Wat is databeveiliging?

Vrijwel iedere organisatie bewaart data. Zonder data zou het uitvoeren van een groot deel van de werkzaamheden onmogelijk worden. Echter is het van belang dat deze data goed beveiligd wordt. Wanneer dit onvoldoende gebeurt, zijn de risico’s en dreigingen groot. Hoe zorgt uw organisatie voor een goede databeveiliging?

Databeveiliging is een ander woord voor informatiebeveiliging. Het draait om het beschermen en beveiligen van (privacy) gevoelige informatie. Maar wat is databeveiliging precies?

In dit blogartikel staan wij stil bij databeveiliging. Dit doen wij door meer informatie te geven over de volgende onderwerpen:

Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging.

Download het complete e-book

Wat is data?

Het gaat bij data, of informatie, om meer dan alleen digitale gegevens. Onder data vallen onder andere de volgende gegevens:

  • Gegevens in databases;
  • Documenten, digitaal maar ook op papier;
  • Gegevens op websites;
  • Trainingen of presentaties;
  • Contracten, licenties et cetera;
  • Archiefmappen;
  • Handelswaar: handleidingen, muziekbestanden, et cetera;
  • Kennis.

databescherming

Waarde van data

Data heeft waarde. Dat kan zijn omdat deze gegevens nodig zijn om uw werk te kunnen doen, denk bijvoorbeeld aan het geven van instructies, het gebruiken van checklists en richtlijnen, medicatiegegevens of contactgegevens. Om administratie te kunnen bijwerken of verantwoording af te kunnen leggen hebt u ook data nodig. Denk hierbij aan bijvoorbeeld bankafschriften en de jaarrekening. 

Maar data heeft ook waarde omdat deze bijvoorbeeld gevoelige gegevens bevat van personen of bedrijfsgeheimen. Denk aan personeelsdossiers, patenten et cetera. Daarnaast kan data ook als ‘handelswaar’ van een onderneming functioneren. Voorbeelden hiervan zijn kennis, muziek en bijvoorbeeld het hebben van toegang tot een bepaalde database.

BIV classificatie

De waarde van de data of informatie wordt bepaald op basis van de vereiste mate van beschikbaarheid, integriteit en vertrouwelijkheid (BIV classificatie). Immers, als niet aan deze eisen wordt voldaan is er sprake van schade, ofwel verlies van waarde. Is data tijdelijk of geheel niet meer beschikbaar, is deze onjuist of wordt deze ingezien door onbevoegden? Dan breekt dit dus in op één van de genoemde aspecten.

Niet alle data heeft dezelfde waarde. En niet alle data is even belangrijk op de verschillende aspecten van beschikbaarheid, integriteit en vertrouwelijkheid. Hierbij worden verschillende niveaus gehanteerd, zie de tabel hieronder. Het bepalen welk niveau voor bepaalde informatie van toepassing is, gebeurt doorgaans op basis van een BIA: Business Impact Analyse. Ofwel, welke impact heeft het verlies aan beschikbaarheid, integriteit of vertrouwelijkheid? Is die impact groot, dan wordt een hoger waardeniveau aan deze informatie gekoppeld.

Niveau

Beschikbaarheid

Integriteit

Vertrouwelijkheid

Geen

Niet nodig

gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn

(bv: routeplanning)

Niet zeker

informatie mag worden veranderd

(bv: templates en sjablonen)

Openbaar

informatie mag door iedereen worden ingezien

(bv: algemene informatie op de website)

Normaal

Belangrijk

informatie mag korte tijd niet beschikbaar zijn

(bv: administratieve gegevens)

Beschermd

het bedrijfsproces staat enkele (integriteits-) fouten toe

(bv: rapportages)

Intern

informatie is toegankelijk voor alle medewerkers van de organisatie

(bv: intranet)

Hoog

Noodzakelijk

informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk

(bv: primaire proces informatie)

Hoog

het bedrijfsproces staat zeer weinig fouten toe

(bv: bedrijfsvoerings- informatie en primaire proces- informatie)

Vertrouwelijk

informatie is alleen toegankelijk voor een beperkte groep gebruikers 

(bv: persoonsgegevens, financiële gegevens)

Kritiek

Essentieel

informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten

(bv: basisregistraties)

Absoluut

het bedrijfsproces staat geen fouten toe

(bv: beleidsinformatie)

Geheim

informatie is alleen toegankelijk voor direct geadresseerde(n)

(bv: zorggegevens en strafrechtelijke informatie)

Deze tabel is gedeeltelijk gebaseerd op documenten van Surf.nl en IBD.

Belanghebbenden

Niet alle data is ook van evengroot belang voor alle belanghebbenden. Het is daarom essentieel om inzicht te hebben wie, of welke organisaties, belang hebben bij welke data. Denk aan klanten, leveranciers, de eigen medewerkers en het management.

Wetgeving

Eén van de belanghebbenden van data is de overheid. De overheid vereist van organisaties bijvoorbeeld dat zij een deugdelijke administratie voeren. Als wetgever zijn er daarom wetten waar de organisatie aan moet voldoen. Met betrekking tot data en databescherming zijn daarbij de volgende wetten, richtlijnen en/of verordeningen relevant:

Algemeen (alle organisatie):

  • Grondwet
  • Algemene Verordening Gegevensbescherming (AVG of GDPR) en wet meldplicht datalekken;
  • Archiefwet;
  • Databankwet;
  • Auteurswet;
  • Telecommunicatiewet;
  • Wet computercriminaliteit III;
  • Cookie wetgeving/e-Privacy;
  • Wet elektronische handtekeningen;
  • Wet gegevensverwerking en meldplicht cybersecurity.

Overheidsorganisaties:

  • Wet op de inlichtingen- en veiligheidsdiensten;
  • Wet Beveiliging Netwerk- en Informatiesystemen (Wbni);
  • Wet openbaarheid bestuur;
  • Baseline Informatiebeveiliging Overheid;
  • Wet digitale overheid en eIDAS-Verordening (toekomstig);
  • Suwinet, ENSIA, VIR-BI.

Zorgorganisaties:

  • Medische gegevens en gegevensuitwisseling.

Om aan deze wetgeving te voldoen kunt u de richtlijnen van ISO 27001 normering volgen. Het is tevens mogelijk hier een certificaat voor te behalen. Hiermee toont u aan dat u voldoet aan de wetgeving en eisen rondom informatiebeveiliging.

Hulp nodig?

Hebt u aan de hand van deze informatie nog vragen over de bescherming van data binnen uw organisatie? Wilt u meer weten over databescherming of informatiebescherming? Of bent u op zoek naar een platform om uw databescherming op orde te krijgen en te behouden, bijvoorbeeld Base27? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.

Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging. Download gratis "De Complete Gids voor Basiskennis Informatiebeveiliging"

Download nu de complete gids

Recente berichten

Met Base27 van Axxemble heeft u uw informatiebeveiliging snel op orde.
Download nu de complete gids

De combinatie van Base27 en ondersteuning en kennis van Axxemble was voor ons de succesformule. Na 6 maanden was de certificering een feit.

Mathijs Vreeman Lightbase

lightbase

Deze blogs vindt u wellicht ook interessant:

Wat is databeveiliging?

Optimaal (ISO) normen combineren met behulp van een managementsysteem

Het aantonen van een (ISO) norm zorgt voor meer vertrouwen bij uw bestaande en potentiële klanten. Niet gek dat bedrijven er steeds vaker voor kiezen om aan één of zelfs meerdere ISO normen te voldoen en het bijbehorende certificaat te behalen. Hoe...
Wat is databeveiliging?

Bespaar tijd door gebruik van de juiste ISMS-software

Waarschijnlijk herkent u het wel: u bent veel tijd kwijt met het onderhouden van alle documentatie en de verantwoording van het ISMS om te blijven voldoen aan de eisen van uw ISO 27001 certificering. Vervelend, want u wilt uiteraard deze tijd liever...
Wat is databeveiliging?

Privacy by design en by default, wat is het en hoe pas ik het toe?

Inmiddels is de AVG al enige tijd ingevoerd en hebben veel bedrijven de nodige aanpassingen gedaan, toch blijft het omgaan met privacygevoelige informatie lastig blijkt keer op keer.