Med økende digitalisering og et ekspanderende regulatorisk bilde blir det stadig mer utfordrende å oppnå digital kontroll på dokument-nivå. Prosessen med å styre hele datalivssyklusen som forløper seg i virksomheten kan oppleves som uoverkommelig, og for mange vil anskaffelsen av støtteverktøy være nødvendig.
Microsoft 365 benyttes i stor grad i offentlig og privat sektor til produktivitet og samhandling. Samhandlingsplattformen har en solid portefølje av compliance-verktøy som kan bistå virksomheten med å effektivt identifisere, klassifisere og håndtere informasjon. Viktigheten av å ha kontroll på forvaltning av regelverk ser vi tydelig når stadig flere etterspør hvordan for eksempel personopplysinger blir ivaretatt.
Elektroniske data
Move og Microsoft setter søkelys på hvordan lovkrav som treffer virksomheten kan operasjonaliseres og automatiseres i Microsoft 365 plattformen, og har en serie webinarer om temaet.
Digitalisering har ført til at det i dag produseres enorme mengder elektroniske data, og disse dataene er i større grad enn før tilgjengelig på tvers av systemer og forskjellige arbeidsgrupper. Data som produseres er derimot underlagt individuelle, og tidvis overlappende, lovkrav som sier noe om konfidensialitet, integritet, tilgjengelighet, oppbevaringssted og/eller tidsrammer for oppbevaring.
Hvilke rettslige eller kontraktbaserte forpliktelser har vi ovenfor disse dataene?
Kartleggingen av krav til de forskjellige informasjonstypene vil gjøre det enklere for virksomheten å beslutte hva som bør gjøres på system- eller tjenestenivå, eller i forhold til den enkelte informasjonstype.
Eksempler inkluderer sletteplikter eller oppbevaringsplikter som må iverksettes for enkelte informasjonstyper, eller tilgangsstyring og begrensninger i forhold til deling, printing, endring, og liknende dersom informasjonen er underlagt krav til konfidensialitet eller taushetsplikt.
Move kjører en webinarserie om praktisk operasjonalisering av lovkrav i Microsoft 365. Les mer her!
Hvordan verktøy kan bistå med å imøtekomme identifiserte krav?
Mens virksomheten selv som oftest må beslutte hvilke krav som er gjeldende for deres organisasjon og informasjonstyper, vil de kunne ha god støtte fra verktøy til dataidentifisering og håndheving.
For virksomheter som benytter seg av Microsoft, vil man her kunne ha funksjoner som kan bistå med å identifisere hva slags informasjonstyper virksomheten har på de forskjellige tjenestene sine, samt konfigurere regler for hvordan disse informasjonstypene skal brukes, sikres og oppbevares i henhold til de forpliktelsene virksomheten har identifisert. Særlig relevante funksjoner er Azure Information Protection (AIP), Content Search og Data Loss Prevention (DLP).
AIP, Content Search og DLP
AIP er en løsning som muliggjør identifisering, klassifisering og beskyttelse av dokumenter og eposter ved bruk av labels. Med AIP kan man også gjøre identifikasjonssøk og klassifisering i on-prem datasentre og andre skyleverandører.
Content Search er et eDiscovery-verktøy som muliggjør søk etter enkelte informasjonstyper på tvers av en rekke Microsoft-produkter, og kan videre bistå med identifiseringsarbeidet. Når man har rede på hvilke informasjonstyper man besitter eller behandler, kan man i DLP sette opp policies for å identifisere, monitorere og automatisk beskytte disse dataene på tvers av Microsoft 365.
For eksempel kan man muliggjøre at enkelte dokumenter ikke kan deles med en eller flere parter dersom det foreligger konfidensialitetskrav, eller at det ikke kan slettes dersom man har en lovpålagt oppbevaringsfrist man må imøtekomme.
Move kjører en webinarserie om praktisk operasjonalisering av lovkrav i Microsoft 365. Les mer her!
Tekst: Trude Kristensen og Oliver Zengler Jakobsen