GDPR-compliant met tools in Dynamics 365 for Finance & Operations

Illustratie Grip op GDPR met tools voor D365Op 25 mei gaat de nieuwe Europese privacywet in. In een reeks blogs help ik u zich daarop voor te bereiden. Deze keer zoom ik heel praktisch in op de tools voor de vele Dynamics 365 for Finance and Operations -gebruikers. Want Microsoft heeft een scala aan handige tools die u helpen GDPR-compliant te zijn. Vandaag focus ik op operations, volgende keer op business applicaties.

Als het gaat om de GDPR dan organiseert Microsoft hun informatie heel overzichtelijk in 4 thema’s: discover, manage, protect en report. Hier voeg ik zelf graag nog aan toe: datatransfer en bewerkersovereenkomsten. In dit blog bespreek ik bij alle 6 stappen de beschikbare tools die uw werk makkelijker maken.

 

1. Discover

Standaard beschikbaar: entiteitenstructuur

Het eerste dat moet gebeuren om GDPR-compliant te worden, is het aanleggen van een dataregister. Daar stond ik al uitgebreid bij stil in een eerder blog. Nadat u heeft ontdekt waar persoonsgegevens zich precies bevinden, wilt u weten over welke soort gegevens het gaat. Daarvoor is de standaard entiteitenstructuur van Dynamics 365 heel handig. Maak een template entiteit aan, en koppel daar alle entiteiten aan waarin persoonsgegevens staan. Het resultaat is een compleet overzicht van alle veldnamen uit alle tabellen waarin persoonsgegevens zijn aangetroffen.

MSFT D365 FenO Entities screenshot

Bron: Microsoft Dynamics 365 for Finance and Operations

 

Binnenkort standaard beschikbaar: person search report en meer

Microsoft kondigde onlangs een uitbreiding op deze entiteitenfunctionaliteit aan, waarmee u vanuit het adresboek alle entiteiten kunt oproepen die geassocieerd worden met een specifiek record. Dit noemen ze Person search report. Ik ken het nog niet, maar het klinkt best handig. Ook wordt het – onder de naam Data tagging – voor ontwikkelaars mogelijk om tabelvelden te categoriseren voor de GDPR. En er komt een Data flow diagram, zodat u de data-uitwisseling tussen systemen kunt inzien. Deze toekomstige mogelijkheden staan uitgebreid beschreven op de site van Microsoft.

Additionele tools

De Azure Information Protection (bespreek ik verderop) is ook heel handig, net als de Azure Data Catalogue. Die laatste is een clouddienst waarmee u metadata van meerdere gegevensbronnen kunt registreren en labelen. De tool maakt een kopie van uw metadata en bewaart de referentie naar de feitelijke locatie. Vervolgens kunt u naar hartenlust tags meegeven, bijvoorbeeld aan tabellen die persoonsgegevens bevatten. Niet alleen handig voor Dynamics 365, maar ook voor andere programma’s die gebruik maken van gestructureerde data. U heeft alle databronnen in een overzicht.

MSFT Azure Data Catalog

Bron: Microsoft Azure Data Catalog

 

2. Manage

Hou overzicht

De Compliance manager is een handige tool waar ik eerder al een positieve review over schreef. In één overzicht managet u alle risico’s, actiepunten en verantwoordelijkheden – binnen Office 365, Azure en Dynamics 365 – die uitgevoerd moeten worden om GDPR-compliant te zijn. En om tegelijk compliant te zijn met de ISO27-series en de NIST. De tool wordt voortdurend aangepast aan de laatste regelgeving. Microsoft maakt heel inzichtelijk welke compliancestappen haar verantwoordelijkheid zijn en welke die van u. De praktische compliancescore maakt uw risico inzichtelijk per onderdeel. Op de site van Microsoft leest u een overzicht van alle features en updates.

Voldoen aan de rechten van uw klanten

Klanten hebben er straks recht op dat u hun persoonsgegevens verwijdert wanneer u daar geen doel of grondslag meer voor heeft. En wanneer ze dat vragen, moet u klanten inzage geven in hun data, deze corrigeren of aanleveren voor overdracht. Hoe organiseert u dat?

  • Inzage geven en data-portabiliteit: hiervoor werkt de reeds besproken entiteitenstructuur uitstekend. Gebruik de template entiteit en exporteer de persoonsgegevens in Excel of CSV. Zo kan uw klant de data bekijken of meenemen.
  • Corrigeren en verwijderen blijft handwerk. Maar let op: verwijder nooit zomaar data. Uw systeem zal dat zelfs weigeren wanneer er een relatie is met andere data, of als er een transactie is geboekt. Wat u wel kunt – en dat is ook veel slimmer – is data anonimiseren. Zo kunt u ook uw analyses intact en geaggregeerd laten. Verander een exacte geboortedatum bijvoorbeeld in een geboortejaar en een adres in een (voldoende ruime) regio. Dit luistert juridisch gezien best nauw, het is verstandig een deskundige partner te betrekken. Het is belangrijk te bepalen wanneer anonimisatie echt anoniem is (het moet bijvoorbeeld niet mogelijk om de data naar een persoon te herleiden met het combineren van uw ‘anonieme’ data en publiek beschikbare data) .

 

3. Protect

Autorisatie

In Azure geeft de standaard Active Directory – Role Based Access control al uitstekende mogelijkheden om autorisaties te beheren. Daarnaast maakt u in Dynamics 365 for Finance & Operations gebruik van specifieke rollen templates. Die kunt u naar eigen wens inrichten, tot op het niveau van specifieke velden of groepen data. Meer informatie leest u op de site van Microsoft.

Beveiliging

Microsoft is er alles aan gelegen dat u zich veilig voelt in hun cloud. Hun datacenters, verbindingen en procedures zijn buitengewoon goed beveiligd. In Dynamics 365 is uw data encrypted in transit en at rest. In Azure heeft u nog diverse keuzes: Azure Key Vault, Azure Storage Data Encryptie, Azure MFA, Azure Identity Protection en Azure Information Protection. Op hun site bespreekt Microsoft de verschillen.

Back-up

De GDPR maakt u ervoor verantwoordelijk dat u geen data verliest. Microsoft biedt drie redundancy-mechanismen die dat bewerkstelligen. Azure back-up kan uw data back-uppen en restoren. Azure Site Recovery biedt disaster recovery in de cloud. En Azure geo-redundant storage kan een replica van uw data maken en bewaren in een andere regio.

 

4. Report

Weet waarvoor u verantwoordelijk bent

Volgens de GDPR moet u kunnen aantonen dat u aan de regels voldoet. Maar als gebruiker van Microsoft Dynamics 365 bent u daar niet alleen voor verantwoordelijk, deels is Microsoft dat ook. Als vuistregel geeft Microsoft dit verhelderende overzicht:

 

Bron: Shared Responsibilities for Cloud Computing (2017), Microsoft

Bron: Shared Responsabilities for Cloud Computing (2017), Microsoft

 

Reporting tools

De standaard rapporten van Azure kunt u uitstekend gebruiken om te rapporteren over uw compliance. Bijvoorbeeld Azure Advanced Reports of Azure Identity Protection. Die laatste geeft een overzicht van veiligheidsrisico’s op basis van uw beleid. Bijvoorbeeld welke users u in de gaten moet houden en om welke reden. Wilt u zelf rapportages samenstellen, gebruik dan Power BI.

Datalek

Over datalekken is al veel geschreven, ik deed dat zelf ook in een eerder blog. Ik wil hier nog even stilstaan bij uw samenwerking met Microsoft. Want in het geval van een datalek moeten zij snel met u mee bewegen. Alles over hun reactie leest u in hun Microsoft Azure Secrity Responce in the Cloud.

 

5. Datatransfer

Als u data wilt transporteren buiten de door GDPR toegestane landen, moet u aan extra regels voldoen. Let bij het afsluiten van een contract daarom goed op de locatie van uw datacenter. Heeft u al een contract, lees dan in ieder geval de regio’s van Azure erop na en die voor uw specifieke Dynamics 365 locaties. Het is slim u ook te verdiepen in de onderaannemers aan wie Microsoft uw data doorgeeft, en hoe ze omgaan met verzoeken van regeringen.

 

6. Verwerkersovereenkomsten

Volgens de GDPR draagt u de verantwoordelijkheid voor een juiste omgang met persoonsgegevens. Als u voor verwerking van data samenwerkt met een verwerker, legt u afspraken vast in een verwerkersovereenkomst. Dat doet Microsoft net even anders. In plaats van een afzonderlijke overeenkomst met iedere klant, hanteert Microsoft voorwaarden voor online diensten, die dus ook voor u gelden. Lees dit document zorgvuldig na.

 

Algemene tools

De Azure Information Protection Scanner kan ongestructureerde data scannen, classificeren en labelen. Handig in de Discover-fase. Maar ook in de Manage-fase, omdat de software voortdurend blijft scannen en zo data kan monitoren. Voor beveiliging heeft deze tool eveneens handige opties. Zo kunt u een document zo beveiligen dat het onmogelijk is deze mee te sturen met een e-mail. Of zorgt u dat een bepaalde e-mail niet doorgestuurd kan worden. Interessante mogelijkheden. Probeer het eens uit met de publieke preview van de scanner.

 

Vergelijkbare beveiliging op documenten kunt u realiseren met de Microsoft Cloud App Security. Daarmee voorkomt u bijvoorbeeld dat een bepaald document wordt geüpload naar Dropbox. Ook kan deze tool uw documenten in andere cloud-applicaties scannen en ervoor zorgen dat uw beveiligingsbeleid ook daar wordt nageleefd.

 

GDPR Insight

Dit overzicht completeer ik graag met een tool van onszelf waar ik enthousiast over ben en die uw helpt met data discovery: de KPMG GDPR Insight. Deze tool maakt gebruik van KPMG expertise en scant al uw gestructureerde en ongestructureerde data, indexeert de data en geeft een risicoranking. Dat geeft u direct inzicht in dataprivacyrisico’s en potentiele datalekken in uw systemen. Ook biedt de tool een handige mogelijkheid om aan verzoeken van betrokkenen te voldoen, zoals het recht op inzage, om vergeten te worden, of data portabiliteit. Dit kunt u eenvoudig faciliteren en opvolgen via workflows.

Bron: KPMG GDPR Insight tool

Bron: GDPR Insight tool, KPMG

 

 

Over deze GDPR-blogs

GDPR staat voor General Data Protection Regulation, de nieuwe Europese privacywet. Deze gaat op 25 mei in. Werkt u met persoonsgegevens? Dan heeft de GDPR (in het Nederlands: Algemene Verordening Gegevensbescherming) impact op uw organisatie. In een serie blogs schrijf ik als securityspecialist bij KPMG Crimsonwing over deze impact.