Voldoet Office 365 aan AVG standaarden?

Als IT-beheerder krijgen wij vaak de vraag of Microsoft 365 AVG compliant is, ook wel bekend als privacywet of GDPR. Het korte antwoord is ja, met het gebruik van Microsoft 365 kunt u aan de AVG voldoen. Maar wat bedoelen we daar precies mee?

 

Welke eisen stelt de AVG?

De privacywet bepaalt dat organisaties meer verantwoordelijkheden hebben bij het verwerken van persoonsgegevens. Zo mogen persoonsgegevens alleen met toestemming opgeslagen en gebruikt worden en moeten organisaties passende technische en organisatorische maatregelen nemen om verkregen persoonsgegevens te beveiligen. De AVG bepaalt onder meer dat u als organisatie persoonsgegevens niet ongevraagd mag delen met derden, u persoonsgegevens niet langer mag bewaren dan nodig, gegevens op verzoek moet kunnen wijzigen of verwijderen en dat u aansprakelijk bent in het geval van een datalek.

Een datalek ontstaat als iemand ongeoorloofd toegang krijgt tot de data die toebehoort aan de organisatie. Oorzaken zijn bijvoorbeeld een onoplettende medewerker die onbewust een mail met privacygevoelige bijlagen verstuurt, een rondslingerende onbeveiligde USB-stick, of een inbraak door hackers of malware. Om een datalek te voorkomen, is het noodzakelijk dat bestanden en gegevens op een veilige plek worden bewaard; een plek waar zo min mogelijk mensen toegang tot hebben. Ook is het nodig om te weten wie toegang heeft tot welke gegevens en hoe deze gegevens gedeeld kunnen worden.

 

Waar slaat Microsoft cloudbestanden op?

Cloudbestanden staan immer ergens ter wereld opgeslagen in één of meerdere datacenters. In landen als de Verenigde Staten en China gelden andere regels dan binnen de Europese Unie. In de VS kan de overheid veel makkelijker toegang krijgen tot bedrijfsgegevens dan hier in Europa. Voor Europese organisaties is het daarom belangrijk dat gegevens worden opgeslagen in een datacentrum binnen de Europese Unie. Data van Nederlandse Microsoft 365 klanten wordt daarom standaard opgeslagen in de Microsoft datacenters in de EU. Microsoft garandeert dat data alleen op deze plekken wordt bewaard.

 

Heeft Microsoft toegang tot uw data?

Het antwoord is nee, de Microsoft-systemen zijn zo ingericht dat Microsoft-medewerkers geen toegang tot klantdata hebben. Alleen in uitzonderlijke gevallen kunnen zij na speciale toestemming, voor beperkte tijd, tot een beperkte hoeveelheid data, toegang krijgen. Ook overheden (zoals de Amerikaanse en de Britse) kunnen alleen in uitzonderlijke gevallen en onder strenge voorwaarden tijdelijk toegang krijgen tot een beperkte hoeveelheid data.

 

Bestanden beveiligen

In Microsoft 365 kan niet alleen precies geregeld worden wie toegang heeft tot welke gegevens, het is ook mogelijk om in te zien wie welke bewerkingen heeft uitgevoerd, waar gegevens zich bevinden en om bestanden te classificeren. Bestanden kunnen worden versleuteld en er kan een verloopdatum worden ingesteld, waarna het document automatisch wordt gewist. De precieze mogelijkheden zijn afhankelijk van het gekozen abonnement. Een goede back-up is nodig om te voorkomen dat data per ongeluk wordt gewist, wat ook wordt gezien als een datalek. Microsoft biedt dit niet zelf, maar uw IT-beheerder kan dit wel voor u doen.

 

Veilig bestanden en gegevens delen in Microsoft 365

Op het moment dat bestanden en gegevens worden gedeeld via bijvoorbeeld e-mail bent u afhankelijk van de beveiliging van het gebruikte medium. Outlook 365 voldoet aan alle geldende beveiligingsnormen. Werkt uw organisatie met bijzondere persoonsgegevens, zoals gegevens over de gezondheid van mensen, dan adviseren wij een extra vorm van e-mailbeveiliging.

 

Compliancebeheer in Microsoft 365

Met de Microsoft 365 abonnementen E3 en E5 krijgt u toegang tot geavanceerde analyse en rapportage tools om compliancebeheer te vereenvoudigen. De beheermogelijkheden zijn zeer uitgebreid.

 

Eigen verantwoordelijkheid

Of u als organisatie met het gebruik van Office 365 AVG compliant bent, is afhankelijk van het toegepaste beveiligingsbeleid en de manier waarop u ermee werkt. Microsoft biedt de tools, als organisatie bent u verantwoordelijk voor het gebruik en de toepassing daarvan.

 

Advies over Microsoft 365 en de AVG

De consultants van TinkConnect bieden advies en ondersteuning bij het opstellen of toepassen van uw beveiligingsbeleid op Microsoft 365. Wij zijn bereikbaar via 085-7735333, of mail sales@tinkconnect.com.

 

Over TinkConnect

TinkConnect is als IT partner gespecialiseerd in de digitale en fysieke beveiliging van clouddiensten en bedrijfsnetwerken. Met diensten als Microsoft 365, Werkplekbeheer, Secure Internet en Multi Factor Authentication, verbeteren wij de informatiebeveiliging van onze klanten. Onze security diensten voorkomen ongeautoriseerde toegang en beschermen tegen het zoekraken van data. En met onze back-up kan worden voldaan aan de wettelijke verplichte bewaartermijn van bedrijfsadministratie. Daarnaast bieden wij specialistisch juridisch en technologisch advies over de implementatie van de beveiligingseisen vanuit de AVG. Neem gerust contact met ons op.

Gerelateerde artikelen

  • Hosted Desktop vs Microsoft 365

    Microsoft 365 - Office 365 Werken in de cloud

    Gebruikt uw organisatie een Hosted Desktop service om online in te loggen op uw werkomgeving? U bent niet de…

    Meer info

    Meer info
  • verschil tussen onedrive en sharepoint

    Wat is het verschil tussen OneDrive en SharePoint?

    Microsoft 365 - Office 365

    Sla persoonlijke bestanden op in OneDrive en gedeelde bestanden in SharePoint, we leggen u graag uit waarom

    Meer info

    Meer info
  • Welk Microsoft 365 pakket (voorheen Office 365) ?

    Microsoft 365 - Office 365 Werken in de cloud

    Werk zakelijk met Microsoft 365 met een passend pakket. Een keuze op basis van mogelijkheden, beveiliging en kosten.

    Meer info

    Meer info