Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

Grip op ongestructureerde data binnen financiële instellingen

Zo’n drie jaar geleden werd de AVG in Nederland geïntroduceerd. Voor veel organisaties betekende dit dat er de nodige aanpassingen gedaan moesten worden om te voldoen aan deze nieuwe wetgeving met als doel persoonsgegevens van burgers betere bescherming bieden. Veel systemen werden aangepast om alleen de noodzakelijke gegevens, niet langer dan nodig, op te slaan. Er is zelfs aandacht besteed aan het anonimiseren of maskeren van gegevens die van productiesystemen naar test- of ontwikkelomgevingen gingen. Beleid is geschreven en geborgd. Een monsterklus. En de meeste bedrijven hebben dit min of meer op tijd en over het algemeen succesvol afgerond. Toch? 

Wat te doen met ongestructureerde data?

Als we een stap verder kijken en we beoordelen welke gegevens terug te vinden zijn op fileshares of in e-mails dan is dat wel even schrikken. Daar waar de AVG/GDPR projecten gericht waren op gestructureerde data, werd de ongestructureerde data volledig genegeerd. Om deze data onder “controle” te krijgen was een algemeen bericht de organisatie insturen een veelgebruikte methode. Hierin werden medewerkers op het hart gedrukt om op deze systemen GEEN persoonsgegevens op te slaan. Zo, we hebben intern afgesproken dat we het niet meer doen, dat zal dus wel goed zitten. Echter kom je hier nu niet meer mee weg.

 

Iedereen kan op zijn klompen aanvoelen dat er persoonsgegevens worden opgeslagen op fileshares, SharePoint, Teams en verzonden via e-mail. Er is meestal ook niet eens een alternatief. Stel, je bent een Product Owner bij een verzekeraar en je bent bezig met de lancering van een nieuw product. Onderdeel van deze lancering is het aanschrijven van een selecte groep van de bestaande klanten, omdat het nieuwe product relevant voor hen is. Je gaat het klantensysteem in, selecteert de juiste relaties en exporteert dit bestand naar Excel. Resultaat: een Excelsheet opgeslagen in een map op de projectenschijf met een paar duizend klanten, inclusief adressen en geboortedata. Een alternatief is er niet. Op zich is er niet veel aan de hand, want dit mag gewoon. AVG technisch dan. Vervolgens wordt de lancering stilgelegd in verband met een pandemie. Een jaar later wordt het project weer opgestart en je besluit een nieuwe uitdraai te maken, omdat je weet dat de lijst niet meer up-to-date is (er zijn klanten bijgekomen en weggegaan). En nu gaat het mis. De oude lijst verdwijnt naar een submapje en blijft daar staan. Hierin staan persoonsgegevens van klanten, die al geen contract meer hebben en keurig zijn opgeruimd in het klantensysteem. Nu is het vooral hopen dat de AP niet komt kijken. De Product Owner had deze Excel sheet nooit op de projectschijf mogen opslaan, maar waar had deze sheet dan moeten staan? 

Deelnemen webinar

Wil je meer weten over deze oplossing? Neem dan 29 juni deel aan ons webinar 'grip op data binnen financiële organisaties'. 

De oplossing voor ongestructureerde data

Duidelijk is dat er ook voor ongestructureerde data een oplossing gevonden moet worden. En die is er gelukkig ook. Office 365 biedt tal van mogelijkheden om meer grip op data te krijgen. Wat de beste inrichting van Teams is voor jouw organisatie, onderzoeken we graag samen met je tijdens een Teams Governance traject, maar de uitdaging zoals hierboven is beschreven vergt nog wel een stap verder. We tackelen dat in een vijftal stappen: 

 

  1. Breng ‘bewaar en vernietig termijnen’ in kaart voor je organisatie. Ook voor ongestructureerde data (en vooral die data die door medewerkers wordt gemaakt en beheerd) 
  2. Maak in Office 365 samenwerkingsomgevingen aan (meestal in Teams) waarbij de ‘bewaar en vernietig termijnen’ zijn ingericht op een geheel team of SharePoint site. Richt een aanvraag- en aanmaak proces voor teams of sites in, waarin wordt gevraagd of er gevoelige gegevens opgeslagen worden in het team of de site. Sites waar het antwoord ‘Ja’ is, krijgen het bijbehorende retentie (bewaar of vooral vernietig) beleid. Op de hele site dus. Dit voorkomt dat gebruikers ieder document moeten voorzien van een juist retentielabel. Bij het bereiken van het vernietigtermijn, wordt de eigenaar van het team of de site gevraagd of het echt weg kan. Verlengen kan wel, maar dit wordt geregistreerd en voorzien van een maximum. Zo weten we zeker dat gevoelige data conform het beleid tijdig wordt weggegooid. 
  3. Richt controle in op het juiste gebruik van de oplossing. Want vertrouwen is goed, maar controle is beter. Dit betekent dat de gehele omgeving permanent wordt gescand op de aanwezigheid van gevoelige data. Dit kan in Office 365 heel goed met MCAS. Op basis van de bevindingen worden dashboards ingericht die aangeven waar gevoelige data is gevonden op plekken waar dit wordt verwacht (groen) én op plekken waar dit niet wordt verwacht (rood). De rode bevindingen moeten vervolgens worden nagejaagd en opgelost. Bestanden moeten worden verwijderd of worden verplaatst naar de juiste plek.  
  4. Migreer al je file share data en data op on premises SharePoint omgevingen naar Office 365. 
  5. Neem je gehele organisatie hierin mee 
    - IT moet de oplossing bouwen en onderhouden 
    - Compliance (met name privacy) collega’s moeten eenduidige regels voor de gehele organisatie opstellen. Bovendien moeten de bevindingen worden opgelost. Uiteraard richting de betrokken collega’s die bestanden niet goed opslaan. Maar zeker ook het beoordelen van de kwaliteit van de scans van MCAS. Dergelijks scans leiden, zeker in het begin, tot veel ‘false positives’ en ‘false negatives’. Dit vereist veel aanpassingen aan de instellingen wat samen met de IT afdeling moet worden opgepakt. 
    - Last en zeker not least: de medewerkers. Voor iedere technische oplossing geldt: het succes is afhankelijk van het gedrag van medewerkers. Vertonen zij niet het juiste gedrag, dan zal de technische oplossing niet werken. En dat vergt veel meer dan alleen wat uitleg, een handleiding of een instructie middels een video.

Deelnemen webinar

Wil je meer weten over deze oplossing en hoe Wortell deze oplossing bij klanten introduceert? neem dan 29 juni deel aan ons webinar 'grip op data binnen financiële organisaties'. 

Meer over Adoptie, Governance

Blogpost / 11-6-2021

Trotse Education Global Training Partner van Microsoft

Wortell uitgeroepen tot Education Global Training Partner van Microsoft
Blogpost / 19-5-2021

De risico’s en mogelijkheden van gasttoegang binnen Teams

De configuratie zoals Microsoft 365 standaard opgeleverd wordt past in de praktijk niet voor organisaties, de mogelijkheden om zaken goed in te richte...
Blogpost / 17-5-2021

Voorkom verrassingen in Teams en maak van je governance een continu proces

In deze blog geef ik drie voorbeelden van deze verrassingen en tips over hoe je in de toekomst niet meer voor verrassingen komt te staan. .tb_button...
Blogpost / 22-4-2021

Technologie omarmen én medewerkers blij maken in de zorg: hoe doe je dat?

Mensen moeten zich dus fijn voelen bij het werk dat ze doen. Dat krijg je voor elkaar door hen de juiste tools op de juiste manier aan te bieden. Klin...
Wortell-insider-risk-microsoft-ggd
Blogpost / 27-1-2021

Insider Risk, “GGD-medewerkers verdacht van handel in persoonsgegevens”

Op 25 januari kwam naar buiten dat afgelopen zaterdag er twee medewerkers van het GGD-callcenter zijn gearresteerd omdat ze persoonsgegevens te koop z...
Blogpost / 21-1-2021

Adoptie van Microsoft 365: hoe zorg je dat collega's nieuwe technologie omarmen?

10 tips over hoe je collega's mee kan nemen in technologische veranderingen en vernieuwingen. 
Blogpost / 4-11-2020

Wortell lanceert Digitaal Vitaal: een kraakheldere adoptie methodiek

Het gat tussen beschikbare kennis in organisaties en de benodigde kennis om het maximale uit IT-investeringen te halen groeit al sinds de jaren. Worte...
Blogpost / 30-9-2020

Hybride lesgeven: hoe pakken we dat aan bij Nyenrode Universiteit?

Hybride oplossingen zijn steeds meer in trek. Daarbij kun je denken aan een ruimte waar vijftien studenten volgens de coronamaatregelen in kunnen, ter...
Blogpost / 25-9-2020

Teams Governance voor zorgorganisaties

Mensen in de zorg werken mét en vóór mensen. Zij hebben te maken met medische dossiers en gevoelige persoonlijke informatie. Dit...
Teams
Blogpost / 20-5-2020

Grip op governance in Teams: 8 voorbeelden en tips

Veel bedrijven hebben razendsnel Microsoft Teams geïmplementeerd om het thuiswerken te faciliteren. Heel goed natuurlijk, maar nu we een aantal w...
Blogpost / 28-4-2020

Razendsnel Microsoft Teams uitgerold! Wat betekent dit voor je governance?

Dé applicatie die veilig thuiswerken mogelijk maakt is Microsoft Teams. Veel bedrijven hebben dit razendsnel geïmplementeerd om het thuisw...
Blogpost / 29-1-2020

Adoptie van technologie: tijd voor Digitaal Vitaal in de Zorg!

.tb_button {padding:1px;cursor:pointer;border-right: 1px solid #8b8b8b;border-left: 1px solid #FFF;border-bottom: 1px solid #fff;}.tb_button.hover {bo...