Gegevensprivacy en -bescherming : gegevens beveiligen en beheren
Welkom bij stap 2 van het beheren van gegevensprivacy en gegevensbescherming met Microsoft Priva en Microsoft Purview: uw gegevens beveiligen en beheren.
Wanneer u weet welke persoonsgegevens u hebt, waar deze zich bevindt en uw wettelijke vereisten, is het tijd om dingen in te voeren om die gegevens te beschermen. Microsoft biedt uitgebreide, robuuste mogelijkheden om persoonsgegevens op twee manieren te beschermen:
- Functies die IT-beheerders hebben ingesteld om gevoelige items te categoriseren en beschermende acties uit te voeren, en
- Functies die uw werknemers in staat stellen om problemen met gegevensprivacy snel te herkennen en op te lossen en getraind te worden in goede procedures voor gegevensverwerking.
Uit te voeren acties
| Actie | Omschrijving | Details ophalen |
|---|---|---|
| Identificeer typen gevoelige informatie, zodat u weet wat bescherming nodig heeft. | Het identificeren en categoriseren van gevoelige items die door uw organisatie worden beheerd, is de eerste stap in de Information Protection discipline. Microsoft Purview biedt drie manieren om items te identificeren, zodat ze kunnen worden gecategoriseerd a) handmatig door gebruikers, b) automatische patroonherkenning, zoals typen gevoelige informatie, en c) machine learning. Typen gevoelige informatie (SIT) zijn classificaties op basis van patronen. Ze detecteren gevoelige informatie zoals sociale zekerheid, creditcard of bankrekeningnummers om gevoelige items te identificeren. |
Meer informatie over typen gevoelige informatie De volledige lijst met typen gevoelige informatie weergeven |
| Categoriseer en label uw inhoud, zodat u functies kunt toepassen om deze te beveiligen. | Het categoriseren en labelen van inhoud, zodat deze op de juiste manier kan worden beveiligd en verwerkt, is het uitgangspunt voor de informatiebeveiligingsdiscipline. Microsoft 365 heeft drie manieren om inhoud te classificeren. | Meer informatie over trainbare classificaties |
| Pas vertrouwelijkheidslabels toe om gegevens te beschermen, zelfs als deze roamen. | Wanneer u uw gevoelige gegevens hebt geïdentificeerd, wilt u deze beveiligen. Dat is vaak lastig wanneer mensen samenwerken met anderen, zowel binnen als buiten de organisatie. Deze gegevens kunnen overal worden geroerd, op apparaten, apps en services. Wanneer de inhoud elders wordt gebruikt, wilt u dat dat gebeurt in een veilige, beschermde manier die voldoet aan het bedrijfs- en nalevingsbeleid van uw organisatie. Met vertrouwelijkheidslabels van Microsoft Purview Information Protection kun je de gegevens van je organisatie classificeren en beschermen en ervoor zorgen dat de productiviteit van gebruikers en hun vermogen om samen te werken niet wordt belemmerd. |
Meer informatie over vertrouwelijkheidslabels |
| Gebruik beleid voor preventie van gegevensverlies om het delen van persoonsgegevens te voorkomen. | Organisaties hebben gevoelige informatie onder hun controle, zoals financiële gegevens, eigen gegevens, creditcardnummers, gezondheidsdossiers of burgerservicenummers. Om gevoelige informatie te beschermen en risico's te verminderen, hebben ze een manier nodig om te voorkomen dat hun gebruikers deze op ongepaste wijze delen met mensen die deze niet mogen hebben. Deze praktijk heet preventie van gegevensverlies (DLP). Met Microsoft Purview-preventie van gegevensverlies implementeert u preventie van gegevensverlies door DLP-beleid te definiëren en toe te passen om gevoelige items in Microsoft 365-services zoals Teams, Exchange, SharePoint en OneDrive te identificeren, bewaken en automatisch te beveiligen. Office-toepassingen zoals Word, Excel en PowerPoint; Windows 10-, Windows 11- en macOS-eindpunten (de huidige versie en de vorige twee versies van macOS), niet-Microsoft-cloud-apps; en on-premises bestandsshares en on-premises SharePoint. Deze DLP-oplossing detecteert gevoelige items met behulp van diepgaande inhoudsanalyse, niet door alleen een eenvoudige tekstscan. Inhoud wordt geanalyseerd voor primaire gegevensovereenkomsten met trefwoorden, door de evaluatie van reguliere expressies, door interne functievalidatie en door secundaire gegevensovereenkomsten die zich in de buurt van de primaire gegevensovereenkomst bevinden. Daarnaast gebruikt DLP ook machine learning-algoritmen en andere methoden om inhoud te detecteren die overeenkomt met uw DLP-beleid. |
Meer informatie over preventie van gegevensverlies |
| Uw Microsoft 365-gegevens beheren voor nalevings- of wettelijke vereisten | Besturingselementen voor informatiebeheer kunnen in uw omgeving worden gebruikt om te voldoen aan de nalevingsbehoeften voor gegevensprivacy, waaronder een aantal dat specifiek is voor de Algemene Verordening Gegevensbescherming (AVG), HIPAA-HITECH (de Verenigde Staten health care privacy act), California Consumer Protection Act (CCPA) en de Brazil Data Protection Act (LGPD). Microsoft Purview-levenscyclusbeheer en Microsoft Purview-recordbeheer deze besturingselementen bieden in de vorm van bewaarbeleid, retentielabels en mogelijkheden voor recordbeheer. | Meer informatie over het implementeren van een oplossing voor gegevensbeheer met Microsoft Purview |
| Veilige opslag van persoonlijke gegevens instellen in Microsoft Teams. | Als u van plan bent om zeer gevoelige persoonlijke gegevens op te slaan in Teams, kunt u een privéteam configureren en een vertrouwelijkheidslabel gebruiken dat specifiek is geconfigureerd om de toegang tot het team en de bestanden daarin te beveiligen. | Meer informatie over het configureren van een team met beveiligingsisolatie |
| Geef gebruikers de mogelijkheid om potentiële risico's te herkennen en problemen op te lossen. | Maak beleidsregels voor gegevensverwerking in Priva Privacyrisicobeheer, zodat uw gebruikers onmiddellijk risico's kunnen identificeren in de gegevens die ze maken en beheren. Meldingsmails waarschuwen gebruikers wanneer ze items met persoonlijke gegevens binnen onze organisatie overdragen, inhoud te breed toegankelijk maken of persoonlijke gegevens te lang bewaren. De meldingen vragen gebruikers om onmiddellijk herstelstappen te nemen om persoonsgegevens te beveiligen en bevatten koppelingen naar de voorkeurstraining voor privacy van uw organisatie. |
Meer informatie over Privacy Risk Management Een beleid maken om gegevensoverdracht, overbelichting of hoarding te voorkomen Meldingen instellen voor gebruikers om problemen op te lossen met inhoud die ze verwerken |
| Gebruik recordbeheer voor hoogwaardige items die moeten worden beheerd voor zakelijke, juridische of wettelijke vereisten voor het bijhouden van records. | Een recordbeheersysteem is een oplossing voor organisaties voor het beheren van wettelijke, juridische en bedrijfskritieke records. Microsoft Purview-recordbeheer helpt een organisatie bij het beheren van hun wettelijke verplichtingen, biedt de mogelijkheid om naleving van regelgeving aan te tonen en verhoogt de efficiëntie met regelmatige verwijdering van items die niet langer hoeven te worden bewaard, niet langer van waarde zijn of niet meer nodig zijn voor zakelijke doeleinden. |
Meer informatie over recordbeheer |
Uw strategie voor succes instellen
Het identificeren van typen gevoelige informatie (SID's), het categoriseren en labelen van uw inhoud en het implementeren van beleid voor preventie van gegevensverlies (DLP) zijn belangrijke stappen in een strategie voor informatiebeveiliging. De koppelingen in de bovenstaande tabel brengen u naar gedetailleerde richtlijnen voor het uitvoeren van deze essentiële taken.
Het beveiligen van gegevens is ook de verantwoordelijkheid van elke gebruiker in uw organisatie die persoonlijke gegevens bekijkt, maakt en verwerkt tijdens de taak. Elke gebruiker moet de interne en wettelijke verantwoordelijkheden van uw organisatie kennen en naleven om persoonsgegevens te beschermen, waar deze zich ook in uw organisatie bevinden. Daarom helpt Priva u uw gebruikers in staat te stellen hun verantwoordelijkheden te kennen, geïnformeerd te worden wanneer ze gegevens op riskante manieren verwerken en onmiddellijk actie te ondernemen om privacyrisico's voor de organisatie te minimaliseren.
De drie beleidsregels voor gegevensverwerking die beschikbaar zijn in Priva Privacyrisicobeheer uw gebruikers helpen een proactieve rol te spelen in de strategie voor gegevensbescherming van uw organisatie. Email meldingen met ingebouwde herstelacties vragen gebruikers om de benodigde beveiliging toe te passen en een door uw organisatie aangewezen privacytraining te volgen. Dit bewustzijn en het vermogen om te handelen kunnen helpen om betere gewoonten te ontwikkelen om toekomstige privacyproblemen te voorkomen.
Aanbevelingen voor uw eerste Priva-gegevensverwerkingsbeleid
We raden u aan om beleid in een gefaseerde benadering te implementeren, zodat u kunt leren hoe ze zich gedragen en ze kunt optimaliseren om aan uw behoeften te voldoen. Voor de eerste fase raden we u aan om één aangepast beleid te maken als basis voor begrip. Laten we het voorbeeld gebruiken van het maken van een beleid voor overbelichting van gegevens, waarmee inhoudsitems met persoonsgegevens worden geïdentificeerd die mogelijk te breed toegankelijk zijn voor andere personen. U vindt hier gedetailleerde instructies voor het maken van beleid.
Wanneer u de stap Gegevens kiezen om te controleren van de wizard voor het maken van beleid hebt geopend, raden we u aan de optie Afzonderlijke typen gevoelige informatie te selecteren en de SID's te kiezen die het meest relevant zijn voor uw organisatie. Als u bijvoorbeeld een financiële dienstverlener bent met klanten in Europa, wilt u waarschijnlijk het nummer van de EU-betaalpas opnemen als een van uw SIMKAART's. Hier vindt u de lijst met SIT-definities.
In de stap Gebruikers en groepen kiezen die onder deze beleidsstap vallen , raden we u aan Specifieke gebruikers of groepen te selecteren en een kleine groep gebruikers binnen het bereik van dit beleid te kiezen.
Bij de stap Voorwaarden kiezen voor de beleidsstap raden we u aan alleen Extern te selecteren, zodat u gegevens bijhoudt die mogelijk meer risico lopen, terwijl de totale hoeveelheid gegevens die u moet bewaken op beter beheersbare niveaus blijft.
Bij de stap Waarschuwingen en drempelwaarden opgeven raden we u aan waarschuwingen in te schakelen en de frequentieoptie Waarschuwing te selecteren wanneer aan een van de onderstaande voorwaarden wordt voldaan. Als u waarschuwingen inschakelt, kunnen beheerders meten of de ernst en frequentie van waarschuwingen aan hun behoeften voldoen. Houd er rekening mee dat beleid achteraf niet werkt, dus als u ervoor kiest om waarschuwingen eerst uit te schakelen en later in te schakelen, ziet u geen waarschuwingen voor overeenkomsten die zijn opgetreden voordat u waarschuwingen inschakelt.
Bij de status Beleidsmodus bepalen raden we u aan het beleid in de testmodus te houden en de prestaties ervan gedurende ten minste vijf dagen te controleren. Hiermee kunt u zien wat voor soort overeenkomsten de beleidsvoorwaarden oppikken, hoe de waarschuwingen worden geactiveerd.
Geleidelijk meer beleid instellen en prestaties verfijnen
Nadat u uw eerste beleid hebt ingesteld en uitgevoerd, kunt u hetzelfde doen met de andere twee beleidstypen. Dit kan uw tweede fase zijn, waarin u geleidelijk functies gaat gebruiken en hun instellingen optimaliseert. U kunt er bijvoorbeeld voor kiezen om in eerste instantie geen e-mailmeldingen van gebruikers te verzenden terwijl u ziet hoeveel overeenkomsten uw beleid detecteert. Vervolgens kunt u uiteindelijk besluiten om e-mailmeldingen in te schakelen terwijl het beleid zich nog in de testmodus bevindt (in de fase Resultaten definiëren van de beleidsinstellingen). Als gebruikers te veel e-mailberichten ontvangen, gaat u terug naar de instellingen voor resultaten van het beleid om de frequentie van de meldingen aan te passen. Al deze afstemming kan u helpen de gewenste impact op uw gebruikers te meten voordat u het beleid breder implementeert in uw organisatie.
Aanbevolen instellingen voor de andere twee beleidstypen
Hieronder ziet u specifieke aanbevelingen voor belangrijke instellingen bij het maken van uw eerste beleid voor gegevensoverdracht en gegevensoverbelichting .
Gegevensoverdracht:
- Voor Gegevens die moeten worden bewaakt, selecteert u specifieke SID's.
- Selecteer voor Gebruikers en groepen kiezen die onder dit beleid vallen een binnenste ring van gebruikers.
- Kies voor Voorwaarden voor het beleid kiezen de voorwaarde die het belangrijkst is.
- Schakel voor Resultaten definiëren wanneer een beleidsovereenkomst wordt gedetecteerd e-mailmeldingen in.
- Schakel waarschuwingen en drempelwaarden opgeven in voor elke keer dat een activiteit plaatsvindt.
- Voor Beleidsmodus bepalen schakelt u de beleidsmodus in (waarmee de testmodus wordt uitgeschakeld).
Gegevensminimalisatie:
- Voor Gegevens die moeten worden bewaakt, kiest u specifieke SID's of classificatiegroepen.
- Selecteer voor Gebruikers en groepen kiezen die onder dit beleid vallen een binnenste ring van gebruikers.
- Kies voor Voorwaarden kiezen voor het beleid 30, 60, 90 of 120 dagen.
- Voor Beleidsmodus beslissen houdt u het beleid in de testmodus.
Beleidsprestaties maximaliseren om privacyrisico's te minimaliseren
Sta toe dat uw beleid ten minste twee tot vier weken wordt uitgevoerd. Gedurende deze periode moet u de volgende resultaten bekijken en documenteer:
- De overeenkomsten die worden gegenereerd door elk beleidstype en de exemplaren van fout-positieven en fout-negatieven
- De impact en de feedback van eindgebruikers en beheerders
Op basis van uw bevindingen kunt u de beleidsprestaties nu als volgt afstemmen:
- Out-of-the-box en aangepaste SID's of classificatiegroepen opnemen of uitsluiten
- Versies van het beleid maken met voorwaarden en gebruikersgroepen om efficiënter te targeten
- Het aanpassen van de drempelwaarden van het beleid, waaronder de frequentie van e-mailberichten naar gebruikers, het aantal dagen dat moet worden bewaakt, enzovoort.
Zie dit als je derde fase. U kunt meer versies van elk beleidstype maken en deze implementeren voor de hele organisatie in twee rondes: een eerste ronde die 50% van uw gebruikers omvat en een tweede ronde die 100% van uw gebruikers omvat.
Dit is ook de fase waarin u leerresultaten verzamelt op basis van gebruikersgedrag zoals vermeld in Priva en specifieke privacytrainingen voor uw gebruikers maakt, die u kunt opnemen in de e-mailmeldingen van uw beleid.
Volgende stap
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor