Stap voor stap GDPR-compliant – Review van de Microsoft Compliance Manager

GDPR compliant KPMG Crimsonwing nieuwsbrief
Nog een half jaar, en dan is er echt geen ontkomen meer aan: de General Data Protection Regulation (GDPR). Of misschien kent u hem beter als de Nederlandse algemene verordening gegevensbescherming (AVG). Elk bedrijf moet er vanaf mei 2018 aan voldoen.

Omdat de bescherming van data belangrijk voor onze dienstverlening is, hebben wij ons er al langer in verdiept. En daarom ga ik – als securityspecialist bij KPMG Crimsonwing – de komende maanden wat van onze kennis en ervaring met u delen. Om u te helpen goed voorbereid te zijn.

 

Begin met een praktische tool

Om maar bij het begin te beginnen: een goede voorbereiding begint met overzicht. In mijn volgende blog vertel ik meer over de impact op uw organisatie en de verschillende aspecten die meespelen. Maar nu eerst een review van een tool die u op weg kan helpen: de Microsoft Compliance Manager. Een interessante investering, omdat het u niet alleen nú helpt, op weg naar mei 2018, maar ook bij het toepassen van ISO 27001 en het voldoen aan andere wet- en regelgeving. Deze review schrijf ik vanuit mijn eigen testervaringen.

Bron: Manage your compliance from one place: Announcing Compliance Manager, Microsoft 2017.

Bron: Manage your compliance from one place: Announcing Compliance Manager, Microsoft 2017.

 

 

Microsoft Compliance Manager: handig voor overzicht én verantwoording

Natuurlijk zijn er meerdere tools die u helpen te voldoen aan wet- en regelgeving, maar de Microsoft Compliance Manager sluit ten eerste goed aan op de meeste kantooromgevingen met Microsoft tools. En is, ten tweede, een zeer complete tool op dit gebied. Wat mag u van deze tool verwachten?

 

  • Overzicht werkzaamheden
    De tool geeft per soort regelgeving of norm (GDPR, HIPAA, ISO 27018, 27001) een overzicht van de voorwaarden waar uw bedrijfsvoering aan moet voldoen. Daarnaast geeft het statusupdates over de voortgang en komende controleacties van Microsoft. Microsoft zorgt ervoor dat de informatie over wet- en regelgeving specifek en up-to-date is. U kunt bovendien uw eigen bedrijfsspecifieke regelgeving toevoegen.
  • Gedetailleerde managementinformatie
    In de tool vindt u een lijst van diensten, implementatiedetails en controles die Microsoft uitvoert, inclusief testdetails, externe audits en resultaten. Ook adviseert Microsoft over acties en tools die relevant voor uw organisatie kunnen zijn. Daarmee heeft u een goed overzicht voor uw auditor of overheden.
  • Werk toewijzen en voortgang bijhouden
    De voorgestelde (controle)acties vindt u in een apart overzicht. Hierin kunt u filteren, u kunt de acties bundelen en toewijzen aan specifieke functies of afdelingen binnen uw organisatie. Zij kunnen vervolgens centraal testplannen, -resultaten en -bewijslast toevoegen.
  • Rapportages en resultaten delen
    De rapportages deelt u eenvoudig in excelformaat met uw auditors of met overheden. In die rapportages staat de vereiste detailinformatie, aangevuld met links naar relevante bijlagen.
     

Voor- en nadelen van deze tool 

Het grote voordeel van deze tool is het gebruiksgemak: bent u bekend met Microsoft Office, dan is bediening van de tool eenvoudig. De omschrijvingen van de controleacties zijn in heldere, niet-juridische taal.

Benodigde vervolgacties of suggesties voor tools zijn zo geformuleerd dat uw systeembeheerder ermee aan de slag kan. Voor sommige organisaties is het wel een nadeel dat – voor zover ik kon zien – de tool alleen in het Engels te krijgen is.

Omdat de preview van de tool alleen nog maar voor Office beschikbaar is, heb ik hem nog niet voor Dynamics- of Azure-toepassingen kunnen testen. Verder vind ik het zoeken op artikelniveau niet heel eenvoudig – per GDPR-artikel, bedoel ik. Het overzicht van GDPR-controleacties is wel goed, maar dataprotection officers (DPO’s) en managers zullen vragen van klanten, auditors en overheden meestal op artikelniveau moeten beantwoorden. Exporteer je het overzicht van controleacties naar Excel, dan kan het overigens wel eenvoudig.

En dan de privacy: zoals u mag verwachten van een tool als deze, is de privacy goed geregeld. De data die u uploadt in de Compliance Manager – en die mogelijkerwijs klantdata kunnen bevatten – zijn goed afgeschermd. Microsoft heeft daar geen toegang toe.

 

Aan de slag

Wilt u zelf met de Compliance Manager aan de slag? Een preview vindt u hier. In mijn volgende blog vertel ik meer over de verschillende stappen en acties die u binnen uw organisatie kunt zetten op weg naar mei 2018, wanneer de GDPR echt een verplichting is. Abonneer u nu, dan weet u zeker dat u geen informatie mist!

Meldt u hier aan voor de GDPR nieuwsbrief en ontvang maandelijks een email met informatie rondom GDPR.