privacy

Jouw persoonlijke dashboard in MyAnalytics

Het Office 365 platform is enorm rijk en bied je allerlei tools die je tijdens je werkdag nodig hebt. Van email in Outlook tot je klantdata in Dynamics 365 en van je chats en meetings in Skype tot je documenten in OneDrive en SharePoint. Een werknemer die de hele dag in de digitale werkplek bezig is genereerd een heleboel activiteit in de cloud en nu laat Microsoft deze activiteit zien in jouw persoonlijke dashboard: MyAnalytics.

Telkens als je als gebruiker iets doet binnen de Office 365 cloud dan wordt die activiteit bijgehouden. Als je bijvoorbeeld een email verstuurt, een bestand bekijkt, een teamsite bezoekt of je notities deelt. Dit wordt allemaal opgepikt als een signaal. En al deze signalen worden gevoed aan een zelflerend algoritme, de Office Graph, om te bepalen hoe jij werkt in de cloud.

Dit is op zichzelf niet nieuw. De Graph is er al een tijdje en helpt jou als Office 365 gebruiker bijvoorbeeld al om suggesties te doen in je Delve pagina en SharePoint Home overzicht omtrent de sites, bestanden en collega’s die interessant zijn om te bekijken. Wat wel nieuw is, is dat al die signalen nu ook gebruikt worden om jou als gebruiker je persoonlijke dashboard te geven wat laat zien hoe jij werkt in de cloud.

Privacy is key

De naam van het dashboard is in deze zeer treffend gekozen: MyAnalytics. Het zijn namelijk echt jouw interacties en signalen waar je inzicht in krijgt. En alles is vanuit jouw perspectief. Jij ziet dus niet hoe andere werken en anderen zien niet hoe jij werkt. Uit de gesprekken die ik met verscheidene klanten heb gevoerd over de Office Graph en wat deze allemaal wel en niet doet, is privacy altijd het onderwerp van de eerste vraag. En vaak ook van de tweede, derde en vierde vraag. Maar ik kan je verzekeren dat je enkel en alleen jouw data ziet in je dashboard en dat jij ook de enige bent die deze data te zien krijgt. En zolang je niet net als ik een blog schrijft over je eigen dashboard, dan blijft die data ook enkel en alleen voor jou.

Het Dashboard

Om een kijkje te nemen op je MyAnalytics Dashboard klik je gewoon op de bijbehorende tegel in je App Launcher of op de Office 365 startpagina.

9.1.png

Je komt dan op je dashboard uit waar bovenaan direct een duidelijk overzicht wordt gegeven van hoe jij afgelopen week je tijd hebt besteed. Je kunt hier kiezen welke week je onder de loep wilt nemen, maar de meest recente data die je in kunt zien is die van de vorige week. Dit is in feite geen probleem, omdat je wilt leren van je afgelopen week om de manier waarop je werkt deze week aan te passen. Verder zie je dat voor elk van de vier categorieën waarin je tijd wordt verdeeld je ook een doel kunt instellen. Op die manier kun je je eigen waardeoordelen aan jouw eigen data hangen. Ik probeer bijvoorbeeld minder in meetings en mijn email te zitten, maar het lukt nog niet helemaal zoals je kunt zien.

9.2.png

Het tweede onderdeel van mijn dashboard laat zien met wie ik samenwerk en hoe ik dat doe. Ik kan mensen uit mijn netwerk aanvinken waardoor ze in het tabblad IMPORTANT getoond worden. Daar zie ik in een oogopslag hoe ik met die persoon samenwerk. En nogmaals, dit is allemaal vanuit mijn perspectief. Dus de TOTAL TIME laat zien hoeveel tijd ik besteed heb, het cijfer bij READ PERCENT laat zien hoeveel ik gelezen heb en de RESPONSE TIME laat zien hoe snel ik reageer.

Verder zie ik ook nog hoe ik deze week heb samengewerkt met mijn manager. Het feit dat MyAnalytics weet wie mijn manager is, komt omdat dit ingevuld is in mijn Offcie 365 profiel. Maar de oplettende kijker zal al iets anders zijn opgevallen, namelijk dat hier ook een plekje is gereserveerd voor “Your manager’s response time” en die oplettende kijker zit nu te wachten op mijn uitleg waarom ik hier data zie over iemand anders terwijl ik net nog heb gezegd dat ik alleen mijn data zou moeten zien. En ook al had je die vraag niet, dan zal ik hem toch even beantwoorden. Hoe lang mijn manager erover doet om te reageren op mijn emails is misschien niet per se mijn data, maar wel iets wat ik sinds het begin van email al heb kunnen weten. Ik weet namelijk wanneer ik de email verstuur en weet wanneer ik een email terugkrijg. Dus dan is het koud kunstje om de reageertijd uit te rekenen. Dus nog steeds houdt het dashboard de eer overeind en deelt het geen data van anderen die je niet al wist.

9.3.png

Iets dat ik een mooie toevoeging vind, is het overzicht van collega’s waarmee je contact aan het verliezen bent. Zo kun je voor jezelf nagaan of je iets vergeten bent of dat je gewoonweg klaar bent met samenwerken (iets dat door mijn hoge mate van projectmatig werken vaak voorkomt als een project wordt afgerond).

Dan is het tijd om mijn vergader gedrag eens beter te bekijken. Zoals we aan het begin konden zien zit ik meer in meetings dan ik zou willen (10.3 uur terwijl mijn doel ligt op een maximum van 10 uur).

9.4.png

Ik zie dat mijn tijd in meetings ook boven het gemiddelde van mijn organisatie ligt en ‘veroorzaakt’ wordt door anderen die mij voor meetings uitnodigen. Vervolgens zie ik ook nog dat dit vooral lange meetings zijn en een paar herhalende meetings. Door op de details knop te klikken onder het staafdiagram zie ik al mijn meetings van die week en hoe die meegenomen worden in mijn overzicht.

9.5.png

De meest interessante categorie in het overzicht vind ik de categorie MULTITASKING. Hoe weet mijn dashboard dit? Het antwoord is vrij simpel. Ik heb tijdens deze meetings gewerkt in Outlook, Skype for Business of SharePoint en aangezien die signalen ook opgepikt worden weet mijn dashboard dat ik niet alleen met de meeting bezig was op dat moment.

Dan mijn emailgedrag. Ook een onderdeel waar ik het door mijzelf ingestelde doel niet haal (6.1 uur waar ik maximaal 5 uur wil besteden).

9.6.png

k zie dat ik hier wel heel dicht bij het gemiddelde van mijn organisatie zit en dat zelfs het gemiddelde van mijn organisatie boven mijn doel ligt. Verder zie ik dat ik heel braaf alle email lees die ik ontvang, maar dat helpt natuurlijk niet als ik minder tijd in mijn inbox wil spenderen.

Daarnaast attendeert het dashboard mij erop dat ik ook MyAnalystics kan gaan gebruiken in mijn Outlook. Als ik de add-in daar open dan krijg ik real time feedback op mijn email en meeting gedrag.

9.7.png

Zo word ik gewaarschuwd dat enkele emails die ik verstuurd heb maar oppervlakkig gelezen zijn en dat mijn agenda begint vol te lopen en ik misschien die laatste vrije uurtje op vrijdag alvast moet blokken zodat ik nog tijd heb om alles af te krijgen deze week. Hier zie je dat het MyAnalytics stuk heel erg persoonlijk wordt en jou helpt om je werk effectief uit te voeren.

Dan mijn focus uren. Het onderdeel waar ik mijn doel haal (32.5 uur op een minimum van 10 uur). Ik zie dat ik ook boven het gemiddelde van de organisatie zit en dat ik in het weekend mijn laptop dicht heb gehouden. Dus dit zit goed, nu is het kwestie van behouden.

9.8.png

En als laatste mijn tijd die ik spendeer buiten mijn werkuren. Een onderdeel waar ik mijn doel niet haal (1.3 uur op een maximum van 0). Ook hier weer de vraag: hoe weet het dashboard wat mijn werktijden zijn? Nou, die heb ik zelf ingevuld in Outlook door aan te geven wanneer mijn werkdag start en dag eindigt. Verder zie ik dat ik ver onder het gemiddelde van mijn organisatie zit en dat mijn overwerk verdeeld is over drie dagen waarbij ik een half uurtje langer heb gewerkt (of eerder ben begonnen, want dat wordt ook meegeteld uiteraard).

9.9.png

Van observatie naar actie

Wat je MyAnalytics dashboard vooral doet is de data die jij zelf ook zou kunnen verzamelen in een overzichtelijke manier aan jou presenteren. Hierdoor hoef jij je alleen nog maar te bekommeren over het nemen van beslissingen op basis van jouw dashboard. Want dat is iets waar je zelf toch het beste in blijft.

Zo zou ik kritischer kunnen kijken naar de meetings waarvoor ik word uitgenodigd, om mijn vergaderdoel te halen of niet alle ontvangen email altijd volledig te lezen om mijn emaildoel te halen.

Maar het meest interessante is de discussie die je dashboard op gang kan brengen. Neem bijvoorbeeld het feit dat ik in twee meetings aan het multitasken was. Is dat nou goed of fout? Als ik de notulen en besluiten van die vergadering direct in een email aan het verwerken was dan zal iedereen dat prima vinden, maar als ik totaal ergens anders mee bezig was dan zal het minder op prijs worden gesteld. En als ik inderdaad met iets anders bezig was, is dat dan een teken dat ik slecht bezig was tijdens die vergadering of had ik misschien helemaal niet in de meeting hoeven zijn omdat ik blijkbaar iets anders tussendoor kon doen. Misschien zijn dit wel de meetings die ik in het vervolg kan overslaan. Of misschien moet ik tijdens mijn andere meetings ook eens direct de notulen gaan maken. Dit zijn de interessante gesprekken die het MyAnalytics dashboard op tafel kan brengen en daarom is het ook zeker waard om je manier van werken te bespreken met je collega’s. Wat vinden de collega’s waarmee ik in de ‘multitaks-meetings’ zat eigenlijk van het feit dat ik met iets anders bezig was? Door dit te bespreken kom je vaak snel tot afspraken over hoe iedereen het fijn vindt om samen te werken en kun je bijna altijd wel tijd besparen door een meeting over te slaan of van een mailinglijst afgehaald te worden.

Hoe kan ik beginnen?

Op dit moment is MyAnalytics standaard onderdeel van de E5 licentie. Dit is het meest uitgebreide pakket dat Microsoft aanbiedt en daarmee is de kans zeker aanwezig dat dit niet de licentie is waar jij over beschikt. Maar ook met andere pakketten kun je MyAnalytics toevoegen door het als losse add-on te kopen.

Wij bieden graag advies over de beste en voordeligste manier voor jouw organisatie om met deze efficiëntieverbeteraar aan de slag te gaan.

De impact van de General Data Protection Regulation op bedrijven en organisaties

Bescherming van privacy is een hot item en dat is niet voor niets. Zoals we allen weten kan het verliezen van persoonsgegevens verstrekkende impact op iemand zijn zakelijke en privéleven hebben. Met name in de zorgbranche en dienstverleningsbranche zijn er in het afgelopen jaar behoorlijk wat in de media geweest. Dit terwijl er een toenemende trend is in het “betalen” van (online) diensten tegen persoonsgegevens en gegevensuitwisseling tussen databases steeds vaker norm dan uitzondering wordt. Om burgers in hun privacy te beschermen is in 2016 de General Data Protection Regulation (GDPR) van kracht gegaan. In dit blog worden er compacte antwoorden gegeven op de vraag wat de GDPR is, wanneer deze van toepassing is voor uw bedrijf, wat de belangrijkste uitgangspunten zijn en hoe er gestart kan worden.

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is Europese wetgeving over de omgang met persoonsgegevens en privacy. Het doel hiervan is het aan de burgers teruggegeven van de grip op persoonsgegevens en het beschermen van de privacy.

Persoonsgegevens zijn hierbij letterlijk alle informatie die gelinkt kan worden aan een identiteit. Dit loopt van patiënt en personeelsnummers en gegevens tot IP-nummers. Eigenlijk zijn geanonimiseerde persoonsgegevens de enige genoemde uitzondering. De belangrijkste gegevens zijn hierbij degene welke schade aan de persoon in kwestie kunnen berokkenen.

Op welke bedrijven en organisaties is de GDPR van toepassing?

In de praktijk is de GDPR van toepassing op praktisch alle bedrijven en organisaties. Dit komt omdat bijna alle organisaties voor hun bedrijfsvoering en dienstverlening diverse soorten persoonsgegevens verwerken. De GDPR legt specifiek de nadruk op twee verschillende rollen welke bedrijven hebben bij de omgang bij persoonsgegevens, namelijk:

  1. Bedrijven en organisaties die in bezit zijn van persoonsgegevens, of de opdracht hebben uitbesteed om persoonsgegevens te verwerken, ook wel de data controllers rol
  2. Bedrijven en organisaties die persoonsgegevens verwerken. Het verwerken loopt van storage, de opslaghandeling tot en met het inzien van de gegevens. Deze bedrijven worden data processors genoemd

Wat zijn de belangrijkste consequenties?

Middels een set aan 99 artikelen worden maatregelen en verplichtingen van technische als organisatorische aard gesteld. Onderstaande punten bevatten een compacte opsomming van de belangrijkste:

  • Nemen van passende technische en organisatorische maatregelen ter bescherming van de privacy. De GDPR legt deze verplichting zowel bij partijen welke in het bezit zijn van de data als welke de data enkel in opdracht verwerken. Een belangrijk aandachtspunt is dat de eigenaar hierbij de hoofdverantwoordelijke is.
  • Privacy by design en Privacy by default. Privacy by design betekent dat bij nieuwe diensten of services privacy meegenomen dient te worden bij de ontwerpkeuzes en criteria. Privacy by default betekent dat standaard de meest strikte privacy settings moeten worden toegepast wanneer er een nieuw product of service wordt geïntroduceerd. Daarnaast dient de persoonlijke data enkel te worden bewaard voor de benodigde tijd voor de dienstverlening of service.
  • Om adequate inzage te verkrijgen in waar de risico`s liggen, stelt de GDPR dat deze ricico`s middels een Data Protection Impact Assesment (DPIA), ook wel Privacy Impact Assesment (PIA), in kaart worden gebracht. Hierbij gaat het hoofdzakelijk om de impact op de privacy, risico`s voor de organisatie en het doel van het project/verwerking. Voortkomend uit de DPIA kunnen aanvullende maatregelen worden genomen.
  • De documentatieplicht is, ten opzichte van de huidige actieve en eerder gerelateerde privacywetgeving, de meest kenmerkende verandering. De documentatieplicht betekent dat organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd. Op dit laatste vlak gaat het primair over de technische maatregelen, echter kan dit worden aangevuld met organisatorische maatregelen.
  • De GDPR stelt dat de verwerking van persoonsgegeven met een duidelijk doel verbonden en context gebonden dient te zijn. In de praktijk betekent dit dat persoonsgegevens alleen verwerkt mogen worden als er een legitieme doelstelling achter ligt. Overmatige verwerking van persoonsgegevens is niet toegestaan. Bovendien mogen de gegevens niet zonder toestemming gebruikt worden voor de levering van andere producten of diensten.
  • Inzichtelijkheid en het recht om vergeten te worden. Natuurlijke personen hebben volgens de GDPR het recht om in te zien welke gegevens van hen elektronisch zijn vastgelegd en hieruit verwijderd te worden. Voor bedrijven betekent dit dat organisaties niet alleen middels een veilige wijze deze gegevens moeten delen, ook betekent dit dat van organisaties hun informatiehuishouding rondom persoonsgegevens duidelijk en bekend moet zijn.
  • Als bedrijf kan de GDPR-impact hebben op het personeelsbestand. In meerdere gevallen is het namelijk verplicht om een Data Protection Officer (DPO) aan te stellen. Dit is o.a. bij verwerking voor een overheidsorgaan, het bijzondere gegevens betreffen zoals gezondheid, of wanneer er op grote schaal of stelstelmatig gegevens worden verwerkt. De belangrijkste taak van de DPO is het informeren en adviseren over de omgang met persoonsgegevens conform. Deze DPO mag overigens ook in middels inhuur zijn verzaamheden verrichten. Opvallend is dat er momenteel geen eisen worden gesteld ten aanzien van het fte percentage.
  • Bij een datalek van persoonsdata dient een data controller binnen 72 uur na het ontdekken van het datalek, op specifieke wijze, een melding te maken. Daarnaast kan het zijn dat het lek verplicht aan de data objects, ook wel de personen in kwestie, moet worden gemeld. Met name wanneer het lek waarschijnlijk zal resulteren in een hoog risico op inbreuk van de vrijheidsrechten van de persoon.

Wordt er op de GDPR gehandhaafd?

Dat de EU de bescherming van privacy serieus neemt blijkt uit de boethoogte. Deze liggen hoger dan bij de voorgaande wetgevingen. Bij een overtreding is de maximale boete bedraagt 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van het hoogste bedrag is. Per 25 mei 2018 wordt er daadwerkelijk gehandhaafd op de GDPR. Een belangrijk aandachtspunt hierbij is de naleving op de GDPR met terugwerkende kracht.

Hoe te starten?

Organisatie hebben echter nog een jaar totdat er ook daadwerkelijk op gehandhaafd gaat worden. Een DPIA biedt een startpunt voor het inzichtelijk krijgen van waar een organisatie zich op bevindt en welke beveiligingsmaatregelen er nog genomen dienen te worden. Ook is het de eerste stap naar de bewustwording van de risico`s en de te nemen technische en organisatorische maatregelen. Op technisch vlak zijn hier diverse toolings mogelijk zoals Azure Rights Managent, Back-up procedures en governance. Op organisatorisch vlak biedt naast de DPO en het governance, met name adoptie van privay bewust gedrag een belangrijk onderdeel uit van de te nemen stappen.

Bron: General Data Protection. (2016, 26 april). Geraadpleegd op 30 maart, 2017, van http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf