De bibliotheek
In onze vorige blog vergeleken we je informatievoorziening met een bibliotheek die elke dag voller stroomt met nieuwe boeken, mappen en losse blaadjes. Die constante groei is precies de reden waarom grip houden zo essentieel is. Niet alleen om aan de wet te voldoen, maar vooral om te zorgen dat je collega’s en Copilot niet verdrinken in de data.
Achterhaalde informatie
Wanneer de informatievoorziening binnen een organisatie niet gezond is. Bijvoorbeeld door kopieën van dezelfde documenten op verschillende plekken en het niet opruimen van achterhaalde informatie. Wordt het voor medewerkers lastig, zo niet onmogelijk, om hun werk goed uit te voeren of een juiste beslissing te nemen. Het ontbreken van goed beleid, leidt tot verwarring en inefficiëntie.
Ook Microsoft 365 Copilot kan geen onderscheid maken tussen oude, achterhaalde informatie en nieuwe actuele data. Hierdoor bestaat het risico dat medewerkers op het verkeerde been worden gezet. Het is daarom essentieel om achterhaalde informatie regelmatig op te ruimen of te archiveren, zodat alleen relevante en actuele informatie beschikbaar is.
Mensen zijn van nature niet goed in het structureel opruimen van informatie. Zij hebben hier hulp bij nodig. Microsoft Purview biedt uitkomst in het opschonen en archiveren van gegevens met retentie labels. In deze blogreeks zullen we verder toelichten hoe Microsoft Purview organisaties helpt om grip te krijgen (houden) op hun informatievoorziening.
Informatie op de verkeerde plek
Een veelvoorkomend probleem binnen organisaties is het opslaan van informatie op een verkeerde locatie. Microsoft Teams is juist ontworpen om documenten en conversaties centraal te bundelen. In een ideale situatie worden zowel de documenten als de discussies daarover netjes ondergebracht in het juiste team en binnen het juiste kanaal. Zo blijft de samenhang tussen informatie en context behouden.
Wanneer documenten en bijbehorende discussies niet op deze logische plek worden opgeslagen, ontstaat verwarring. Medewerkers die informatie zoeken over een bepaald onderwerp zullen in het corresponderende team en kanaal kijken. Wordt de benodigde informatie daar niet gevonden, dan ligt het voor de hand dat men ervan uitgaat dat deze informatie simpelweg niet bestaat. Dit belemmert niet alleen het efficiënt terugvinden van gegevens, maar kan ook de besluitvorming en het dagelijks werk negatief beïnvloeden.
Het belang van helder beleid
Het succesvol organiseren van bovenstaande processen vraagt om een zorgvuldige aanpak. Het ontwikkelen van beleid is een belangrijke stap om grip te krijgen op je informatievoorziening. Pas wanneer dit beleid breed gedragen is binnen de organisatie, kun je gericht starten met het invoeren van specifieke maatregelen en controles.
Wees helder over wat je van medewerkers verwacht rondom informatieverwerking. Goede bedoelingen zijn er meestal wel, maar niet iedereen handelt altijd zoals je zou willen. Spreek elkaar daarom op een positieve manier aan als het dreigt mis te gaan.
Een goed beleid wordt actief uitgedragen, bijvoorbeeld door het op te nemen bij het inwerken van nieuwe medewerkers. Zo wordt vanaf het eerste moment duidelijk wat er van iedereen wordt verwacht rondom het omgaan met informatie binnen de organisatie. Dit draagt bij aan een cultuur waarin informatiebeheer vanzelfsprekend is en iedereen weet wat de afspraken zijn.
Digitale Etiquette
Wat ik zelf een krachtig punt vindt is het opstellen van digitale etiquette. Dit is eigenlijk de vertaling van het beleid op het werkproces. Dit kan per afdeling verschillen en dat is volgens mij prima. Niet elke afdeling werkt met (hoog)gevoelige informatie en de samenstelling van het team kan anders zijn.
Door dataeigenaren te benoemen, die toezien op de verwerking van de informatie, krijg je regie. Zij zien daadwerkelijk wat er operationeel gebeurt en kennen het beleid. Het doel is om het collectief te dienen met respect voor het individu. Ik hoor natuurlijk graag van jullie als je dit anders ziet.
Beleid voor Informatiebeveiliging
Het opstellen van beleid voor informatie is veel meer dan een IT-feestje. Het beleid is erop gericht de risico’s te beheersen. Daarnaast biedt het beleid richtlijnen over hoe men behoort om te gaan met zowel de informatie van de organisatie als die van haar klanten.
Dit beleid is vaak wettelijk bepaald, zoals door de Algemene Verordening Gegevensbescherming (AVG). Met de opkomst van AI-oplossingen komt daar de AI Act bij. Het niet naleven van deze regels kan ernstige gevolgen hebben. Denk hierbij aan boetes wegens het niet voldoen aan wettelijke verplichtingen, of reputatieschade wanneer blijkt dat een organisatie haar informatiebeheer niet op orde heeft. Zulke voorbeelden zijn talrijk en illustreren het belang van zorgvuldig informatiebeleid.
Het beleid geldt niet alleen voor interne medewerkers, maar is ook van toepassing op externe medewerkers, leveranciers en anderen die samenwerken aan de informatie.
Ook hier weer, ga er niet zondermeer vanuit dat men acteert zoals gewenst. Informeer men actief zoals je dat doet met interne medewerkers.
Maar nu concreet
Begin met het in kaart brengen van je informatiesystemen. In een Microsoft 365 omgeving gaat het vaak om Microsoft Teams/SharePoint, OneDrive en Outlook, maar houd er rekening mee dat andere gebruikte systemen ook onder dit beleid vallen.
Door informatie te classificeren met vertrouwelijkheidslabels (ook wel sensitivity labels genoemd) op basis van gevoeligheid en risico’s, bepaal je welke beveiligingsmaatregelen nodig zijn en hoe informatie wordt opgeslagen, verwerkt en gedeeld.
In onze blogserie benadrukken we het belang van vertrouwelijkheidslabels. Of je nu handmatig classificeert (met een Business Premium-licentie) of automatisch (met een Enterprise E5-licentie), het draait om het aangeven van de gevoeligheid van de inhoud. Dit kan betrekking hebben op documenten, e-mails of andere gegevens.
De gevoeligheid van informatie hangt af van de inhoud en vereist toetsbare criteria. Goede training voor alle medewerkers is noodzakelijk.
Conclusie
Een veilig en werkbaar Microsoft 365 landschap vraagt om continue aandacht. Het beleid moet meebewegen met de techniek en de wet. Alleen zo voorkom je datalekken, boetes of imagoschade, en zorg je dat je medewerkers efficiënt kunnen blijven werken met tools als AI.