AVG-compliancy hoeft echt niet zo ingewikkeld te zijn

Wat veel gebruikers niet beseffen is dat binnen bijvoorbeeld de Office 365 omgeving al veel functies aanwezig zijn die je direct compliant maken met de Algemene Verordening Gegevensbescherming (ofwel de General Data Protection Regulation, GDPR).

AVG als basisvoorwaarde

Dat de AVG daarin al nagenoeg helemaal in is meegenomen als basisvoorwaarde, heeft bijna niemand in de gaten, aldus Lourens Siderius, Business Development manager bij Wortell. Als gebruiker is het soms wel lastig om die instellingen in te regelen, maar meestal komen ze er wel uit, en anders is het voor een IT geenszins een ingewikkeld verhaal. Het is weliswaar veel techniek, maar een groot deel van die techniek zit in de software verscholen, onder het oppervlak. Daar heeft de gebruiker dus weinig erg in. Niettemin kun je je als organisatie veel extra werk besparen, bijvoorbeeld om te voldoen aan de AVG en het beveiligen van vertrouwelijke bedrijfsinformatie, door die onderliggende technologie letterlijk te activeren.  

Toenemende mobiliteit

Steeds meer medewerkers zijn onderweg, gebruiken mobiele apparaten en maken gebruik van online werkomgevingen zoals Microsoft Office 365 en/of het cloud-platform Microsoft Azure. Dergelijke omgevingen maken het makkelijker om met elkaar te werken. Medewerkers worden niet alleen steeds mobieler, maar werken ook steeds vaker in wisselende samenstellingen met andere medewerkers en/of externen. Tussen al die stakeholders wordt informatie uitgewisseld, bewerkt en verwerkt binnen het online projectplatform, zoals Azure. Onder het motto niet mailen maar delen vindt daarin veel uitwisseling van informatie plaats, zonder dat deze nog de hele doorloop van digitalisering, herkenning en verwerking hoeft te doorlopen. Wat veel gebruikers niet weten is dat daar een zogenaamd compliancy center beschikbaar is. Allerlei zaken met betrekking tot de AVG, zoals precies weten hoe en waar en voor wie specifieke informatie toegankelijk is etc. zijn allemaal via dat Compliance Center in te stellen.

Dat maakt het plaats- en tijdonafhankelijk werken een stuk eenvoudiger en vooral veiliger. Informatie kan onderweg prima worden aangevuld, bewerkt, toegevoegd, beschikbaar gemaakt voor (deel)groepen en ga zo maar door. Volledig gecontroleerd door de instellingen in het Compliance Center, aangevuld met bijvoorbeeld functionaliteit als Enterprise Mobility Security (EMS). Daarmee kan informatie die binnenkomt langs zo online werkomgeving worden herkend als zijnde gevoelig, omdat er een BSN-nummer in staat o.i.d., met vervolgens direct daaraan gekoppeld de vereiste protocollen: encryptie en/of een melding zodra iemand gebruik wil maken van die informatie. Er vindt dus kwalificatie op informatieniveau plaats. Het systeem houdt ook bij welke informatie zich waar bevindt. Neem als simpel voorbeeld scholieren of studenten die vaak samenwerken in groepsverband. Gevoelige informatie zouden examens kunnen zijn die worden gedownload en gedeeld. Die functie is uiteraard niet voor iedereen weggelegd. Er kan zelfs een tijdslot worden toegepast op specifieke informatie, waarmee die maar een beperkte tijd beschikbaar is voor de geautoriseerde, bij het project aangesloten gebruikers. Een ander voorbeeld zijn aanbestedingen: ook die wil je niet zomaar aan iedereen ter inzage hebben. Dat voorkomt problemen achteraf.  

Volgens Siderius worden dergelijke werkomgevingen steeds meer gemeengoed. Dat informatie letterlijk - aan de deur van een organisatie binnenkomt en daar pas verwerkt moet worden voor verder gebruik is niet meer van deze tijd. Online samenwerkingsomgevingen worden met grote snelheid geaccepteerd en in gebruik genomen. We gaan meer toe naar een virtuele werkplek, waar je je ook bevindt heb je met een mobiel apparaat toegang tot precies die informatie die voor jou is bedoeld. En kun je alleen die informatie binnenhalen, vastleggen en bewerken waartoe jij bent geautoriseerd. Veilig en vertrouwd. Dan is het wel prettig om te weten dat je alle relevante functies rondom informatie capture & processing, inclusief delen en beveiligen, direct voorhanden hebt. Hier wisselen gebruikers alleen maar digitale informatie met elkaar uit. En laten we wel zijn: nagenoeg alles is al digitaal, dus waarom zouden we die dan eerst weer op papier zetten om het ergens anders weer te laten digitaliseren, met gevaar op allerlei mogelijke fouten.

Monitoren en rapporteren

Informatie die een projectomgeving binnenkomt, inclusief alles wat daarbij hoort en wat ermee gebeurt, wordt via Azure vastgelegd en gevolgd. Siderius: Alles is te volgen: om welke informatie het gaat, wat gebruikers daarmee doen, wie dat zijn, wat ze met specifieke informatie doen, welke informatie ze toevoegen etc. Er is ID-management, zodat niet iedere willekeurige gebruiker zomaar in deze projectomgeving kan rondneuzen. Kortom, er is volledige traceability als het gaat om de gebruikers, de processen en de data. Het voldoen aan wet- en regelgeving, AVG, speelt daarin een belangrijke rol. Dat is nodig omdat werknemers dus steeds mobieler worden en onderweg informatie vastleggen en processen. Je kunt zo mooi informatiestromen in de gaten houden, inclusief alles wat er in de tussentijd mee gebeurt. Eigenlijk zijn maar weinigen op de hoogte van al deze geavanceerde functionaliteit, ziet Siderius. Dat is jammer, want het scheelt een organisatie  veel kopzorgen en waarschijnlijk onnodige investeringen om te kunnen voldoen aan die wetgeving.

De complexiteit van ons werk, van de manier waarop mensen samenwerken en wat de consequenties daarvan zijn neemt alleen maar toe. Wie een goede basis kiest, de juiste combinatie van bijvoorbeeld Azure als cloud platform, EMS voor ondersteuning van de mobiliteitsstrategie, met daarop Office 365, beschikt echter al over zoveel standaardfunctionaliteit, dat je je met recht kunt afvragen of het voldoen aan de AVG nu werkelijk zo ingewikkeld en zoveel werk zou moeten zijn. Dit artikel verscheen eerder in EIM professional.