Grip op ongestructureerde data binnen financiële instellingen

Zo’n drie jaar geleden werd de AVG in Nederland geïntroduceerd. Voor veel organisaties betekende dit dat er de nodige aanpassingen gedaan moesten worden om te voldoen aan deze nieuwe wetgeving met als doel persoonsgegevens van burgers betere bescherming bieden. Veel systemen werden aangepast om alleen de noodzakelijke gegevens, niet langer dan nodig, op te slaan. Er is zelfs aandacht besteed aan het anonimiseren of maskeren van gegevens die van productiesystemen naar test- of ontwikkelomgevingen gingen. Beleid is geschreven en geborgd. Een monsterklus. En de meeste bedrijven hebben dit min of meer op tijd en over het algemeen succesvol afgerond. Toch? 

Wat te doen met ongestructureerde data?

Als we een stap verder kijken en we beoordelen welke gegevens terug te vinden zijn op fileshares of in e-mails dan is dat wel even schrikken. Daar waar de AVG/GDPR projecten gericht waren op gestructureerde data, werd de ongestructureerde data volledig genegeerd. Om deze data onder “controle” te krijgen was een algemeen bericht de organisatie insturen een veelgebruikte methode. Hierin werden medewerkers op het hart gedrukt om op deze systemen GEEN persoonsgegevens op te slaan. Zo, we hebben intern afgesproken dat we het niet meer doen, dat zal dus wel goed zitten. Echter kom je hier nu niet meer mee weg.

Iedereen kan op zijn klompen aanvoelen dat er persoonsgegevens worden opgeslagen op fileshares, SharePoint, Teams en verzonden via e-mail. Er is meestal ook niet eens een alternatief. Stel, je bent een Product Owner bij een verzekeraar en je bent bezig met de lancering van een nieuw product. Onderdeel van deze lancering is het aanschrijven van een selecte groep van de bestaande klanten, omdat het nieuwe product relevant voor hen is. Je gaat het klantensysteem in, selecteert de juiste relaties en exporteert dit bestand naar Excel. Resultaat: een Excelsheet opgeslagen in een map op de projectenschijf met een paar duizend klanten, inclusief adressen en geboortedata. Een alternatief is er niet. Op zich is er niet veel aan de hand, want dit mag gewoon. AVG technisch dan. Vervolgens wordt de lancering stilgelegd in verband met een pandemie. Een jaar later wordt het project weer opgestart en je besluit een nieuwe uitdraai te maken, omdat je weet dat de lijst niet meer up-to-date is (er zijn klanten bijgekomen en weggegaan). En nu gaat het mis. De oude lijst verdwijnt naar een submapje en blijft daar staan. Hierin staan persoonsgegevens van klanten, die al geen contract meer hebben en keurig zijn opgeruimd in het klantensysteem. Nu is het vooral hopen dat de AP niet komt kijken. De Product Owner had deze Excel sheet nooit op de projectschijf mogen opslaan, maar waar had deze sheet dan moeten staan? 

De oplossing voor ongestructureerde data

Duidelijk is dat er ook voor ongestructureerde data een oplossing gevonden moet worden. En die is er gelukkig ook. Office 365 biedt tal van mogelijkheden om meer grip op data te krijgen. Wat de beste inrichting van Teams is voor jouw organisatie, onderzoeken we graag samen met je tijdens een Teams Governance traject, maar de uitdaging zoals hierboven is beschreven vergt nog wel een stap verder. We tackelen dat in een vijftal stappen: 

1. Breng ‘bewaar en vernietig termijnen’ in kaart voor je organisatie. Ook voor ongestructureerde data (en vooral die data die door medewerkers wordt gemaakt en beheerd) 
2. Maak in Office 365 samenwerkingsomgevingen aan (meestal in Teams) waarbij de ‘bewaar en vernietig termijnen’ zijn ingericht op een geheel team of SharePoint site. Richt een aanvraag- en aanmaak proces voor teams of sites in, waarin wordt gevraagd of er gevoelige gegevens opgeslagen worden in het team of de site. Sites waar het antwoord ‘Ja’ is, krijgen het bijbehorende retentie (bewaar of vooral vernietig) beleid. Op de hele site dus. Dit voorkomt dat gebruikers ieder document moeten voorzien van een juist retentielabel. Bij het bereiken van het vernietigtermijn, wordt de eigenaar van het team of de site gevraagd of het echt weg kan. Verlengen kan wel, maar dit wordt geregistreerd en voorzien van een maximum. Zo weten we zeker dat gevoelige data conform het beleid tijdig wordt weggegooid. 
3. Richt controle in op het juiste gebruik van de oplossing. Want vertrouwen is goed, maar controle is beter. Dit betekent dat de gehele omgeving permanent wordt gescand op de aanwezigheid van gevoelige data. Dit kan in Office 365 heel goed met MCAS. Op basis van de bevindingen worden dashboards ingericht die aangeven waar gevoelige data is gevonden op plekken waar dit wordt verwacht (groen) én op plekken waar dit niet wordt verwacht (rood). De rode bevindingen moeten vervolgens worden nagejaagd en opgelost. Bestanden moeten worden verwijderd of worden verplaatst naar de juiste plek.  
4. Migreer al je file share data en data op on premises SharePoint omgevingen naar Office 365. 
5. Neem je gehele organisatie hierin mee 
   - IT moet de oplossing bouwen en onderhouden 
   - Compliance (met name privacy) collega’s moeten eenduidige regels voor de gehele organisatie opstellen. Bovendien moeten de bevindingen worden opgelost. Uiteraard richting de betrokken collega’s die bestanden niet goed opslaan. Maar zeker ook het beoordelen van de kwaliteit van de scans van MCAS. Dergelijks scans leiden, zeker in het begin, tot veel ‘false positives’ en ‘false negatives’. Dit vereist veel aanpassingen aan de instellingen wat samen met de IT afdeling moet worden opgepakt. 
   - Last en zeker not least: de medewerkers. Voor iedere technische oplossing geldt: het succes is afhankelijk van het gedrag van medewerkers. Vertonen zij niet het juiste gedrag, dan zal de technische oplossing niet werken. En dat vergt veel meer dan alleen wat uitleg, een handleiding of een instructie middels een video.