Microsoft is een van de Event Partners van het Nationaal Privacy Event in Den Haag en behoeft nauwelijks introductie. Maar wat is hun relatie met de Avg? Systemen die gebruikt worden om gegevens aan te maken, op te slaan, te analyseren en te beheren, kunnen verspreid zijn over uiteenlopende IT-omgevingen: persoonlijke apparaten, servers op bedrijfslocaties, cloud services en zelfs het Internet of Things. Dat betekent dat de eisen die de Avg stelt op het grootste gedeelte van het IT-landschap van toepassing kunnen zijn.
Inspanningen om aan de Avg-vereisten te voldoen, hebben het meeste effect als dit vanuit een holistisch perspectief gebeurt en in de context van alle privacy-verplichtingen die uit de bestaande wet- en regelgeving voortvloeien. Zo zijn veel van de veiligheidswaarborgen op grond van de Avg om kwetsbaarheden en gegevensinbreuken te voorkomen, te traceren en aan te pakken vergelijkbaar met de maatregelen die in andere normen voor gegevensbescherming zijn vastgelegd, zoals de ISO 27018-standaard voor privacy in de cloud.
In plaats van het één voor één in kaart brengen van de beveiligingsmaatregelen die door afzonderlijke normen of voorschriften vereist zijn, verdient het aanbeveling om een overkoepelend pakket van normen en maatregelen samen te stellen om aan die vereisten te voldoen. Zo is het verstandiger om niet afzonderlijke technologieën en oplossingen te evalueren aan de hand van zo’n gedetailleerde verordening als de Avg. Een platformperspectief (zoals een platform dat Windows, Microsoft SQL Server, SharePoint, Exchange, Office 365, Azure en Dynamics 365 omvat) vormt namelijk een veel beter alternatief om te waarborgen dat men niet alleen aan de Avg voldoet, maar ook aan andere vereisten die voor het bedrijf van belang zijn.
Microsoft stelt dan ook voor dat de jouw route naar Avg-compliance begint met de volgende vier belangrijke stappen:
- Traceren – het in kaart brengen van alle persoonsgegevens binnen jouw organisatie met de locaties waar ze zich bevinden
- Beheren – het managen van de wijze waarop persoonsgegevens worden gebruikt en van de manier waarop ze toegankelijk zijn
- Beveiligen – het nemen van veiligheidsmaatregelen om kwetsbaarheden en gegevensinbreuken te voorkomen, te traceren en aan te pakken
- Rapporteren – reageren op verzoeken omtrent gegevens, rapporteren van gegevensinbreuken en beschikbaarheid van de vereiste documentatie.
Voor elke stap zijn er voorbeelden, resources en relevante functies in diverse Microsoft-oplossingen beschikbaar waarvan men gebruik kan maken om aan de eisen te voldoen die de betreffende stap stelt. Omdat deze pagina’s geen uitvoerige ‘Hoe kan ik …?’-oplossing bieden, zijn er links toegevoegd die een nadere toelichting bevatten. Aangezien er veel op het spel staat, verdient het aanbeveling om niet met de compliance voorbereidingen te wachten. De datum van 25 mei nadert met rasse schreden… het was dus beter geweest om zo snel mogelijk van start te gaan met het evalueren van procedures en maatregelen op het gebied van privacy- en gegevensbeheer.
