Eén van de grootste gemeenten van Nederland voldoet aan de eisen van dataclassificatie met Microsoft Purview Information Protection

Door de coronacrisis zijn binnen veel gemeenten Microsoft Teams en SharePoint in een sneltreinvaart ingezet. Zo ook bij deze Zuid-Hollandse gemeente. Bínnen de organisatie verliep het samenwerken goed. Alleen… hoe deel je op een veilige manier informatie búíten de gemeente? Als overheid moet je namelijk voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) om ervoor te zorgen dat informatie goed is beveiligd en data is geclassificeerd. De oplossing om veilig met externe partijen samen te werken? Microsoft Purview Information Protection.

De wens: digitaal samenwerken met externen

Bij deze gemeente werken bijna 10.000 medewerkers die dus de mogelijkheid hebben om tijd- en plaatsonafhankelijk samen te werken. Maar daarnaast zijn er niet minder dan 5000 ketenpartners bij de gemeente betrokken. Denk aan de politie, zorginstellingen en de Rechtspraak. “Al snel ontstond vanuit de ambtenaren de wens om ook met die externen digitaal samen te werken”, vertelt Niek Ong, Microsoft 365-consultant en chapter lead Embrace bij Adoptify. “Maar mag dat wel en hoe werkt dat dan? Data delen met externen moet natuurlijk wel veilig en volgens de BIO-richtlijnen gebeuren. Voor de gemeente golden bepaalde randvoorwaarden om dit mogelijk te maken.”

Microsoft Purview Information Protection

Omdat de gemeente werkt met Microsoft 365 was het vanzelfsprekend om te zoeken naar een passende Microsoft-oplossing. Zoals Microsoft Purview Information Protection (voorheen Azure Information Protection): een goede toepassing voor het delen van ongestructureerde data met externen. Na onderzoek bleek dit ook een geschikte oplossing te zijn voor deze gemeente.

“Microsoft Purview Information Protection is een cloudoplossing die documenten en e-mails beveiligt door hier een bepaald label aan te hangen”, geeft Niek aan. “Op die manier classificeer je de data. Die labels variëren van Intern en Openbaar tot Vertrouwelijk en Geheim. Zo is direct duidelijk welk niveau van informatiebeveiliging nodig is. Als een ambtenaar per ongeluk een e-mail met het label Intern naar iemand buiten de organisatie verstuurt, dan kan deze persoon door de encryptie de e-mail niet openen. Microsoft Purview Information Protection is een hele praktische oplossing om veilig samen te werken.”

Projectstart gericht op verfijnen van product

Niek: “We zijn eerst gestart met een pilot om te bekijken of het gebruik van Microsoft Purview Information Protection-labels toepasbaar was binnen de gemeente. Na deze pilot bleek dat zo te zijn en begonnen we met de implementatie van de oplossing. In het begin waren er enkele uitdagingen met het product zelf. Het was relatief nieuw en aangezien wij als projectteam voor de gemeente hier serieus mee bezig waren, hadden we de mogelijkheid om Microsoft Purview Information Protection samen met Microsoft te finetunen. Dat maakte dat we de oplossing door en door leerden kennen en zo een goed product konden implementeren bij de gemeente.”

Aandacht voor adoptie

In de eerste helft van dit jaar zijn er 5000 ambtenaren overgegaan op Microsoft Purview Information Protection. Voor hen is de oplossing volledig geïntegreerd in alle Microsoft 365-applicaties en Outlook. De overige 5000 medewerkers volgen na de zomer. Zo ontstaat er tijdelijk een hybride situatie, waarbij een deel van de organisatie al werkt met de toepassing en een ander deel nog niet. Toch was dit de beste oplossing gezien de balans tussen een snelle implementatie en de ondersteuning van alle medewerkers.

“Verder is het belangrijk om bij het invoeren van een nieuwe werkwijze de medewerkers goed te begeleiden”, vindt Niek. “In ons team zat dan ook een adoptiecoördinator voor alle communicatie rondom Microsoft Purview Information Protection en we organiseerden webinars en inloopsessies. Het was belangrijk dat iedere ambtenaar op de hoogte zou zijn van het belang van goede informatiebeveiliging, wat we bedoelen met de classificaties en wat de toepassing hiervan betekent voor de ontvanger van een geclassificeerd bestand. Tijdens het project was er dus volop aandacht voor adoptie.”

Uitstekende informatiebeveiliging: best practices

Bij de implementatie van dataclassificatie en Microsoft Purview Information Protection moet je met verschillende aspecten rekening houden. “Er zijn bijvoorbeeld specifieke applicaties voor gemeenten, die nog niet allemaal kunnen omgaan met de encryptie van Microsoft Purview Information Protection”, geeft Niek aan. “Die leveranciers moeten dus nog aanpassingen in hun software doorvoeren. Door vanaf het begin betrokken te zijn bij dit enorme project bij een van de grootste gemeenten van Nederland, zijn we tot verschillende best practices gekomen, zoals:

• De beveiliging van documenten heeft impact op allerlei applicaties. Richt hiervoor het juiste proces in en houd ook leveranciers van andere software op de hoogte hiervan.
• Zorg dat je genoeg aandacht besteedt aan het meenemen van alle ambtenaren in de nieuwe werkwijze en zorg dat ze bewust zijn van het belang van goede informatiebeveiliging.
• Een goed ontwerp is de juiste basis. Maak inzichtelijk hoe informatieprocessen lopen om met Microsoft Purview Information Protection aan de wettelijke verplichtingen te kunnen voldoen.”

Uiteindelijk is het vanuit de BIO de bedoeling dat iedere gemeente aan de slag gaat met de classificatie van informatie, omdat dit helpt bij het toepassen van de juiste beveiligingsmaatregelen.