Wat is databeveiliging?

Vrijwel iedere organisatie bewaart data. Zonder data zou het uitvoeren van een groot deel van de werkzaamheden onmogelijk worden. Echter is het van belang dat deze data goed beveiligd wordt. Wanneer dit onvoldoende gebeurt, zijn de risico’s en dreigingen groot. Hoe zorgt uw organisatie voor een goede databeveiliging?

Databeveiliging is een ander woord voor informatiebeveiliging. Het draait om het beschermen en beveiligen van (privacy) gevoelige informatie. Maar wat is databeveiliging precies?

In dit blogartikel staan wij stil bij databeveiliging. Dit doen wij door meer informatie te geven over de volgende onderwerpen:

Weten hoe het staat met de databeveiliging binnen uw organisatie?

Download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Wat is data?

Het gaat bij data, of informatie, om meer dan alleen digitale gegevens. Onder data vallen onder andere de volgende gegevens:

  • Gegevens in databases;
  • Documenten, digitaal maar ook op papier;
  • Gegevens op websites;
  • Trainingen of presentaties;
  • Contracten, licenties et cetera;
  • Archiefmappen;
  • Handelswaar: handleidingen, muziekbestanden, et cetera;
  • Kennis.

databescherming

Waarde van data

Data heeft waarde. Dat kan zijn omdat deze gegevens nodig zijn om uw werk te kunnen doen, denk bijvoorbeeld aan het geven van instructies, het gebruiken van checklists en richtlijnen, medicatiegegevens of contactgegevens. Om administratie te kunnen bijwerken of verantwoording af te kunnen leggen hebt u ook data nodig. Denk hierbij aan bijvoorbeeld bankafschriften en de jaarrekening. 

Maar data heeft ook waarde omdat deze bijvoorbeeld gevoelige gegevens bevat van personen of bedrijfsgeheimen. Denk aan personeelsdossiers, patenten et cetera. Daarnaast kan data ook als ‘handelswaar’ van een onderneming functioneren. Voorbeelden hiervan zijn kennis, muziek en bijvoorbeeld het hebben van toegang tot een bepaalde database.

BIV classificatie

De waarde van de data of informatie wordt bepaald op basis van de vereiste mate van beschikbaarheid, integriteit en vertrouwelijkheid (BIV classificatie). Immers, als niet aan deze eisen wordt voldaan is er sprake van schade, ofwel verlies van waarde. Is data tijdelijk of geheel niet meer beschikbaar, is deze onjuist of wordt deze ingezien door onbevoegden? Dan breekt dit dus in op één van de genoemde aspecten.

Niet alle data heeft dezelfde waarde. En niet alle data is even belangrijk op de verschillende aspecten van beschikbaarheid, integriteit en vertrouwelijkheid. Hierbij worden verschillende niveaus gehanteerd, zie de tabel hieronder. Het bepalen welk niveau voor bepaalde informatie van toepassing is, gebeurt doorgaans op basis van een BIA: Business Impact Analyse. Ofwel, welke impact heeft het verlies aan beschikbaarheid, integriteit of vertrouwelijkheid? Is die impact groot, dan wordt een hoger waardeniveau aan deze informatie gekoppeld.

Niveau

Beschikbaarheid

Integriteit

Vertrouwelijkheid

Geen

Niet nodig

gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn

(bv: routeplanning)

Niet zeker

informatie mag worden veranderd

(bv: templates en sjablonen)

Openbaar

informatie mag door iedereen worden ingezien

(bv: algemene informatie op de website)

Normaal

Belangrijk

informatie mag korte tijd niet beschikbaar zijn

(bv: administratieve gegevens)

Beschermd

het bedrijfsproces staat enkele (integriteits-) fouten toe

(bv: rapportages)

Intern

informatie is toegankelijk voor alle medewerkers van de organisatie

(bv: intranet)

Hoog

Noodzakelijk

informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk

(bv: primaire proces informatie)

Hoog

het bedrijfsproces staat zeer weinig fouten toe

(bv: bedrijfsvoerings- informatie en primaire proces- informatie)

Vertrouwelijk

informatie is alleen toegankelijk voor een beperkte groep gebruikers 

(bv: persoonsgegevens, financiële gegevens)

Kritiek

Essentieel

informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten

(bv: basisregistraties)

Absoluut

het bedrijfsproces staat geen fouten toe

(bv: beleidsinformatie)

Geheim

informatie is alleen toegankelijk voor direct geadresseerde(n)

(bv: zorggegevens en strafrechtelijke informatie)

Deze tabel is gedeeltelijk gebaseerd op documenten van Surf.nl en IBD.

Belanghebbenden

Niet alle data is ook van evengroot belang voor alle belanghebbenden. Het is daarom essentieel om inzicht te hebben wie, of welke organisaties, belang hebben bij welke data. Denk aan klanten, leveranciers, de eigen medewerkers en het management.

Wetgeving

Eén van de belanghebbenden van data is de overheid. De overheid vereist van organisaties bijvoorbeeld dat zij een deugdelijke administratie voeren. Als wetgever zijn er daarom wetten waar de organisatie aan moet voldoen. Met betrekking tot data en databescherming zijn daarbij de volgende wetten, richtlijnen en/of verordeningen relevant:

Algemeen (alle organisatie):

  • Grondwet
  • Algemene Verordening Gegevensbescherming (AVG of GDPR) en wet meldplicht datalekken;
  • Archiefwet;
  • Databankwet;
  • Auteurswet;
  • Telecommunicatiewet;
  • Wet computercriminaliteit III;
  • Cookie wetgeving/e-Privacy;
  • Wet elektronische handtekeningen;
  • Wet gegevensverwerking en meldplicht cybersecurity.

Overheidsorganisaties:

  • Wet op de inlichtingen- en veiligheidsdiensten;
  • Wet Beveiliging Netwerk- en Informatiesystemen (Wbni);
  • Wet openbaarheid bestuur;
  • Baseline Informatiebeveiliging Overheid;
  • Wet digitale overheid en eIDAS-Verordening (toekomstig);
  • Suwinet, ENSIA, VIR-BI.

Zorgorganisaties:

  • Medische gegevens en gegevensuitwisseling.

Om aan deze wetgeving te voldoen kunt u de richtlijnen van ISO 27001 normering volgen. Het is tevens mogelijk hier een certificaat voor te behalen. Hiermee toont u aan dat u voldoet aan de wetgeving en eisen rondom informatiebeveiliging.

Hulp nodig?

Hebt u aan de hand van deze informatie nog vragen over de bescherming van data binnen uw organisatie? Wilt u meer weten over databescherming of informatiebescherming? Of bent u op zoek naar een platform om uw databescherming op orde te krijgen en te behouden, bijvoorbeeld Base27? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Ontdek de 7 basisprincipes van digitale hygiëne

Recente berichten

Met Base27 van Axxemble heeft u uw informatiebeveiliging snel op orde.
GRATIS PROEFABONNEMENT

Ook interessant: