Bepalen van gegevens die onderworpen zijn aan privacyregel voor gegevens

  • Artikel
  • 2 minuten om te lezen

Informatiebeheerbesturingselementen kunnen worden gebruikt in uw omgeving om te helpen bij het voldoen aan de nalevingsvereisten voor gegevensbescherming, waaronder een nummer dat specifiek is voor Algemene verordening gegevensbescherming (AVG), HIPAA-HITECH (de Amerikaanse privacywet voor gezondheidszorg), de California Consumer Protection Act (CTPA) en de Brazil Data Protection Act (LGPD).

Deze besturingselementen vallen voornamelijk onder de volgende oplossingsgebieden:

  • Bewaarbeleid
  • Retentielabels
  • Records Management

Privacyregels voor gegevens die van invloed zijn op besturingselementen voor informatiebeheer

Hier vindt u een voorbeeld van de privacyregels voor gegevens die betrekking kunnen hebben op besturingselementen voor informatiebeheer:

  • AVG-artikel (13)(2)(a)
  • AVG-artikel (5)(1)(f)
  • HIPAA-HITECH (45 CFR 164.312(c)(2))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(i))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))
  • LGPD-artikel 46

Zie het artikel Privacyrisico's voor gegevens beoordelen en gevoelige informatie identificeren voor meer informatie over deze regelgeving.

Voor informatiebeheer is de privacyregel voor gegevens meestal het volgende nodig:

  • U moet een technisch schema gebruiken voor het bewaren en verwijderen van persoonlijke gegevens die zijn opgeslagen in Microsoft 365.
  • Als u persoonlijke gegevens gaat opslaan, informeert u het onderwerp over hoe lang de gegevens worden opgeslagen, wat nu een standaardpraktijk is op front-endwebsystemen.
  • Persoonsgegevens moeten worden beschermd tegen onbedoelde verwerking, verlies of wijziging met behulp van controleerbare methoden.
  • Alle acties die tegen persoonsgegevens worden uitgevoerd, moeten worden gedocumenteerd en de documentatie moet voor een bepaalde periode worden bewaard.

Omdat de privacyregels voor gegevens niet erg specifiek zijn als het gaat om het bewaren en verwijderen van gegevens, moet rekening worden gehouden met andere factoren die richtlijnen voor informatiebeheer kunnen dicteren voor persoonlijke gegevens die zijn opgeslagen in uw Microsoft 365-abonnement. Hier zijn enkele voorbeelden:

  • Veroudert consumentenaccounts na 5 jaar inactiviteit en vereist verwijdering of anonimisatie van accountgegevens na dat punt, waarbij het systeem de gegevens en werkstromen met betrekking tot meldingen en andere automatisering moet opslaan.
  • Het configureren van regels voor het behouden van beleidsregels en procedures met betrekking tot AVG is ongeveer drie jaar nadat ze zijn overdwars, wat in overeenstemming is met het bewaarschema van de organisatie voor beleid en procedures.
  • Het onderhouden van een afzonderlijk abonnement voor het communiceren met consumenten via de ondersteuningsorganisatie. Alle e-mailcommunicatie is na twee weken bewaard en verwijderd om de opbouw van privacyschulden in het systeem te beperken.

Een belangrijke vraag die u moet beantwoorden is:

  • Hoe lang moeten gegevens met persoonlijke gegevens worden bewaard om geldige zakelijke redenen om te voorkomen dat er 'voor altijd' wordt gebruikt? Dit moet worden afgewogen met de bewaarbehoeften voor bedrijfscontinuïteit.

Ongeacht de juridische en zakelijke redenen voor het bewaren van persoonlijke gegevens of het verwijderen ervan, biedt Microsoft een aantal mogelijkheden voor het implementeren van uw gegevensbeheerschema in Microsoft 365.

Beheer van informatiebeheer in Microsoft 365

Zie Informatiebeheer en Gegevensretentie, Verwijdering en Vernietiging beheren inMicrosoft 365.

Planningen voor het bewaren van gegevens ontwikkelen voor containers, e-mail en inhoud

Houd het volgende in gedachten:

  • Het opstellen van een planning voor het bewaren van gegevens voor gedefinieerde informatietypen moet worden beschouwd als een vereiste voor het implementeren van een bewaar- of verwijderingsschema.

  • Gezien het aantal informatietypen dat de meeste organisaties belangrijk vinden en de bijbehorende grote recordretentieschema's die daarbij horen, is het implementeren van een strategie voor gegevensretentie en recordbeheer planning vereist.

  • De sleutel tot het tot stand brengen van een effectieve strategie voor gegevensbeheer van dit type is de focus op de hoogste prioriteit voor zakelijke functies en informatietypen waarvoor een formeler beheer vereist is. Voorbeelden hiervan zijn juridische contracten, financiële overzichten en documentatie over naleving van regelgeving. Vermijd een afzonderlijk bewaarschema voor elk gegevenstype. Probeer algemene categorieën zo veel mogelijk te gebruiken, bijvoorbeeld met bewaarschema's van 7 jaar voor algemene zakelijke inhoud.

  • Zodra de typen persoonlijke gegevens in uw omgeving beter bekend zijn, stelt u bewaar- en verwijderingsschema's in voor dit type inhoud en past u uw informatiearchitectuur aan om het beheer van dit soort informatie te vereenvoudigen. U kunt bijvoorbeeld persoonlijke gegevens isoleren in afzonderlijke sites, bibliotheken of mappen met gecontroleerde toegang.

Bewaarbeleid en retentielabels

Gebruik bewaarbeleid en bewaarlabels om inhoud te behouden of te verwijderen in Microsoft 365 inhoud die persoonlijke gegevens bevat of naar verwachting bevat.

Records Management

Gebruik bewaarlabels die inhoud als record declareeren om een recordbeheeroplossing te implementeren voor gegevens in Microsoft 365.

Voor gegevensbescherming worden verzoeken van gegevensonderwerpen (DSR's) die door de juridische afdeling zijn ontvangen, als record gedeclareerd en kunnen ze voor onbepaalde tijd worden opgeslagen of worden verwijderd met bewijs, om te voldoen aan de bewaarspecificaties voor regelgevingsactiviteit.