GDPR bylo navrženo tak, aby chránilo každého jednotlivého z nás. Každý máme právo se svobodně rozhodnout, jestli poskytneme informace o své osobě někomu dalšímu a když už to uděláme, tak bychom měli mít představu o tom 1) za jakým účelem budou uchovávány a 2) na jak dlouho. Měli bychom mít právo „být zapomenuti“, když si to přejeme a měli bychom být informováni o tom, že došlo k závažnému úniku informací pokaždé, když se nás to přímo týká.

Nařízení jako takové není nic nového – nahrazuje původní dokument z roku 1995 vedený pod číslem 95/46/EC zabývající se ochranou osobních údajů, který však byl označený za nevyhovující již v roce 2012. Revidovaný dokument pod novým názvem GDPR byl definován roku 2015, v roce 2016 schválen a 25. května 2018 budou jeho nařízení vyžadována všemi institucemi EU. V podstatě jakákoliv organizace působící na území EU ať už sídlem, pobočkou nebo službou, která má alespoň 1 zaměstnance a musí zpracovávat jeho osobní údaje, podléhá GDPR. Každý jednotlivý zaměstnanec pak musí být proškolen jak nakládat s informacemi osobní povahy, takže se to týká nás všech.

Jste připraveni na GDPR? Jste v současné chvíli schopni dokázat, že jsou záznamy Vašich zákazníků a nebo zaměstnanců v bezpečí? Jakým způsobem sledujete předávání informací mezi obchodním oddělením a mzdovou účtárnou, registrem úvěrů nebo mezi bankou a Vaší firmou? Jste si naprosto jistí, že při takové výměně dat nemůže dojít k únikům? Jak získáváte data do respondentů do svých databází? Máte u každého jednotlivého kontaktu ve Vaší databázi uložený také jeho Souhlas s poskytnutím osobních údajů? Jsou Vaším respondentem děti do 16ti let věku? Jak a kde uchováváte formuláře v papírové podobě? Co Vám říká pojem elektronický záznam? Šifrujete? Zálohujete? Takové otázky Vás čekají, a to je výše uvedený výčet pouhý vzorek.

Pokud nezačnete GDPR řešit včas, čeká Vás pokuta.

Protože identifikace, klasifikace a archivace dat nějaký ten čas zabere, začněte už dnes. Prostudujte si nařízení a vyrobte si plán nebo najděte firmu, která celé problematice rozumí a sestaví pro Vás podrobný seznam kroků. Pokuste se vypracovat seznam všech typů dokumentů, ať už elektronických nebo papírových, které obsahují osobní data podléhající GDPR a založte si databázi souhlasů s poskytnutými osobními údaji. Nepotřebná data smažte. Nastavte pravidla pro práci s novými dokumenty a pravidelně na jejich dodržování dohlížejte. A nestyďte se volat o pomoc – ať už s výběrem vhodných nástrojů pro práci s daty, nějakou tu právní konzultaci spojenou s vyhotovováním povinných dokumentů nebo s najímáním nových zaměstnanců plnících roli auditora. My se teď společně podíváme na to, jak nám s tím vším může pomoci Microsoft a jeho Office 365.

Firma Microsoft vydala prohlášení ve kterém říká, že všechny jeho aktuálně nabízené a plně podporované produkty dostupné na trhu budou v souladu s GDPR pravidly přesně 25. května 2018 (tedy včas). Popravdě, oni na tom už nějakou tu chvíli pracují a přípravy jsou vidět úplně všude. Na první pohled by se mohlo zdát, že je celá tahle věc vůbec nemusí zajímat, jsou přeci americkou firmou, jenže my už teď víme, že GDPR se vztahuje na kohokoliv kdo operuje na Evropském trhu. Navíc, od firmy takové velikosti dodávající software takové důležitosti se tak nějak očekává, že se k celé věci postaví čelem. Nejen, že produkty a služby splňují neuvěřitelné množství standardů a certifikací platných po celém světě (jen pro Azure je to tuším 54 různých standardů), ale neustále přibývají další a všechny již jednou oceněné služby jsou pravidelně kontrolovány, takže vždy aktuální. Microsoft se snaží ještě víc. Možná to víte a možná že ne, ale v Evropě existuje několik zemí, které nemohou používat cloudové služby v plném rozsahu z definice lokálního zákona o uchovávání informací a Microsoft to docela dlouho trápilo, protože jde o celkem velký trh. Také díky tomu teď pracuje na své síti datacenter a na možnosti vybrat si svůj region už v procesu zakládání tenantu, což do nedávna nebylo vůbec možné. Teď si můžete vybrat z 38 různých regionů asi 100 datacenter uspořádaných do tří obřích kontinentálních sítí.

Office 365 je plný nástrojů a funkcí, které Vám s GDPR pomohou. Pojďme si je představit pěkně jeden po druhém.

DATA LOSS PREVENTION

Data loss prevention (DLP) jsou zásady sloužící pro identifikaci citlivých dat obsahu. V tuto chvíli je  přednastaveno zhruba 80 typů formátů citlivých dat, které můžete použít pro svoje pravidla hledání ve OneDrive, Exchange a SharePointu nebo SharePointu online a funguje tady i český formát rodného čísla nebo občanky. V praxi prostě jen vyberete ten správný druh informace co hledáte a počkáte si na seznam všech míst a souborů, ve kterých se nachází. Na pozadí toho všeho je Search Service a značky (neboli labels), kde se během procesu analýzy obsahu porovnávají získaná data také proti DLP pravidlům něčím, čemu se říká „classification component“. Nástroj Data Loss Prevention je dostupný pro Enterprise plány začínající číslem 3 nebo pro SharePoint 2016 public beta 2 a pomůže Vám s prvními dvěma fázemi GDPR – analýzou a zpracováním dat.

(ADVANCED)  eDISCOVERY

Office 365 eDiscovery je vyhledávací nástroj s troškou těch „machine learning“ technik, které můžete použít k vyhledávání textových řetězců, metadat a relevantních dokumentů v Office 365 (OneDrive, Exchange a SharePoint online) nebo SharePointu 2013 & 2016. Office 365 Advanced eDiscovery s modulem analýz je pak dostupný pouze pro plán E5. Pokud chcete eDiscovery začít používat, nejdříve musíte založit něco čemu se říká „case“, pak k němu přiřadit roli nebo uživatele a klíčová slova která ho definují, pak stačí počkat na nové přírůstkové hledání a zkontrolovat výsledky. eDiscovery Vám pomůže s první a poslední fází GDPR – s analýzou a následně pak s reportováním.

OFFICE 365 AUDIT LOGS

Nástroj Office 365 audit log protokoluje obrovské množství událostí uživatelů a správců v Office 365 a Azure Active Directory už od plánu E3. Pomáhá reagovat na hrozící rizika a rozpoznávat potencionální úniky dat pro mnoho kategorií od práce se soubory, přes změny konfigurace služeb až po události v Power BI, Yammeru nebo Sway. Notifikace můžete najít na více místech, mimo jiné také v Security & Compliance centru prolinkem z hlavní stránky. Pro pořádek dodávám, že on-premise verze SharePointu 2013 a 2016 mají Audit Log funkce už mnoho let, ale jsou tak na desetině toho, co jsme schopní s O365 logs zaznamenávat. Audit Logy Vám pomůžou s dvěma posledními fázemi GDPR – s kontrolou a reporty.

SECURE SCORE ANALYZER

Jedním z mých nejoblíbenějších nástrojů je Secure Score Analyzer. A teď neřeším jen design, i když je stránka pěkně sladěná, responsivní a přehledná, ale jeho účel a nápad. Je to nástroj, který Vám formou hry pomocí bodů ukáže, jak bezpečné je Vaše prostředí teď a jaké kroky můžete podniknout pro to, aby bylo ještě bezpečnější. Krok po kroku se tak můžete rozhodnout, co ještě pro sebe můžete udělat a kolik bodů za to dostanete a to funguje na hodně lidí (hlavně ty soutěživé). Body se počítají na základě dostupných nástrojů – E3 plán tedy bude mít jiné maximální score než plán E5, ale analyzer je dostupný pro všechny „E“ plány. Pokud ho nenajdete v menu jako dlaždici, stačí když otevřete adresu https://securescore.office.com. Secure Score Analzyer Vám pomůže s kontrolní fází GDPR.

THREAT INTELLIGENCE

Společnost Microsoft vybudovala rozsáhlé úložiště informací o hrozbách z milionů různých zdrojů a nástroj Threat Intelligence pomáhá proaktivně vyhledávat potencionální problémy pomocí analýzy chování uživatelů, prověřování příloh e-mailů nebo analýzy odkazů, což není na pozadí nic jiného, než Intelligent Security Graph. Všechno tohle zvládne Real-time. Když je tenant plný dat a používaný, můžete krásně vidět počet hrozeb zastavených denně, procento úspěšnosti a doporučení zanalyzovaná právě pro Vaše prostředí. Přístup k tomuto nástroji máte opět ze Security & compliance centra a je dostupný pro plány E5. Threat Intelligence Vám pomůže s kontrolní fází GDPR.

THREAT PROTECTION

Advanced Threat Protection je proaktivní ochrana před hrozbami, která kontroluje potencionálně nebezpečný obsah jako jsou e-mailové přílohy, odkazy z mailů vedoucí na podezřelé stránky a  SPAM zprávy proti stejné databázi, jako používá Threat Intelligence. Nové malwarové definice tu vznikají každý den, takže drží Vaše prostředí tak aktuální, jak jen to jde. Microsoft na svých stránkách uvádí, že Threat Protection má každý, kdo ve svém plánu využívá Exchange -tedy i Business Essentials, E1 – E5, K1 i K2. Proti tomu Advanced Threat protection je služba dostupná pouze pro plán E5 nebo na přiobjednání. Threat Protection Vám pomůže s kontrolní fází GDPR a s reporty.

SECURITY & COMPLIANCE CENTER

Office 365 Security and Compliance Center je to takový rozcestník – stránka, ze které si zažádáte o navýšení místa, stejně jako přidáte novou zásadu, nastavíte migraci dat z jiné služby, zkontrolujete práva nebo nejnovější hrozby, rozešlete zprávu, zkontrolujete Secure Score a tak. Každý nástroj a služba, která se nějakým způsobem týká zabezpečení tu má minimálně odkaz nebo celou sekci schovanou v levé navigaci a závisí na zvoleném plánu. Pokud ho nenajdete v menu jako dlaždici se štítem, otevřete Váš oblíbený prohlížeč a zadejte adresu https://protection.office.com. Security & Compliance centrum samo o sobě nedělá nic, ale nástroje a aplikace které jsou jeho prostřednictvím dostupné můžete použít pro všechny čtyři fáze GDPR.

MOBILE DEVICE MANAGEMENT

Pomocí nástroje „Mobile Device Management“ můžete spravovat zásady zabezpečení a blokování nebo povolování mobilních zařízení Vaší organizace. Jen autorizovaná zařízení mohou odesílat e-maily, procházet stránky a prohlížet soubory a pomocí zásad můžete ovlivňovat takové věci jako je minimální délka hesla, prodleva při nečinnosti před uzamčením, zákaz videohovorů nebo snímání obrazu nebo fakt, že zařízení nemůže být jail breakováno, musí být šifrováno apod. V případě, že je zařízení ukradeno, můžete přes tzv. wipe odstranit všechna data až do stavu továrního nastavení. MDM je součástí Security & Compliance centra dostupný pro plány E5 a mezi podporované patří zařízení s Windows Phone 8.1+, iOS 7.1+ a Android 4+. Mobile Device Management Vám pomůže s kontrolní fází GDPR.

CUSTOMER LOCKBOX

Customer Lockbox máme v našem seznamu proto, že nabízí zákazníkům kontrolu přístupů k jejich datům a dává nám schvalovací práva pro výjimečné případy, kdy si inženýři Microsoftu žádají přístup ke službě nebo datům. Ve chvíli kdy nahlásíte problém, service desk zaregistruje a prozkoumá Váš požadavek jestli je oprávněný nebo jestli už na něj náhodou neexistuje funkční řešení a pokud je potřeba problém vidět, pustí Customer lockbox request tool a pošle Vám e-mail s pozvánkou. Tu můžete potvrdit nebo zamítnout (na což máte asi 12 hodin) a pokud ji potvrdíte, může se podpora podívat dovnitř, projít logy nebo vyřešit problém a zavřít ticket. Jak je problém jednou zavřený, přístup se po 4 hodinách od uzavření zneplatní navždy. Lockbox je přístupný všem uživatelům plánů E5, jinak stojí zhruba 25.99 dolarů ročně na doobjednání. Customer Lockbox Vám pomůže s kontrolní fází GDPR.

DATA GOVERNANCE

Advanced Data Governance Vám pomůže klasifikovat obsah a rozhodovat o tom co se stane v určitých krocích dokumentového cyklu. Přímo na hlavní stránce se můžete dozvědět kolik dat máte kde uloženo a jak rostou v čase, stav všech Vašich nastavených retenčních pravidel, můžete zkusit import dat z .pst souborů uživatelů nebo požádat o navýšení místa. Machine learning technologie uvnitř by Vám měly pomoci zbavit se redundantního obsahu a starých dat bez vlastníka. Možná se Vám to nezdá až tak převratná věc, ale vypsáním těchto informací na jedno místo splnil Office 365 hned dva různé standardy najednou a to hlavně díky Supervisor modulu, který umožňuje prohledávat obsah podle velikosti, KQL hesel, uživatele nebo skupin a s přehledným reportem na konci jako výsledek. Data Governance je dostupný zatím pouze pro plány E5 a pomůže Vám s první a poslední fází GDPR – s analýzou a následně s reporty.

(EXTRA)  DOCUMENT CENTER SITE

Document Center site je šablona, která existuje už od on-premise verze 2010 a je to pravé místo pro Vaše dokumenty. Všchno co se týká dokumentů je zapnuté už v momentě, kdy dáváte webu jméno jako check-in check-out, historie verzí, ID dokumentu a podobně. Spousty společností používají tenhle typ stránky k archivačním účelům pro data, na která se podíváte 2x za rok, ale musí existovat. Pro některé společnosti je tahle stránka alternativou k IRMku, které je pro ně finančně nedostupné nebo těžké uvést do života. Aspoň tedy pro on-premise svět. Document Center site Vám pomůže v druhé fázi GDPR při zpracovávání dat.

(EXTRA)  RECORDS CENTER SITE

Records Center site je šablona na první pohled velmi podobná Document Center site, ale pod pokličkou je pár drobných rozdílů. Kromě toho že samotné dokumenty mohou být na základě metadat automaticky zamykány, metadata jako taková mohou být ukládána a aktualizována samostatně od dokumentů jako .xml soubory s definicemi. Když pak otevřete soubor k náhledu, metadata mohou být aktualizována nezávisle na dokumentu tak, aby mohl zůstat uzamčený. K dispozici máte verze, audity a zásady, které zabraňují odstranění dokumentu nebo naopak řídí jeho zánik. Co je nejdůležitější – díky faktu, že je práce s metadaty dokuementu vypnuta („property promotion/demotion“), fungují všechny operace se soubory daleko rychleji, než u jiných druhů webů. Nahrávání, odstraňování nebo odesílání souborů je svižnější. Tahle šablona byla navržena tak, aby byla schopná uchovávat obrovské množství dat po dobu několika let. Record Center site Vám pomůže v druhé fázi GDPR při zpracovávání dat.

Celý text přednášky z konference včetně příkladů, odkazů, obrázků a podrobnější definice pojmu „osobní data“, najdete uložený v materiálech z konference ve VIP sekci iLikeSharePoint stránek.