AVG-compliancy hoeft echt niet zo ingewikkeld te zijn
Kennis
19-4-2018
Wat veel gebruikers niet beseffen is dat binnen bijvoorbeeld de Office 365 omgeving al veel functies aanwezig zijn die je direct compliant maken met de Algemene Verordening Gegevensbescherming (ofwel de General Data Protection Regulation, GDPR).
Volgens Siderius worden dergelijke werkomgevingen steeds meer gemeengoed. Dat informatie letterlijk - aan de deur van een organisatie binnenkomt en daar pas verwerkt moet worden voor verder gebruik is niet meer van deze tijd. Online samenwerkingsomgevingen worden met grote snelheid geaccepteerd en in gebruik genomen. We gaan meer toe naar een virtuele werkplek, waar je je ook bevindt heb je met een mobiel apparaat toegang tot precies die informatie die voor jou is bedoeld. En kun je alleen die informatie binnenhalen, vastleggen en bewerken waartoe jij bent geautoriseerd. Veilig en vertrouwd. Dan is het wel prettig om te weten dat je alle relevante functies rondom informatie capture & processing, inclusief delen en beveiligen, direct voorhanden hebt. Hier wisselen gebruikers alleen maar digitale informatie met elkaar uit. En laten we wel zijn: nagenoeg alles is al digitaal, dus waarom zouden we die dan eerst weer op papier zetten om het ergens anders weer te laten digitaliseren, met gevaar op allerlei mogelijke fouten.
AVG als basisvoorwaarde
Dat de AVG daarin al nagenoeg helemaal in is meegenomen als basisvoorwaarde, heeft bijna niemand in de gaten, aldus Lourens Siderius, Business Development manager bij Wortell. Als gebruiker is het soms wel lastig om die instellingen in te regelen, maar meestal komen ze er wel uit, en anders is het voor een IT geenszins een ingewikkeld verhaal. Het is weliswaar veel techniek, maar een groot deel van die techniek zit in de software verscholen, onder het oppervlak. Daar heeft de gebruiker dus weinig erg in. Niettemin kun je je als organisatie veel extra werk besparen, bijvoorbeeld om te voldoen aan de AVG en het beveiligen van vertrouwelijke bedrijfsinformatie, door die onderliggende technologie letterlijk te activeren.Toenemende mobiliteit
Steeds meer medewerkers zijn onderweg, gebruiken mobiele apparaten en maken gebruik van online werkomgevingen zoals Microsoft Office 365 en/of het cloud-platform Microsoft Azure. Dergelijke omgevingen maken het makkelijker om met elkaar te werken. Medewerkers worden niet alleen steeds mobieler, maar werken ook steeds vaker in wisselende samenstellingen met andere medewerkers en/of externen. Tussen al die stakeholders wordt informatie uitgewisseld, bewerkt en verwerkt binnen het online projectplatform, zoals Azure. Onder het motto niet mailen maar delen vindt daarin veel uitwisseling van informatie plaats, zonder dat deze nog de hele doorloop van digitalisering, herkenning en verwerking hoeft te doorlopen. Wat veel gebruikers niet weten is dat daar een zogenaamd compliancy center beschikbaar is. Allerlei zaken met betrekking tot de AVG, zoals precies weten hoe en waar en voor wie specifieke informatie toegankelijk is etc. zijn allemaal via dat Compliance Center in te stellen. Dat maakt het plaats- en tijdonafhankelijk werken een stuk eenvoudiger en vooral veiliger. Informatie kan onderweg prima worden aangevuld, bewerkt, toegevoegd, beschikbaar gemaakt voor (deel)groepen en ga zo maar door. Volledig gecontroleerd door de instellingen in het Compliance Center, aangevuld met bijvoorbeeld functionaliteit als Enterprise Mobility Security (EMS). Daarmee kan informatie die binnenkomt langs zo online werkomgeving worden herkend als zijnde gevoelig, omdat er een BSN-nummer in staat o.i.d., met vervolgens direct daaraan gekoppeld de vereiste protocollen: encryptie en/of een melding zodra iemand gebruik wil maken van die informatie. Er vindt dus kwalificatie op informatieniveau plaats. Het systeem houdt ook bij welke informatie zich waar bevindt. Neem als simpel voorbeeld scholieren of studenten die vaak samenwerken in groepsverband. Gevoelige informatie zouden examens kunnen zijn die worden gedownload en gedeeld. Die functie is uiteraard niet voor iedereen weggelegd. Er kan zelfs een tijdslot worden toegepast op specifieke informatie, waarmee die maar een beperkte tijd beschikbaar is voor de geautoriseerde, bij het project aangesloten gebruikers. Een ander voorbeeld zijn aanbestedingen: ook die wil je niet zomaar aan iedereen ter inzage hebben. Dat voorkomt problemen achteraf.