Feed blogs.microsoft.nl https://blogs.microsoft.nl/technologieenmaatschappij/feed/ Mon, 11 Sep 2017 15:06:05 +0000 nl hourly 1 https://wordpress.org/?v=4.8.1 “Algemene Verordening Gegevensbescherming” Assessment Toolbox https://blogs.microsoft.nl/technologieenmaatschappij/algemene-verordening-gegevensbescherming-assessment-toolbox/ https://blogs.microsoft.nl/technologieenmaatschappij/algemene-verordening-gegevensbescherming-assessment-toolbox/#respond Tue, 05 Sep 2017 12:29:23 +0000 Hans van der Meer https://blogs.microsoft.nl/technologieenmaatschappij/?p=636108 Om te kunnen voldoen aan de AVG moet een organisatie behoorlijk wat stappen ondernemen om zowel op technisch- als op proces gebied compliant te zijn met de nieuwe wetgeving. De AVG die gepubliceerd is op de website van de EU bevat richtlijnen en bepalingen vastgelegd in Artikelen.

Assessment Toolbox

Elke organisatie die moet voldoen aan de AVG zal stapsgewijs door de 99 Artikelen moeten lopen om zo te bepalen of het Artikel van toepassing is en hoe de organisatie dit heeft ingeregeld. Microsoft heeft de Assessment Toolbox ontwikkeld om aan de hand van 162 vragen inzicht te verschaffen hoever je organisatie klaar is voor de AVG.

PowerBi

De vragen en de het dashboard zijn vertaald naar het Nederlands, de te nemen stappen en aanbevelingen zijn in het Engels. Om het dash board te kunnen gebruiken heb je PowerBi nodig, deze kan je gratis downloaden via https://powerbi.microsoft.com/en-us/

Microsoft Teams

Heb je een abonnement op Office 365 dan raad ik aan om Microsoft Teams te gebruiken voor het AVG project team. En het dashboard te delen via PowerBi Pro. Zo heeft iedereen in het team zicht op de voortgang. In de Toolbox zit ook een Remediation Checklist, hier kan je genomen acties in vastleggen. Je zou deze checklist ook kunnen omzetten naar een SharePoint online lijst zodat alles op één centrale plek staat. Met Microsoft Planner zou je de taken kunnen verdelen en de deadlines bewaken. Zowel SharePoint online, PowerBi Pro en Planner integreren met Microsoft Teams.

Detailed Assessment – Delivery Guide

Lees na het uitpakken van het bestand de “Detailed Assessment – Delivery Guide” hierin wordt stapsgewijs besproken hoe de tool te configureren. In de spreadsheet kan je bij het tabblad ‘Parameters’,de ‘Functies’ en ‘deelnemers’ aan het projectteam definiëren.

Toolkit voor GDPR/AVG

 

Met deze toolkit kan je aan de hand van een aantal vragen bepalen in hoeverre jouw organisatie voorbereid is op de GDPR wetwijziging.

]]>
https://blogs.microsoft.nl/technologieenmaatschappij/algemene-verordening-gegevensbescherming-assessment-toolbox/feed/ 0
Heeft mijn organisatie een Data Protection Officer (DPO) nodig volgens de GDPR? https://blogs.microsoft.nl/technologieenmaatschappij/heeft-mijn-organisatie-een-data-protection-officer-dpo-nodig-volgens-de-gdpr/ https://blogs.microsoft.nl/technologieenmaatschappij/heeft-mijn-organisatie-een-data-protection-officer-dpo-nodig-volgens-de-gdpr/#comments Fri, 18 Aug 2017 15:33:23 +0000 Gastblogger https://blogs.microsoft.nl/technologieenmaatschappij/?p=636076 Met welk doel sla je persoonlijke gegevens op binnen de organisatie? Welke risico’s zijn er verbonden aan het bewaren van deze data? Hoe staat het met de beveiliging en toegankelijkheid van deze gegevens? Hoe waarborg je de privacy van de klanten, de medewerkers en andere stakeholders binnen de organisatie? Zijn jouw medewerkers bewust over hoe zij om dienen te gaan met persoonlijke gegevens?

Bovenstaande vragen komen voort uit de herziene Algemene verordening gegevensbescherming (AVG) en leiden uiteindelijk bij iedere organisatie tot de volgende vraagstelling: Heeft mijn organisatie een Data Protection Officer (DPO) nodig? Het antwoord hierop is JA!

De GDPR / AVG

De herziene Algemene verordening gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 25 mei 2018 vervangt.

Één van de doelstellingen van de AVG is om transparantie te creëren wie en wanneer er inzage heeft gehad in persoonsgegevens. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit is slechts één van de bepalingen uit de wet, waarbij het niet naleven kan leiden tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De bewijslast ligt altijd bij de organisatie die deze data verzamelt. Om aan de eisen van deze wet te voldoen, kan een Data Protection Officer (DPO) worden aangesteld. In sommige gevallen moet zelfs een DPO of Functionaris gegevensbescherming worden aangesteld.

De risico’s

De sancties liegen er niet om. Als je niet voldoet aan de wet loop je naast financiële schade nog meer risico’s. Denk hierbij aan ernstige verstoring van de kernactiviteiten, rem op innovatie, imagoschade, afnemend vertrouwen in de organisatie, verlies van gegevens en verlies van intellectuele eigendommen.

In de praktijk krijgen wij vaak de vraag: “Onze ICT is uitbesteed aan een cloud dienstverlener, dan zijn wij toch al voorbereid op de wetgeving?” Dit is niet correct. Het uitbesteden van uw ICT omgeving aan een cloud dienstverlener, kan er indirect wel aan bijdragen doordat de cloud dienstverlener al een aantal technische maatregelen heeft genomen om het systeem te beveiligen. Dat neemt niet weg dat er binnen uw organisatie nog meer maatregelen genomen moeten worden. Bijvoorbeeld het aanleggen van een ‘register van verwerkingen’, waarbij inzicht wordt verkregen welke persoonsgegevens u verwerkt en met welke derde partijen gegevens worden gedeeld. Voor een mogelijk datalek moeten er procedures worden geïmplementeerd, inclusief het documenteren van alle maatregelen die zijn genomen.

Hierbij is belang dat deze maatregelen voldoen aan het principe van Privacy by Design. Dit betekent in de praktijk dat bijvoorbeeld bij het implementeren van IT security maatregelen de meest recente techniek wordt toegepast waarbij bescherming van privacy altijd als uit uitgangspunt wordt genomen.

Definitie van persoonlijke gegevens

Wat zijn nou eigenlijk persoonsgegevens volgens de wet? Het gaat hierbij om alle informatie waarmee een persoon geïdentificeerd kan worden. Dit betekent dat het verder gaat dan alleen NAW-gegevens, zoals een naam, adres of e-mailadres. Bijvoorbeeld het vinden, raadplegen en opslaan (volgens de wet: het verwerken) van informatie via een sociaal mediakanaal behoort ook tot deze informatie.

Wanneer is een DPO noodzakelijk

De wetgeving dwingt organisaties om na te denken over hoe zij omgaan met privacy en persoonlijke gegevens. Voor organisaties waarvan de kernactiviteit het verwerken persoonsgegevens is, overheidsdiensten en organisaties die bijzondere persoonsgegevens verwerken, zijn volgens de wetgeving verplicht om een DPO aan te stellen.


Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.


Wat doet een DPO?

Een DPO adviseert je organisatie over deze wetgeving zodat er aan de verplichtingen wordt voldaan én de nodige maatregelen op de juiste wijze worden geïmplementeerd. Hierdoor zal zelfs concurrentievoordeel kunnen worden behaald. Het implementeren van de juiste technische en organisatorische maatregelen, geeft meer vertrouwen in de organisatie, waarborgt een veilige verwerking van persoonsgegevens én zorgt ervoor dat jouw organisatie minder risico loopt.

8 primaire taken

De DPO heeft binnen de organisatie 8 primaire taken:
1. Toezien op naleving van de wet omtrent privacy en data, zowel intern als extern;
2. Herkennen van privacy risico’s en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste wijze in te richten en uit te voeren;
3. Overzicht houden op alle activiteiten rondom databeveiliging;
4. Waar nodig een DPIA (Data Protection Impact Assessment) uitvoeren;
5. Bijhouden van meldingen van gegevensverwerkingen;
6. Behandelen van vragen en klachten van personeelsleden, klanten, patiënten;
7. Bewustwording creëren bij betrokkenen en overige medewerkers;
8. Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy en Security.

Eigen personeel als DPO

Binnen de kaders van de wetgeving is het toegestaan om eigen personeel in te zetten als DPO. Het is echter van belang dat deze medewerkers eerst een gedegen opleidingstraject volgen alvorens zij aan de slag kunnen als DPO.

Om voldoende kennis op te bouwen van de wet- en regelgeving en dit toe te passen binnen een bedrijf is ook ervaring nodig en een netwerk van specialisten op het gebied van privacy. De functie van een DPO is niet te combineren met andere werkzaamheden.

Enerzijds omdat privacy van persoonsgegevens en het wettelijk kader daaromtrent essentieel zijn en anderzijds omdat het geen goede waarborg biedt voor onafhankelijkheid.

DPO in loondienst

Zoals hierboven beschreven is het in de meeste gevallen niet raadzaam om bestaand personeel als DPO te laten acteren. Een andere mogelijkheid is dan om een DPO in loondienst aan te nemen.

Hier zijn echter de nodige regels aan verbonden. Zo moet een DPO voor tenminste twee jaar worden aangesteld, moet deze volledig onafhankelijk werkzaamheden kunnen verrichten en heeft de DPO dezelfde ontslagbescherming als leden van een ondernemingsraad.

Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter. “Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.”

Deze DPO is in veel gevallen 40 uur per week in dienst. Dit kan een onevenredige grote financiële belasting zijn voor uw organisatie.

DPO-as-a-Service

Het inzetten of omscholen van eigen personeel, maar ook het aannemen van een DPO in loondienst brengt de nodige zorgen met zich mee. In veel gevallen is een externe Data Protection Officer voor uw organisatie de meest optimale oplossing om de rol van DPO te vervullen. Het outsourcen van de functie van DPO kent onder andere de volgende voordelen:
• Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Deze wordt immers niet gehinderd door ‘interne politiek’ of andere zaken die binnen een organisatie spelen;
• Daarnaast hebben externe DPO’s meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers waardoor meer relevante informatie en kennis beschikbaar is;
• Een externe DPO wordt continue opgeleid en bijgeschoold aan de hand van jurisprudentie, aanscherping van het wettelijke kader en certificeringsnormen die in de komende jaren van kracht worden;
• Met een externe DPO heeft u geen aanvullende opleidingskosten, salariskosten en overige overheadkosten;
• Een externe DPO wordt ingezet wanneer dit nodig is en is daardoor (in veel gevallen) niet 40 uur per week voor alleen úw organisatie werkzaam. Hierdoor kunt u kostenefficiënt compliant zijn aan de wetgeving.

Naast de bovengenoemde voordelen is het bedrijfseconomisch niet altijd haalbaar om zelf voldoende expertise op te bouwen en te onderhouden. Uw huidige medewerkers hebben genoeg taken te vervullen die horen bij de kernactiviteiten van uw organisatie en hebben geen focus en tijd om dit ‘erbij’ te doen.

De implementatie van de GDPR/AVG kan en mag niet worden onderschat! Het niet of te laat beginnen met de implementatie van maatregelen die nodig zijn om een organisatie compliant te laten acteren binnen de kaders van deze wet kan zeer verstrekkende gevolgen met zich meebrengen.

Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.

]]>
https://blogs.microsoft.nl/technologieenmaatschappij/heeft-mijn-organisatie-een-data-protection-officer-dpo-nodig-volgens-de-gdpr/feed/ 1
Waarom je nú al moet beginnen met de voorbereiding op de GDPR https://blogs.microsoft.nl/technologieenmaatschappij/waarom-je-nu-al-moet-beginnen-met-de-voorbereiding-op-de-gdpr/ https://blogs.microsoft.nl/technologieenmaatschappij/waarom-je-nu-al-moet-beginnen-met-de-voorbereiding-op-de-gdpr/#respond Wed, 09 Aug 2017 17:20:00 +0000 Gastblogger https://blogs.microsoft.nl/technologieenmaatschappij/?p=636085 Het gonst al een poosje in ondernemend Nederland: vanaf volgend jaar wordt er strenger gecontroleerd op het gebruik van persoonsgegevens door bedrijven. Vanaf 25 mei 2018 geldt de Europese ‘General Data Protection Regulation’ in Nederland. Deze nieuwe wet verplicht dat elk bedrijf – in bezit van persoonlijke gegevens van klanten, patiënten of leerlingen binnen de EU – deze op een specifieke manier verzamelt en beveiligt. Doet de ondernemer dit niet, dan staat er een stevige boete te wachten.

Data is van flinke toegevoegde waarde voor ieder bedrijf. Met de juiste informatie kunnen we inschatten wat klanten willen, welk koopgedrag de klanten vertonen en waar hun achtergronden en interesses liggen. De regelgeving voor het gebruik ervan wordt echter steeds strenger.

Momenteel geldt in Nederland de Wet Bescherming Persoonsgegevens. Deze wordt vervangen door een nieuwe wet, bepaald door de Europese Unie. Deze General Data Protection Regulation (GDPR) legt nieuwe regels op aan iedere organisatie die diensten of producten aanbiedt aan inwoners van de EU. Het doel: de privacy van klanten aanscherpen.

Personen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon ‘specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken’. Oftewel: bij elk invulformulier, elke aankoop en iedere nieuwsbrief moet je als ondernemer voortaan specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren.

Mogelijkheden

Hoewel het lijkt alsof GDPR vooral beperkingen oplegt, is het een logisch gevolg van maatschappelijke ontwikkelingen. Burgers – die ook klanten zijn – vinden het steeds belangrijker te weten wat er gebeurt met hun persoonlijke gegevens. Privacy was nooit eerder zo’n hot topic.

De GDPR is bedoeld om privacyrechten van personen te waarborgen en te beveiligen. Het geeft inwoners van de EU het vertrouwen dat hun gegevens niet zomaar op straat komen te liggen. Privacy is een fundamenteel recht, en het is belangrijk om dit je clientèle te kunnen bieden.

De kunst is dus de beperkingen van deze wet om te draaien naar kansen. Zo kunnen verzoeken voor gebruik van persoonsgegevens een moment van klantcontact worden, is het vernieuwen van processen een mooie manier intern te innoveren en kun je als ondernemer het momentum aangrijpen om klanten te laten weten dat privacy en veiligheid ook voor jou belangrijk zijn.

Stappenplan voor de GDPR

Als je je volledige IT-landschap GDPR-proof wil maken, raden we je aan om snel te starten met optimaliseren. Liefst vandaag nog. Het is een klus alles te checken en goed te beveiligen. Maar het kan overzichtelijk. Met dit stappenplan helpen we je op weg.

1) Geldt deze wet ook voor mijn organisatie? Allereerst is het belangrijk te inventariseren welke persoonsgegevens je hebt en waar deze worden opgeslagen. Persoonsgegevens zijn volgens de wet: ‘alle gegevens over een geïdentificeerde of identificeerbaar natuurlijk persoon’. Denk aan: klantendatabases, feedbackformulieren, e-mailcontent, foto’s, CCTV-videobeelden, klantbestanden van loyaliteitsprogramma’s, HR-databases. Noem het maar. Heb je ergens gegevens in beheer? Heel simpel: dan is de GDPR op jou van toepassing.

2) Controleer of persoonsgegevens juist worden gebruikt De volgende stap is een gegevensbeheerplan. Hoe worden gegevens nu gebruikt? Wat wordt je nieuwe beleid voor gegevensverwerking? Wie is waar verantwoordelijk voor? En wie krijgt toegang tot welke gegevens? Zorg dat alles wat nog niet binnen de regels van de GDPR gebeurt, wordt geoptimaliseerd. Zo weet je zeker dat je binnen de lijntjes kleurt. En als je nu een goede structuur neerzet, scheelt dat straks kopzorgen.

3) Stel beveiligingscontroles in Het is bekend dat hackers azen op persoonsgegevens, maar ook fysieke inbraak, frauduleuze werknemers of verlies zonder opzet vormen een ondernemersrisico. Als er iets mis gaat met je beveiliging moet je daarvan volgens de nieuwe wet binnen 72 uur melding maken en in sommige gevallen zelfs je klanten inlichten. Dat wil je liever voorkomen. Door risico’s in te schatten, een scherp controleplan te maken en maatregelen te nemen – zoals wachtwoordbeveiliging, auditlogs en encryptie – kun je de gegevens beschermen.

4) Leg alles vast – en rapporteer De GDPR verplicht je vast te leggen hoe je omgaat met persoonsgegevens. Dus: wat komt er binnen, waar worden gegevens voor gebruikt, wat is de bewaartijd. Maar ook: met welke externe partijen deel je gegevens, welke serviceproviders gebruik je en wie zijn er binnen jouw organisatie op de hoogte van de gegevensbestanden. Leg ook eventuele inbreuk op gegevens vast, meldt het, en bewaar alle vereiste documentatie. Door audittools te gebruiken, kun je voldoen aan de voorwaarden. Zo weet je zeker dat alle gegevensverwerking wordt bijgehouden en opgeslagen.

Meer weten over GDPR? Bekijk hier onze webcast.

Microsoft kan je helpen met dit stappenplan en biedt oplossingen om aan de eisen van GDPR te kunnen voldoen. In dit webinar leggen we het uit.

 

]]>
https://blogs.microsoft.nl/technologieenmaatschappij/waarom-je-nu-al-moet-beginnen-met-de-voorbereiding-op-de-gdpr/feed/ 0
Een veilige werkplek in een digitale wereld https://blogs.microsoft.nl/technologieenmaatschappij/een-veilige-werkplek-in-een-digitale-wereld/ https://blogs.microsoft.nl/technologieenmaatschappij/een-veilige-werkplek-in-een-digitale-wereld/#respond Wed, 09 Aug 2017 15:28:03 +0000 Hans van der Meer https://blogs.microsoft.nl/technologieenmaatschappij/?p=636074 Ben je net klaar met de upgrade naar een nieuwe werkplek, blijkt deze alweer verouderd te zijn! Ken je dat gevoel?

Vroeger was overzicht heel gewoon

Dagelijks krijg ik vragen over hoe een IT-afdeling haar gebruikers tevreden houdt. Een aantal jaar geleden zag dat er allemaal zeer overzichtelijk uit. De IT-afdeling bepaalde welke versie van Office er op de pc’s werd geïnstalleerd en op welke manier gebruikers konden samenwerken. Eens in de 6 jaar was er een grote upgrade en alles werd zoveel mogelijk dichtgetimmerd zodat gebruikers geen rare fratsen konden uithalen op hun pc’s.

Cloud en BYOD ontketenen revolutie

Inmiddels zijn de tijden behoorlijk veranderd en is met de komst van cloud computing en bring your own device een ware revolutie uitgebroken onder de gebruikers. Als de IT-afdeling niet snel genoeg levert, dan zoeken de medewerkers zelf wel naar een oplossing. Alles is immers via internet beschikbaar. Het gebruik van eigen devices en applicaties kan wel beveiligingsrisico’s met zich mee brengen. Zijn de applicaties bijvoorbeeld altijd up-to-date en ontwikkeld door betrouwbare partijen?

Gedoogbeleid van digitale middelen

Sommige organisaties zitten nog in de ontkennende fase. Anderen verschuilen zich achter een beleidsnota die het gebruik van software en apparaten buiten het toezicht van de organisatie verbiedt. De realiteit is anders en iedereen weet dit. Volgens goed Nederlands gebruik wordt dit vaak gedoogd omdat de medewerkers hun werk zo goed mogelijk willen doen. Voor het gemak vat ik dit samen onder schaduw IT.

Voorkom schaduw IT

Hoe voorkom je dat een gebruiker schaduw IT wil gebruiken voor zijn persoonlijke- en teamproductiviteit te verhogen? Als buiten de organisatie om deze middelen worden ingezet, vormen gebruikers vaak onbewust een veiligheidsrisico voor het bedrijf.

De GDPR dwingt bedrijven in de spiegel te kijken

De nieuwe, strenge wetgeving rond privacygevoelige informatie is een goede aanleiding om de IT-omgeving, processen en procedures onder de loep te nemen. De invoering van de GDPR (in Nederland AVG) kun je qua impact een beetje vergelijken met de millenniumbug. Om ongelukken te voorkomen, werden voor het verstrijken van 1999 eventuele risico’s in kaart gebracht. Achteraf viel het allemaal erg mee, maar kwam dat juist niet door de goede voorbereiding en bewustwording?

Richt je eigen digitale kantoor in

Een eerste stap in de goede richting is een moderne en veilige werkplek waarbij de medewerker zelf zijn digitale kantoor inricht. Je wil dat hij aan de slag kan met de pc, tablet, laptop, Mac of smartphone van zijn keuze. Natuurlijk zonder concessies te doen aan de veiligheid.

Wil jij ook weten hoe je een moderne en veilige werkplek kunt bieden aan jouw medewerkers? Graag nodig ik je dan uit om het webinar over de Moderne werkplek te volgen. Meld je nu aan.

]]>
https://blogs.microsoft.nl/technologieenmaatschappij/een-veilige-werkplek-in-een-digitale-wereld/feed/ 0
Werkt jouw organisatie nog met Office 2007? https://blogs.microsoft.nl/microsoftvoorwerk/werkt-jouw-organisatie-nog-met-office-2007/ https://blogs.microsoft.nl/microsoftvoorwerk/werkt-jouw-organisatie-nog-met-office-2007/#respond Mon, 31 Jul 2017 12:44:34 +0000 Nienke Ris https://blogs.microsoft.nl/microsoftvoorwerk/?p=1019212 Fatal error: Maximum execution time of 300 seconds exceeded in D:\home\site\wwwroot\wp-includes\wp-db.php on line 1877