Bepalen van gegevens die onderworpen zijn aan privacyregel voor gegevensGovern information subject to data privacy regulation

Informatiebeheerbesturingselementen kunnen worden gebruikt in uw omgeving om te helpen bij het voldoen aan de nalevingsvereisten voor gegevensbescherming, waaronder een nummer dat specifiek is voor Algemene verordening gegevensbescherming (AVG), HIPAA-HITECH (de Amerikaanse privacywet voor gezondheidszorg), de California Consumer Protection Act (CTPA) en de Brazil Data Protection Act (LGPD).Information governance controls can be employed in your environment to help address data privacy compliance needs, including a number that are specific to General Data Protection Regulation (GDPR), HIPAA-HITECH (the United States health care privacy act), California Consumer Protection Act (CCPA), and the Brazil Data Protection Act (LGPD).

Deze besturingselementen vallen voornamelijk onder de volgende oplossingsgebieden:These controls primarily fall into the following solution areas:

  • BewaarbeleidRetention policies
  • RetentielabelsRetention labels
  • Records ManagementRecords management

Privacyregels voor gegevens die van invloed zijn op besturingselementen voor informatiebeheerData privacy regulations impacting information governance controls

Hier vindt u een voorbeeld van de privacyregels voor gegevens die betrekking kunnen hebben op besturingselementen voor informatiebeheer:Here is a sample listing of data privacy regulations that may relate to information governance controls:

  • AVG-artikel (13)(2)(a)GDPR Article (13)(2)(a)
  • AVG-artikel (5)(1)(f)GDPR Article (5)(1)(f)
  • HIPAA-HITECH (45 CFR 164.312(c)(2))HIPAA-HITECH (45 CFR 164.312(c)(2))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(i))HIPAA-HITECH (45 CFR 164.316(b)(1)(i))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))
  • LGPD-artikel 46LGPD Article 46

Zie het artikel Privacyrisico's voor gegevens beoordelen en gevoelige informatie identificeren voor meer informatie over deze regelgeving.For more information on these regulations, see the assess data privacy risks and identify sensitive information article.

Voor informatiebeheer is de privacyregel voor gegevens meestal het volgende nodig:For information governance, data privacy regulations typically call for the following:

  • U moet een technisch schema gebruiken voor het bewaren en verwijderen van persoonlijke gegevens die zijn opgeslagen in Microsoft 365.You should employ a technical scheme for retention and deletion for personal data stored in Microsoft 365.
  • Als u persoonlijke gegevens gaat opslaan, informeert u het onderwerp over hoe lang de gegevens worden opgeslagen, wat nu een standaardpraktijk is op front-endwebsystemen.If you're going to store personal data, inform the subject of how long the data will be stored, which is a standard practice now on front-end web systems.
  • Persoonsgegevens moeten worden beschermd tegen onbedoelde verwerking, verlies of wijziging met behulp van controleerbare methoden.Personal data should be protected against accidental processing, loss, or alteration using verifiable methods.
  • Alle acties die worden uitgevoerd met betrekking tot persoonlijke gegevens, moeten worden gedocumenteerd en de documentatie moet voor een bepaalde periode worden bewaard.Any action executed against personal data should be documented and that documentation should be retained for a specified period.

Omdat de privacyregels voor gegevens niet erg specifiek zijn als het gaat om het bewaren en verwijderen van gegevens, moet rekening worden gehouden met andere factoren die richtlijnen voor informatiebeheer kunnen dicteren voor persoonlijke gegevens die zijn opgeslagen in uw Microsoft 365-abonnement.Because the data privacy regulations are not very specific when it comes to data retention and deletion, other factors need to be taken into consideration that may dictate information governance guidelines for personal information stored in your Microsoft 365 subscription. Hier zijn enkele voorbeelden:Here are a few examples:

  • Veroudert consumentenaccounts na 5 jaar inactiviteit en vereist verwijdering of anonimisatie van accountgegevens na dat punt, waarbij het systeem de gegevens en werkstromen met betrekking tot meldingen en andere automatisering moet opslaan.Aging out consumer accounts after 5 years of inactivity and requires deletion or anonymization of account data after that point, requiring orchestration between the system storing the data and workflows related to notifications and other automation.
  • Het configureren van regels voor het behouden van beleidsregels en procedures met betrekking tot AVG is ongeveer drie jaar nadat ze zijn overdwars, wat in overeenstemming is met het bewaarschema van de organisatie voor beleid en procedures.Configuring rules for keeping policies and procedures related to GDPR around for three years after they've been superseded, which aligns with the organization's retention schedule for policies and procedures.
  • Het onderhouden van een afzonderlijk abonnement voor het communiceren met consumenten via de ondersteuningsorganisatie.Maintaining a separate subscription for communicating with consumers through its support organization. Alle e-mailcommunicatie is na twee weken bewaard en verwijderd om de opbouw van privacyschulden in het systeem te beperken.All email communications were retained and deleted after two weeks to reduce any privacy debt buildup in the system.

Een belangrijke vraag die u moet beantwoorden is:A key question to answer is:

  • Hoe lang moeten gegevens met persoonlijke gegevens worden bewaard om geldige zakelijke redenen om te voorkomen dat er 'voor altijd' wordt gebruikt?How long does information containing personal data need to be kept around for valid business reasons to avoid "keep it forever" practices? Dit moet worden afgewogen met de bewaarbehoeften voor bedrijfscontinuïteit.This must be balanced with retention needs for business continuity.

Ongeacht de juridische en zakelijke redenen voor het bewaren van persoonlijke gegevens of het verwijderen ervan, biedt Microsoft een aantal mogelijkheden voor het implementeren van uw gegevensbeheerschema in Microsoft 365.Regardless of the legal and business reasons for keeping personal information around or deleting it, Microsoft provides a number of capabilities to implement your data governance scheme in Microsoft 365.

Beheer van informatiebeheer in Microsoft 365Managing information governance in Microsoft 365

Zie Informatiebeheer en Gegevensretentie, Verwijdering en Vernietiging beheren inMicrosoft 365.To begin, see Manage information governance and Data Retention, Deletion and Destruction in Microsoft 365.

Planningen voor het bewaren van gegevens ontwikkelen voor containers, e-mail en inhoudDevelop data retention schedules for containers, email, and content

Houd het volgende in gedachten:Keep the following in mind:

  • Het opstellen van een planning voor het bewaren van gegevens voor gedefinieerde informatietypen moet worden beschouwd als een vereiste voor het implementeren van een bewaar- of verwijderingsschema.Establishing a data retention schedule for defined information types should be considered a prerequisite to implementing any retention or deletion scheme.

  • Gezien het aantal informatietypen dat de meeste organisaties belangrijk vinden en de bijbehorende grote bewaarschema's voor records die daarbij horen, is het implementeren van een strategie voor gegevensretentie en recordbeheer planning vereist.Given the number of information types that most organizations consider important and the corresponding large records retention schedules that go along with them, implementing a data retention and records management strategy requires planning.

  • De sleutel tot het tot stand brengen van een effectieve strategie voor gegevensbeheer van dit type is de focus op de hoogste prioriteit voor zakelijke functies en informatietypen waarvoor een formeler beheer vereist is.The key to establishing an effective data governance strategy of this type is to focus on the highest priority business functions and information types that require more formal management. Voorbeelden hiervan zijn juridische contracten, financiële overzichten en documentatie over naleving van regelgeving.Examples are legal contracts, financial statements, and regulatory compliance documentation. Vermijd een afzonderlijk bewaarschema voor elk gegevenstype.Try to avoid having a separate retention schedule for every single information type. Probeer algemene categorieën zo veel mogelijk te gebruiken, bijvoorbeeld met bewaarschema's van 7 jaar voor algemene zakelijke inhoud.Try to utilize general categories as much as possible, for example, with retention schedules of 7 years for general business content.

  • Zodra de typen persoonlijke gegevens in uw omgeving beter bekend zijn, stelt u bewaar- en verwijderingsschema's in voor dit type inhoud en past u uw informatiearchitectuur aan om het beheer van dit soort informatie te vereenvoudigen.Once the personal information types in your environment are better known, establish retention and deletion schedules for this type of content and adjust your information architecture to make governance of this sort of information easier. U kunt bijvoorbeeld persoonlijke gegevens isoleren in afzonderlijke sites, bibliotheken of mappen met gecontroleerde toegang.For example, isolate personal information in separate sites, libraries, or folders with controlled access.

Bewaarbeleid en retentielabelsRetention policies and retention labels

Gebruik bewaarbeleid en bewaarlabels om inhoud te behouden of te verwijderen in Microsoft 365 inhoud die persoonlijke gegevens bevat of naar verwachting bevat.Use retention policies and retention labels to retain or delete content in Microsoft 365 that contains or is expected to contain personal data.

Records ManagementRecords management

Gebruik bewaarlabels die inhoud als record declareeren om een recordbeheeroplossing voor gegevens in Microsoft 365.Use retention labels that declare content a record to implement a records management solution for data in Microsoft 365.

Voor gegevensbescherming worden verzoeken van gegevensonderwerpen (DSR's) die door de juridische afdeling zijn ontvangen, als record gedeclareerd en kunnen ze voor onbepaalde tijd worden opgeslagen of met bewijs worden verwijderd, om te voldoen aan de bewaarspecificaties voor regelgevingsactiviteit.For data privacy, data subject requests (DSRs) received by the legal department are declared a record and can be stored indefinitely or disposed of with proof, to adhere to regulatory activity retention specifications.