Move sine IT-juridiske rådgivere Oliver Z. Jakobsen og Trude Kristensen setter fokus på hvordan du kan implementere funksjoner for regulatorisk etterlevelse (compliance) i Microsoft 365.
Med økende digitalisering og et ekspanderende regulatorisk bilde blir det stadig mer utfordrende å oppnå digital kontroll på dokument-nivå. Prosessen med å styre hele datalivssyklusen som forløper seg i virksomheten kan oppleves som uoverkommelig, og for mange vil anskaffelsen av støtteverktøy være nødvendig.
Microsoft 365 benyttes i stor grad i offentlig og privat sektor til produktivitet og samhandling. Samhandlingsplattformen har en solid portefølje av compliance-verktøy som kan bistå virksomheten med å effektivt identifisere, klassifisere og håndtere informasjon. Viktigheten av å ha kontroll på forvaltning av regelverk ser vi tydelig når stadig flere etterspør hvordan f.eks personopplysinger blir ivaretatt.
Move, som er en Microsoft Gold Partner, har satt søkelys på hvordan lovkrav som treffer virksomheten kan operasjonaliseres og automatiseres i Microsoft 365 plattformen, og har en serie med webinarer om temaet.
Digitalisering har ført til at det i dag produseres enorme mengder elektroniske data, og disse dataene er i større grad enn før tilgjengelig på tvers av systemer og forskjellige arbeidsgrupper. Data som produseres er derimot underlagt individuelle, og tidvis overlappende, lovkrav som sier noe om konfidensialitet, integritet, tilgjengelighet, oppbevaringssted og/eller tidsrammer for oppbevaring. Eksempler er informasjon som kan identifisere privatpersoner, som knytter seg til regnskap, eller som omhandler forretningshemmeligheter. Når virksomheter tar i bruk flere medier og en rekke tjenester for samhandling, kommunikasjon og lagring vil det være vanskelig å kontrollere at disse kravene imøtekommes.
Mange virksomheter befinner seg i en slik hverdag, og et problem for mange er å finne ut hvor man skal begynne. For å sikre et godt grunnlag for kontroll og håndheving over informasjonsflyten er det ved oppstart nødvendig å utforske og gjøre rede for følgende:
Hvilke typer data har vi, og hvor?
Hvilke rettslige eller kontraktbaserte forpliktelser har vi ovenfor disse dataene?
Hvilke typer data har vi?
For å kunne si noe om hvordan informasjon skal sikres, enten enkeltstående eller på de systemene de oppbevares på, man først ha oversikt over hvilke data virksomheten besitter eller behandler og hvilke tjenester eller systemer behandlingen forekommer på.
Hvilke rettslige eller kontraktbaserte forpliktelser har vi ovenfor disse dataene?
Kartleggingen av krav til de forskjellige informasjonstypene vil gjøre det enklere for virksomheten å beslutte hva som bør gjøres på system- eller tjenestenivå, eller i forhold til den enkelte informasjonstype. Eksempler inkluderer sletteplikter eller oppbevaringsplikter som må iverksettes for enkelte informasjonstyper, eller tilgangsstyring og begrensninger ift. deling, printing, endring, o.l. dersom informasjonen er underlagt krav til konfidensialitet eller taushetsplikt.
Hvordan verktøy kan bistå med å imøtekomme identifiserte krav
Mens virksomheten selv som oftest må beslutte hvilke krav som er gjeldende for deres organisasjon og informasjonstyper, vil de kunne ha god støtte fra verktøy til dataidentifisering og håndheving. For virksomheter som benytter seg av Microsoft, vil man her kunne ha funksjoner som kan bistå med å identifisere hva slags informasjonstyper virksomheten har på de forskjellige tjenestene sine, samt konfigurere regler for hvordan disse informasjonstypene skal brukes, sikres og oppbevares iht. de forpliktelsene virksomheten har identifisert. Særlig relevante funksjoner er Azure Information Protection (AIP), Content Search og Data Loss Prevention (DLP).
AIP er en løsning som muliggjør identifisering, klassifisering og beskyttelse av dokumenter og eposter ved bruk av labels. Med AIP kan man også gjøre identifikasjonssøk og klassifisering i on-prem datasentre og andre skyleverandører. Content Search er et eDiscovery-verktøy som muliggjør søk etter enkelte informasjonstyper på tvers av en rekke Microsoft-produkter, og kan videre bistå med identifiseringsarbeidet. Når man har rede på hvilke informasjonstyper man besitter eller behandler, kan man i DLP sette opp policies for å identifisere, monitorere og automatisk beskytte disse dataene på tvers av Microsoft 365. For eksempel kan man muliggjøre at enkelte dokumenter ikke kan deles med en eller flere parter dersom det foreligger konfidensialitetskrav, eller at det ikke kan slettes dersom man har en lovpålagt oppbevaringsfrist man må imøtekomme.
Interessert i å lære mer?
I samarbeid med Microsoft kjører Move en webinarserie hvor vi utforsker de forskjellige funksjonene man kan benytte for å bedre imøtekomme relevante lovkrav. Her er første webinar fra 17. desember.