Reglera information som omfattas av datasekretessGovern information subject to data privacy regulation

Informationsstyrningskontroller kan användas i din miljö för att tillgodose behov av datasekretessefterlevnad, inklusive ett nummer som är specifikt för Allmän dataskyddsförordning (GDPR), HIPAA-HITECH (United States Health Care Privacy Act), California Consumer Protection Act (CCPA) och Brazil Data Protection Act (LGPD).Information governance controls can be employed in your environment to help address data privacy compliance needs, including a number that are specific to General Data Protection Regulation (GDPR), HIPAA-HITECH (the United States health care privacy act), California Consumer Protection Act (CCPA), and the Brazil Data Protection Act (LGPD).

Dessa kontroller faller främst inom följande lösningsområden:These controls primarily fall into the following solution areas:

  • KvarhållningsprinciperRetention policies
  • KvarhållningsetiketterRetention labels
  • Hantering av arkivhandlingarRecords management

Datasekretessförordningar som påverkar kontroll av informationsstyrningData privacy regulations impacting information governance controls

Här är ett exempel på en lista med regler för datasekretess som kan relatera till kontroller för informationsstyrning:Here is a sample listing of data privacy regulations that may relate to information governance controls:

  • GDPR-artikel (13)(2)(a)GDPR Article (13)(2)(a)
  • GDPR-artikel (5)(1)(f)GDPR Article (5)(1)(f)
  • HIPAA-HITECH (45 CFR 164.312(c)(2))HIPAA-HITECH (45 CFR 164.312(c)(2))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(i))HIPAA-HITECH (45 CFR 164.316(b)(1)(i))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))
  • LGPD, artikel 46LGPD Article 46

Mer information om dessa bestämmelser finns i artikeln om att bedöma datasekretess och identifiera känslig information.For more information on these regulations, see the assess data privacy risks and identify sensitive information article.

För informationsstyrning anropar datasekretessföreskrifter vanligtvis följande:For information governance, data privacy regulations typically call for the following:

  • Du bör använda ett tekniskt system för lagring och borttagning av personuppgifter som lagras i Microsoft 365.You should employ a technical scheme for retention and deletion for personal data stored in Microsoft 365.
  • Om du kommer att lagra personlig information informerar du ämnet om hur länge data kommer att lagras, vilket är en standardmetod nu på frontend-webbsystem.If you're going to store personal data, inform the subject of how long the data will be stored, which is a standard practice now on front-end web systems.
  • Personuppgifter bör skyddas mot oavsiktlig bearbetning, förlust eller ändring med hjälp av verifierbara metoder.Personal data should be protected against accidental processing, loss, or alteration using verifiable methods.
  • Alla åtgärder som utförs mot personuppgifter ska dokumenteras och att dokumentationen ska behållas under en viss tidsperiod.Any action executed against personal data should be documented and that documentation should be retained for a specified period.

Eftersom bestämmelser om datasekretess inte är särskilt specifika när det gäller lagring och borttagning av data måste andra faktorer beaktas som kan diktera riktlinjer för informationsstyrning för personlig information som lagras i din Microsoft 365-prenumeration.Because the data privacy regulations are not very specific when it comes to data retention and deletion, other factors need to be taken into consideration that may dictate information governance guidelines for personal information stored in your Microsoft 365 subscription. Här är några exempel:Here are a few examples:

  • Föråldring av konsumentkonton efter 5 års inaktivitet och kräver borttagning eller anonymisering av kontodata efter den tidpunkten, vilket kräver att data och arbetsflöden som är relaterade till meddelanden och annan automation behöver fördelas mellan systemet.Aging out consumer accounts after 5 years of inactivity and requires deletion or anonymization of account data after that point, requiring orchestration between the system storing the data and workflows related to notifications and other automation.
  • Konfigurera regler för att behålla principer och procedurer relaterade till GDPR i tre år efter att de har ersatts, vilket överensstämmer med organisationens kvarhållningsschema för principer och procedurer.Configuring rules for keeping policies and procedures related to GDPR around for three years after they've been superseded, which aligns with the organization's retention schedule for policies and procedures.
  • Ett separat abonnemang för kommunikation med konsumenter via supportorganisationen.Maintaining a separate subscription for communicating with consumers through its support organization. All e-postkommunikation behålls och raderas efter två veckor för att minska eventuella problem med att skapa sekretess i systemet.All email communications were retained and deleted after two weeks to reduce any privacy debt buildup in the system.

En viktig fråga att besvara är:A key question to answer is:

  • Hur länge måste information som innehåller personuppgifter sparas av giltiga affärsorsaker för att undvika att använda det för alltid?How long does information containing personal data need to be kept around for valid business reasons to avoid "keep it forever" practices? Det måste balanseras med bevarandebehov för affärskontinualitet.This must be balanced with retention needs for business continuity.

Oavsett juridiska skäl och affärsorsaker till att ha personlig information runt om eller ta bort den tillhandahåller Microsoft ett antal funktioner för att implementera ditt datastyrningsschema i Microsoft 365.Regardless of the legal and business reasons for keeping personal information around or deleting it, Microsoft provides a number of capabilities to implement your data governance scheme in Microsoft 365.

Hantera informationsstyrning i Microsoft 365Managing information governance in Microsoft 365

Börja med att gå till Hantera informationsstyrning och datalagring, borttagning och bevarande i Microsoft 365.To begin, see Manage information governance and Data Retention, Deletion and Destruction in Microsoft 365.

Utveckla datalagringsscheman för behållare, e-post och innehållDevelop data retention schedules for containers, email, and content

Tänk på följande:Keep the following in mind:

  • Att upprätta ett datalagringsschema för definierade informationstyper bör vara en förutsättning för att implementera ett bevarande- eller borttagningsschema.Establishing a data retention schedule for defined information types should be considered a prerequisite to implementing any retention or deletion scheme.

  • Med hänsyn till antalet informationstyper som de flesta organisationer anser vara viktiga och de motsvarande stora arkiveringsscheman som följer med dem, måste du planera för att implementera en strategi för datalagring och hantering av arkivhandlingar.Given the number of information types that most organizations consider important and the corresponding large records retention schedules that go along with them, implementing a data retention and records management strategy requires planning.

  • Nyckeln till att upprätta en effektiv datastyrningsstrategi av den här typen är att fokusera på de affärsfunktioner och informationstyper med högsta prioritet som kräver mer formell hantering.The key to establishing an effective data governance strategy of this type is to focus on the highest priority business functions and information types that require more formal management. Några exempel är juridiska kontrakt, ekonomiska rapporter och dokumentation om regelefterlevnad.Examples are legal contracts, financial statements, and regulatory compliance documentation. Försök att undvika ett separat kvarhållningsschema för varje enskild informationstyp.Try to avoid having a separate retention schedule for every single information type. Försök att använda allmänna kategorier så mycket som möjligt, till exempel med kvarhållningsscheman på 7 år för allmänt affärsinnehåll.Try to utilize general categories as much as possible, for example, with retention schedules of 7 years for general business content.

  • När typerna av personlig information i din miljö är mer kända bör du upprätta scheman för bevarande och borttagning för den här typen av innehåll och justera informationsarkitekturen för att göra styrning av den här typen av information enklare.Once the personal information types in your environment are better known, establish retention and deletion schedules for this type of content and adjust your information architecture to make governance of this sort of information easier. Isolera till exempel personlig information på separata webbplatser, i bibliotek eller i mappar med kontrollerad åtkomst.For example, isolate personal information in separate sites, libraries, or folders with controlled access.

Kvarhållningsprinciper och -etiketterRetention policies and retention labels

Använd bevarandeprinciper och bevarandeetiketter för att behålla eller ta bort innehåll i Microsoft 365 som innehåller eller förväntas innehålla personuppgifter.Use retention policies and retention labels to retain or delete content in Microsoft 365 that contains or is expected to contain personal data.

Hantering av arkivhandlingarRecords management

Använd bevarandeetiketter som deklarerar innehåll för en arkivering för att implementera en lösning för hantering av arkivhandlingar för data i Microsoft 365.Use retention labels that declare content a record to implement a records management solution for data in Microsoft 365.

För datasekretess deklareras de DSR-förfrågningar som tas emot av den juridiska avdelningen och kan lagras på obestämd tid eller kasseras med bevis, för att följa bevarandespecifikationer för regelaktivitet.For data privacy, data subject requests (DSRs) received by the legal department are declared a record and can be stored indefinitely or disposed of with proof, to adhere to regulatory activity retention specifications.