een dik lichaam en twee staarten. Laten we de nek niet vergeten!

Met de nieuwe privacywetten en de aankomende meldplicht datalekken is er weer een hoop nieuwe materie waarop consultants en medewerkers zich kunnen, en waarschijnlijk ook moeten, storten. Het aspect dat ik in deze blog wil belichten is die over de samenhang tussen informatiebeveiliging en privacy en hoe belangrijk het onderdeel informatieclassificatie hierin is.

Twee koppen – input

Informatiebeveiliging en privacy zijn twee gebieden die beide al jaren lang bestaan. Deze werelden bewegen zich echter steeds meer, en ook sneller, naar elkaar toe. Echter blijven het voorlopig wel twee aparte zaken. Informatie moet beveiligd worden en een van de redenen waarom dit ‘moet’ (waarom een organisatie dit graag zou moeten willen) is privacy vanwege de steeds strenger wordende regelgeving.

Echter heeft elk van deze twee een eigen manier van aanpak, classificatie en organisatie.

De ene wordt gedreven vanuit het willen, of moeten, voldoen aan ISO27001/2, Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), Baseline Informatiebeveiliging Rijksoverheid (BIR), Baseline Informatiebeveiliging Waterschappen (BIWA). De andere vanuit de wet- en regelgeving Meldplicht Datalekken, Wet Bescherming Persoonsgegevens (WBP) en andere privacy gerelateerde onderwerpen.

Beide erg belangrijk, maar vaak compleet anders aangestuurd. En dat is maar goed ook. Het zijn ten slotte in de basis ook twee verschillende invalshoeken waarbij informatiebeveiliging vaak een wat meer intern gedreven karakter heeft, dat de organisatie zichzelf in meer of mindere mate heeft opgelegd, en privacy van buitenaf komt en waar de organisatie zich verplicht aan moet houden.

De nek – classificatie

Binnen de informatiebeveiliging gaat het om de kenmerken vanuit een BIV-waardering (in het Engels: AIC/CIA-rating). Dit gaat over beschikbaarheid, integriteit en vertrouwelijkheid van data, of gegevens met de daarbij horende informatiesystemen die deze gegevens verwerken. Vaak zijn deze terug te zien in een classificatie: niet, laag, midden, hoog. Of worden deze aangeduid met 0 t/m 3, bijvoorbeeld BIV = 322. Dus hoog, midden, midden.

Voor de privacy wordt in Nederland vaak de Wet Bescherming Persoonsgegevens (WBP AV23) van het CBP (College Bescherming Persoonsgegevens) aangehaald. Deze kent een 4-tal risicoklassen: openbaar, intern, vertrouwelijk, geheim. Deze worden ook wel aangeduid met WBP risicoklasse 0 t/m 3.

We zitten dus met een classificatie die qua waardering complementair aan elkaar is, alleen de invulling blijft verschillend. Is het nou wel of niet mogelijk om in plaats van vertrouwelijkheid de term privacy in te vullen. Hier kan ik kort over zijn; nee. Dit kan niet. Nou ja, misschien toch wel?

Privacy is één van de drivers die een impact heeft op het niveau van de classificatie ‘vertrouwen’ in BIV. Intern kan een organisatie daar natuurlijk wel een standaard voor opstellen. WBP risicoklasse 0 = laag, WBP risicoklasse 1 = midden en WBP risicoklassen 2 en 3 zijn hoog. Zoals in de CBR WBP AV23 is te lezen moet dit niet klakkeloos overgenomen worden, maar moet kritisch bepaald worden om welke gegevens het gaat. Zo zijn bijvoorbeeld bij een vereniging, de verenigingslid-relatiegegevens, niet per definitie gevoelig (categorie ‘basis’, risicoklasse 1), maar als je hier een foto aan toevoegt, zit je alweer een risicoklasse hoger.

De gegevenseigenaar (verantwoordelijke; of bestuur/directie) moet dus een goed beeld hebben welke gegevens gecreëerd, opgeslagen, gebruikt, gedeeld, gearchiveerd en/of verwijderd worden in de specifieke werkprocessen en zorg dragen dat deze gegevens de juiste classificatie krijgen. Hier moet verantwoordelijkheid genomen worden.

Het dikke lichaam – verwerking en borging

Hiermee wordt de rest van de organisatie bedoeld. Zij zullen alles in staat moeten stellen dat de gegevens juist behandeld worden. Het woord ‘juist’ doelt hiermee op de overeengekomen classificatie. Het eigenaarschap ligt altijd bij de eindverantwoordelijke en in de meeste gevallen zal dit een gegevenseigenaar in de business zijn. Deze persoon heeft vanuit zijn rol als (senior)management van een organisatie een strategische verantwoordelijkheid. Vanuit deze rol moet de IT-directeur aangestuurd worden om de goede dingen (=juiste niveau en van beveiligingsmaatregelen) te doen. Hierbij ga ik er vanuit dat er een demand/supply-werking is tussen de twee afdelingen. IT geeft de mogelijkheden aan. Business meldt dat wat zij nodig heeft. Het resultaat zou dan moeten zijn dat ze samen zorgen ze voor voldoende innovatie, veiligheid en naleving. Diezelfde samenwerking moet gezocht worden met HR, facilitaire zaken, communicatie en de juridische afdeling. Ook zij moeten de juiste maatregelen inrichten om de beveiliging van de gegevens te kunnen garanderen. En natuurlijk de privacy waarborgen. Het grappige is dan wel weer dat wanneer cryptografie wordt toegepast zowel de vertrouwelijkheid, en daarmee dus de privacy, wordt verhoogd. Twee vliegen in 1 klap.

Twee staarten – rapportage

Wanneer het aankomt op rapportage, zowel intern als extern, hebben we weer twee aparte organen. Enerzijds de Chief Information Security Officer (CISO), met daaronder de Information Security Officers (ISO’s), vanuit de rapportagelijn van informatiebeveiliging en anderzijds vanuit privacy is de Chief Privacy Officer (CPO, of een Functionaris voor de Gegevensbescherming (FG) vanuit de WBP) waar de rapportagelijn naar toe loopt. Zij zijn beide verantwoordelijk voor hun deel van het opstellen van, en de controle op, het naleven van het beleid en de richtlijnen. Uiteraard moeten deze in lijn zijn met de wetten en regelgevingen.

Helaas kom ik dit duidelijke onderscheid bij organisaties nog onvoldoende tegen. Hoe is dit in jouw organisatie geregeld?