Terug naar het overzicht
Cyber Security

F: schijf? Pas op! Grote kans dat je niet AVG-compliant bent

Leon Oudijn
Leon Oudijn
Geplaatst op 20 november 2018

De F: schijf. Heeft jouw bedrijf er ook één? Deze fileservers komen nog veel voor en staan veelal (onbedoeld) vol met vertrouwelijke en privacygevoelige informatie. Niet echt AVG-proof dus.

De F: schijf is nog steeds in veel gevallen dé plaats waar iedereen binnen de organisatie zijn of haar mapjes aan kan maken en documenten op kan zetten. Afdelingsmappen, projectmappen, mappen over klanten, mappen voor foto’s van uitjes, persoonlijke mappen en niet te vergeten de vergeten mappen van medewerkers die niet meer binnen je organisatie werken. En de meeste mappen hebben ook weer submappen, zodat het een ondoorzichtige brei van mappen en bestanden wordt waarvan niemand meer precies weet wat er in al die mappen is opgeslagen.

AVG laptop

F: schijf en de AVG

Naast dat dat onhandig is, moet je jezelf ook afvragen of je dat nog moet willen in het kader van cyber security en de Europese privacywetgeving (AVG). Weet je of er in al die mappen bestanden staan met privacygevoelige informatie? NAW-gegevens van klanten. Of zelfs klantafspraken. En wat dacht je van informatie over je eigen medewerkers? Of CV’s van sollicitanten uit het verleden? En weet je wie er allemaal toegang tot al die informatie hebben of hebben gehad?

Conclusie: een fileserver is niet erg handig als je wilt (moet…) voldoen aan de AVG. Zeker als je bedenkt dat het niet alleen om in het verleden opgeslagen bestanden gaat, maar ook om alle bestanden die nog gemaakt gaan worden.

Zoeken op de F: schijf

Het is natuurlijk heel simpel om met bepaalde zoekopdrachten de F: schijf te doorzoeken naar bestanden die kunnen duiden op privacygevoelige informatie. Je zult dan ongetwijfeld het een en ander vinden, maar echt helemaal waterdicht is het niet. Ander nadeel: je krijgt bij iedere zoekopdracht ook een hoop bestanden waar je niets mee hoeft te doen. Dat bemoeilijkt het zoeken en vinden.

letter f

Microsoft Azure Information Protection scanner

Een betere oplossing is om de Microsoft Azure Information Protection scanner in te zetten. Je definieert eerst jouw Informatiebeveiligingsbeleid (bijvoorbeeld dat alle bestanden waarin de term “CV” voorkomt privacygevoelig zijn). Daarna scant Azure Information Protection jouw fileserver en classificeert automatisch alle bestanden volgens het opgegeven beleid door er een label aan te hangen. Je kunt bestanden selecteren op label en zo eenvoudig de bestanden vinden die je zoekt.

Hoe kun je nu een stap verder gaan en jouw bestanden direct AVG-proof opslaan?

Persoonlijke mappen

Vraag (lees: eis van) jouw medewerkers dat ze deze naar OneDrive for Business verplaatsen. Hier kun je ook afdwingen hoe deze bestanden gedeeld en beveiligd kunnen worden. En geen zorgen over opslagcapaciteit, want elke gebruiker van Office 365 heeft minimaal 1 TerraByte (dat is 1.000 GigaByte) aan opslagcapaciteit.

Afdelingsmappen

Bestanden in afdelingsmappen kunnen naar een SharePoint Online bibliotheek worden verplaatst. Ook hier kan het beveiligingsniveau per map en zelfs per bestand worden ingesteld.

Zowel in OneDrive als SharePoint zijn er uitgebreide mogelijkheden om invulling te geven aan jullie AVG-compliancy beleid. Zo is in te stellen wat vertrouwelijke informatie is, wat privacygevoelig is, etc. en te zien wie er toegang heeft tot welk bestand, wat er is gedeeld en met wie.

Projectmappen / Klantenmappen

Sla deze bestanden op in Microsoft Teams. Teams is volledig geïntegreerd met de compliance mogelijkheden van Office 365.

Mappen die dan nog over zijn

Er zijn altijd mappen en bestanden die eigenlijk niemand gebruikt maar altijd maar bewaard worden voor het geval dat. Dit is een mooi moment om je af te vragen of al die informatie bewaard moet blijven. Ruim deze mappen lekker op.

Help

Heb je een fileserver en wil je hulp bij compliant worden met de AVG, dan kunnen we je uiteraard helpen met de migratie naar Office 365 en het eventueel verhuizen van bestanden naar SharePoint.

Vul onderstaand formulier in en we bellen je terug.

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.