Handreiking DPIA voor “Microsoft Teams, OneDrive en SharePoint”

Voor het opstellen van de lokale DPIA voor “Microsoft Teams, OneDrive en SharePoint” raden wij u aan gebruik maken van het sjabloon dat IBD beschikbaar stelt op hun website.

De input voor deze lokale DPIA vindt u in de generieke DPIA en aanvullende documenten voor het product. Belangrijk is dat de generieke DPIA gecontroleerd wordt en aangevuld wordt waar nodig. Per individuele gemeente kunnen immers specifieke risico’s van toepassing zijn afhankelijk van de door de gemeente gemaakte keuzes. In de generieke DPIA zijn aandachtspunten opgenomen die door uw eigen organisatie nader moeten worden bepaald.

Voor het opstellen van uw DPIA kunt u de volgende stappen gebruiken:

1. Kennis nemen van centraal vastgestelde risico’s en maatregelen door de CSP

• In de paraplu Public-DPIA-Teams-OneDrive-SharePoint-and-Azure-AD-16-Feb-2022.pdf is getoetst of de CSP aan de maatregelen voldoet.
• Uitgangspunt van de generieke DPIA’s is dat de M365 producten zijn afgenomen onder de voorwaarden van het GT MS Framework omdat hiermee juridisch een aantal essentiële onderdelen zoals de geografische locatie van data en toegang tot de omgeving zijn geregeld. 
• In de Toelichting DPIA op Microsoft Teams, OneDrive en SharePoint vindt u een nadere duiding van de DPIA en achtergrondinformatie over de gevonden privacyrisico’s. 

2. Centraal vastgestelde mitigerende maatregelen nemen door gemeentelijke organisatie.

• Gemeentelijke organisaties moeten zelf een aantal maatregelen nemen om de in de DPIA genoemde risico’s te beperken, daarmee zorgt de gemeente ervoor dat de eigen inrichting overeenkomt met de  configuratie waarop de generieke DPIA is gebaseerd. De instructie hiervoor vindt u in de Handleiding-privacyvriendelijke-instellingen-Microsoft-365-V2-20231114.pdf (slmmicrosoftrijk.nl).
• Daarnaast dient de organisatie gedragsgerichte maatregelen te nemen om de proces- en organisatorische risico’s te beperken.

3. Organisatie-specifieke risico’s en eventuele mitigerende maatregelen nemen

• Uitvoeren Baselinetoets BBN BIO. Met behulp van deze toets stelt u vast wat het Basis Beveiligings Niveau (BBN) is van de informatie binnen het systeem. De uitkomsten kunnen dan worden gebruikt om te bepalen of er meer maatregelen nodig zijn voor een proces en onderliggende informatiesystemen. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen bovenop de baseline, of door een aanvullende diepgaande risicoanalyse.

Als de scores van de  Baselinetoets BBN BIO hiertoe aanleiding geven inventariseert u de individuele  risico’s van uw organisatie. Dit kan bijvoorbeeld worden uitgevoerd met behulp van de handreiking diepgaande risicoanalyse-methode.