Blog #2 in een serie blogs over Microsoft 365 in de zorg.
Het draait om beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
In ons vorige blog maakten we een start met Copilot voor Microsoft 365 als dé AI-gedreven assistent die de zorg helpt efficiënter te werken. Dat roept meteen de vraag op hoe veilig dit allemaal is. Krijgen medewerkers dan ineens toegang tot gevoelige gegevens? Wat is de impact vanuit regelgeving waaraan je moet voldoen? In dit blog lees je de 3 stappen om met Copilot veilig te starten en effectiever te werken, met behoud van de controle.
De hoeveelheid informatie groeit en wordt vaker uitgewisseld
Met de toenemende digitalisering en de groei van online diensten binnen de zorg neemt ook de hoeveelheid persoonlijke en bedrijfsgevoelige informatie van en over cliënten en patiënten toe. Daarnaast maakt Microsoft 365 het eenvoudig om informatie uit te wisselen met anderen, intern en extern. Denk hierbij aan regionale samenwerkingsverbanden die je in de zorg vaak hebt. Verder stelt wet- en regelgeving (AVG, NIS 2, ISO27001, NEN7510) steeds hogere eisen.
Al deze factoren maken het belangrijk dat we zorgvuldig omgaan met gevoelige informatie. Hoe houd je zicht op het gebruik van je informatie? Wet- en regelgeving speelt hierin een sturende rol, maar de praktijk laat zich daar niet altijd door leiden. Daarbij is het belangrijk ons te realiseren dat het niet altijd kwaadwillenden zijn die gevoelige informatie lekken. Helaas zijn het vooral eigen medewerkers die hiervoor onbewust en onbedoeld verantwoordelijk zijn.
De 3 essentiële stappen voor een veilige start met Copilot
Belangrijk dus om de omgeving met Copilot zo in te richten dat de kans op dit soort fouten minimaal is. Hiervoor onderscheiden we drie stappen:
- Toegangsbeheer inrichten
- Inzicht in de informatie verkrijgen
- Informatie classificeren en beveiligen
Laten we deze stappen illustreren aan de hand van een metafoor die Copilot ons zelf geeft:
“Stel je voor dat je een museum beheert. Met toegangsbeheer bepaal je wie toegang heeft tot welke zalen, zodat alleen geautoriseerde personen bij waardevolle kunstwerken kunnen. Inzicht in je collectie betekent dat je precies weet welke kunstwerken je hebt en waar ze zich bevinden. Informatie classificeren en beveiligen houdt in dat je de waarde van elk stuk bepaalt en passende beveiligingsmaatregelen neemt, zoals extra camera’s voor de meest kostbare stukken.”
Hoe vertalen we dit naar de zorg? Hoe maken we een veilige start met Copilot en beschermen we kostbare informatie in Microsoft 365?
Stap 1: Toegangsbeheer inrichten
Je wilt dat alleen de daartoe bevoegde mensen toegang hebben tot specifieke informatie. Dat geldt niet alleen voor het gebruik van Copilot, maar ook in het algemeen. Veel organisaties richten hun beveiligingsmaatregelen primair op de toegang tot Microsoft 365. Bijvoorbeeld onder welke condities een medewerker of beheerder zich mag aanmelden: wat zijn vertrouwde locaties en apparaten?
Stap 2: Inzicht in je informatie verkrijgen
Tegenwoordig wordt steeds meer informatie uitgewisseld tussen gebruikers en online applicaties. Start informatiebeveiliging in Microsoft 365 daarom met inzicht krijgen in de type gegevens die opgeslagen zijn binnen de inrichting van Microsoft 365 en de gekoppelde systemen. Een Informatieclassificatieschema zorgt voor dit inzicht:
Informatieclassificatieschema organisatie XYZ | |||||
Klasse | Naam van informatie | Wet / Contract | Beschikbaarheid | Integriteit | Vertrouwelijkheid |
1 | Cliëntinformatie | AVG / Contact | Hoog | Hoog | Hoog |
2 | Persoonsgegevens medewerkers | AVG | Midden | Midden | Midden |
3 | Operationele informatie | Midden | Midden | Laag |
Stap 3: informatie classificeren en beveiligen
Heb je eenmaal inzicht gekregen dan kun je met labels de informatievertrouwelijkheid (rechter kolom) classificeren en extra beschermende maatregelen implementeren. Bijvoorbeeld:
- Informatie onleesbaar maken met encryptie wanneer iemand die informatie wil openen buiten de beveiligde Microsoft 365 inrichting of op een apparaat dat niet in beheer is van de organisatie.
- De bewaar- of vervaltermijn van een bestand of een bericht instellen. Wanneer een medewerker dat bestand per ongeluk wist, blijft het toch voor de organisatie bewaard.
- Met labels kun je beter voldoen aan wettelijke en regelgevende vereisten, zoals de AVG. Labels helpen bij de identificatie en bescherming van persoonlijke en gevoelige informatie.
Zo kan cliëntinformatie andere beschermende maatregelen vragen dan operationele informatie.
Bewustwording medewerkers
Een bijkomend effect van informatie labelen is de bewustwording van medewerkers die dit oplevert. Labels fungeren als visuele indicatoren in documenten en e-mails. Dat maakt medewerkers bewust van de gevoeligheid van de informatie waarmee ze werken en moedigt hen aan voorzichtig te zijn, bijvoorbeeld om bepaalde informatie niet te delen.
Beleid op orde
Vertrouwelijkheidslabels toepassen op informatie vereist dat je beleid voor informatiebeheer op orde is. Zo zul je de eisen van je organisatie in termen van Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie helder moeten beschrijven. Dit helpt om informatie veilig en efficiënt te beheren. Daarmee draag je bij aan een moderne en veilige digitale werkplek waarmee zorgverleners hun werk op de best mogelijke manier kunnen doen.
Praktisch starten met Copilot
Dat klinkt allemaal logisch, maar hoe start je nu concreet met deze 3 stappen?
- Toegangsbeheer inrichten
Voor de inrichting van toegangsbeheer in Microsoft 365 implementeer je voorwaardelijke toegang (ook bekend als Conditional access) volgens best practices. Hiermee bepaal je onder welke condities medewerkers, beheerders of externen toegang mogen krijgen tot je Microsoft 365 inrichting. - Inzicht in je informatie verkrijgen
Om inzicht in je informatie te verkrijgen gaan we aan de slag met Microsoft Purview. Purview biedt een governance- en compliance-laag bovenop Microsoft 365. Daarmee maak je informatie beschikbaar voor verwerking door Copilot. - Informatie classificeren en beveiligen
Purview fungeert ook als “datapolitie” door met labels de vertrouwelijkheid van informatie te classificeren en te beschermen, de compliance te bewaken, risico’s te mitigeren en te zorgen dat Copilot alleen toegang krijgt tot toegestane informatie.
Conclusie
Een veilige start met Copilot maak je in drie stappen, waarmee je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie waarborgt. Samen versterken deze drie stappen elkaar en vormen ze een geïntegreerde aanpak voor een veilige, efficiënte en betrouwbare digitale werkplek voor de zorg.
In ons volgende blog gaan we dieper in op Purview en bespreken we enkele praktijkcases.
Weten waar u staat met Microsoft 365?
Neem contact op en we gaan daarover graag het gesprek met u aan.
Pieter Verdult
Accountmanager Care
06 - 83 30 77 04
pverdult@ram-it.nl