De AVG en mijn F: schijf

08 mei 2018 · Leestijd 3 min.

Welke organisatie heeft hem niet? De F: schijf. Fileservers komen nog in grote getallen voor en bevatten vaak veel vertrouwelijke en privacygevoelige informatie. Elke medewerker heeft een persoonlijk mapje en kan daar naar hartenlust informatie opslaan. Ook medewerkers die inmiddels de organisatie hebben verlaten hebben vaak nog een vergeten mapje op de F: schijf.

Naast de persoonlijke mappen zijn er ook nog de mappen per afdeling. Marketing, verkoop, OR en HR hebben zo hun eigen plekje waar ze documenten opslaan om binnen de afdeling te delen. Daarnaast is erg nog een legio aan mappen die gaan over projecten, klanten en activiteiten. De meeste mappen hebben ook weer sub-mappen en weet uiteindelijk niemand meer wat er precies in al die mappen is opgeslagen. Dit is niet alleen onhandig maar geeft ook de nodige kopzorgen rond security en compliance. Staan er in al die mappen bestanden die mogelijk privacygevoelige informatie bevatten. Dit heeft niet alleen betrekking op informatie van buiten maar ook zeer van toepassing op de interne medewerkers. De eerste stap die gemaakt moet worden binnen de AVG is het kunnen bepalen welke privacygevoelige informatie er is opgeslagen en wie er toegang tot hebben of hebben gehad.

Je kunt met een zoekopdracht over de fileserver zoeken naar bepaalde woorden die kunnen duiden op privacygevoelige informatie maar dat geeft een enorme lijst van bestanden waarmee je eigenlijk niet zoveel kunt doen. Je moet dus aan de slag met betere tools om dit goed te kunnen inventariseren.

Met de Microsoft Discovery Toolkit kan je de fileserver doorzoeken en die resultaten worden opgeslagen in een SQL database, je kunt ook meteen data classificatie en labels toekennen aan bestanden die extra beschermt moeten worden.

Waar zet ik wat neer?

Een fileserver is dus erg onhandig als je wilt voldoen aan de AVG het gaat immers niet alleen op de reeds opgeslagen informatie maar ook om alle bestanden die nog gemaakt gaan worden. Een Excelspreadsheet met bijvoorbeeld NAW-gegevens is de meest voorkomende bron met privacygevoelige informatie maar ook CVs van kandidaten binnen een sollicitatieproces vallen onder deze categorie.

De persoonlijke mappen
Verhuis deze naar OneDrive for Business. Op het moment dat de bestanden in OneDrive FB staan kan je afdwingen hoe deze bestanden gedeeld en beveiligd kunnen worden. Elke gebruikers van Office 365 heeft een OneDrive FB van minimaal 1TB.

De afdelingsmappen
Verplaats deze informatie naar een SharePoint Online library, Ook hier kan je het juiste niveau van beveiliging instellen. Zowel bij OneDrive als SharePoint zijn er uitgebreide mogelijkheden om invulling te kunnen geven aan de AVG. Wie heeft er toegang gehad tot de documenten, wat is er gedeeld en met wie. Wordt de informatie goed beveiligd, voorzien van de juiste classificatie labels en worden de juiste bewaartermijnen in achtgenomen.

Projecten en andere activiteiten
Sla de informatie op in Microsoft Teams. Teams is volledig geïntegreerd met de compliance mogelijkheden van Office 365.

Historische data en wat er nog overblijft
In de voorbereiding om compliant te worden met de AVG is er ook een moment van het weggooien van informatie en wat moet ik bewaren. Het moment voor een grote schoonmaak. Informatie die je moet bewaren maar niet altijd direct beschikbaar moet zijn kan je op verschillende manieren verwerken.

Binnen SharePoint online hebben we de mogelijkheid om Storage voor eDiscovery toe te voegen. Je kunt vervolgens de informatie van de fileshare of informatie uit andere systemen in deze omgeving uploaden en met de eDiscovery mogelijkheden van Office 365 door deze informatie zoeken.

Heb je nu grote hoeveelheden data dan is het verstandiger om dit op te slaan in een Azure Storage blob en deze te doorzoeken met advanced eDiscovery. Heb je een fileserver en je wilt hulp bij compliant worden met de AVG dan hebben we verschillende partners die jou kunnen helpen met de migratie naar Office 365.