Dataclassificatie voor Gemeenten

Gemeenten worstelen met dataclassificatie bij de vormgeving van BIO en het Hybride werken.

Als we na 1,5 jaar Covid-19 beperkingen de balans opmaken zien we dat het thuiswerken veel goeds heeft gebracht, maar ook dat gemeentes met een paar veelgehoorde hersenkrakers blijven zitten. Overheden en Semioverheden hebben te voldoen aan BIO (Baseline informatiebeveiliging Overheid) en dat is een uitdaging, nu veel gemeenteambtenaren het Hybride werken hebben omarmd, constateert Adoptifier Niek Ong.  

We zien dat gemeentes door de Covid-19 beperkingen digitaal samen zijn gaan werken met behulp van Microsoft TeamsSharePoint Online en OneDriveEn daarbij werden de Microsoft-producten ein-de-lijk gebruikt waar ze al zo lang voor bedoeld waren (en waarvoor betaald werd)

Gemeentes en hun ambtenaren hebben nog niet eerder zoveel voorbij de grenzen van hun eigen afdeling en zelfs over de organisatiegrenzen heen samengewerkt.

Gemeentes en hun ambtenaren hebben nog niet eerder zoveel voorbij de grenzen van hun eigen afdeling en zelfs over de organisatiegrenzen heen samengewerkt. Een mooie ontwikkeling die we zeker verder moeten stimuleren én borgen, maar daarbij is het goed om ook nog even terug te kijken en de implementatie (die veelal halsoverkop is doorgevoerd) te evalueren.

Is de BIO-klankbordgroep relevant voor mij?

Ben jij nieuwsgierig of onze klankbordsessies relevant zijn voor jou? Bekijk onderstaande checklist: 

  1. Je werkt bij een gemeente als (C)ISO, Informatiemanager, IT-manager, Office 365 beheerder, IT-consultant of privacy officer 
  2. Jouw gemeente heeft al een aanpak voor informatiebeveiligingsbeleid of moet dit nog realiseren. 
  3. De gemeente heeft Microsoft 365 (MS365) geïmplementeerd en gebruikers willen Teams en SharePoint Online nu gebruiken om geheime data op te slaan en samen te werken met externen.  
  4. Je bent nieuwsgierig naar hoe andere gemeentes omgaan met dataclassificatie en de opslag van geheime data en samenwerken met externen. 

Heb je ja geantwoord op minimaal 1 van de 4 stellingen, lees dan vooral door of meld je onderaan deze blog aan bij Niek!

Wat wij bij veel gemeensten zien:

  • Teams, SharePoint Online en OneDrive zijn versneld beschikbaar gemaakt en vaak ontbreekt het aan beleid en/of goed beheer;
  • Medewerkers zijn het zonder uitleg gaan gebruiken en veel gebruikers kennen onvoldoende het verschil tussen teams, kanalen, chats, etc.;
  • Informatie staat inmiddels overal en nergens en niemand heeft nog het overzicht;
  • Er zijn vaak verschillende Teams en SharePoint sites die hetzelfde doel dienen;
  • Werk- en communicatie afspraken zijn niet gemaakt; de ene medewerker is gestopt met e-mail en communiceert volledig met Teams via Chats terwijl de andere medewerker nog 100% in Outlook leeft. Dit zorgt uiteraard voor miscommunicatie;
  • Deze punten zijn actueel bij iedere organisatie, maar voor gemeentes zat er nog een complicerende uitdaging bij: de Baseline Informatiebeveiliging Overheid (BIO).

Baseline Informatiebeveiliging Overheid

De Baseline Informatiebeveiliging Overheid is sinds 1 januari 2020 het basisniveau waarop gemeentes hun informatiebeveiligings-beleid baseren. Onderdeel van BIO is dataclassificatie. Dataclassificatie geeft namelijk inzicht over de informatie langs de volgende assen:

  • beschikbaarheid,
  • integriteit
  • vertrouwelijkheid

Op basis van deze classificaties kunnen gepaste en (vaak verplichte) maatregelen genomen worden om informatie te beveiligen.

Balans tussen gebruiksgemak en compliance

We hebben gezien dat er in de praktijk vaak discrepantie ontstaat in hoe medewerkers zouden willen werken en waar gemeentes wettelijk toe verplicht zijn. Hierdoor kunnen die digitaal verkrampen of er ontstaan ongewenste workarounds.

Twee grote vraagstukken die wij bij veel gemeentes die wij ondersteunen zien ontstaan:

  • Hoe kan vertrouwelijke en geheime data, zoals bijzondere persoonsgegevens, veilig en inzichtelijk opgeslagen worden op SharePoint Online, Teams en OneDrive?
  • Hoe zorg ik ervoor dat het samenwerken met externen veilig en BIO compliant gebeurt? Hierbij moeten gemeentes inzicht creëren in welke data gedeeld wordt met externen.

Geen nieuwe vragen, maar nu langzamerhand een ‘Hybride normaal’ aan het ontstaan is en we gewend zijn om plaats- en apparaat onafhankelijk te werken en digitaal steeds meer samenwerken komt er aandacht voor de wet- en regelgeving en beheersbaarheid.

Nu er een ‘Hybride normaal’ aan het ontstaan is, komt er weer meer aandacht voor wet- en regelgeving en beheersbaarheid.

Zo zijn bovenstaande vragen toch weer actueel. Zoals eind vorig jaar beschreven in mijn blog moeten overheidsinstanties, zorginstellingen en andere organisaties en bedrijven die vertrouwelijke gegevens behandelen, voldoen aan een aantal normen (Zoals: ISO 27001 of NEN 7510) voor de classificatie van data. AIP (Azure Information Protection) biedt hiervoor goede en werkbare oplossingen door middel van dataclassificatie.

Wat is Unified labeling/ Azure Information Protection

Veel gemeentelijke organisaties zullen classificatie van hun data moeten inregelen om zo inzicht en grip te krijgen op de data en hoe deze op Teams, SharePoint Online (SPO) en OneDrive opgeslagen kan en mag worden en hoe deze gedeeld mag worden binnen en buiten de organisatie.

Wat is Azure Information Protection en hoe gebruik je het?

Wat is Azure Information Protection en hoe gebruik je het?

Azure Information Protection is een Cloud oplossing waarmee organisaties documenten en e-mail berichten kunnen classificeren en beveiligen door labels toe te passen. Je kunt labels kunnen op verschillende manieren toepassen:

  • Automatisch door beheerders die regels en voorwaarden gebruiken;
  • Handmatig door gebruikers;
  • Gecombineerd, waarbij beheerders de aanbevelingen definiëren die worden weer gegeven voor gebruikers.

Hoe werkt Azure Information Protection?

Azure Information Protection toepassen in Word

 

  1. Als AIP is toegevoegd aan de tenant van je Microsoft 365 is toegevoegd stelt jouw bedrijf brede classificatie labels op.
    Bijvoorbeeld: Persoonlijk, Intern, Openbaar, Vertrouwelijk en Geheim.
  2. Gebruikers kunnen vrij eenvoudig een document, spreadsheet of mail classificeren door in je gereedschappenbalk op ‘Protect’ te klikken en de door jouw gekozen classificatie toe te wijzen.
  3. Aan elk van deze labels worden beleidsregels toegekend. Zo kunnen bestanden en e-mails met het label “Vertrouwelijk” alleen geopend worden door specifieke personen. Of kunnen persoonlijke e-mails niet doorgestuurd worden naar derden.
  4. Naast dat office-documenten geclassificeerd kunnen worden is het doormiddel van de ‘Azure Information Protection client’ ook mogelijk om pdf-documenten te beveiligen.

Wil je dit zoveel mogelijk automatiseren, dan zal je organisatie minimaal een M365 E5 of AIP P2 Licentie van Microsoft moeten hebben. Wil je hier meer over weten? Neem dan contact met mij of een van de andere adoptifiers op.

Classificatie van data is het labelen van informatie met een bepaalde waarde (denk aan ‘persoonlijk, vertrouwelijk of openbaar) om zo te kunnen bepalen welk niveau van bescherming nodig is. Data classificatie helpt organisaties om na te denken over de beschikbaarheid, integriteit en vertrouwelijkheid van data.

BIO klankbordgroep: Leer van elkaar en vind het wiel niet opnieuw uit!

Veel gemeentes hebben onafhankelijk van elkaar hetzelfde proces doorlopen om het hybride werken mogelijk te maken en te voldoen aan de BIO eisen, of zijn zitten nog midden in dat proces:

  1. Teams en SPO geïmplementeerd of implementatie aanstaande;
  2. Vaak gaat de migratie van data naar Microsoft 365 gepaard met het sluiten van de harde schijven. Dus is het wenselijk om zoveel mogelijk data op één locatie te hebben staan, de Microsoft 365 Cloud. Met name in het sociale domein zijn er veel vragen over het opslaan van bijzondere persoonsgegevens op Teams en SharePoint Online. In het sociaal domein worden veel bijzondere persoonsgegevens behandeld maar ook andere domeinen kunnen hier tegenaan lopen.
  3. Ook het delen van data met daarin bijzondere persoonsgegevens aan externe organisaties of burgers is vaak noodzakelijk voor de primaire processen van de gemeente denk bijvoorbeeld aan uitkeringen, aanbestedingen, gezondheidsgegevens van de GGD en andere financiële gegevens.
  4. Door de bovengenoemde normen is dataclassificatie noodzakelijk om zicht te houden op de bijzondere persoonsgegevens binnen en buiten de gemeente;
  5. Onderzoek naar de juiste tool van dataclassificatie;
  6. Keuze voor Unified Labeling / Azure Information Protection vanwege de goede integratie in het MS365 pakket;
  7. Vragen over het beleid voor data classificering, de inrichting van AIP en het belang van gebruikers bewustzijn over data classificatie;
  8. Starten van een pilot waarin geworsteld wordt met vragen als: “zijn de labels duidelijk voor eindgebruikers?”, “zijn de labels werkbaar?”, “wat zijn de gevolgen van beveiliging op basis van data classificatie voor de primaire processen?”.
  9. Tot slot misschien wel de belangrijkste vraag: “Hoe zorgen we ervoor dat de implementatie van Unified Labeling/AIP, en de daarbij behorende beveiliging, niet ten koste gaat van de voordelen van Digitaal Samenwerken via Teams en SharePoint Online?”

Het is zonde om het wiel opnieuw uit te vinden. Daarom brengen wij onze gemeentelijke klanten en andere gemeentes die nu of in de toekomst het bovenstaande proces doorlopen graag met elkaar in contact om de opgebouwde expertise met elkaar te delen.

Is de BIO-klankbordgroep relevant voor mij?

Ben jij nieuwsgierig of onze klankbordsessies relevant zijn voor jou? Bekijk onderstaande checklist:

  1. Je werkt bij een gemeente als (C)ISO, Informatiemanager, IT manager, Office 365 beheerder, IT consultant of privacy officer.
  2. Jouw gemeente heeft al een aanpak voor informatiebeveiligingsbeleid of moet dit nog realiseren.
  3. De gemeente heeft Microsoft 365 (MS365) geïmplementeerd en gebruikers willen Teams en SharePoint nu gebruiken om geheime data op te slaan en samen te werken met externen.
  4. Je bent nieuwsgierig naar hoe andere gemeentes omgaan met dataclassificatie en de opslag van geheime data en samenwerken met externen.

Heb je ja geantwoord op minimaal 1 van de 4 stellingen, lees dan vooral door of meld je onderaan deze blog aan bij Niek!

BIO klankbordgroep: Leer van elkaar en vind het wiel niet opnieuw uit!

Speciaal voor deze groep organiseren wij een vrijblijvende laagdrempelige klankbordworkshop waarin wij iedereen die bij of voor een gemeente bezig is met dataclassificatie en AIP willen uitnodigen.

Elke gemeente krijgt te maken met vraagstukken omtrent dataclassificatie en werkprocessen werkbaar houden. Daarom brengen we gemeenten met elkaar in contact om van elkaar te leren!

In deze klankbordworkshop wordt, afhankelijk van de op dat moment geldende beperkingen, online via Teams of bij ons op locatie door ons georganiseerd. We brengen gebruikerservaringen, ervaringen van onze consultants en ervaringen van gemeentes bij elkaar om zo kennis en expertise uit te wisselen. Elke gemeente krijgt te maken met de vraagstukken omtrent dataclassificatie en het opslaan van geheime data/ samenwerken met externen. Via deze weg willen wij de mogelijkheid bieden om van elkaar te leren!

Niet uitgenodigd, wel interesse?

De klankbordworkshop is op basis van uitnodiging, ben je geïnteresseerd maar heb je nog geen uitnodiging mogen ontvangen? Stuur dan Niek Ong een privé bericht.

Heb je nog een vraag?

Niek Ong geeft je graag antwoord.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

WEEK 20 (2021) Hoe zet ik ruisonderdrukking in Teams aan

STAY CURIOUS

Mis niets! Ontvang maandelijks onze nieuwsbrief

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Gerelateerde berichten:

30Sep
Round Table

ONLINE WORKSHOP: Data-classificatie met MS365 voor gemeenten

Iedere gemeente wordt geconfronteerd met de Baseline Informatiebeveiliging Overheid. Wij zien dat veel gemeenten tegen dezelfde vragen aanlopen en vaak het wiel zelf opnieuw proberen uit te vinden. Dat ga…

06 sep
BLOG

De eerste maand van Adoptifier Ilja

Maak kennis met onze nieuwe Adoptifier. Ilja Boot vertelt over haar eerste maand bij ons en denkt nu al mee over de ontwikkeling van Adoptify! ‘Pling!’ En toen kwam de…

20 jul
BLOG

Tijd vrijmaken voor meer welzijn op de werkvloer!

Inzet zinvoller maken met Viva Insights Alle COVID-beperkingen hebben van remote werken gemeengoed gemaakt. Sturen op welzijn én productiviteit van je medewerkers is meer dan ooit,  een permanente uitdaging voor elke werkgever. Zowel…

MS 365 security scan
Jouw Microsoft 365 omgeving veiliger en toch gebruiksvriendelijk
MEER WETEN?