English
Nederlands
Vrijwel iedere organisatie bewaart data. Zonder data zou het uitvoeren van een groot deel van de werkzaamheden onmogelijk worden. Echter is het van belang dat deze data goed beveiligd wordt. Wanneer dit onvoldoende gebeurt, zijn de risico’s en dreigingen groot. Hoe zorgt uw organisatie voor een goede databeveiliging?
Databeveiliging is een ander woord voor informatiebeveiliging. Het draait om het beschermen en beveiligen van (privacy) gevoelige informatie. Maar wat is databeveiliging precies?
In dit blogartikel staan wij stil bij databeveiliging. Dit doen wij door meer informatie te geven over de volgende onderwerpen:
Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging.
Wat is data?
Het gaat bij data, of informatie, om meer dan alleen digitale gegevens. Onder data vallen onder andere de volgende gegevens:
- Gegevens in databases;
- Documenten, digitaal maar ook op papier;
- Gegevens op websites;
- Trainingen of presentaties;
- Contracten, licenties et cetera;
- Archiefmappen;
- Handelswaar: handleidingen, muziekbestanden, et cetera;
- Kennis.
Waarde van data
Data heeft waarde. Dat kan zijn omdat deze gegevens nodig zijn om uw werk te kunnen doen, denk bijvoorbeeld aan het geven van instructies, het gebruiken van checklists en richtlijnen, medicatiegegevens of contactgegevens. Om administratie te kunnen bijwerken of verantwoording af te kunnen leggen hebt u ook data nodig. Denk hierbij aan bijvoorbeeld bankafschriften en de jaarrekening.
Maar data heeft ook waarde omdat deze bijvoorbeeld gevoelige gegevens bevat van personen of bedrijfsgeheimen. Denk aan personeelsdossiers, patenten et cetera. Daarnaast kan data ook als ‘handelswaar’ van een onderneming functioneren. Voorbeelden hiervan zijn kennis, muziek en bijvoorbeeld het hebben van toegang tot een bepaalde database.
BIV classificatie
De waarde van de data of informatie wordt bepaald op basis van de vereiste mate van beschikbaarheid, integriteit en vertrouwelijkheid (BIV classificatie). Immers, als niet aan deze eisen wordt voldaan is er sprake van schade, ofwel verlies van waarde. Is data tijdelijk of geheel niet meer beschikbaar, is deze onjuist of wordt deze ingezien door onbevoegden? Dan breekt dit dus in op één van de genoemde aspecten.
Niet alle data heeft dezelfde waarde. En niet alle data is even belangrijk op de verschillende aspecten van beschikbaarheid, integriteit en vertrouwelijkheid. Hierbij worden verschillende niveaus gehanteerd, zie de tabel hieronder. Het bepalen welk niveau voor bepaalde informatie van toepassing is, gebeurt doorgaans op basis van een BIA: Business Impact Analyse. Ofwel, welke impact heeft het verlies aan beschikbaarheid, integriteit of vertrouwelijkheid? Is die impact groot, dan wordt een hoger waardeniveau aan deze informatie gekoppeld.
|
Niveau |
Beschikbaarheid |
Integriteit |
Vertrouwelijkheid |
|
Geen |
Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: routeplanning) |
Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) |
Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de website) |
|
Normaal |
Belangrijk informatie mag korte tijd niet beschikbaar zijn (bv: administratieve gegevens) |
Beschermd het bedrijfsproces staat enkele (integriteits-) fouten toe (bv: rapportages) |
Intern informatie is toegankelijk voor alle medewerkers van de organisatie (bv: intranet) |
|
Hoog |
Noodzakelijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) |
Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoerings- informatie en primaire proces- informatie) |
Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens) |
|
Kritiek |
Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) |
Absoluut het bedrijfsproces staat geen fouten toe (bv: beleidsinformatie) |
Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) |
Deze tabel is gedeeltelijk gebaseerd op documenten van Surf.nl en IBD.
Belanghebbenden
Niet alle data is ook van evengroot belang voor alle belanghebbenden. Het is daarom essentieel om inzicht te hebben wie, of welke organisaties, belang hebben bij welke data. Denk aan klanten, leveranciers, de eigen medewerkers en het management.
Wetgeving
Eén van de belanghebbenden van data is de overheid. De overheid vereist van organisaties bijvoorbeeld dat zij een deugdelijke administratie voeren. Als wetgever zijn er daarom wetten waar de organisatie aan moet voldoen. Met betrekking tot data en databescherming zijn daarbij de volgende wetten, richtlijnen en/of verordeningen relevant:
Algemeen (alle organisatie):
- Grondwet
- Algemene Verordening Gegevensbescherming (AVG of GDPR) en wet meldplicht datalekken;
- Archiefwet;
- Databankwet;
- Auteurswet;
- Telecommunicatiewet;
- Wet computercriminaliteit III;
- Cookie wetgeving/e-Privacy;
- Wet elektronische handtekeningen;
- Wet gegevensverwerking en meldplicht cybersecurity.
Overheidsorganisaties:
- Wet op de inlichtingen- en veiligheidsdiensten;
- Wet Beveiliging Netwerk- en Informatiesystemen (Wbni);
- Wet openbaarheid bestuur;
- Baseline Informatiebeveiliging Overheid;
- Wet digitale overheid en eIDAS-Verordening (toekomstig);
- Suwinet, ENSIA, VIR-BI.
Zorgorganisaties:
- Medische gegevens en gegevensuitwisseling.
Om aan deze wetgeving te voldoen kunt u de richtlijnen van ISO 27001 normering volgen. Het is tevens mogelijk hier een certificaat voor te behalen. Hiermee toont u aan dat u voldoet aan de wetgeving en eisen rondom informatiebeveiliging.
Hulp nodig?
Hebt u aan de hand van deze informatie nog vragen over de bescherming van data binnen uw organisatie? Wilt u meer weten over databescherming of informatiebescherming? Of bent u op zoek naar een platform om uw databescherming op orde te krijgen en te behouden, bijvoorbeeld Base27? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.
Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging. Download gratis "De Complete Gids voor Basiskennis Informatiebeveiliging"
