Microsoft 365 avg compliant?

Onze relaties vragen gerelmatig of Microsoft 365 voldoet aan de privacywet of GDPR (AVG compliant) Gelukkig kunnen we dan zeggen dat het met Microsoft 365 mogelijk is om aan de AVG te voldoen. Hoe dat precies zit?

Welke eisen stelt de AVG?

De privacywet bepaalt dat organisaties meer verantwoordelijkheden hebben bij het verwerken van persoonsgegevens. Persoonsgegevens mogen enkel met toestemming opgeslagen en gebruikt worden en organisaties moeten passende technische en organisatorische maatregelen nemen om verkregen persoonsgegevens te beveiligen. De privacywet bepaalt onder meer dat organisaties persoonsgegevens niet ongevraagd mogen delen met derden, persoonsgegevens niet langer bewaard mogen worden dan dan nodig is, gegevens op verzoek moet kunnen wijzigen of verwijderen en dat de organisatie aansprakelijk is in het geval van een datalek.

Een datalek ontstaat als iemand ongeoorloofd toegang krijgt tot de data die toebehoort aan de organisatie. Om een datalek te voorkomen, is het noodzakelijk dat bestanden en gegevens op een veilige plek worden bewaard; een plek waar zo min mogelijk mensen toegang tot hebben. Ook is het nodig om te weten wie toegang heeft tot welke gegevens en hoe deze gegevens gedeeld kunnen worden.

 

Waar slaat Microsoft cloudbestanden op?

Cloudbestanden staan ergens ter wereld opgeslagen in één of meerdere datacenters. In landen als de Verenigde Staten en China gelden andere regels dan binnen de Europese Unie. In de VS kan de overheid veel makkelijker toegang krijgen tot bedrijfsgegevens dan hier in Europa. Voor Europese organisaties is het daarom belangrijk dat gegevens worden opgeslagen in een datacentrum binnen de Europese Unie. Data van Nederlandse Microsoft 365 klanten wordt daarom standaard opgeslagen in de Microsoft datacenters in de EU. Microsoft garandeert dat data alleen op deze plekken wordt bewaard.

 

Heeft Microsoft toegang tot uw data?

Microsoft heeft geen toegang tot uw data. Microsoft-systemen zijn zo ingericht dat Microsoft-medewerkers geen toegang tot klantdata hebben. Alleen in uitzonderlijke gevallen kunnen zij na speciale toestemming, voor beperkte tijd, tot een beperkte hoeveelheid data, toegang krijgen. Ook overheden (zoals de Amerikaanse en de Britse) kunnen alleen in uitzonderlijke gevallen en onder strenge voorwaarden tijdelijk toegang krijgen tot een beperkte hoeveelheid data.

 


Bestanden beveiligen

In Microsoft 365 kan niet alleen precies geregeld worden wie toegang heeft tot welke gegevens, het is ook mogelijk om in te zien wie welke bewerkingen heeft uitgevoerd, waar gegevens zich bevinden en om bestanden te classificeren. Bestanden kunnen worden versleuteld en er kan een verloopdatum worden ingesteld, waarna het document automatisch wordt gewist. De precieze mogelijkheden zijn afhankelijk van het gekozen abonnement. Een goede back-up is nodig om te voorkomen dat data per ongeluk wordt gewist, wat ook wordt gezien als een datalek. Microsoft biedt dit niet zelf, maar Datelco ICT kan dit wel voor u doen.

 


Veilig bestanden en gegevens delen in Microsoft 365

Op het moment dat bestanden en gegevens worden gedeeld via bijvoorbeeld e-mail bent u afhankelijk van de beveiliging van het gebruikte medium. Outlook 365 voldoet aan alle geldende beveiligingsnormen. Werkt uw organisatie met bijzondere persoonsgegevens, zoals gegevens over de gezondheid van mensen, dan adviseren wij een extra vorm van e-mailbeveiliging.

 


Compliancebeheer in Microsoft 365

Met de Microsoft 365 abonnementen E3 en E5 krijgt u toegang tot geavanceerde analyse en rapportage tools om compliancebeheer te vereenvoudigen. De beheermogelijkheden zijn zeer uitgebreid.

 


Eigen verantwoordelijkheid

Of u als organisatie met het gebruik van Office 365 AVG compliant bent, is afhankelijk van het toegepaste beveiligingsbeleid en de manier waarop u ermee werkt. Microsoft biedt de tools, als organisatie bent u verantwoordelijk voor het gebruik en de toepassing daarvan.