Blog

Security

Hoe ga jij om met persoonsgegevens van externe gebruikers?

Topbanner - hoe ga je om met persoonsgegevens van externe gebruikers

Wij houden van samenwerken. En dat is precies waar de cloud voor bedoeld is. We worden effectiever en gelukkiger als we zonder gedoe kunnen samenwerken met de mensen die we nodig hebben voor ons werk. En dat zijn al lang niet meer alleen onze directe collega’s. Om samen met externen, leveranciers en partners wereldwijd effectief te zijn, hebben we openheid en vertrouwen nodig. Je wilt dus dat jouw mensen, waar dat kan, externen kunnen uitnodigen met wie ze willen samenwerken.

Wat voor gegevens verzamelen we dan?

Als je externen uitnodigt voor jouw Office 365 omgeving, dan wordt er informatie van hen opgeslagen in jouw Azure Active Directory. Hun voornaam, achternaam en e-mailadres wordt actief bijgehouden om te kunnen valideren of ze bij de benodigde informatie mogen. Deze persoonsgegevens vallen onder de AVG-wetgeving.

 Je wilt je mensen dus vrijlaten om externen uit te nodigen en makkelijk samen te werken. Tegelijkertijd snappen we ook dat je grip op de zaak wilt houden door je eigen processen in te richten voor het uitnodigen van externen. En misschien wel belangrijker, je wilt het externen die zijn uitgenodigd ook makkelijk maken om zichzelf te laten vergeten. Een van de vereisten van de AVG.

Portiva 's Guest Hub

Omdat Microsoft daar geen standaardoplossing voor heeft, werken wij zelf aan zo’n oplossing: Guest Hub. Dit platform geeft je de mogelijkheid om iedere keer als iemand een externe uitnodigt een eigen proces te triggeren. Bijvoorbeeld voor het versturen van notificaties of het vragen van goedkeuring aan de benodigde eigenaren. Daarnaast kunnen we in Guest Hub ervoor zorgen dat voordat je toegang krijgt tot de omgeving, je akkoord moet gaan met de algemene voorwaarden die je als organisatie wil afdwingen.

Ik wil vergeten worden, en nu?

AIP security authenticator

Als uitgenodigde gebruiker ga je naar de Guest Hub Portal en geef je aan dat je vergeten wilt worden. Dit betekent dat jouw rechten worden ontkoppeld en je persoonsgegevens (naam + email adres) gewist. Op die manier weet je zeker dat de organisatie die jou heeft uitgenodigd geen data bewaart die jij niet wilt. Er kan nog wel audit data worden bewaard omdat de organisatie daartoe wettelijk verplicht kan zijn.

Wat kun je nog meer doen om privacy te borgen?

Microsoft biedt in het Security & Compliance center verschillende tools om privacy binnen Office 365 te borgen. Zo stelt de DSR case tool je in staat om te reageren op aanvragen van betrokkenen (DSR = Data Subject Request). Denk bijvoorbeeld aan een verzoek om onjuiste gegevens te corrigeren. Verder kun je in het Security & Compliance center een scan doen om PII data te ontdekken. Met PII bedoelen we Personal Identifiable Information, zoals een bankrekeningnummer, creditcardnummer of BSN. Je vindt deze scan onder de Data Loss Prevention Policy tab.

Wil je meer weten over privacy in Office 365? Of wil je een proof of concept met Guest Hub. Laat het ons weten! We vertellen je er graag meer over.

Meer weten over
Guest Hub?