Versions Compared

Old Version 4

changes.mady.by.user Hijke Maes

Saved on

compared with

New Version 5

changes.mady.by.user Hijke Maes

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

In het organisatiedocument Informatieveiligheid  hebben we het verschil (en de gelijkenissen) tussen informatiebeveiliging en bescherming van persoonsgegevens uitgelegd. We definiëren ook impactschalen vanuit het standpunt van de generieke organisatie en vanuit het standpunt van individuen (GDPR).

...

Definities van impact op de organisatie

Verwaarloosbare impact/schade

  • Geen impact op de organisatie.

  • Dienstverlening (het leveren van informatie en informatie verwerkende systemen aan de burger of organisatie) kan langere tijd (meer dan een maand) onbeschikbaar zijn zonder significante gevolgen voor de organisatie of voor de burger.

  • Er zijn geen kritische bedrijfsmomenten.

Minimale impact/schade

  • Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen.

  • Niet beschikbare dienstverlening langer dan één maand heeft significante gevolgen voor de organisatie of de burger.

  • Er zijn geen kritische bedrijfsmomenten.

Belangrijke impact/schade

  • Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen.

  • Het lopende werkingsbudget ondersteunt de financiële middelen.

  • Niet beschikbare dienstverlening langer dan één week heeft significante gevolgen voor de organisatie of de burger.

  • Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 24 uur significante gevolgen heeft voor de organisatie of burger.

Ernstige impact/schade

  • Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen.

  • Reservering van financiële middelen is noodzakelijk en hebben invloed op lopende en toekomstige werkingsbudgetten.

  • Niet beschikbare dienstverlening langer dan 72 uur heeft significante gevolgen voor de organisatie of de burger.

  • Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 12 uur significante gevolgen heeft voor de organisatie of de burger.

Bedreigende impact/schade

  • Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om het voortbestaan van de dienstverlening te garanderen.

  • Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten.

  • Bedreigend voor het voortbestaan van de organisatie.

  • Niet beschikbare dienstverlening langer dan 24 uur heeft significante gevolgen voor de organisatie of de burger.

  • Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 2 uur significante gevolgen heeft voor de organisatie of de burger.

...

Definities van impact op het individu

Verwaarloosbare impact/schade

  • Materiële schade

    • Geen tot verwaarloosbare financiële schade voor het individu

    • Geen aantoonbare impact op de levenskwaliteit

  • Immateriële schade

    • Geen tot minimale immateriële schade voor het individu

    • Eigenwaarde

    • Reputatie en stigmatisering

Minimale impact/schade

  • Materiële schade

    • Minimale financiële schade voor het individu

    • Geen aantoonbare impact op de levenskwaliteit

    • Potentiële compensatie mogelijk zonder juridische dwangmaatregelen

  • Immateriële schade

    • Geen tot minimale immateriële schade voor het individu

    • Eigenwaarde

    • Reputatie en stigmatisering

Belangrijke impact/schade

  • Materiële schade

    • Belangrijke financiële schade voor het individu

    • Geen aantoonbare blijvende impact op de levenskwaliteit

    • Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen

  • Immateriële schade

    • Geen tot minimale immateriële schade voor het individu

    • Eigenwaarde

    • Reputatie en stigmatisering

Ernstige impact/schade

  • Materiële schade

    • Belangrijke financiële schade voor het individu

    • Aantoonbare blijvende impact op de levenskwaliteit

    • Compensatie mogelijk op basis van juridische dwangmaatregelen

  • Immateriële schade

    • Ernstige immateriële schade voor het individu

      • Eigenwaarde

      • Reputatie en stigmatisering

      • Gelijkheid

      • Integriteit van de persoon

      • Ongestoord leven

      • Autonomie

    • Fysieke integriteit

      • Verlies aan zelfstandigheid

      • Bewegingsvrijheid

Bedreigende impact/schade

  • Materiële schade

    • Beëindigen financiële autonomie

    • Compensatie onmogelijk

  • Immateriële schade

    • Fysieke integriteit

      • Marteling en mishandeling met, al dan niet, blijvende fysieke of psychologisch trauma

      • Levensbeëindiging

...

Beschikbaarheid wordt klassiek uitgedrukt in een percentage. Dit cijfer geeft de gewenste beschikbaarheid die overeenkomt met de behoeften gespecifieerd in de verwerkingsovereenkomst voor de betrokken toepassing of dienst. In deze overeenkomst zal het detail worden opgenomen hoe deze beschikbaarheid wordt berekend op basis van ongeplande onbeschikbaarheden. Naar analogie met vertrouwelijkheid en integriteit maken we gebruik van de 5 impactschalen om de verschillende klassen van beschikbaarheid aan te duiden (Zie ook 8.1.1. Beslissingsboom voor beschikbaarheid):

Schaal

Beschikbaarheid

De dienstverlening kan meer dan een maand onbeschikbaar zijn zonder significante gevolgen voor de organisatie of de burger.

En/of

Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn.

En/of

De onbeschikbaarheid treft weinig of geen gebruikers (bijvoorbeeld minder dan 5% van de doelgroep).

En/of

Niet-herstel van informatie heeft geen impact op de organisatie of de burger.

En/of

Performantieverlies heeft geen significante impact voor de organisatie of de burger.

De dienstverlening mag niet langer dan een maand onbeschikbaar zijn. Is de dienstverlening langer dan 1 maand onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn.

En/of

De onbeschikbaarheid treft een minimaal aantal gebruikers (bijvoorbeeld minder dan 20% van de doelgroep).

En/of

Informatie moet minstens gedeeltelijk hersteld kunnen worden.

En/of

Maximaal 75% performantieverlies is toegestaan.

De dienstverlening mag incidenteel uitvallen, tot een week. Is de dienstverlening langer dan één week onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 24 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een significant aantal gebruikers (bijvoorbeeld tot 50% van de doelgroep) of enkele prioritaire gebruikers (minder dan 10%). Elke entiteit bepaalt zelf de criteria voor een prioritaire gebruiker.

En/of

Informatie moet volledig hersteld kunnen worden tot een zekere datum.

En/of

Maximaal 50% performantieverlies is toegestaan.

De dienstverlening kan quasi niet uitvallen, maximaal 72 uur. Is de dienstverlening langer dan 72 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 12 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een groot aantal gebruikers (bijvoorbeeld tot 75% van de doelgroep), of meerdere prioritaire gebruikers (bijvoorbeeld tot 25%).

En/of

Informatie moet volledig hersteld kunnen worden tot een datum op korte termijn.

En/of

Maximaal 20% performantieverlies is toegestaan.

De dienstverlening mag enkel zeer uitzonderlijk uitvallen, tot 24 uur. Is de dienstverleningen langer dan 24 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 2 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een zeer groot aantal gebruikers (bijvoorbeeld meer dan 75% van de doelgroep) en meerdere prioritaire gebruikers (bijvoorbeeld meer dan 25%).

En/of

Informatie moet volledig hersteld kunnen worden tot het moment van onbeschikbaarheid.

En/of

Maximaal 5% performantieverlies is toegestaan.

...

Om het gebruik in documentatie te vereenvoudigen krijgt elke schaal een unieke code onder vorm van een cijfer. Bovendien passen we een unieke kleurcode toe om de visuele herkenbaarheid te verbeteren. In de documentatie gebruiken we de terminologie informatieklassen om deze graden te groeperen.

  • Referenties naar Klasse 1, krijgen een blauwekleur

  • Referenties naar Klasse 2, krijgen een groenekleur

  • Referenties naar Klasse 3, krijgen een oranjekleur

  • Referenties naar Klasse 4, krijgen een rodekleur

  • Referenties naar Klasse 5, krijgen een zwarte kleur