Blogs
& video

Werken in het publieke domein conform AVG en andere wetgeving

Een lastige wereld… Of toch niet?

Steeds meer overheidsinstellingen migreren naar de cloud. Daarmee de persoonlijke gegevens van burgers ook. Echter mogen persoonlijke gegevens van de Autoriteit Persoonsgegevens (AP*) niet zomaar gedeeld worden: daar moet een betere bescherming op komen vinden zij. Het levert bij overheden veel vragen en onzekerheden op. Hoe voorkom je bijvoorbeeld dat medewerkers bewust of onbewust de verkeerde dingen doen? Hoe hou je een en ander beheersbaar? Een lastige wereld… Of toch niet?

Is dataclassificatie nog steeds zo complex?

Dataclassificatie is het labelen van informatie om er een bepaalde waarde aan toe te kennen. Zo kan bepaald worden welk niveau van bescherming er nodig is. Dus welke maatregelen moeten er bijvoorbeeld genomen worden om persoonlijke informatie volgens de AVG wetgeving te beschermen?

Voor het correct naleven van de AVG wetgeving is het van belang dat allereerst bepaald wordt wat als persoonsgegevens geïdentificeerd kunnen worden. Het zijn de individuele gegevens die alleen met toestemming van de desbetreffende persoon verwerkt mogen worden. Het moet daarnaast gebeuren op een veilige manier. Bovendien mogen deze gegevens alleen maar gebruikt worden als het een duidelijk doel dient. Dat leverde in het verleden altijd veel denkwerk en handmatige handelingen op.

Het goede nieuws is dat intelligente technologie de dataclassificatie veel eenvoudiger heeft gemaakt. Zo kunnen bijvoorbeeld met Microsoft Purview persoonsgegevens automatisch geïdentificeerd en geclassificeerd worden. Overheidsmedewerkers hoeven deze beoordeling niet zelf meer te maken, ze worden ondersteund met systemen die de beoordeling automatisch kunnen uitvoeren. Geautomatiseerde datakwalificatie, het automatisch bepalen van de benodigde beschermingsgraad, is voor het naleven van andere wetgeving daarmee ook interessant.

Het identificeren en veiliger inrichten van kwetsbare plekken met Microsoft Purview

Ook gegevensstromen die onvoldoende beveiligd zijn, of niet voldoen aan de vereisten van de AVG, worden met Microsoft Purview opgemerkt. Met als resultaat dat managers van overheidsinstellingen zich niet continu zorgen hoeven te maken over het beschermen van persoonlijke of andere vertrouwelijke gegevens. Dat maakt het vervolgens ook eenvoudiger om beleid af te dwingen. Fouten worden immers gelijk opgemerkt, zodat aanvullende maatregelen genomen kunnen worden als er zich een kwetsbare situatie voordoet.

Eerst waarschuwen kan ook…

Een veiligere inrichting kan ook gerealiseerd worden door overheidsmedewerkers eerst te waarschuwen: ‘let op, dit bericht is zeer vertrouwelijk en mag niet per e-mail verzonden worden’. Het is slechts als voorbeeld bedoeld. Samen met overheidsinstellingen bedenken we scenario’s wanneer er eerst gewaarschuwd moet worden.

De ‘rode vlaggen’ gaan direct op

Samengevat: om veilig te werken in het publieke domein, conform AVG en andere wetgevingen, is het tegenwoordig de technologie zelf die daarbij helpt: rode vlaggen worden gelijk gesignaleerd. Een CISO of privacy officer heeft daarvoor tooling voorhanden, zonder dat overheidsmedewerkers er tijdens hun dagelijkse werkzaamheden door worden gehinderd. Behalve als….

Ga in gesprek

Persoonlijke maar ook andere vertrouwelijke gegevens zijn prima te beveiligen in een soevereine cloud. Bovendien heeft cloud als voordeel dat informatie in een centrale omgeving wordt opgeslagen in plaats van bij een overheidsmedewerker op zijn of haar desktop. Ga met ons in gesprek als we je kunnen helpen met het maken van beleid, datakwalificatie, het inzetten van de juiste middelen en het veilig opslaan van persoonlijke gegevens in de cloud.

Ook jouw gegevens…

*Gebruikte bron: NOS