Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is gegevensbescherming?

Ontdek hoe je je gegevens beschermt, waar dan ook ze zich bevinden, en gevoelige en bedrijfskritische gegevens beheert in je hele omgeving.

Gegevensbescherming gedefinieerd

Gegevensbescherming verwijst naar beveiligingsstrategieën en -processen die helpen gevoelige gegevens te beschermen tegen beschadiging, compromittering en verlies. Bedreigingen voor gevoelige gegevens omvatten gegevenslekken en gegevensverliesincidenten.

Een gegevenslek is het resultaat van onbevoegde toegang tot de gegevens, het netwerk of de apparaten van je organisatie vanuit bronnen zoals een cyberaanval, interne bedreiging of menselijke fout. Naast verloren gegevens kan je organisatie ook boetes oplopen voor compliance-schendingen, gerechtelijk worden vervolgd voor blootgestelde persoonlijke gegevens, en lijden onder langdurige schade aan je merkreputatie.

Een gegevensverliesincident is een opzettelijke of onopzettelijke verstoring van je normale organisatorische activiteiten – bijvoorbeeld een laptop is verloren of gestolen, software is beschadigd of een computervirus infiltreert je netwerk. Het hebben van een beveiligingsbeleid en het trainen van je medewerkers om bedreigingen te herkennen en erop te reageren – of juist niet erop te reageren – is essentieel voor je gegevensbeschermingsstrategie.

Belangrijke principes van gegevensbescherming

De twee belangrijkste principes van gegevensbescherming zijn gegevensbeschikbaarheid en gegevensbeheer.

Dankzij gegevensbeschikbaarheid kunnen medewerkers toegang krijgen tot de gegevens die ze nodig hebben voor dagelijkse activiteiten. Gegevensbeschikbaarheid handhaven draagt bij aan het plan van je organisatie voor bedrijfscontinuïteit en herstel na noodgevallen, wat een belangrijk element is van je gegevensbeschermingsplan dat afhankelijk is van back-upkopieën die zijn opgeslagen op een aparte locatie. Het hebben van toegang tot deze kopieën minimaliseert de downtime voor je medewerkers en houdt hun werk op schema.

Gegevensbeheer omvat gegevenscyclusbeheer en informatiecyclusbeheer.

  • Gegevenscyclusbeheer dekt het maken, opslaan, gebruiken en analyseren van gegevens, en het archiveren of verwijderen van gegevens. Deze levenscyclus helpt te verzekeren dat je organisatie relevante voorschriften naleeft en dat je gegevens niet onnodig opslaat.
  • Informatiecyclusbeheer is een strategie voor het catalogiseren en opslaan van de informatie uit de gegevenssets van je organisatie. Het doel is te bepalen hoe relevant en nauwkeurig de informatie is.

Waarom is gegevensbescherming belangrijk?

Gegevensbescherming is belangrijk om je organisatie te beschermen tegen gegevensdiefstal, -lekken en -verlies. Het omvat het gebruiken van privacybeleid dat compliancevoorschriften naleeft en het voorkomen van schade aan de reputatie van je organisatie.

Een gegevensbeschermingsstrategie omvat het bewaken en beschermen van gegevens in je omgeving en het handhaven van voortdurende controle over gegevensinzicht en -toegang.

Door een gegevensbeschermingsbeleid te ontwikkelen, kan je organisatie haar risicotolerantie voor elke gegevenscategorie bepalen en toepasselijke voorschriften naleven. Dit beleid helpt je ook verificatie en autorisatie op te stellen, om te bepalen wie toegang tot welke gegevens moet hebben en waarom.

Soorten gegevensbeschermingsoplossingen

Gegevensbeschermingsoplossingen helpen je interne en externe activiteit te bewaken, verdacht of riskant gedrag in het delen van gegevens te markeren, en de toegang tot gevoelige gegevens te beheren.

  • Preventie van gegevensverlies

    Preventie van gegevensverlies is een beveiligingsoplossing die je organisatie helpt het delen, overdragen of gebruiken van gevoelige gegevens te voorkomen door acties zoals het bewaken van gevoelige gegevens in je hele gegevensomgeving. Het helpt ook te verzekeren dat je wettelijke vereisten naleeft, bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) en de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU).

  • Replicatie

    Bij replicatie worden gegevens voortdurend van de ene naar de andere locatie gekopieerd om een up-to-date exemplaar van je gegevens te maken en op te slaan. Het maakt failover naar deze gegevens mogelijk in het geval dat je primaire systeem faalt. Replicatie beschermt je niet alleen tegen gegevensverlies, maar maakt gegevens ook beschikbaar op de dichtstbijzijnde server, zodat bevoegde gebruikers er sneller toegang toe kunnen krijgen. Het hebben van een complete kopie van de gegevens van je organisatie geeft je teams ook de optie om analyses uit te voeren zonder dagelijkse gegevensbehoeften te verstoren.

  • Opslag met ingebouwde beveiliging

    Een opslagoplossing moet gegevensbescherming bieden, maar je ook in staat stellen gegevens te herstellen die waren verwijderd of gewijzigd. Meerdere niveaus van redundantie helpen bijvoorbeeld je gegevens te beschermen tegen dingen zoals serviceonderbrekingen, hardwareproblemen en natuurrampen. Versiebeheer behoudt eerdere statussen van je gegevens wanneer er door overschrijven een nieuwe versie wordt gemaakt. Configureer een vergrendeling, bijvoorbeeld alleen-lezen of niet-verwijderbaar, voor je opslagaccounts om ze te helpen beschermen tegen onopzettelijke of kwaadwillige verwijdering.

  • Firewalls

    Een firewall helpt te verzekeren dat alleen bevoegde gebruikers toegang tot de gegevens van je organisatie hebben. Het werkt door netwerkverkeer te bewaken en filteren volgens je beveiligingsregels en helpt bedreigingen zoals virussen en ransomware-pogingen te blokkeren. Firewallinstellingen omvatten meestal opties om inkomende en uitgaande regels te maken, beveiligingsregels voor verbindingen op te geven, bewakingslogboeken te bekijken en meldingen te ontvangen wanneer de firewall iets heeft geblokkeerd.

  • Gegevens ontdekken

    Gegevens ontdekken is het proces van het achterhalen welke gegevenssets er in je organisatie bestaan in datacenters, op laptops en desktopcomputers, op verschillende mobiele apparaten en op cloudplatforms. De volgende stap is je gegevens te categoriseren (door ze bijvoorbeeld als beperkt, privé of openbaar te markeren) en hun wettelijke compliance te verifiëren.

  • Verificatie en autorisatie

    Verificatie- en autorisatiecontroles verifiëren gebruikersreferenties en bevestigen dat toegangsmachtigingen correct zijn toegewezen en toegepast. Op rollen gebaseerd toegangsbeheer is één voorbeeld van het verlenen van toegang aan alleen de mensen die dat nodig hebben om hun werk te doen. Het kan worden gebruikt in combinatie met identiteits- en toegangsbeheer om te helpen bepalen waar medewerkers wel en geen toegang toe mogen hebben, om de resources van je organisatie – zoals apps, bestanden en gegevens – veiliger te houden.

  • Back-up

    Back-ups vallen in de categorie gegevensbeheer. Ze kunnen zo vaak worden gemaakt als je maar wilt (bijvoorbeeld elke nacht volledige back-ups en gedurende de dag incrementele back-ups) en stellen je in staat verloren of beschadigde gegevens snel te herstellen om downtime te minimaliseren. Bij een typische back-upstrategie bewaar je een aantal kopieën van je gegevens, waarbij je een volledige verzameling kopieën op een aparte server opslaat en een andere op een externe locatie. Je back-upstrategie zal zijn afgestemd op je plan voor herstel na noodgevallen.

  • Versleuteling

    Versleuteling helpt de beveiliging, vertrouwelijkheid en integriteit van je gegevens te handhaven. Het wordt gebruikt op gegevens in inactieve of in actieve toestand om te voorkomen dat onbevoegde gebruikers bestandsinhoud bekijken, zelfs als ze toegang krijgen tot de locatie ervan. Tekst zonder opmaak wordt omgezet in onleesbare versleutelde tekst (met andere woorden: gegevens worden omgezet in code) waarvoor een ontsleutelingssleutel nodig is om deze te kunnen lezen of verwerken.

  • Herstel na noodgeval

    Herstel na noodgeval is een element van informatiebeveiliging (InfoSec) dat is gericht op hoe organisaties back-ups gebruiken om gegevens te herstellen en de normale bedrijfsactiviteiten te hervatten na een noodgeval (bijvoorbeeld een natuurramp, een grootschalige apparatuurfout of een cyberaanval). Het is een proactieve benadering die je organisatie helpt de impact van onvoorspelbare gebeurtenissen te verminderen en sneller te reageren op geplande of ongeplande onderbrekingen.

  • Eindpuntbeveiliging

    Eindpunten zijn fysieke apparaten die verbinding maken met een netwerk, zoals mobiele apparaten, desktopcomputers, virtuele machines, geïntegreerde apparaten en servers. Eindpuntbeveiliging helpt je organisatie deze apparaten te bewaken en bescherming te bieden tegen bedreigingsactors die op zoek gaan naar beveiligingsproblemen of menselijke fouten en profiteren van zwakke plekken in de beveiliging.

  • Momentopnamen

    Een momentopname is een weergave van je bestandssysteem op een bepaald tijdstip; het behoudt die weergave en houdt wijzigingen bij die na dat tijdstip worden gemaakt. Deze gegevensbeschermingsoplossing verwijst naar opslagmatrices die een verzameling stations in plaats van servers gebruiken. Matrices maken meestal een catalogus die wijst naar de locatie van gegevens. Een momentopname kopieert een matrix en stelt de gegevens in op alleen-lezen. Nieuwe invoer wordt in de catalogus opgenomen terwijl oude catalogussen behouden blijven. Momentopnamen bevatten ook systeemconfiguraties om servers te herstellen.

  • Gegevens wissen

    Wissen is het verwijderen van opgeslagen gegevens die je organisatie niet meer nodig heeft. Dit proces wordt ook wel gegevenswissing of gegevensverwijdering genoemd en is vaak een wettelijke vereiste. Met betrekking tot de AVG hebben individuen het recht om hun persoonlijke gegevens op verzoek te laten wissen. Dit recht op wissen wordt ook wel 'het recht om vergeten te worden' genoemd.

Bescherming, beveiliging en privacy

Ze lijken misschien uitwisselbare termen, maar gegevensbescherming, gegevensbeveiliging en gegevensprivacy hebben elk een ander doel. Gegevensbescherming omvat de strategieën en processen die je organisatie gebruikt om gevoelige gegevens te helpen beschermen tegen beschadiging, compromittering en verlies. Gegevensbeveiliging gaat om de integriteit van je gegevens en beschermt deze tegen beschadiging door onbevoegde gebruikers of interne bedreigingen. Gegevensprivacy bepaalt wie toegang tot je gegevens mag hebben en wat er met derden mag worden gedeeld.

Best practices voor gegevensbescherming

Best practices voor gegevensbescherming bestaan uit plannen, beleidsregels en strategieën om je te helpen de toegang tot je gegevens te beheren, netwerk- en gebruiksactiviteit te bewaken en op interne en externe bedreigingen te reageren.

  • Vereisten bijhouden

    Een uitgebreid beheerplan identificeert wettelijke vereisten en hoe ze van toepassing zijn op de gegevens van je organisatie. Verifieer dat je inzicht in al je gegevens hebt en ze goed classificeert. Zorg dat je de privacyvoorschriften van je sector naleeft.

  • Toegang beperken

    Toegangsbeheer maakt gebruik van verificatie om te verifiëren dat gebruikers zijn wie ze zeggen dat ze zijn, en autorisatie om te bepalen welke gegevens ze mogen zien en gebruiken. In het geval van een gegevenslek is toegangsbeheer een van de eerste beleidsregels die in detail wordt onderzocht om vast te stellen of het goed was geïmplementeerd en onderhouden.

  • Een cyberbeveiligingsbeleid maken

    Een cyberbeveiligingsbeleid definieert en leidt IT-activiteiten in je organisatie. Het maakt medewerkers bewust van veelvoorkomende bedreigingen voor je gegevens en helpt hen alerter te zijn over veiligheid en beveiliging. Het kan ook je gegevensbeschermingsstrategieën verduidelijken en een cultuur van verantwoord gegevensgebruik promoten.

  • Activiteit bewaken

    Voortdurend bewaken en testen helpt je potentieel riskante gebieden te identificeren. Gebruik AI en automatiseer je gegevensbewakingstaken om snel en effectief bedreigingen te ontdekken. Dit vroege waarschuwingssysteem wijst je op potentiële gegevens- en beveiligingsproblemen voordat ze schade kunnen veroorzaken.

  • Een plan voor incidentreactie ontwikkelen

    Door een plan voor incidentreactie te hebben voordat er een gegevenslek plaatsvindt, ben je voorbereid om actie te ondernemen. Het zal het reactieteam (bijvoorbeeld het hoofd van IT, InfoSec en het hoofd van communicatie) helpen de integriteit van je systemen te handhaven en je organisatie zo snel mogelijk weer aan het werk te krijgen.

  • Risico's identificeren

    Medewerkers, leveranciers, aannemers en partners hebben informatie over je gegevens, computersystemen en beveiligingsmethoden. Om onbevoegde toegang tot gegevens te identificeren en ze te helpen beschermen tegen misbruik, moet je weten welke gegevens je hebt en hoe ze worden gebruikt in je hele digitale omgeving.

  • Gegevensopslagbeveiliging verbeteren

    Gegevensopslagbeveiliging maakt gebruik van methoden zoals toegangsbeheer, versleuteling en eindpuntbeveiliging om de integriteit en vertrouwelijkheid van je opgeslagen gegevens te handhaven. Het beperkt ook het risico van opzettelijke of onopzettelijke schade en zorgt voor voortdurende beschikbaarheid van je gegevens.

  • Train je medewerkers

    Of ze nu opzettelijk zijn of niet, interne risico's zijn een veelvoorkomende oorzaak van gegevenslekken. Communiceer je beleidsregels voor preventie van gegevensverlies duidelijk op alle niveaus om medewerkers te helpen ze na te leven. Herhaal de training vaak met opfris-sessies en begeleiding wanneer specifieke problemen zich voordoen.

Compliance en wetten voor gegevensbescherming

Elke organisatie moet relevante normen, wetten en voorschriften omtrent gegevensbescherming naleven. Wettelijke verplichtingen zijn inclusief, maar niet beperkt tot, alleen de gegevens over klanten of medewerkers verzamelen die je nodig hebt, deze veilig houden en deze op de juiste wijze verwijderen. Hieronder volgen voorbeelden van privacywetten.

De AVG is de meest strikte wet voor gegevensprivacy en -bescherming. Deze is opgesteld en goedgekeurd door de EU, maar organisaties over de hele wereld zijn verplicht deze na te leven als ze persoonlijke gegevens van EU-burgers of -inwoners verzamelen of goederen en services aan hen bieden.

De California Consumer Privacy Act (CCPA) helpt de privacyrechten van consumenten in Californië te beschermen, waaronder het recht om te weten welke persoonlijke gegevens een bedrijf verzamelt en hoe ze worden gebruikt en gedeeld, het recht om persoonlijke gegevens te verwijderen die van hen zijn verzameld, en het recht om zich af te melden voor de verkoop van hun persoonlijke gegevens.

De HIPAA helpt te voorkomen dat gezondheidsinformatie over patiënten wordt bekendgemaakt zonder dat de patiënt daarvan af weet of dit heeft goedgekeurd. De HIPAA-privacyregel beschermt persoonlijke gezondheidsinformatie en is uitgegeven om HIPAA-vereisten te implementeren. De HIPAA-beveiligingsregel helpt identificeerbare gezondheidsinformatie te beschermen die een zorgverlener elektronisch aanmaakt, ontvangt, onderhoudt of verzendt.

De Gramm-Leach-Bliley Act (GLBA) – ook wel bekend als de Financial Services Modernization Act of 1999 – vereist dat financiële instellingen hun praktijken voor het delen van gegevens uitleggen aan klanten en gevoelige gegevens beschermen.

De Federal Trade Commission is de primaire consumentenbeschermingsgroep in de Verenigde Staten. De Federal Trade Commission Act verklaart alle oneerlijke methoden van concurrentie en oneerlijke of bedrieglijke praktijken die handel beïnvloeden, als onwettig.

Naarmate strategieën en processen zich ontwikkelen, zijn er een aantal trends in gegevensbescherming waar je organisatie zich bewust van moet zijn. Deze omvatten wettelijke compliance, risicobeheer en gegevensoverdraagbaarheid.

  • Meer gegevensbeschermingsvoorschriften

    De AVG is de benchmark geworden voor hoe andere landen persoonlijke gegevens verzamelen, bekendmaken en opslaan. Sinds de introductie van de AVG zijn de CCPA in de Verenigde Staten (Californië) en de General Personal Data Protection Law in Brazilië ook mee gaan spelen om de toename in onlineconsumentisme en gepersonaliseerde producten en services te kunnen bijhouden.

  • Mobiele gegevensbescherming

    Voorkomen dat onbevoegde gebruikers toegang tot je netwerk krijgen, omvat het beschermen van gevoelige gegevens die zijn opgeslagen op draagbare apparaten zoals laptops, tablets en smartphones. Beveiligingssoftware maakt gebruik van identiteitsverificatie om te helpen voorkomen dat apparaten worden gecompromitteerd.

  • Minder toegang voor derden

    Gegevenslekken kunnen vaak worden teruggevoerd tot derden (zoals leveranciers, partners en serviceproviders) die te veel toegang tot het netwerk en de gegevens van een organisatie hebben. Risicobeheer van derden wordt steeds vaker in compliancevoorschriften opgenomen om te beperken hoe derden toegang tot gegevens krijgen en deze gebruiken.

  • Beheer van gegevenskopieën

    Beheer van gegevenskopieën detecteert gedupliceerde gegevens, vergelijkt soortgelijke gegevens en stelt je organisatie in staat om ongebruikte kopieën van je gegevens te verwijderen. Deze oplossing minimaliseert inconsistenties die worden veroorzaakt door gedupliceerde gegevens, verlaagt de opslagkosten en helpt beveiliging en compliance te handhaven.

  • Gegevensoverdraagbaarheid

    In de vroege dagen van cloud computing was gegevensoverdraagbaarheid en het migreren van grote gegevenssets naar andere omgevingen moeilijk. Tegenwoordig maakt cloudtechnologie gegevens gemakkelijker overdraagbaar, zodat organisaties ze tussen omgevingen kunnen verplaatsen, bijvoorbeeld van on-premises datacenters naar openbare clouds of tussen cloudproviders.

  • Herstel na noodgeval als een service

    Herstel na noodgeval als een service helpt organisaties van elke omvang kosteneffectieve cloudservices te gebruiken om hun systemen te repliceren en activiteiten te herstellen na een ramp. Het biedt de flexibiliteit en schaalbaarheid van cloudtechnologie en wordt gezien als een effectieve oplossing om serviceonderbrekingen te voorkomen.

Gegevensontdekking en -classificatie

Gegevensontdekking en gegevensclassificatie zijn afzonderlijke processen die samenwerken om inzicht in de gegevens van je organisatie te geven. Een tool voor gegevensontdekking scant je hele digitale omgeving om te ontdekken waar gestructureerde en niet-gestructureerde gegevens zich bevinden, wat essentieel is voor je gegevensbeschermingsstrategie. Gegevensclassificatie organiseert gegevens uit het gegevensontdekkingsproces op basis van bestandstype, inhoud en andere metagegevens, helpt gedupliceerde gegevens te elimineren en maakt het gemakkelijk om gegevens te vinden en op te halen.

Onbeschermde gegevens zijn kwetsbare gegevens. Weten welke gegevens je hebt en waar ze zich bevinden, helpt je ze te beschermen terwijl je wettelijke compliancevereisten met betrekking tot gegevensprocessen en -controles naleeft.

Oplossingen voor gegevensbescherming

Gegevensbeschermingsoplossingen helpen te beschermen tegen gegevensverlies en omvatten beveiliging, back-up en herstel, die het plan van je organisatie voor herstel na noodgeval rechtstreeks ondersteunen.

Vereenvoudig hoe je organisatie inzicht in gevoelige gegevens krijgt. Krijg inzicht in al je gegevens, krijg krachtigere beveiliging voor alle apps, clouds en apparaten, en beheer wettelijke vereisten met Microsoft Beveiliging-oplossingen.

Meer informatie over Microsoft Beveiliging

Microsoft Purview

Verken beheer-, beveiligings- en complianceoplossingen voor de gegevens van je organisatie.

Meer informatie

Help gegevensverlies te voorkomen

Identificeer het ongepast delen, overdragen of gebruiken van gevoelige gegevens op eindpunten, in apps en in services.

Meer informatie

Gegevensbescherming

Help je gegevens te beveiligen en beheren met ingebouwde, intelligente, uniforme en uitbreidbare oplossingen.

Meer informatie

Communicatiecompliance

Gebruik machine learning om communicatieschendingen te detecteren.

Meer informatie

Veelgestelde vragen

  • Voorbeelden van gegevensbescherming omvatten het bieden van bescherming tegen opzettelijke of onopzettelijke schade, het hebben van een strategie voor herstel na noodgeval, en het beperken van de toegang tot alleen degenen die de gegevens nodig hebben.

  • Het doel van gegevensbescherming is de gegevens van je organisatie te beschermen tegen compromittering, schade en verlies.

  • In de AVG staat dat individuen fundamentele rechten en vrijheden hebben wanneer het aankomt op de bescherming van hun persoonlijke gegevens. Elke organisatie die persoonlijke gegevens verzamelt, moet expliciete toestemming van individuen krijgen en moet duidelijk zijn over hoe die gegevens worden gebruikt.

  • Gegevensbeschermingstools omvatten gegevensontdekking en -inventarisatie, versleuteling, gegevensverwijdering, toegangsbeheer en eindpuntbeveiliging.

  • Om gegevens te helpen beschermen, kunnen bedrijven beginnen door een beveiligingsbeleid op te stellen dat dingen zoals goedgekeurd gebruik en incidentrapportage definieert. Een back-up van essentiële gegevens maken, software up-to-date houden en medewerkers trainen in gegevensbescherming zijn andere belangrijke acties om te ondernemen.

Microsoft 365 volgen