Dataclassificatie met Microsoft Purview Information Protection

We zien dat gemeentes door de Covid-19 beperkingen digitaal samen zijn gaan werken met behulp van Microsoft Teams, SharePoint Online en OneDrive. En daarbij werden de Microsoft-producten eindelijk gebruikt waar ze al zo lang voor bedoeld waren (en waarvoor betaald werd). 

Gemeenten en hun ambtenaren hebben nog niet eerder zoveel voorbij de grenzen van hun eigen afdeling en zelfs over de organisatiegrenzen heen samengewerkt. Een mooie ontwikkeling die we zeker verder moeten stimuleren én borgen, maar daarbij is het goed om ook nog even terug te kijken en de implementatie (die veelal halsoverkop is doorgevoerd) te evalueren.

Uitdagingen die we bij veel gemeenten zien:

  • Teams, SharePoint Online en OneDrive zijn versneld beschikbaar gemaakt en vaak ontbreekt het aan beleid en/of goed beheer;
  • Ambtenaren zijn het zonder uitleg gaan gebruiken en veel gebruikers kennen onvoldoende het verschil tussen teams, kanalen, chats, etc;
  • Informatie staat inmiddels overal en nergens en niemand heeft nog het overzicht;
  • Er zijn vaak verschillende Teams en SharePoint sites die hetzelfde doel dienen;
  • Werk- en communicatie afspraken zijn niet gemaakt; de ene medewerker is gestopt met e-mail en communiceert volledig met Teams via chats terwijl de andere medewerker nog 100% in Outlook leeft. Dit zorgt uiteraard voor miscommunicatie.

Deze punten zijn actueel bij iedere organisatie, maar voor gemeenten zat er nog een complicerende uitdaging bij: de Baseline Informatiebeveiliging Overheid (BIO).

Baseline Informatie beveiliging Overheid (BIO)

De Baseline Informatiebeveiliging Overheid is sinds 1 januari 2020 het basisniveau waarop gemeentes hun informatiebeveiligings-beleid baseren. Onderdeel van BIO is dataclassificatie. Dataclassificatie geeft namelijk inzicht over de informatie langs de volgende assen:

  • beschikbaarheid
  • integriteit
  • vertrouwelijkheid

Op basis van deze classificaties kunnen gepaste en (vaak verplichte) maatregelen genomen worden om informatie te beveiligen.

Balans tussen gebruiksgemak en compliance

We hebben gezien dat er in de praktijk vaak discrepantie ontstaat in hoe medewerkers zouden willen werken en waar gemeentes wettelijk toe verplicht zijn. Hierdoor kunnen die digitaal verkrampen of er ontstaan ongewenste workarounds.

Twee grote vraagstukken die wij bij veel gemeenten, die wij ondersteunen, zien ontstaan:

  • Hoe kan vertrouwelijke en geheime data, zoals bijzondere persoonsgegevens, veilig en inzichtelijk opgeslagen worden op SharePoint Online, Teams en OneDrive?
  • Hoe zorg ik ervoor dat het samenwerken met externen veilig en BIO compliant gebeurt? Hierbij moeten gemeenten inzicht creëren in welke data gedeeld wordt met externen.

Geen nieuwe vragen, maar nu we gewend zijn om plaats- en apparaat onafhankelijk te werken en we digitaal steeds meer samenwerken, komt er meer en meer aandacht voor de wet- en regelgeving en beheersbaarheid.

Microsoft Purview Information Protection

Overheidsinstanties, zorginstellingen en andere organisaties en bedrijven die vertrouwelijke gegevens behandelen moeten voldoen aan een aantal normen (zoals: ISO 27001 of NEN 7510) voor de classificatie van data. Microsoft Purview Information Protection biedt hiervoor goede en werkbare oplossingen door middel van dataclassificatie.

Classificatie van data is het labelen van informatie met een bepaalde waarde (denk aan ‘persoonlijk, vertrouwelijk of openbaar) om zo te kunnen bepalen welk niveau van bescherming nodig is. Dataclassificatie helpt organisaties om na te denken over de beschikbaarheid, integriteit en vertrouwelijkheid van data.

Eén van de grootste gemeenten van Nederland voldoet aan de eisen van dataclassificatie met Microsoft Purview Information Protection.

Wat is Microsoft Purview Information Protection en hoe gebruik je het?

Microsoft Purview Information Protection is een cloud oplossing waarmee organisaties documenten en e-mail berichten kunnen classificeren en beveiligen door labels toe te passen. 

Je kunt labels kunnen op verschillende manieren toepassen:

  • Automatisch door beheerders die regels en voorwaarden gebruiken;
  • Handmatig door gebruikers;
  • Gecombineerd, waarbij beheerders de aanbevelingen definiëren die worden weer gegeven voor gebruikers.

Microsoft Purview Information Protection toepassen in Word

  1. Als MIP is toegevoegd aan de tenant van je Microsoft 365 is toegevoegd stelt jouw bedrijf brede classificatie labels op. Bijvoorbeeld: Persoonlijk, Intern, Openbaar, Vertrouwelijk en Geheim.
  2. Gebruikers kunnen vrij eenvoudig een document, spreadsheet of mail classificeren door in je gereedschappenbalk op ‘Protect’ te klikken en de door jouw gekozen classificatie toe te wijzen.
  3. Aan elk van deze labels worden beleidsregels toegekend. Zo kunnen bestanden en e-mails met het label “Vertrouwelijk” alleen geopend worden door specifieke personen. Of kunnen persoonlijke e-mails niet doorgestuurd worden naar derden.
  4. Naast dat office-documenten geclassificeerd kunnen worden is het doormiddel van de ‘Microsoft Purview Information Protection client’ ook mogelijk om pdf-documenten te beveiligen.

Let op: Wil je dit zoveel mogelijk automatiseren, dan zal je organisatie minimaal een M365 E5 of AIP P2 Licentie van Microsoft moeten hebben.

Microsoft Purview Information Protection en Microsoft 365

Veel gemeenten zullen classificatie van hun data moeten inregelen om zo inzicht en grip te krijgen op de data en hoe deze op Teams, SharePoint Online en OneDrive opgeslagen kan en mag worden en hoe deze gedeeld mag worden binnen en buiten de organisatie. Vanwege de goede integratie in het Microsoft 365 pakket is Microsoft Purview Information Protection een goede keuze voor het classificeren van data. Ook is het een veilige, praktische toepassing om het delen van ongestructureerde data met externen mogelijk te maken.

Wil je aan de slag gaan met Microsoft Purview Information Protection is het belangrijk om naast het regelen van de techniek de afdelingen en ambtenaren goede uitleg en begeleiding te geven, zodat bestanden en data altijd op het juiste niveau en volgens de BIO-richtlijnen geclassificeerd en/of beveiligd zijn.

Wil je aan de slag gaan met Microsoft Purview Information Protection?

Heb je vragen over wat de BIO voor jouw organisatie betekent of wil je graag meer weten over Microsoft Purview Information Protection? Neem dan gerust contact op.

Scroll naar boven