-verzoeken en kennisgevingen van inbreuk op persoonsgegevens voor Office 365, Dynamics 365, Azure, Windows, Intune en Professional Services op de Service Trust Portal.

De resources voor AVG omvatten documentatie over kennisgevingen van datalekken. Hierin wordt beschreven hoe Microsoft jou en anderen informeert over datalekken, welke informatie Microsoft levert, en welke tools je kunt gebruiken om te zorgen dat de juiste mensen binnen je organisatie op de hoogte worden gesteld.

We hebben al onze resources voor AVG-aanvragen op één pagina bijeengebracht. Hier kun je tools vinden die je kunt gebruiken in het Office 365-beveiligings- en compliancecentrum en het Azure-beheercentrum. Je vindt hier ook de documentatie waarin wordt beschreven hoe je gegevens in een Microsoft Cloud-service kunt vinden en deze gegevens eruit kunt exporteren en wissen.

Ga naar privacyresources op de Service Trust Portal voor meer informatie.

Reageren op AVG-aanvragen van betrokkenen rond persoonsgegevens (DSR’s) in Microsoft Cloud-services

Ter ondersteuning van AVG-aanvragen met betrekking tot Microsoft Cloud-services implementeren we een aantal nieuwe mogelijkheden, waaronder een tabblad voor gegevensprivacy in Office 365, een Azure DSR-portal en nieuwe zoekmogelijkheden voor DSR’s in Dynamics 365.

• Tabblad Gegevensprivacy in Office 365. Om je helpen je AVG-aanvragen rond Office 365 effectief en efficiënt te beheren, hebben we een tabblad Gegevensprivacy (in preview) aan het Office 365-beveiligings- en compliancecentrum toegevoegd. Op het tabblad Gegevensprivacy vind je een sectie speciaal voor AVG, waar je documentatie en resources kunt vinden om je te helpen bij je naleving van de AVG. Je vindt hier ook een tabblad speciaal gericht op het reageren op AVG-aanvragen.

Met de nieuwe DSR-ervaring willen we je voorzien van de tools om een reactie op een verzoek van een betrokkene samen te stellen, om relevante gegevens te zoeken en te verfijnen op Office 365-locaties, zoals Exchange, SharePoint, OneDrive, Groepen en nu Microsoft Teams, en deze gegevens te exporteren.

Een DSR-scenario waarmee een organisatie te maken kan krijgen is wanneer een vertrekkende werknemer om zijn of haar gegevens vraagt. Voor hulp bij deze situatie en vergelijkbare situaties, is de functie voor retentie op gebeurtenisbasis van Geavanceerd gegevensbeheer nu algemeen beschikbaar voor klanten van Office 365 E5.

Meer informatie over het tabblad Gegevensprivacy in Office 365 en Gebeurtenisgebaseerde retentie in Geavanceerd gegevensbeheer op het Tech Community-blog.

Je kunt in de Mechanics-video zien hoe de DSR-oplossing werkt in Office 365:

 

• Azure DSR-portal. Ons plan is de mogelijkheid om Azure AVG-aanvragen te verwerken, uit te brengen vóór 25 mei 2018 (de deadline voor AVG-naleving). Beheerders van Azure-tenants hebben dan een eenvoudige maar krachtige tool om snel gegevensaanvragen van betrokkenen voor de AVG te verwerken. Via de Azure DSR-portal kunnen tenantbeheerders informatie identificeren die betrekking heeft op een gebruiker en dan de gegevens van de gebruiker corrigeren, aanpassen, verwijderen of exporteren. Beheerders kunnen ook informatie identificeren die gerelateerd is aan een betrokkene (een data subject) en kunnen AVG-aanvragen uitvoeren op basis van door het systeem gegenereerde logboeken (gegevens die Microsoft genereert om een bepaalde service te leveren).

Azure DSR-portal ter ondersteuning bij het verwerken van een AVG-aanvraag.

Meer informatie is te vinden in de Azure-blog.

• Zoekmogelijkheden voor AVG-aanvragen in Dynamics 365. We bieden twee nieuwe zoekmogelijkheden om klanten te ondersteunen bij het reageren op AVG-aanvragen in Dynamics 365: Zoeken op relevantie en Person Search Report. Met Zoeken op relevantie kun je snel en eenvoudig vinden wat je zoekt. Deze functie is gebaseerd op Azure Search. De Person Search Report biedt een voorverpakte set met uitbreidbare entiteiten, geschreven door Microsoft, voor het identificeren van persoonlijke gegevens die een persoon definiëren en de rollen waaraan ze mogelijk zijn toegewezen.

Datalekken verwerken volgens de Algemene verordening gegevensbescherming

Onder de AVG moeten organisaties voldoen aan strengere vereisten wanneer er sprake is van een gegevenslek. Dit omvat het op de hoogte stellen van de regelgevers en degenen die door het lek zijn getroffen. Over het algemeen moet dit binnen 72 uur na het ontdekken van een datalek. Microsoft 365 bevat een aantal krachtige functies voor bescherming tegen, detectie van en reactie op datalekken. Office 365 Advanced Threat Protection (ATP) beschermt het Office 365-ecosysteem van een organisatie door bijvoorbeeld te voorkomen dat schadelijke e-mails of bedrijfskritieke bestanden een gebruikersaccount kunnen aantasten. Windows Defender ATP heeft als doel te verhinderen dat een gebruikersaccount wordt beschadigd door schadelijke bestanden op het web of door malware op een apparaat.

Veilige bijlagen met ATP blokkeren schadelijke bijlagen bij e-mails.

Mocht Microsoft een lek van persoonsgegevens identificeren, zoals gedefinieerd in de AVG, dan informeren wij je tenantbeheerder. Bovendien raden we je aan een contactalias voor privacy aan te wijzen in Azure Active Directory, die ook op de hoogte wordt gebracht van het lek.

Toestemming van gebruikers verzamelen, verwerken en beoordelen met Azure Active Directory

Voor de AVG moeten bedrijven een manier hebben om toestemming van gebruikers te verwerken, plus rapportagemiddelen hebben gericht op audits. Met de gebruiksvoorwaarden van Azure Active Directory hebben organisaties nu een eenvoudige manier om toestemming van gebruikers te verzamelen, te verwerken en te beoordelen. Je kunt gebruikers verplichten om de gebruiksvoorwaarden van je organisatie te lezen en hiermee akkoord te gaan voordat ze toegang krijgen tot een app. ​De voorwaarden kunnen elk document zijn dat betrekking heeft op het zakelijke of juridische beleid van je organisatie.

Voorbeeld van gebruiksvoorwaarden in Azure Active Directory in meerdere talen.

Raadpleeg de documentatie voor gebruiksvoorwaarden in Azure Active Directory voor meer informatie.

Besturingselementen voor audits benutten voor bevoegde beheerderstoegang

Organisaties moeten niet alleen het risico van datalekken als gevolg van aanvallen op accounts met bevoegdheden tot een minimum beperken, maar moeten ook kunnen reageren op regelgevers en documentatie verschaffen over bevoegde toegang, waarin wordt uitgelegd hoe gegevens van een klant toegankelijk zijn. Vandaag introduceren we nieuwe mogelijkheden voor het beheer van bevoegde toegang in Microsoft 365 om organisaties te helpen hun gegevens te beschermen en deze verplichtingen na te leven. Deze mogelijkheden bestaan uit op audits gerichte toegangsbesturingselementen, die tijdgebonden zijn en de mate van de gegevenstoegang kunnen beperken.

Met Privileged Access Management in Office 365 kun je je gegevens beter beschermen door een goedkeuringswerkstroom bij te houden of af te dwingen voor taken met een hoog risico in Office 365. Met brede beheerdersbevoegdheden kunnen beheerders bijvoorbeeld taken uitvoeren die ongehinderde toegang bieden tot organisatorische gegevens. Een voorbeeld hiervan is een journaalregel, die e-mails kan versturen naar een extern postvak en ongemerkt gevoelige gegevens kan uitfilteren. Privileged Access Management in Office 365 biedt je de mogelijkheid om beleid toe te passen dat goedkeuring vereist voordat iemand deze risicovolle taken kan uitvoeren. Toegangsaanvragen kunnen automatisch of handmatig worden goedgekeurd, en al deze activiteit wordt vastgelegd in een logboek en is controleerbaar. Bekijk deze video om meer te ontdekken:

Het verheugt ons dat we de openbare preview van Privileged Access Management in Office 365 aan het uitrollen zijn. Ga om aan de slag te gaan naar de pagina Office Previews (voer de code PAM044 in) en lees vervolgens het gedetailleerde Tech Community-blog.

Vereisten voor wereldwijde gegevenslocaties aanpakken

Overheden, externe regelgevers en nalevingsvereisten voor ondernemingen passen in toenemende mate richtlijnen voor gegevenslocaties toe om privacykwesties aan te pakken. Deze richtlijnen beperken de vrije stroom van gegevens over grenzen heen en vereisen dat de gegevens van een organisatie binnen gedefinieerde geografieën worden bewaard. Hoewel de AVG geen verplichtingen bevat ten aanzien van gegevenslocatie, geven veel van onze klanten aan dat de flexibiliteit moeten hebben om hun gegevens te bewaren in gekozen geografieën om zo aan regionale, branchespecfieke of organisatiespecifieke gegevenslocatievereisten te voldoen.

Met Multi-Geo Capabilities kan één Office 365-tenant meerdere Office 365-datacentergeografieën omspannen en hun ‘at-rest’ Office 365-gegevens per werknemer in door hun gekozen geografieën bewaren. Multi-Geo is uitgebracht voor Exchange Online en OneDrive voor Bedrijven. Lees “Get Global data location controls with Multi-Geo Capabilities in Office 365” voor meer informatie.

Begin je AVG-reis vandaag nog met de Microsoft Cloud

Waar je ook bent met je aanpassingen voor AVG-naleving, wij zijn er om je te helpen en we hebben verschillende resources zodat je vandaag al aan de slag kunt gaan:

• Download het gratis technische document en eBook.
• Voer onze gratis online AVG-beoordeling uit.

Lees meer over hoe Microsoft kan helpen je voor te bereiden op de AVG.

—Alym Rayani, directeur van Microsoft 365