Purview met Traffic Light Protocol en Data Loss Prevention

Purview voor Copilot met Vertrouwelijkheidslabels

Blog #3 in een serie blogs over Microsoft 365 in de zorg.

Vraag: Wat gebeurt er zodra een organisatie de Copilot-knop activeert? Is dan gelijk alle informatie via Copilot voor medewerkers te vinden?

Wij krijgen deze vraag vaak van klanten. Zij willen starten met Copilot, maar wel op een veilige manier. Er leeft dan een zekere angst dat de maatregelen om informatie te beschermen onvoldoende zijn of dat men iets over het hoofd ziet.

Gelukkig is die angst niet nodig. In deze blog laten wij je zien hoe je met Purview en het Traffic Light Protocol (TLP) en Data Loss Prevention (DLP) controle houdt over de informatie die je via Copilot aanbiedt.

Het startpunt voor veel organisaties met Copilot en Purview

De meeste organisaties hebben aan hun medewerkers wel toegangsrechten voor informatie uitgegeven, maar die rechten zijn vaak verouderd. Je kunt er als organisatie niet meer op vertrouwen. Op zich is het goed toegangsrechten actief te onderhouden, maar daarnaast zijn andere maatregelen effectiever om gegevens maximaal te beschermen. Purview geeft je grip op de informatie die je via Copilot wel óf niet wilt aanbieden en hoe je die beschermt.

Copilot

Voor alle duidelijkheid: Copilot werkt als een zoekmachine: verzamelt, bundelt, analyseert en presenteert informatie uit SharePoint, Teams, OneDrive, Outlook en informatie van het internet. Copilot slaat hiervan zelf geen informatie op.

De vraag is vooral: tot welke informatie heeft Copilot toegang en welke informatie mag Copilot als antwoord aanbieden? Alleen toegangsrechten van medewerkers schieten hiervoor tekort. Voor maximale bescherming van informatie hebben we extra middelen nodig die Copilot tot een veel gebruikte, veilige tool maken.



Purview Vertrouwelijkheidslabels

Purview is een beveiligingsoplossing van Microsoft 365 waarmee organisaties beschermende maatregelen implementeren op basis van de gevoeligheid van informatie. Die gevoeligheid varieert meestal van:

groen: openbaar delen toegestaan
oranje: beperkt openbaar delen
rood: zeer vertrouwelijk

Je stelt dit in met Vertrouwelijkheidslabels. Het Traffic Light Protocol (TLP) is hiervoor een veel toegepast hulpmiddel.

Traffic Light Protocol (TLP)

TLP is een internationaal erkende methode om gevoelige informatie te labelen. Juist stoplichtkleuren lenen zich hiervoor. Ze zijn eenvoudig te begrijpen en te onthouden, zodat medewerkers zich bewust zijn van hoe vertrouwelijk informatie is en hoe je die dus behandelt en met wie je die mag delen.

Voorbeeld

Zo zijn de notulen (een Office-document) in onderstaand plaatje oranje gelabeld: Vertrouwelijk – Extern. Beperkte openbaarmaking, ontvangers kunnen dit alleen verspreiden op een “need-to-know” basis binnen hun organisatie en haar cliënten. De opsteller van deze notulen heeft dit label zelf toegekend. Het is ook mogelijk het systeem zo in te richten dat notulen automatisch het label oranje krijgen.

Een Office-document dat geclassificeerd is met vertrouwelijk. Zie het oranje schildje bovenaan.



Data Loss Prevention: de datapolitie die waakt over gevoelige informatie

Met TLP hebben we de eerste stap gezet. Maar drie leuke kleurtjes zijn nog niet voldoende om controle te houden over de gegevens die Copilot verwerkt. Nadat je met Purview Vertrouwelijkheidslabels aan informatie hebt gehangen, kun je met Data Loss Prevention (DLP) data echt beschermen.

In DLP selecteer je namelijk de Vertrouwelijkheidslabels die je niet wilt laten verwerken door Copilot. Zodra je documenten hebt gelabeld (met oranje of rood), zorgt DLP ervoor dat Copilot de documenten met deze labels respecteert door de informatie uit deze documenten niet op te nemen in de antwoorden van Copilot. Dit helpt bijvoorbeeld organisaties zeer gevoelige informatie, zoals privégegevens van medewerkers, uit te sluiten van Copilot.

Voorbeeld

Hieronder laten wij je zien hoe dat er in Microsoft Teams uit ziet. Een medewerker stelt een vraag aan Copilot (de prompt in het blauwgrijze vlak) en neemt daarbij mee een link mee naar een bepaald document. Dat document heeft het label Zeer vertrouwelijk (toegekend met TLP). DLP zorgt ervoor dat Copilot aangeeft dat je geen informatie uit het document mag delen (zie de reactie van Copilot in het plaatje).

De prompt verwijst naar een vertrouwelijk document. Ondanks dat geeft Copilot geen informatie uit het document.

DLP is een praktische oplossing die weinig gebruikersbegeleiding vraagt. Deze feature is momenteel als preview beschikbaar en komt volgens planning algemeen beschikbaar medio maart 2025.

Praktisch starten met Purview

Een veilige start met Copilot vraagt om goede toegangsbescherming en databescherming. Purview geeft met Vertrouwelijkheidslabels en DLP de volledige controle over de informatie die je via Copilot aanbiedt. Vertrouwelijkheidslabels herinneren medewerkers aan de gevoeligheid van informatie en de correcte omgang hiermee. Data Loss Prevention ondersteunt de labels en biedt uitkomst om gegevens uit te sluiten voor Copilot. Hiermee voldoet de organisatie aan de basisinvulling van wet- en regelgeving en ISO27001 / NEN7510, die het organisaties verplicht hun informatie te classificeren.

Conclusie

Met Purview maak je een veilige start met Copilot. Je beschermt en beheert (vertrouwelijke) gegevens en maakt compliant werken mogelijk. Purview draagt zo bij aan een veilige, efficiënte en betrouwbare werkplek voor de zorg.

In ons volgende blog kijken we verder naar de praktijk van labelen.

Weten waar u staat met Microsoft 365?

Neem contact op en we gaan daarover graag het gesprek met u aan.

Mischa Oudenbroek

Microsoft 365 architect

06 - 57216172
moudenbroek@ram-it.nl

Pieter Verdult

Accountmanager Care

06 - 83 30 77 04
pverdult@ram-it.nl

Lees al onze blogs over Microsoft 365 en Copilot

Copilot en Copilot voor Microsoft 365 - Blog #1

Cookie	Duur	Beschrijving
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duur	Beschrijving
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_RXM43K6F59	2 years	This cookie is installed by Google Analytics.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	10 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duur	Beschrijving
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Purview, het stoplicht dat informatieverkeer veilig houdt. Blog #3 in de serie over Copilot

Blog #3 in een serie blogs over Microsoft 365 in de zorg.

Vraag: Wat gebeurt er zodra een organisatie de Copilot-knop activeert? Is dan gelijk alle informatie via Copilot voor medewerkers te vinden?

Het startpunt voor veel organisaties met Copilot en Purview

Copilot