Hoe documenteer ik dataverwerkingsactiviteiten in Fabric voor de AVG?

Om dataverwerkingsactiviteiten in Microsoft Fabric te documenteren voor de AVG, leg je per verwerkingsactiviteit vast: het doel, de categorieën persoonsgegevens, de betrokken systemen, de bewaartermijnen en de juridische grondslag. Dit doe je in een verwerkingsregister dat voldoet aan artikel 30 van de AVG. De secties hieronder geven antwoord op de meest gestelde vragen over dit onderwerp.

Welke dataverwerkingsactiviteiten in Fabric vallen onder de AVG?

Alle verwerkingsactiviteiten binnen Microsoft Fabric waarbij persoonsgegevens worden verwerkt, vallen onder de AVG. Dit geldt zodra Fabric wordt ingezet om gegevens te verzamelen, op te slaan, te analyseren of te combineren die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Denk aan klantgegevens, medewerkersinformatie of gebruiksdata van applicaties.

Microsoft Fabric is een uitgebreid dataplatform dat meerdere diensten bundelt: dataopslag via OneLake, data-integratie via Dataflows en Pipelines, analyses via Notebooks en rapportages via Power BI. Al deze componenten kunnen persoonsgegevens verwerken, wat betekent dat ze elk afzonderlijk beoordeeld moeten worden op hun AVG-relevantie.

Praktische voorbeelden van verwerkingsactiviteiten in Microsoft Fabric die onder de AVG vallen:

• Het inladen van klantdata uit een CRM-systeem via een Pipeline
• Het combineren van HR-gegevens met productiviteitsdata in een Notebook
• Het opslaan van logbestanden met gebruikers-ID’s in OneLake
• Het genereren van Power BI-rapporten op basis van persoonsgebonden transactiedata
• Het uitvoeren van machine learning-modellen op gepseudonimiseerde klantprofielen

Verwerkingen waarbij persoonsgegevens uitsluitend anoniem zijn en niet meer herleidbaar, vallen buiten de AVG. Maar let op: gepseudonimiseerde data valt er wel onder, omdat de koppeling naar de oorspronkelijke persoon technisch nog mogelijk is.

Wat moet er precies in een verwerkingsregister voor Fabric staan?

Een verwerkingsregister voor Fabric moet per verwerkingsactiviteit minimaal bevatten: de naam en het doel van de verwerking, de categorieën betrokkenen en persoonsgegevens, de ontvangers van de gegevens, eventuele doorgifte buiten de EER, de bewaartermijnen en een beschrijving van de technische en organisatorische beveiligingsmaatregelen. Dit schrijft artikel 30 van de AVG voor.

Voor een Fabric-omgeving is het daarnaast zinvol om de volgende Fabric-specifieke elementen op te nemen:

• Workspace en Lakehouse naam: zodat duidelijk is waar de data fysiek is opgeslagen
• Dataflow of Pipeline ID: voor traceerbaarheid van gegevensstromen
• Capaciteitsregio: Microsoft Fabric slaat data standaard op in de regio van de tenant, maar dit kan afwijken bij specifieke capaciteitsinstellingen
• Toegangsrechten en rollen: wie heeft leesrechten, schrijfrechten of beheertoegang tot de dataset
• Gebruik van Microsoft-diensten als subverwerker: Microsoft treedt op als verwerker; dit moet in het register worden vermeld

Een goed verwerkingsregister is geen statisch document. Het is een levend overzicht dat de werkelijkheid weerspiegelt van hoe data door Fabric stroomt en wordt gebruikt.

Hoe leg je gegevensstromen binnen Microsoft Fabric vast?

Gegevensstromen binnen Microsoft Fabric leg je vast door per databron en per bestemming te beschrijven welke persoonsgegevens worden doorgegeven, via welk mechanisme dit gebeurt en welke transformaties worden toegepast. Dit doe je op basis van een dataflow-diagram gecombineerd met een tekstuele beschrijving in het verwerkingsregister.

Een praktische aanpak werkt als volgt:

1. Inventariseer alle bronnen: Welke systemen sturen data naar Fabric? Denk aan ERP-systemen, CRM-platformen, API-koppelingen of handmatige uploads.
2. Breng transformaties in kaart: Welke bewerkingen vinden plaats in Dataflows of Notebooks? Worden gegevens gecombineerd, gefilterd of verrijkt met andere datasets?
3. Identificeer bestemmingen: Waar gaan de verwerkte gegevens naartoe? Naar een Lakehouse, een Warehouse, een Power BI-rapport of een extern systeem?
4. Documenteer de gegevenscategorieën: Welke typen persoonsgegevens stromen door elke stap? Zijn er bijzondere categorieën bij betrokken?
5. Leg de bewaartermijnen per laag vast: In Fabric kun je data opslaan in meerdere lagen (brons, zilver, goud). Elke laag kan een andere bewaartermijn hebben.

Voor Fabric-omgevingen bij de overheid gelden aanvullende eisen rondom classificatie en beveiliging. Het is aan te raden om de gegevensstroomkaart te koppelen aan de Sensitivity Labels die binnen Microsoft Purview worden beheerd, zodat gevoelige data automatisch gemarkeerd en traceerbaar is.

Wie is verantwoordelijk voor het verwerkingsregister in een Fabric-omgeving?

De verwerkingsverantwoordelijke, doorgaans de organisatie die Fabric inzet, is wettelijk verplicht het verwerkingsregister bij te houden. In de praktijk ligt de dagelijkse verantwoordelijkheid vaak bij de Functionaris Gegevensbescherming (FG) of de privacy officer, maar de technische invulling vereist actieve betrokkenheid van de databeheerder of data engineer die Fabric beheert.

In een Fabric-omgeving zijn meerdere rollen betrokken bij de documentatie:

• Privacy officer of FG: bewaakt de juridische volledigheid van het register en toetst of verwerkingen een geldige grondslag hebben
• Data engineer of databeheerder: levert de technische details over gegevensstromen, transformaties en opslaglocaties
• Workspace-eigenaar: is verantwoordelijk voor de toegangsrechten en het gebruik binnen zijn of haar Fabric-workspace
• IT-afdeling of Cloud-beheerder: beheert de Fabric-tenantinstellingen en de configuratie van beveiligingsmaatregelen

Goede samenwerking tussen deze rollen is essentieel. Een verwerkingsregister dat alleen door de juridische afdeling wordt bijgehouden zonder input van technici, mist al snel de feitelijke nauwkeurigheid die de AVG vereist.

Hoe houd je de documentatie actueel bij wijzigingen in Fabric?

De documentatie van dataverwerkingsactiviteiten in Fabric houd je actueel door wijzigingen in de omgeving te koppelen aan een vast reviewproces. Elke nieuwe Pipeline, Dataflow, Notebook of Workspace die persoonsgegevens verwerkt, moet worden beoordeeld en toegevoegd aan het verwerkingsregister voordat deze in productie gaat.

Concrete maatregelen om de documentatie up-to-date te houden:

• Privacy by design in het ontwikkelproces: Neem een AVG-check op als verplichte stap in het acceptatieproces voor nieuwe Fabric-componenten
• Periodieke reviews: Plan minimaal één keer per jaar een volledige doorlichting van het verwerkingsregister en vergelijk dit met de actuele Fabric-omgeving
• Gebruik van Microsoft Purview: Purview biedt ingebouwde mogelijkheden voor data governance en kan helpen bij het automatisch signaleren van nieuwe datasets met gevoelige informatie
• Changemanagement-koppeling: Zorg dat wijzigingen in Fabric via een changeproces lopen waarbij de privacy officer wordt geïnformeerd
• Versiebeheer op het register: Houd bij wanneer het register voor het laatst is bijgewerkt en door wie, zodat de actualiteit aantoonbaar is bij een toezichthoudercontrole

Fabric is een platform dat continu doorontwikkeld wordt. Microsoft voegt regelmatig nieuwe functionaliteiten toe die ook nieuwe verwerkingsmogelijkheden met zich meebrengen. Het is verstandig om de Microsoft-release notes te volgen en te beoordelen of nieuwe functies impact hebben op bestaande verwerkingsactiviteiten.

Hoe DBA helpt met AVG-compliance in Microsoft Fabric

Wij begrijpen dat het documenteren van dataverwerkingsactiviteiten in een complex platform als Fabric technische kennis vereist die niet altijd intern aanwezig is. Als databeheerspecialist ondersteunen wij organisaties bij het inrichten van een AVG-conforme Fabric-omgeving. Wat wij daarin bieden:

• Technische inventarisatie van alle gegevensstromen binnen uw Fabric-omgeving
• Advies over de inrichting van bewaartermijnen, toegangsrechten en beveiligingsmaatregelen
• Ondersteuning bij het opstellen en bijhouden van het verwerkingsregister vanuit technisch perspectief
• Configuratie van Microsoft Purview voor dataclassificatie en governance
• Proactief beheer zodat nieuwe verwerkingen tijdig worden gesignaleerd en gedocumenteerd

Wilt u zeker weten dat uw Fabric-omgeving voldoet aan de AVG-eisen? Neem contact met ons op voor een vrijblijvend gesprek over uw situatie.

Related Articles

• Mijn hoe combineer ik verspreide data over meerdere systemen?
• Hoe zet ik ruwe data om in bruikbare inzichten?
• Hoe start ik vandaag nog met Power BI?
• Hoe maak je real-time dashboards in Power BI?
• Hoe past Microsoft Fabric in onze bestaande enterprise dataarchitectuur?
• Kan ik Power BI in 3 uur leren?
• Waarvoor wordt Power BI gebruikt?
• Is Power BI de moeite waard voor een klein bedrijf?
• Wat is het verschil tussen Tableau en Power BI?
• Moet ik Power BI of Excel leren?

Related Articles

• Hoe schaal ik mijn Fabric-omgeving mee met mijn bedrijfsgroei?
• Wat is Microsoft Fabric en hoe werkt het?
• Wat is de snelste manier om Power BI te implementeren?
• Hoe overtuig ik mijn manager om Power BI aan te schaffen?
• Waarom Power BI kiezen voor dashboards?
• Hoe upgrade je van Reporting Services naar Power BI?
• Hoe installeer ik Power BI?
• Hoe begin ik met Power BI?
• Wat is Power BI?
• Wat is het verschil tussen Power BI en Excel?