Werk je in de zorg of een andere mensgerichte organisatie, dan werk je elke dag met gevoelige persoonsgegevens. De AVG hangt daarbij als een vaste randvoorwaarde boven je digitale werkplek: wat móet er minimaal geregeld zijn, wat is verstandig om extra te doen en hoe richt je dat concreet in? In dit artikel laten we je, vanuit IT-Value en onze rol als Microsoft 365-specialist zien welke vijf punten je moet afwegen bij de inrichting van je Microsoft 365-omgeving en de belangrijkste aandachtpunten op het gebied van AVG/Privacy. Met steeds dezelfde vraag: waar ligt de ondergrens, waar kun je naartoe groeien en welke rol spelen wij daar als IT-kennispartner in?
1. Begin bij je juridische basis
Elke inrichting start met de juiste grondslagen, doelbinding en dataminimalisatie. Zonder die juridische basis heeft geen enkele technische maatregel zin. Leg vast welke gegevens je verwerkt, waarom, hoelang en met wie je ze deelt. In de zorg verwerk je vrijwel altijd bijzondere persoonsgegevens, dus extra zorgvuldig werken is de norm.
Wij helpen organisaties vaak eerst met een praktische inventarisatie. Niet als juridisch document voor in de la, maar als fundament voor beleid, inrichting en controle.
2. De mens als kwetsbare schakel
De grootste oorzaak van datalekken zit niet in techniek, maar in menselijk handelen. Klikgedrag, onbewuste fouten, gemakzucht of tijdsdruk: juist daar ontstaan de meeste risico’s. Privacy en beveiliging beginnen daarom bij bewustwording. Medewerkers moeten begrijpen wát zij verwerken, waarom dat gevoelig is en hoe hun keuzes direct impact hebben op de veiligheid van patiëntgegevens. Wij helpen organisaties om die bewustwording structureel te verankeren. Dat doen we met praktische trainingen, duidelijke werkafspraken en een omgeving die veilig gedrag ondersteunt in plaats van belemmert.
3. Beveiliging volgens NEN 7510, ISO 27001 en NIS2
De norm NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Hij is gebaseerd op de internationale standaard ISO 27001, die wereldwijd geldt als fundament voor informatiebeveiligingsmanagement. Waar ISO 27001 beschrijft hoe je beleid, risicoanalyse en maatregelen structureel organiseert, vertaalt NEN 7510 dat naar de zorgpraktijk: omgaan met patiëntdata, logging en continuïteit van zorgprocessen.
Daarnaast versterkt ISO 9001 (kwaliteitsmanagement) deze aanpak. En dan is er natuurlijk ook NIS2 nog.
Een organisatie die haar processen beheerst, borgt óók de kwaliteit van haar beveiliging. In de praktijk betekent dat: een integrale aanpak waarin beleid, proces en techniek op elkaar aansluiten. Denk aan multi-factor-authenticatie, rol- en taakgericht autoriseren, encryptie en auditing.
Microsoft 365 en Azure helpen je om de technische kant van NEN 7510 en ISO 27001 goed in te richten, maar voldoen aan deze normen gaat veel verder dan techniek. Beleid, afspraken, bewustwording en aantoonbare processen zijn net zo belangrijk. Microsoft biedt de bouwstenen: encryptie, logging, conditional access etc. Maar zonder een stevig fundament van beleid en governance blijf je slechts half compliant. Juist die combinatie van techniek én organisatie maakt het verschil. Precies daar ondersteunen wij organisaties: niet alleen in het inrichten van de omgeving, maar ook in het vertalen van normenkaders naar werkbare processen.
4. Richt bewaartermijnen en dataminimalisatie slim in
Wat je niet opslaat, hoef je ook niet te beschermen. Toch zien we vaak dat oude gegevens blijven rondzwerven, simpelweg omdat niemand de bewaartermijnen heeft ingericht. Ook zijn de dataeigenaren vaak niet bekend en durft niemand een besluit te nemen om data op te ruimen. Begin met een bewaarbeleid waarin bewaartermijnen, type data en toepassingen zijn vastgelegd. Binnen Microsoft Purview kun je retentielabels en –policies instellen die automatisch data bewaart, archiveert of verwijdert aan de hand van beleid en ingestelde richtlijnen (policies). Voeg daar Data Loss Prevention aan toe om te voorkomen dat gevoelige informatie per ongeluk gedeeld wordt. Het resultaat: minder risico, minder beheer en vooral meer grip op de datalevenscyclus.
5. Maak ketenafspraken over verwerking en datalocatie
De zorg werkt in ketens. Dat maakt verwerkersovereenkomsten cruciaal. Met elke partij die namens jou gegevens verwerkt, hoort een duidelijke afspraak.
Voor Microsoft 365 en Azure zijn de verwerkersvoorwaarden vastgelegd in het Microsoft Products & Services Data Protection Addendum (DPA). Sinds kort valt daar ook de EU Data Boundary onder: data van Europese klanten blijft binnen de EU/EER-regio. Dat helpt bij risico-afwegingen, maar ontslaat je niet van je verantwoordelijkheid. Wij helpen organisaties om alle ketenpartijen en contracten te inventariseren en te toetsen aan de actuele AVG-vereisten.
“Wij gaan niet alleen voor technische compliance, maar voor een omgeving waar zorgprofessionals veilig én zorgeloos kunnen werken.”
AVG-proof werken in de zorg: wat is de lat?
De minimale lat is voldoen aan de AVG: grondslagen vastgelegd, register bijgehouden, DPIA uitgevoerd en passende beveiliging toegepast. Maar de hogere lat (waar steeds meer zorgorganisaties naartoe groeien) is een wendbare, aantoonbaar veilige werkomgeving. Waar privacy- en securitymaatregelen logisch geïntegreerd zijn in processen, technologie en gedrag. Dat vraagt om voortdurende bewustwording: medewerkers moeten weten waarom ze doen wat ze doen. Privacy is geen IT-taak, maar een gezamenlijke verantwoordelijkheid.
Microsoft 365 specialist: waar wij bij helpen
Onze rol begint met inzicht: waar sta je nu, wat is minimaal nodig en hoe kun je doorgroeien naar structurele borging? We voeren quick-scans uit, begeleiden DPIA’s, helpen bij het inrichten van Purview-beleid en brengen je Microsoft-omgeving in lijn met NEN 7510 en ISO 27001. Daarnaast ondersteunen we bij ketenafspraken, logging en periodieke audits. Altijd met één doel: zorgprofessionals laten werken in een veilige, praktische digitale omgeving — zonder dat privacy een rem wordt op goede zorg.
IT-Value – samen bewust vooruit.
Dat is niet alleen onze belofte, maar ook de kern van AVG-proof werken in de zorg. Want alleen als techniek, beleid en mensen in balans zijn, kun je écht met vertrouwen digitaal werken. Meer weten? Neem contact met ons op.
Ook klaar voor vooruitgang?
Zet de volgende stap met een partner die écht begrijpt wat telt.
- Jouw kritische IT-kennispartner: verantwoordelijk voor resultaat
- Specialist in maatschappelijke en mensgerichte organisaties
- Unieke werkwijze & methodiek voor grip en zekerheid van
de juiste keuzes - Award-winning specialist in de thema’s van nu
- Verzekerd van een vast team en persoonlijk aanspreekpunt
