Wat moet je weten over AVG-compliance met Microsoft Fabric?

Als je Microsoft Fabric gebruikt voor het verwerken van persoonsgegevens, ben je verplicht te voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Dat betekent dat er concrete eisen gelden voor gegevensopslag, verwerkersovereenkomsten en technische instellingen binnen het platform. De AVG is van toepassing op elke organisatie die gegevens van EU-inwoners verwerkt, ongeacht of de verwerking plaatsvindt via een cloudplatform zoals Microsoft Fabric of via on-premises systemen. In dit artikel beantwoorden we de meest gestelde vragen over AVG-compliance met Microsoft Fabric, zodat je weet waar je aan toe bent.

Welke AVG-verplichtingen gelden voor Microsoft Fabric-gebruikers?

Als gebruiker van Microsoft Fabric ben je als verwerkingsverantwoordelijke verplicht een rechtsgeldige grondslag te hebben voor elke verwerking van persoonsgegevens, een verwerkersovereenkomst te sluiten met Microsoft, en passende technische en organisatorische maatregelen te treffen. Daarnaast gelden verplichtingen rondom gegevensminimalisatie, bewaartermijnen en het recht van betrokkenen om hun gegevens in te zien of te laten verwijderen.

De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke (jouw organisatie) en de verwerker (Microsoft). Jij bepaalt het doel en de middelen van de verwerking; Microsoft voert die verwerking uit namens jou. Dat brengt specifieke verplichtingen met zich mee, zoals het bijhouden van een verwerkingsregister, het informeren van betrokkenen via een privacyverklaring en het melden van datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens.

Voor overheidsorganisaties gelden aanvullende eisen, zoals de aanstelling van een Functionaris voor Gegevensbescherming (FG) en strengere normen voor risicobeheersing. Meer over de specifieke context van overheidsgebruik is te vinden op de pagina over Microsoft Fabric voor de overheid.

Hoe verwerkt Microsoft Fabric persoonsgegevens en waar worden ze opgeslagen?

Microsoft Fabric verwerkt gegevens via een geïntegreerd analyseplatform in de Microsoft Azure-cloud. Persoonsgegevens worden standaard opgeslagen in de Azure-regio die je bij het aanmaken van je tenant hebt gekozen. Voor Europese organisaties is dat doorgaans een datacenter binnen de EU, maar dit is niet automatisch gegarandeerd voor alle workloads.

Binnen Microsoft Fabric worden gegevens opgeslagen in OneLake, de centrale opslaglaag van het platform. OneLake fungeert als één logisch datameer voor alle Fabric-workloads, waaronder Data Engineering, Data Science en Power BI. Het is belangrijk te begrijpen dat bepaalde AI-functies en Copilot-integraties gegevens tijdelijk kunnen verwerken buiten de primaire opslagregio, afhankelijk van de instellingen die je hebt geconfigureerd.

Voor AVG-compliance is het essentieel te weten waar persoonsgegevens zich bevinden en hoe lang ze worden bewaard. Microsoft biedt via het Microsoft Privacy Statement en de Data Processing Addendum (DPA) inzicht in deze verwerkingsstromen. Controleer altijd of de gekozen regio-instellingen overeenkomen met je databeschermingsvereisten.

Wat zijn de grootste AVG-risico’s bij het gebruik van Microsoft Fabric?

De grootste AVG-risico’s bij Microsoft Fabric zijn onbedoelde gegevensoverdracht naar landen buiten de EER, onvoldoende toegangsbeveiliging, gebrek aan gegevensminimalisatie en het ontbreken van een geldige verwerkersovereenkomst. Elk van deze risico’s kan leiden tot een overtreding van de AVG en bijbehorende boetes of reputatieschade.

Specifieke risico’s die in de praktijk regelmatig voorkomen:

• Gegevensoverdracht buiten de EU: Functies zoals Copilot en sommige AI-workloads kunnen gegevens verwerken in regio’s buiten Europa, tenzij dit expliciet is uitgeschakeld.
• Overmatige gegevensverzameling: Het gemak waarmee data in OneLake wordt gecombineerd, vergroot het risico op verwerking van meer persoonsgegevens dan strikt noodzakelijk.
• Onvoldoende toegangsbeheer: Zonder strikte rollen en rechten kunnen medewerkers toegang krijgen tot persoonsgegevens die niet relevant zijn voor hun functie.
• Ontbrekende audit trails: Zonder logging en monitoring is het moeilijk achteraf aan te tonen wie welke gegevens heeft ingezien of gewijzigd.
• Datalekken door misconfiguratie: Onjuiste instellingen rondom het delen van rapporten of datasets kunnen persoonsgegevens onbedoeld blootstellen aan onbevoegden.

Hoe stel je een verwerkersovereenkomst op met Microsoft voor Fabric?

Je hoeft geen verwerkersovereenkomst zelf op te stellen met Microsoft. Microsoft biedt een standaard Data Processing Addendum (DPA) aan als onderdeel van de Microsoft Online Services Terms. Deze overeenkomst wordt automatisch van kracht zodra je een Microsoft 365- of Azure-abonnement afsluit en voldoet aan de AVG-vereisten voor verwerkersovereenkomsten.

De DPA van Microsoft bevat afspraken over onder andere:

• De doeleinden waarvoor Microsoft gegevens mag verwerken
• Beveiligingsmaatregelen die Microsoft treft
• Procedures bij datalekken
• Rechten van betrokkenen en hoe Microsoft daarin ondersteuning biedt
• Doorgifte van gegevens naar derde landen en de bijbehorende waarborgen

Wat je als organisatie zelf moet regelen, is het documenteren van de verwerkingsactiviteiten in je eigen verwerkingsregister. Daarin leg je vast welke persoonsgegevens je via Microsoft Fabric verwerkt, op welke grondslag, voor welk doel en hoe lang je de gegevens bewaart. Dit register is een eigen verantwoordelijkheid die niet door Microsoft wordt ingevuld.

Welke instellingen in Microsoft Fabric verbeteren de AVG-compliance?

Verschillende instellingen binnen Microsoft Fabric helpen je direct bij het verbeteren van je AVG-compliance. De belangrijkste zijn het beperken van gegevensresidentie tot Europese regio’s, het activeren van gevoeligheidslabels via Microsoft Purview, het inschakelen van auditlogging en het strikt configureren van toegangsrechten via rollen.

Concrete stappen die je kunt nemen in de beheerconsole van Microsoft Fabric:

1. Gegevensresidentie instellen: Configureer de Fabric-capaciteit op een Azure-regio binnen de EU en schakel de optie uit die workloads toestaat buiten de primaire regio te draaien.
2. Gevoeligheidslabels activeren: Gebruik Microsoft Purview Information Protection om datasets, rapporten en dashboards te labelen op basis van gevoeligheid.
3. Auditlogboeken inschakelen: Activeer de unified audit log via het Microsoft 365-beheercentrum om bewerkingen op persoonsgegevens te registreren.
4. Toegangsbeheer verfijnen: Pas werkruimterollen toe (Viewer, Contributor, Member, Admin) en beperk het extern delen van rapporten.
5. Copilot-functies beheren: Schakel Copilot-integraties uit of beperk ze als je niet zeker weet of de verwerking AVG-conform plaatsvindt.

Meer informatie over de mogelijkheden van het platform vind je op de pagina over Microsoft Fabric.

Wanneer is een Data Protection Impact Assessment verplicht voor Microsoft Fabric?

Een Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens via Microsoft Fabric waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Dit is in ieder geval het geval bij grootschalige verwerking van bijzondere categorieën persoonsgegevens, systematische monitoring van personen of het combineren van grote hoeveelheden gegevens uit verschillende bronnen.

Concrete situaties waarbij een DPIA verplicht is bij gebruik van Microsoft Fabric:

• Analyse van gezondheidsgegevens, financiële gegevens of strafrechtelijke gegevens op grote schaal
• Profilering van medewerkers of klanten op basis van gedragsgegevens
• Gebruik van AI-modellen die beslissingen nemen met rechtsgevolgen voor betrokkenen
• Koppeling van datasets die afzonderlijk niet gevoelig zijn, maar gecombineerd wel persoonsprofielen opleveren

Een DPIA voer je uit voordat je begint met de verwerking. In de beoordeling beschrijf je de verwerking, de noodzaak ervan, de risico’s en de maatregelen die je treft om die risico’s te beperken. Als na de DPIA nog een hoog restrisico overblijft, ben je verplicht vooraf advies in te winnen bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is.

Hoe DBA helpt met AVG-compliance voor Microsoft Fabric

AVG-compliance binnen Microsoft Fabric vraagt om technische kennis van het platform én inzicht in databeschermingswetgeving. Wij ondersteunen organisaties bij beide. Ons team van senior database administrators helpt je om Microsoft Fabric op een AVG-conforme manier in te richten en te beheren.

Wat wij voor je kunnen doen:

• Technische configuratie: Wij stellen gegevensresidentie, toegangsrechten, auditlogging en gevoeligheidslabels correct in voor jouw omgeving.
• DPIA-ondersteuning: Wij helpen bij het uitvoeren van een Data Protection Impact Assessment door de technische verwerkingen in kaart te brengen.
• Verwerkingsregister: Wij documenteren de gegevensverwerkingen binnen Microsoft Fabric zodat je voldoet aan de registratieplicht.
• Proactief beheer: Via continue monitoring signaleren wij afwijkingen of beveiligingsrisico’s voordat ze een probleem worden.
• Advies op maat: Of je nu een overheidsinstelling bent of een commercieel bedrijf, wij stemmen onze aanpak af op jouw specifieke situatie en risicoprofiel.

Wil je weten hoe wij jouw Microsoft Fabric-omgeving AVG-compliant kunnen maken? Neem contact met ons op en we denken graag met je mee.

Gerelateerde artikelen

• Welke databases werken met Power BI?
• Fabric of Snowflake: welk platform past bij jouw organisatie?
• Welke programmeertaal is Power BI?
• Is Power BI moeilijk te leren?
• Hoe maak ik rapporten zonder alles handmatig in Excel bij te houden?
• Welke software gebruik je voor data-analyse als kleine ondernemer?
• Hoe stop ik met urenlang rapporten maken in Excel?
• Hoe beheer ik capaciteitsplanning en pieken in Fabric?
• Hoe integreer je Power BI met databases?
• Hoe overtuig ik mijn manager om Power BI aan te schaffen?

Gerelateerde artikelen

• Hoe voorkom ik onverwachte kostenstijgingen bij schaalgroei in Fabric?
• Hoe lang duurt een typische Fabric-implementatie?
• Hoe schaal ik mijn Fabric-omgeving mee met mijn bedrijfsgroei?
• Hoe documenteer ik dataverwerkingsactiviteiten in Fabric voor de AVG?
• Hoe zet ik ruwe data om in bruikbare inzichten?
• Wat heb ik nodig om morgen Power BI te gebruiken?
• Hoe maak je real-time dashboards in Power BI?
• Is Power BI van Microsoft?
• Kan ik Power BI in 1 uur leren?
• Heb ik IT-kennis nodig voor Power BI?