14 april 2017

Veilig werken: hoe doe je dat?

BlogVeilig werken: hoe doe je dat?
Als organisatie wil je erop kunnen vertrouwen dat informatie wordt opgeslagen binnen het bepaalde beleid. Zeker nu de Wet bescherming persoonsgegevens en Wet datalekken actief zijn! Office 365 biedt meerdere mogelijkheden voor het beheren van informatie en samenwerking aan documenten.

Iedere toepassing werkt net even anders en daarom is het handig om hier intern regels voor op te stellen. Sommige regels wil je in het systeem afdwingen en andere zijn richtlijnen voor medewerkers - spelregels voor werken met informatie.

Wat betekent dit voor persoonlijke documenten, team-data en bedrijfsinformatie?

Globaal zijn er drie soorten data in een organisatie: persoonlijke data, team-data en bedrijfsinformatie. Een informatiebeleidsplan kan je helpen om ervoor te zorgen dat data volgens de regels wordt opgeslagen. Dit informatiebeleidsplan is onderdeel van de Governance binnen een organisatie.

In het informatiebeleidsplan kunnen de toegestane mogelijkheden per toepassing van Office 365 beschreven worden. Ik geef je graag een voorbeeld per soort data.

1 OneDrive for Business voor persoonlijke documenten

Beschrijf in het informatiebeleidsplan welke informatie een medewerker wel en niet mag opslaan. Je kunt hierin ook bepalen (en instellen) hoe lang een OneDrive for Business bewaard wordt nadat een medewerker uit dienst gaat. Bedenk van te voren goed wie de data mag benaderen. Voor de medewerker is het van belang te weten welke informatie hij of zij niet als ‘persoonlijk’ mag opslaan.

Stel jezelf de vraag of medewerkers informatie mogen delen met externen en op welke wijze dit dan kan. Het is een optie om door middel van Data Loss Prevention (DLP) te controleren of er bedrijfsinformatie als ‘persoonlijk’ is opgeslagen in OneDrive for Business. Dit wil je voorkomen omdat er zo een verhoogde kans op een datalek ontstaat - waar een fikse boete op staat.

2 Microsoft Teams voor team-data

Wanneer collega’s in teamverband willen samenwerken aan documenten die niet onder de wet- en regelgeving of het strengere securitybeleid van de organisatie vallen is Microsoft Teams geschikt. De teamleden zijn zelf in control. Dat betekent dat nieuwe collega’s zelf toegevoegd kunnen worden aan het team en dat zij zelf kunnen bepalen welke labels (metadata) documenten krijgen.

Bestanden binnen Microsoft Teams kunnen niet voorzien worden van beleid- en organisatie-metadata, dat maakt het afdwingen van beleid hier lastig. DLP is ook hier een optie, maar ik vind Azure Information Protection in dit geval beter. Hierbij wordt de classificatie van documenten op basis van de inhoud afgedwongen bij het opslaan van de informatie.

3 SharePoint site voor bedrijfsinformatie

Op het moment dat compliance en security een rol gaan spelen is het van belang dat er een proces wordt vastgelegd. Zeker wanneer bedrijfsinformatie onderhevig is aan ISO-normeringen moet dit goed geregeld zijn. Dit betekent vaak dat alleen beheerders aanpassingen mogen doen aan het systeem. Ook de toegang om documenten te kunnen lezen, bewerken of goedkeuren moet strak worden gemanaged.

Informatie die wordt opgeslagen is alleen voor intern gebruik of vertrouwelijk en moet ook zo behandeld worden. Het bewaren of vernietigen van bepaald soort documenten is aan regels gebonden en wil je niet handmatig hoeven controleren. Archiefbeleid op inhoud kan hierbij helpen.

Het meest belangrijke is misschien nog wel het voorkomen van datalekken van persoonsgegevens. Voor dit soort bedrijfsinformatie kunnen SharePoint sites worden ingericht. In de meeste gevallen wordt het proces daarin exact volgens het beleid ingericht.

 

veilig werken hoe doe je dat.png

Het governance plan in 5 stappen

Kortom, een organisatie die wilt starten met Office 365 doet er goed aan de regels rondom het beheer van informatie in een Governanceplan vast te leggen. Dit doe je in vijf stappen:

  1. Vaststellen van het beleid in workshops
  2. Sturing geven aan het beleid
  3. Opstellen van inrichtingsrichtlijnen
  4. Opstellen van beleidsregels
  5. Controleren op naleving van het beleid


Weet je niet waar je moet beginnen? Geen nood, wij kunnen je helpen met het opzetten van een Governanceplan of informatiebeleidsplan. Binnen deze kaders kunnen jullie veilig én gestructureerd werken in Office 365.

 

New Call-to-action

Verder lezen