Bijzondere persoonsgegevens in de Microsoft cloud beschermen met DLP

Het is in menig overheidskantoor het gesprek van de dag onder informatiebeheerders, privacy officers, CISO’s en functionarissen gegevensbescherming: bijzondere persoonsgegevens opslaan in Microsoft 365. “Het mag niet, het kan niet en moet je überhaupt nog wel M365 willen gebruiken?”, etc. Ondertussen wanen ze zich veiliger met de opslag van deze informatie op hun gemeenschappelijke schijven. Want dat is immers niet in de cloud. Dat het opslaan en delen van documenten, e-mails en berichten met privacy gevoelige informatie, ondanks wettelijke restricties en DPIA’s toch wel gebeurt en zich daarbij niet stoort aan de gekozen locatie weten we allemaal ook. Wat kunnen we doen, na overleg en nota’s? We kunnen bijvoorbeeld vanaf vandaag de risico’s flink verminderen door met Microsoft Purview Preventie van Gegevensverlies (Data Loss Prevention, DLP) deze soorten gegevens automatisch te traceren, automatisch te laten beoordelen en DLP automatisch actie te laten ondernemen. Deze blog bevat  – een beetje op verzoek – een voorbeeld van een custom DLP-beleid, voor ziekten en aandoeningen.

AVG en documentopslag met bijzondere gegevens

De AVG maakt onderscheid tussen persoonsgegevens, zoals een huisadres, en bijzondere persoonsgegevens, zoals religie, etnische achtergrond en medische informatie van en over personen. De categorie bijzondere persoonsgegevens is verboden te verwerken, tenzij er een wettelijke uitzondering is. Sommige organisaties kunnen vanuit hun primaire doelstelling en taak er niet omheen dat ze documenten en berichten met bijvoorbeeld medische gegevens opslaan, delen en verzenden. Maar eigenlijk hebben alle organisaties in hun secundaire processen, zoals HR, deze gegevens in beheer. En juist in deze ondersteunende processen werd vaak gewerkt met fileshare en mail. Vaak wisten we niet meer bescherming te bieden dan er ‘een hekje’ van een beperkte AD-groep om heen te plaatsen. Inmiddels is dat materiaal veelal gemigreerd naar Microsoft 365. En doet zich de wonderlijke tegenstrijdigheid voor dat die gegevens daar beter te beschermen zijn dan voorheen op de fileshare.

Wat is DLP?

In essentie is DLP een oplossing die gegevens (of beter gezegd: patronen in gegevens) opmerkt in documenten, chat en e-mail berichten in Microsoft 365. De oplossing biedt aanvullend mogelijkheden om deze gegevens ook te traceren op devices en op fileshares of andere offline bronnen. Na het vinden van de gegevens kan de oplossing maatregelen treffen om 1. verspreiding intern of extern te voorkomen of te beperken, 2. Gebruiker en/of belanghebbenden (eigenaar van de site, een FG of CISO) op de hoogte stellen, 3. een ‘beleidstip’ geven, 4. rapportages generen.

Standaard biedt de DLP-oplossing kant en klare datasets in de vorm van combinaties van zgn gevoelige informatietypes (Sensitive Information Types, SITs). Zo kan je met de set ‘AVG (Algemene Verordening Gegevensbescherming), uitgebreid’ o.a. Nederlandse huisadressen, rijbewijsnummers, BSN-nummers, paspoortnummers, bankgegevens en creditcard nummers traceren en beschermen. Een SIT is daarbij in staat om niet alleen een cijferreeks te vinden, maar ook secundaire gegevens in de nabijheid daarvan, zoals ‘BSN’ of ‘persoonsnummer’ op te merken.

Nieuw DLP-beleid aanmaken in Purview

 

Zelf een beleid ontwerpen: eerst een SIT

Je kunt een beleid maken met zo’n standaard dataset, maar ook zelf aan de slag met een op zo’n zelf ontworpen SIT gebaseerd beleid. Stel dat we willen voorkomen dat documenten en berichten met daarin ziekten en aandoeningen ongemerkt de organisatie verlaten, door delen en verzenden. Daarvoor maak je in Purview eerst een SIT aan in de oplossing Gegevensclassificatie onder de tab Typen gevoelige informatie. Je ziet daar dat Microsoft al heeft gezorgd voor definities van meer dan 300 typen gevoelige informatie. Ik maakte een nieuw type aan en noemde die ‘Ziekten en aandoeningen’. Je wordt dan gevraagd een ‘Patroon’ aan te maken. Ook dat Patroon noemde ik Ziekten en aandoeningen. Ik importeerde van internet een alfabetische lijst met ziekten variërend van Aambeien tot Zwemmerseczeem. Je kan er een lijst van ‘Ondersteunende elementen’ mee verbinden. Daarmee kan de waarschijnlijkheid van de match in een document worden verbeterd. Stel dat bepaalde formulieren of documenten de tekst ‘Ziekte of aandoening: …’ bevatten, dan is het handig die woorden op te nemen in de lijst met Ondersteunende elementen. Je kan ook nog de nabijheid instellen. Je kan de mate waarin Ondersteunende elementen voorkomen nader instellen voor een grotere betrouwbaarheid. Ook kunnen aanvullend ‘extra controles’ worden ingesteld, die anticiperen op false positives. Ik stel me zo voor dat we dan ‘ik heb griep’ zouden kunnen uitsluiten, maar het kan ook bepaalde sterk gelijkende cijferreeksen van elkaar onderscheiden. Op deze manier zouden ook SITs kunnen worden aangemaakt voor iedere andere concrete categorie bijzondere persoonsgegevens die in de organisatie wordt gebruikt.

Trefwoordenlijst toevoegen in een SIT, in Purview

Dan een custom DLP-beleid

Als we de SIT hebben aangemaakt, kunnen we een nieuw custom DLP-beleid formuleren, dat gebruik maakt van de SIT. In het beleid bepaal je waar het van toepassing is (bv op SharePoint, OneDrive, Exchange en Teams chat) en heb je de mogelijkheid daar locaties en gebruikers bij in- of juist uit te sluiten. Bij dit laatste moest ik even aan de bedrijfsarts denken, die wil je mogelijk niet beperken in zijn communicatie over ziekten en aandoeningen.

Ook bepaal je welke acties na detectie worden ondernomen door het systeem. Mag de gebruiker het item nog wel extern delen? De gebruiker krijgt een ‘beleidstip’ te zien die je zelf formuleert. Dat werkt informatief en opvoedend. Ook kunnen detecties worden gerapporteerd. Wie moet dit weten? Ook kan je bepalen dat de gebruiker het ingestelde beleid mag negeren, maar bijvoorbeeld alleen na invullen van argumenten. En in de Activiteitenverkenner van de DLP oplossing in Purview zie je precies wanneer, hoe vaak en bij wie en waar mijn beleid Ziekten en aandoeningen een match had. Ik zie meteen dat een bepaalde OneDrive risicovol documenten deelt met externen. En dat de gespreksverslagen van HR bijzondere persoonsgegevens bevatten. Zo houd je controle!

Je kan een DLP-beleid eerst testen in je tenant voordat je het beleid definitief maakt, dat is mooi. In mijn M365 tenant zag ik dat het beleid al snel (binnen een uur) werd doorgevoerd op alle locaties. Bij documenten in de bibliotheek verschijnen binnen enkele minuten na toevoeging van een gegeven rode icoontjes (verbodsbordjes) om te waarschuwen. In documenten en e-mail verschijnt bovenin een gele banner met de beleidstip.

Gebruikersperspectief: DLP in SharePoint met Beleidstip en keuzes

Het grote voordeel van DLP is dat het beleid werkt zolang de gedefinieerde gegevens voorkomen in een document, zodra ik die verwijder komt het beleid ook weer te vervallen. Waar we voorheen dus erg afhankelijk waren van het bewust plaatsen van een document in een beperkt toegankelijke omgeving (maar dan nog steeds konden delen, door een attachment te verzenden!) hebben we nu meer vrijheid als gebruiker. Terwijl er toch steeds goed op ons wordt gelet.

Bestand met Beleidstip ivm door DLP gedetecteerde gegevens uit SIT

Bijzondere persoonsgegevens: vaak een abstracte term, maar natuurlijk draait het om concrete woorden, begrippen, gegevens en patronen in documenten en berichten. We kunnen de opslag en het delen ervan veiliger maken, door vandaag te beginnen met de standaard AVG dataset en morgen met onze eigen organisatie-specifieke gevoelige informatie-typen!


Afbeelding: Unsplash, National Cancer Institute, Dr. Roger J. Berry, Radiation Branch,  giving a presentation 1962

Over de auteur

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *