Privacy Friendly

Grip op informatie

De vakgebieden gegevensbescherming, informatiebeveiliging en informatiemanagement kennen hun eigen specialistische kennis. De valkuil van deze specialistische kennis is dat we teveel in ons eigen vakgebied blijven hangen en daardoor niet de raakvlakken met andere vakgebieden begrijpen en benutten. Echter, om het eigen vakgebied volledig te kunnen invullen, is het noodzakelijk om ook die raakvlakken goed in te vullen. Dat kan alleen door ook daar kennis van te hebben. Onderstaand schema benoemt al deze raakvlakken en welke uitdagingen daarbij horen. Het doel is een breed begrip van informatie en hoe daar door middel van samenwerking vanuit de verschillende vakgebieden beter grip op kan worden verkregen.

Informatie- beveiliging Gegevens- bescherming Informatie- management © Privacy-Friendly.nl

Het interactieve diagram

Klik op de verschillende secties in het diagram voor de bijbehorende uitleg.

Informatiebeveiliging

Informatiebeveiliging is de verzameling van technische en organisatorische maatregelen die risico’s, welke ontstaan bij het verwerken van informatie, tot een acceptabel niveau terugbrengen. Het doel van informatiebeveiliging is dat op een dusdanige manier met informatie omgegaan wordt, dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie kan worden gewaarborgd.

Kader

Het normenkader is de NEN-ISO 27001, plus sectorale in- en aanvullingen. Voor de zorg bijvoorbeeld NEN 7510 en voor de overheid de BIO.

Specifieke wetgeving kan wel eisen stellen aan informatiebeveiliging. Zo eist de AVG voor persoonsgegevens dat "passende technische en organisatorische maatregelen" worden getroffen (art. 32 plus 28 lid 1). De NEN-ISO 27001 is een logische norm om hieraan invulling te geven, maar de AVG eist dit niet.

Doelgroep

Informatiebeveiliging dient de organisatie als geheel, door risico's te beperken. De eigenaar is dus het bestuur, vertegenwoordigd in de CISO.

Overlap

Informatiebeveiliging is natuurlijk ook onderdeel van de andere domeinen. De AVG bewaakt onder andere ook de integriteit en vertrouwelijkheid van persoonsgegevens. De beschikbaarheid, integriteit en vertrouwelijkheid zijn ook onderdeel van informatiemanagement om bedrijfsprocessen naar behoren uit te kunnen voeren.

Gegevensbescherming

Dit domein gaat over de bescherming van persoonsgegevens en het respecteren van de informationele privacy. De term gegevensbescherming is eigenlijk te breed, omdat het alleen om persoonsgegevens gaat. De bescherming van persoonsgegevens omvat niet alleen technische waarborgen (zoals de technische beveiliging) maar met name ook de procedurele waarborgen.

Kader

Gegevensbescherming is een wettelijke plicht die volgt uit de AVG en de Uitvoeringswet AVG. Iedere organisatie (iedere niet-huishoudelijke administratie van persoonsgegevens) moet hieraan voldoen. In art. 5 staan de beginselen die door de gegevensbescherming worden bewaakt:

  • Rechtmatigheid, behoorlijkheid en transparantie
  • Doelbinding
  • Gegevensminimalisatie
  • Juistheid
  • Opslagbeperking (retentie)
  • Integriteit en vertrouwelijkheid
  • Verantwoording

Doelgroep

Gegevensbescherming dient de belangen van de betrokkene. Van de drie domeinen is dit het enige extern gerichte domein. De eigenaar is de FG, die (op basis van art. 38 lid 3) dan ook een hoge mate van onafhankelijkheid kent.

Overlap

Deze beginselen hebben natuurlijk ook raakvlakken en overlap met de andere domeinen. Zo waakt Informatiebeveiliging ook over integriteit en vertrouwelijkheid en vallen gevevensminimalisatie en retentie ook in het domein van informatiemanagement.

Informatiemanagement

Het domein van informatiemanagement is gericht op het ondersteunen van de bedrijfsprocessen door informatievoorziening. Het gaat hier om het kennen en onderkennen van de informatiebehoefte van de organisatie om daar vervolgens op betrouwbare wijze in te voorzien. De term 'informatiemanagement' wordt breed gebruikt en is niet vast omlijnd. Velen zien informatiemanagement als een ICT-proces: naar ons idee is informatiemanagement breder en niet beperkt tot techniek of digitale informatie. De essentie staat heel goed in Archiefwet art.3: de organisatie moet informatie in "goede, geordende en toegankelijke staat brengen en bewaren, alsmede zorgdragen voor vernietiging".

Typische processen in dit domein zijn inventarisatie, classificatie, selectie (wel of niet bewaren) en vernietiging. Natuurlijk kan dit alleen met een betrouwbare duurzame bewaring. In het digitale domein hebben we het dus ook over storage en backup; in het papieren domein over fysieke preservering.

Kader

Zo breed als dit domein is, is ook het kader:

  • De Archiefwet stelt archivering verplicht voor overheidsorganisaties;
  • De NEN-ISO 15489 biedt normen voor informatie- en archiefmanagement;
  • De NEN-ISO 23081 biedt normen voor metadatering;
  • De NEN/TR 18128 richt zich op risicobeheersing voor archiefbescheiden;
  • De NEN 2082 stelt eisen aan software voor informatie- en archiefmanagement.

Net als bij informatiebeveiliging zijn er ook in dit domein sectorale invullingen, met name voor de bewaarstrategie en bewaartermijnen.

Doelgroep

Informatiemanagement dient het bedrijfsproces: de proceseigenaar is degene die bepaalt welke informatie nodig is en wat de waarde daarvan is.

Overlap

Natuurlijk is er overlap met informatiebeveiliging: met name in de inventarisatie en classificatie. De organisatie kan immers alleen de beveiliging van informatie garanderen als bekend is welke informatie er is en wat de waarde daarvan is voor het bedrijfsproces. Hetzelfde geldt voor gegevensbescherming: de betrokkenerechten (vooral inzage, correctie, aanvulling, wissing), maar ook de doelbinding en gegevensminimalisatie kunnen alleen op basis van diezelfde inventarisatie en classificatie worden ingevuld.

Het raakvlak tussen informatiebeveiliging en gegevensbescherming

Dit raakvlak gaat over het beveiligen van persoonsgegevens, zoals benoemd in artikel 32 AVG. De AVG eist een adequaat ("passend") beveiligingsniveau, bestaande uit technische en organisatorische maatregelen.

Om adequaat te kunnen beveiligen en te weten wat "passend" is, moet je weten om wat voor informatie het gaat en wat de waarde van die informatie is voor het bedrijfsproces. De overlap tussen IB en GB bevat dus ook een onderdeel IM - het middelste deel in ons model.

Goede samenwerking tussen de CISO en de Functionaris Gegevensbescherming (of Privacy Officer) is noodzakelijk om dit raakvlak goed in te kunnen vullen. De proceseigenaar moet geconsulteerd worden voor de gegevensminimalisatie ("kan het ook met minder") en de vraag wat een passend beveiligingsniveau is voor het bedrijfsproces.

De as door dit raakvlak

De as die wij hebben getekend is de scheiding tussen de belangen: het belang voor de organisatie (IB) vs. het belang voor de betrokkene (GB). Wij hechten er waarde aan om die scheiding te benadrukken omdat wij veel DPIA's zien die zich vooral richten op de technische kant van IB en te weinig op de risico's voor de betrokkenen.

Het raakvlak tussen informatiebeveiliging en informatiemanagement

Bij dit raakvlak wordt, gebruik maakend van het informatielandschap vanuit informatiemanagement, de waarde van informatie voor de organisatie bepaald tijdens de Business Impact Assessment (BIA). Daarbij wordt bepaald wat de eisen zijn ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, welke gebruikt worden tijdens een risicoanalyse voor informatiebeveiliging.

Goede samenwerking tussen de CISO en de Informatie Manager is noodzakelijk om dit raakvlak goed in te kunnen vullen.

De as door dit raakvlak

De as die wij hebben getekend is de scheiding tussen de belangen: het belang voor de organisatie (IB) vs. het belang voor het proces (IM). Enerzijds mag informatiebeveiliging niet het proces beperken; anderzijds mag het proces geen onverantwoorde risico's voor de organisatie inhouden. De BIA moet dus een zuivere afweging maken tussen de belasting die beveiliging op het proces legt en de risico's die het proces voor de organisatie inhoudt. Hier zit de discussie van de baselines in informatiebeveiliging die zonder oog voor het proces een "minimaal" beveiligingsniveau eisen. Naar ons idee kan dat niet.

Het raakvlak tussen gegevensbescherming en informatiemanagement

Dit raakvlak gaat over de informatiehuishouding van de processen waar persoonsgegevens in omgaan. Vanzelfsprekend moet je weten welke processen dat zijn en welke persoonsgegevens daarin betrokken zijn. Dat is het verwerkingsregister, zoals bedoeld in artikel 30 AVG. Daarnaast moeten de betrokkenerechten (inzage, correctie, wissing etc) ook daadwerkelijk als proces bestaan om ze uit te kunnen voeren.

Goede samenwerking tussen de Functionaris Gegevensbescherming (of Privacy Officer) en de Informatie Manager is noodzakelijk om dit raakvlak goed in te kunnen vullen.

Assessment

Het assessment in dit raakvlak is vooral een inventarisatie: weten welke processen persoonsgegevens verwerken (verwerkingsregister) en inventariseren welke persoonsgegevens ook echt noodzakelijk zijn voor het proces (gegevensminimalisatie). Deze inventarisaties zijn niet primair risico-gebaseerd, zoals de DPIA en de BIA dat wel zijn. In het midden van het model komt dat echter samen.

De as door dit raakvlak

De as die wij hebben getekend is de scheiding tussen de belangen: het belang voor het proces (IM) vs. het belang voor de betrokkene (GB). Gegevensminimalisatie valt aan de kant van het proces, waarbij de verwerking niet omvangrijker mag zijn dan om het belang van het proces te dienen. De uitvoering van inzage, correctie, aanvulling en wissing vallen aan de kant van betrokkene, waarbij de procesuitvoering de belangen van betrokkenen moet respecteren.

Kader

Het normenkader voor dit raakvlak is de ISO 27701.

Het raakvlak tussen de drie vakgebieden

Bij een optimale samenwerking tussen de drie vakgebieden behandelt de organisatie informatie als vierde productiefactor, naast arbeid, kapitaal en natuur. De waarde en de gevoeligheid van bepaalde informatie is bekend bij de directie en die stuurt actief op een goede omgang met bedrijfsinformatie.

Tussen de CISO, de FG, de Informatie Manager en de ICT-manager vindt regelmatig overleg plaats, waarbij informatie centraal staat.

De assen door dit raakvlak

De assen illustreren de belangen en delen dit raakvlak in drie delen. Dat is natuurlijk niet toevallig: wij zien drie belangen en drie onderdelen van de DPIA.

  • Het bedrijfsbelang richt zich op de risico's van lekkage, imagoschade en (persoons)gegevensbeveiliging.
  • Het procesbelang richt zich op de adequate uitvoering van processen, met niet meer persoonsgegevens dan nodig - maar wel met de (al dan niet gevoelige) persoonsgegevens die nodig zijn.
  • Het betrokkenebelang richt zich op de bescherming van de persoonlijke levenssfeer van de betrokkene: niet meer gegevens dan nodig, als nodig dan goed beschermd en controle door de betrokkene zelf.

Lees ook over de samenwerking tussen gegevensbescherming, informatiebeveiliging en risicomanagement.