Een veilige start met Copilot in 3 stappen

Blog #2 in een serie blogs over Microsoft 365 in de zorg.

Het draait om beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

In ons vorige blog maakten we een start met Copilot voor Microsoft 365 als dé AI-gedreven assistent die de zorg helpt efficiënter te werken. Dat roept meteen de vraag op hoe veilig dit allemaal is. Krijgen medewerkers dan ineens toegang tot gevoelige gegevens? Wat is de impact vanuit regelgeving waaraan je moet voldoen? In dit blog lees je de 3 stappen om met Copilot veilig te starten en effectiever te werken, met behoud van de controle.

De hoeveelheid informatie groeit en wordt vaker uitgewisseld

Met de toenemende digitalisering en de groei van online diensten binnen de zorg neemt ook de hoeveelheid persoonlijke en bedrijfsgevoelige informatie van en over cliënten en patiënten toe. Daarnaast maakt Microsoft 365 het eenvoudig om informatie uit te wisselen met anderen, intern en extern. Denk hierbij aan regionale samenwerkingsverbanden die je in de zorg vaak hebt. Verder stelt wet- en regelgeving (AVG, NIS 2, ISO27001, NEN7510) steeds hogere eisen.

Al deze factoren maken het belangrijk dat we zorgvuldig omgaan met gevoelige informatie. Hoe houd je zicht op het gebruik van je informatie? Wet- en regelgeving speelt hierin een sturende rol, maar de praktijk laat zich daar niet altijd door leiden. Daarbij is het belangrijk ons te realiseren dat het niet altijd kwaadwillenden zijn die gevoelige informatie lekken. Helaas zijn het vooral eigen medewerkers die hiervoor onbewust en onbedoeld verantwoordelijk zijn.

De 3 essentiële stappen voor een veilige start met Copilot

Belangrijk dus om de omgeving met Copilot zo in te richten dat de kans op dit soort fouten minimaal is. Hiervoor onderscheiden we drie stappen:

1. Toegangsbeheer inrichten
2. Inzicht in de informatie verkrijgen
3. Informatie classificeren en beveiligen

Laten we deze stappen illustreren aan de hand van een metafoor die Copilot ons zelf geeft:

“Stel je voor dat je een museum beheert. Met toegangsbeheer bepaal je wie toegang heeft tot welke zalen, zodat alleen geautoriseerde personen bij waardevolle kunstwerken kunnen. Inzicht in je collectie betekent dat je precies weet welke kunstwerken je hebt en waar ze zich bevinden. Informatie classificeren en beveiligen houdt in dat je de waarde van elk stuk bepaalt en passende beveiligingsmaatregelen neemt, zoals extra camera’s voor de meest kostbare stukken.”

Hoe vertalen we dit naar de zorg? Hoe maken we een veilige start met Copilot en beschermen we kostbare informatie in Microsoft 365?

Stap 1: Toegangsbeheer inrichten

Je wilt dat alleen de daartoe bevoegde mensen toegang hebben tot specifieke informatie. Dat geldt niet alleen voor het gebruik van Copilot, maar ook in het algemeen. Veel organisaties richten hun beveiligingsmaatregelen primair op de toegang tot Microsoft 365. Bijvoorbeeld onder welke condities een medewerker of beheerder zich mag aanmelden: wat zijn vertrouwde locaties en apparaten?

Stap 2: Inzicht in je informatie verkrijgen

Tegenwoordig wordt steeds meer informatie uitgewisseld tussen gebruikers en online applicaties. Start informatiebeveiliging in Microsoft 365 daarom met inzicht krijgen in de type gegevens die opgeslagen zijn binnen de inrichting van Microsoft 365 en de gekoppelde systemen. Een Informatieclassificatieschema zorgt voor dit inzicht:

Stap 3: informatie classificeren en beveiligen

Heb je eenmaal inzicht gekregen dan kun je met labels de informatievertrouwelijkheid (rechter kolom) classificeren en extra beschermende maatregelen implementeren. Bijvoorbeeld:

• Informatie onleesbaar maken met encryptie wanneer iemand die informatie wil openen buiten de beveiligde Microsoft 365 inrichting of op een apparaat dat niet in beheer is van de organisatie.
• De bewaar- of vervaltermijn van een bestand of een bericht instellen. Wanneer een medewerker dat bestand per ongeluk wist, blijft het toch voor de organisatie bewaard.
• Met labels kun je beter voldoen aan wettelijke en regelgevende vereisten, zoals de AVG. Labels helpen bij de identificatie en bescherming van persoonlijke en gevoelige informatie.

Zo kan cliëntinformatie andere beschermende maatregelen vragen dan operationele informatie.

Praktisch starten met Copilot

Dat klinkt allemaal logisch, maar hoe start je nu concreet met deze 3 stappen?

1. Toegangsbeheer inrichten
   Voor de inrichting van toegangsbeheer in Microsoft  365 implementeer je voorwaardelijke toegang (ook bekend als Conditional access) volgens best practices. Hiermee bepaal je onder welke condities medewerkers, beheerders of externen toegang mogen krijgen tot je Microsoft 365 inrichting.
2. Inzicht in je informatie verkrijgen
   Om inzicht in je informatie te verkrijgen gaan we aan de slag met Microsoft Purview. Purview biedt een governance- en compliance-laag bovenop Microsoft 365. Daarmee maak je informatie beschikbaar voor verwerking door Copilot.
3. Informatie classificeren en beveiligen
   Purview fungeert ook als “datapolitie” door met labels de vertrouwelijkheid van informatie te classificeren en te beschermen, de compliance te bewaken, risico’s te mitigeren en te zorgen dat Copilot alleen toegang krijgt tot toegestane informatie.

In ons volgende blog gaan we dieper in op Purview en bespreken we enkele praktijkcases.