Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie gedurende de volledige levenscyclus.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

De vertrouwelijkheid, integriteit en beschikbaarheid van informatie waarborgen. Dit houdt in dat de informatie wordt beschermd tegen onbevoegde toegang, wijziging, vernietiging of openbaarmaking, evenals tegen onbedoelde verlies of schade. Door het beschermen van informatie zorgt de organisatie ervoor dat bedrijfsprocessen correct en efficiënt verlopen, dat ze voldoet aan wettelijke en contractuele verplichtingen en dat de reputatie en vertrouwelijkheid van zowel de organisatie als haar belanghebbenden behouden blijven.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
showSpacefalse
excerptTyperich content
cqllabel = "doelstellingen" and label = "informatiebescherming"

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Filter by label (Content by label)
showLabelsfalse
sorttitle
showSpacefalse
cqllabel = "dreiging" and label = "informatiebescherming"

Beleid

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

In dit beleid verwijzen we veelvuldig naar de term ‘informatieasset’. We definiëren een informatieasset als volgt: “Een informatieasset is een set informatie (bijvoorbeeld een businessproces, dienst of product) die waarde heeft voor de organisatie of het individu welke gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.”

Toelichting

Een informatieasset is een term die wordt gebruikt om een specifieke verzameling informatie of gegevens binnen een organisatie te beschrijven. Het kan verwijzen naar zowel digitale als niet-digitale informatiebronnen, zoals documenten, databases, afbeeldingen, video's, audio-opnamen en andere soorten informatie.

Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases.

Het beheer en de bescherming van informatieassets is van groot belang voor organisaties, vooral vanwege de toenemende afhankelijkheid van informatie en de waarde ervan. Het omvat het vaststellen van beleid, procedures en technische maatregelen om ervoor te zorgen dat informatieassets veilig, nauwkeurig, beschikbaar en vertrouwelijk blijven.

Kortom, een informatieasset is een term die wordt gebruikt om te verwijzen naar de waardevolle verzameling informatie of gegevens binnen een organisatie die strategisch worden beheerd en beschermd.

Ter verduidelijking van het onderwerp informatieassets, is er vanuit Informatieclassificatieraamwerk (ICR) hieromtrent een handreiking ontwikkeld: Handreiking informatieassets

Classificeren van informatie

Het classificeren van informatie is essentieel voor informatiebeveiliging binnen de organisatie. Deze classificatie helpt de organisatie te bepalen welke informatieassets het meest gevoelig zijn en welke beveiligingsmaatregelen vereist zijn. Het stelt de organisatie in staat om aan wettelijke en regelgevende verplichtingen te voldoen, verhoogt de efficiëntie van beveiligingsprocessen, bevordert het bewustzijn van medewerkers over informatiebeveiliging en speelt een rol in gegevensretentie. Bij beveiligingsincidenten helpt classificatie bij het beoordelen van de impact en de noodzakelijke respons. Informatieclassificatie vormt daarmee de basis voor een robuust informatiebeveiligingsbeheersysteem.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De eigenaar van de informatie MOET het informatieclassificatieraamwerk van de Vlaamse Overheid toepassen.

De informatieklasse van informatieassets MOET worden bijgehouden in een centraal register.

Bij ontvangst van geclassificeerde informatie van buiten de organisatie MOET de ontvanger deze informatie classificeren volgens het voorgeschreven informatieclassificatieraamwerk wordt deze persoon aangemerkt als de eigenaar van deze informatieasset.

De eigenaar MOET de informatieclassificatie van zijn informatieassets elk jaar herzien, en beoordelen of het gevoeligheidsniveau moet worden gewijzigd.

Labelen van informatie

Informatie labelen betekent specifieke classificatiekenmerken toekennen aan informatie om hun belang en gevoeligheid te definiëren. Dankzij deze labels kan de organisatie vaststellen hoe deze data beveiligd, opgeslagen en gedeeld moet worden. Het ondersteunt zowel medewerkers als systemen om de significantie van de data te begrijpen en de bijbehorende beveiligingsrichtlijnen na te leven.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Informatie MOET volgens de informatieklasse gelabeld worden.

Binnen organisatiedocumenten, evenals in de beschrijving van datasets en code, MOET de informatieklasse vermeld worden. (Bijvoorbeeld: Documentatie over de opzet van software-infrastructuur kan waardevolle inzichten bieden aan kwaadwillende. Zulke documenten dienen dus eveneens geclassificeerd, gelabeld en beschermd te worden.)

Procedures voor het labelen van informatie MOETEN worden opgesteld. Deze procedures specificeren:

  • de locaties en methodes voor het aanbrengen van labels;

  • situaties waarin labelen niet wordt toegepast;

  • de wijze van labelen bij het verzenden of opslaan van informatie op elektronische of fysieke dragers, of andere formaten;

  • de aanpak bij situaties waar labelen technisch niet haalbaar is.

Beschermen van registraties

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Registraties (of ‘records’) verwijzen naar alle gegevens (data) die de organisatie opslaat en/of hanteert ter ondersteuning van haar reguliere bedrijfsvoering. Elke verzameling van gegevens, onafhankelijk van haar structuur of formaat, kan als een registratie worden beschouwd.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Om registraties te beschermen tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave MOETEN onderstaande richtlijnen in overweging worden genomen en gedocumenteerd:

  • Stel procedures op voor de beveiliging van gegevens, afgestemd op de informatieclassificatie van de informatie.

  • Stel procedures op voor de retentie, opslag, behandeling en vernietiging van gegevens, afgestemd op de informatieclassificatie van de informatie.

  • Creëer een bewaarschema waarin de registraties en hun bewaartermijnen worden gedefinieerd.

  • Zorg ervoor dat het gegevensopslagsysteem de identificatie van registraties en hun bewaartermijnen garandeert, rekening houdend met relevante wet- en regelgeving en maatschappelijke verwachtingen. Vernietig registraties na deze termijn indien niet langer nodig.

  • Baseer de beschermingsbeslissingen van specifieke registraties op hun informatieclassificatie.

  • Categoriseer registraties naar type (bijvoorbeeld financieel, transactie, personeel, juridisch) en specificeer voor elk type de bewaartermijn en toegestane opslagmedia.

  • Kies gegevensopslagsystemen die het tijdig en in het juiste formaat ophalen van benodigde registraties mogelijk maken.

  • Bij gebruik van elektronische opslagmedia, implementeer procedures die de toegankelijkheid van registraties tijdens de bewaartermijn waarborgen en bescherm tegen technologische veroudering.

  • Bewaar gerelateerde cryptografische sleutels en bijbehorende software voor versleutelde archieven of digitale handtekeningen, om decodering gedurende de bewaarperiode mogelijk te maken. (Zie Cryptografie)

  • Volg de aanbevelingen van fabrikanten bij het opslaan en behandelen van media.

  • Houd rekening met potentiële kwaliteitsdegradatie van media gebruikt voor het bewaren van registraties.

Bescherming van informatiesystemen tijdens audits

Activiteiten m.b.t. het doorlichten van informatieassets moeten zorgvuldig worden gepland en afgestemd met de verantwoordelijke operationele teams, om bedrijfsprocessen zo min mogelijk te verstoren en niet-geautoriseerde toegang tot data te vermijden.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Om informatieassets te beschermen tijdens een audit MOETEN onderstaande richtlijnen in overweging worden genomen en gedocumenteerd

  • Stem verzoeken voor toegang tot systemen en data voor auditdoeleinden altijd af met de betreffende product owner en/of systeembeheerder.

  • Voer auditactiviteiten die de systeembeschikbaarheid kunnen beïnvloeden uit rekening houdende met de beschikbaarheidsklasse van de te auditen systemen/informatie.

  • Definieer en controleer het toepassingsgebied van technische audits.

  • Vanaf informatieklasse 1 (integriteit) beperk toegang tot audit records tot ‘read-only’.

  • Sta alleen ‘read-write’ toegang toe op geïsoleerde kopieën van systeembestanden. Verwijder deze bestanden veilig na afronding van de audit of bescherm ze adequaat indien bewaring vereist is.

  • Stel en verifieer beveiligingseisen voor de apparaten waarmee toegang tot systemen wordt verkregen, zoals laptops, alvorens toegang te verlenen.

  • Evalueer verzoeken voor aanvullende of aangepaste verwerkingen, zoals het gebruik van audittools.

  • Monitor en log alle toegangen voor audit- en testdoeleinden.

  • Zorg ervoor dat auditactiviteiten enkel worden uitgevoerd door gekwalificeerde, ervaren professionals met technische expertise en kennis van informatiebeveiliging, die daarnaast onafhankelijk zijn van de te auditen omgeving.

  • Voor informatieassets met informatieklasse 5:

    • Pas het 4-ogenprincipe toe

    • Voorzie waarschuwingen (alarmen) wanneer de opslagcapaciteit voor audits is bereikt.

    • Voorzie real-time waarschuwingen (alarmen) bij problemen in de auditfunctie.

Maskeren van gegevens

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Bij het maskeren van gegevens worden de werkelijke gegevens onherkenbaar gemaakt (zoals willekeurige tekens of waarden), waarbij de bruikbaarheid voor bepaalde doeleinden, zoals testen of analyseren, behouden blijft. Dit betekent dat de gemaskeerde gegevens in veel opzichten lijkt op de originele gegevens, maar geen werkelijke waarde of betekenis heeft vanuit een privacy- of beveiligingsperspectief.

Dit is ondermeer belangrijk in ontwikkel- en testomgevingen, waar echte gegevens nodig zijn om systemen en toepassingen te testen, maar waar gevoelige informatie beschermd moet worden.

Enkele gangbare technieken voor het maskeren van gegevens:

  • Substitutie: Hierbij worden echte waarden vervangen door andere waarden uit een vervangende dataset. Bijvoorbeeld, echte namen kunnen worden vervangen door namen uit een fictieve lijst.

  • Versleuteling: Gegevens worden omgezet in een gecodeerde vorm met behulp van een algoritme en een sleutel. Alleen degenen met de juiste sleutel kunnen de oorspronkelijke gegevens herstellen.

  • Shuffling of Permutatie: Hierbij worden waarden binnen een kolom gemengd zodat de oorspronkelijke correlaties tussen datarecords verloren gaan.

  • Redactie: Specifieke delen van de gegevens, zoals de laatste vier cijfers van een rijksregisternummer, worden verwijderd of vervangen door andere tekens zoals asterisken.

  • Maskeren op basis van regels: Hierbij worden waarden gemaskeerd volgens vooraf gedefinieerde regels. Bijvoorbeeld, e-mailadressen kunnen worden gemaskeerd door de domeinnamen te vervangen.

  • Pseudonimisatie: Gevoelige gegevens worden vervangen door fictieve, maar realistisch ogende gegevens, waarbij het mogelijk is om de originele gegevens te herstellen met behulp van een specifieke methode of sleutel.

  • Generatie van willekeurige gegevens: Originele waarden worden vervangen door willekeurig gegenereerde waarden.

  • Hashing: Gegevens worden omgezet in een vaste reeks tekens met behulp van een hash-functie. Het is moeilijk (zo niet onmogelijk) om de originele gegevens uit de hash-waarde te herleiden.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

In ontwikkel- en testomgevingen MOET het maskeren van persoonsgegevens of gegevens vanaf informatieklasse 3 (vertrouwelijkheid) worden toegepast.

Als het verbergen van gegevens niet mogelijk is, MOETEN ontwikkel- en testomgevingen dezelfde beveiligingsmaatregelen toepassen als de productieomgeving.

Bij het toepassen van gegevensmaskeringstechnieken raden wij aan de volgende richtlijnen in acht te nemen:

  • Beperk de toegang tot gegevens voor gebruikers en ontwerp query's en maskering zodanig dat enkel de strikt noodzakelijke informatie voor de gebruiker zichtbaar is.

  • Hou rekening met situaties waar bepaalde gegevens binnen een dataset niet getoond mogen worden aan een gebruiker. Als voorbeeld: wanneer een patiënt wenst dat specifieke informatie niet toegankelijk is voor al het ziekenhuispersoneel - zelfs in noodgevallen - zouden alleen bevoegde medewerkers toegang moeten hebben tot essentiële details voor de juiste zorgverlening.

  • Als gegevens zijn gemaskeerd, overweeg de betrokkene de optie te bieden om te bepalen of gebruikers kunnen zien dat gegevens zijn gemaskeerd. Deze 'dubbele maskering' kan bijvoorbeeld van pas komen als een patiënt niet wil dat medisch personeel ziet dat bepaalde informatie, zoals zwangerschapsstatus of labresultaten, is afgeschermd.

  • Houd rekening met wettelijke vereisten, zoals het verplicht maskeren van creditcardinformatie tijdens verwerking of opslag.

Verder, bij de toepassing van maskering, pseudonimisering of anonimisering van gegevens, raden we aan:

  • De diepgang van de datamaskering te evalueren in relatie tot het beoogde gebruik van de gegevens.

  • Een robuuste beveiliging van de toegang tot verwerkte gegevens te waarborgen.

  • Helderheid te verschaffen over het gebruik van de verwerkte gegevens middels specifieke afspraken.

  • Te voorkomen dat verwerkte gegevens met andere datasets worden samengevoegd om identificatie te realiseren.

  • De distributie en ontvangst van verwerkte gegevens nauwgezet te documenteren.

Testgegevens

Bij het kiezen van testgegevens is het van cruciaal belang om ervoor te zorgen dat de geselecteerde testdata aansluit op de functionaliteit die getest moet worden. Tevens is het essentieel om altijd te handelen in overeenstemming met de geldende wet- en regelgeving, met name als het gaat om het gebruik van persoonsgegevens. Het wordt sterk afgeraden om productiedatabases met persoonlijke of andere vertrouwelijke informatie te gebruiken voor testdoeleinden, en dit geldt eveneens voor het testen van API's/webservices die persoonsgegevens verwerken. In plaats daarvan is het raadzaam om gebruik te maken van mock-upservices die automatisch testdata genereren of die een beroep doen op een specifieke testdataset. Mocht er in uitzonderlijke situaties toch gebruik gemaakt worden van echte gegevens, zorg dan dat hiervoor de nodige goedkeuringen zijn verkregen en bepaal vervolgens zorgvuldig hoe deze gegevens beschermd zullen worden.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De volgende richtlijnen MOETEN worden toegepast om operationele gegevens te beschermen die voor testdoeleinden worden gebruikt:

  • Gevoelige gegevens waaronder persoonsgegevens dienen te worden verwijderd of te worden gemaskeerd bij gebruik voor testen.

    • Informatieklasse 3: testgegevens uit productie anonimiseren of vertrouwelijkheid beveiligen

    • Informatieklasse 4: testgegevens uit productie anonimiseren of cryptografische maatregelen voor vertrouwelijkheid

    • Informatieklasse 5: testgegevens uit productie altijd anonimiseren

  • De toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen dienen ook te worden toegepast op testomgevingen.

  • Voor elke keer dat operationele gegevens naar een testomgeving worden gekopieerd, behoort een afzonderlijke autorisatie te worden verkregen.

  • Operationele gegevens behoren onmiddellijk na voltooiing van het testen uit de testomgeving te worden verwijderd.

  • Logbestanden van het kopiëren en gebruiken van operationele gegevens dienen te worden bijhouden om in een audittraject te voorzien.

  • Testgegevens moeten veilig worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden worden gebruikt.

Overdragen van informatie

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Informatieoverdracht is het proces van het delen van informatie van een bron naar een ontvanger. Dit kan op verschillende manieren gebeuren, via elektronische media, fysieke media of mondelinge communicatie.

Algemeen

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen tijdens transport.

Voordat informatie en/of software met een externe partij wordt gedeeld, MOET er een overeenkomst worden ondertekend door beide partijen. De overeenkomst kan op papier of digitaal zijn (bijvoorbeeld akkoord gaan met algemene voorwaarden).

Procedures, maatregelen en overeenkomsten MOETEN de classificatie van de desbetreffende informatie weerspiegelen.

Om informatieoverdracht te beschermen, is het belangrijk om procedures, maatregelen en overeenkomsten op te stellen die de volgende aspecten aangaan:

  • Beveiliging: Zorg ervoor dat de informatie adequaat wordt beschermd tegen diverse bedreigingen zoals onderschepping, onbevoegde toegang, vernietiging, enz. Dit kan door passende beveiligingsmaatregelen toe te passen die aansluiten bij de classificatie van de informatie (zoals Toegangsbeveiliging en Cryptografie)

  • Traceerbaarheid en onweerlegbaarheid: Log de informatie tijdens het transport zodat duidelijk is wie er toegang heeft gehad en wanneer.

  • Contactpersonen: Identificeer specifieke personen of teams die verantwoordelijk zijn voor de informatieoverdracht.

  • Aansprakelijkheid: Leg duidelijk de verantwoordelijkheden en aansprakelijkheden vast voor mogelijke beveiligingsincidenten met betrekking tot informatie.

  • Labelsysteem: Implementeer een systematisch labelproces om de classificatie en de vereiste beveiligingsmaatregelen te identificeren.

  • Betrouwbaarheid: Zorg ervoor dat de dienst die wordt gebruikt voor de overdracht van informatie zowel betrouwbaar als beschikbaar is.

  • Richtlijnen: Stel duidelijke richtlijnen op over hoe informatiesystemen op een aanvaardbare manier moeten worden gebruikt.

  • Bewaring en verwijdering: Zorg voor een veilige opslag en verwijdering van informatie volgens vastgestelde protocollen.

Elektronische overdracht

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Elektronische overdracht verwijst naar het doorsturen van informatie met behulp van elektronische apparatuur, waaronder computers, netwerken en mobiele toestellen. Dit omvat onder meer het zenden van een e-mail, het plaatsen van een bestand in een cloudservice, het opladen van informatie via een website of FTP-dienst, of het zenden van een bericht via instant messaging (MS Teams, Whatsapp, SMS, …).

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen bij elektronisch overdracht.

Om informatie te beschermen bij elektronische overdracht, adviseren wij om rekening te houden met de volgende aspecten:

Detectie en bescherming tegen malware en ongeoorloofde toegang

  • Implementeer detectiemechanismen voor malware, inclusief het scannen van berichten en bijlagen, om zowel kwaadaardige content (zoals kettingbrieven, spam en aanstootgevende inhoud) als onbedoeld verlies van informatie te identificeren.

  • Zorg voor afdoende beveiliging van bijlagen die gevoelige informatie bevatten.

Configuratie en beheer van elektronische berichtendiensten

  • Configureer elektronische berichtendiensten met aandacht voor beveiligingsaspecten, zoals limieten voor inbox- en berichtgroottes, en de mogelijkheid berichtlussen te identificeren en te annuleren.

  • Versterk de authenticatieniveaus bij het overbrengen van informatie via publiekelijk toegankelijke netwerken.

  • Stel beperkingen op voor het gebruik van elektronische communicatiemiddelen, zoals het voorkomen van geautomatiseerde doorsturing naar externe e-mailadressen.

Gebruik van externe diensten en communicatiekanalen

  • Stel een lijst op van geautoriseerde externe openbare diensten (zoals instant messaging en clouddiensten) alsook voor welke toepassing en/of informatieklasse deze gebruikt mogen worden.

Bewustwording

  • Informeer gebruikers over de potentiële juridische en contractuele implicaties van elektronische berichten en de mogelijke onzekerheden bij de bezorging ervan.

  • Informeer medewerkers om geen essentiële informatie via onbeveiligde kanalen, zoals sms en instant messaging, te verzenden.

Fysieke overdracht

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Fysieke opslagmedia zijn alle objecten die informatie kunnen bewaren, zoals papier, USB-sticks, harde schijven, enz.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De organisatie MOET procedures en maatregelen opstellen en implementeren om informatie te beschermen bij fysieke overdracht.

Om de veiligheid van fysieke opslagmedia te garanderen, adviseren wij om rekening te houden met de volgende aspecten:

Verantwoordelijkheden vaststellen

  • Bepaal wie verantwoordelijk is voor het beheersen en notificeren van overdracht, verzending en ontvangst?

  • Bepaal wie verantwoordelijk is voor het garanderen van correcte adressering en overdracht?

Fysieke bescherming

  • Verpak media zodat ze bestand zijn tegen fysieke schade.

  • Gebruik een door het management goedgekeurde lijst van betrouwbare koeriers.

  • Verifieer de identiteit van koeriers.

  • Gebruik beveiligingsmaatregelen om manipulatie te voorkomen.

Registratie

  • Houd een register bij van de inhoud van de media, de toegepaste bescherming, de bevoegde ontvangers en de overdrachtsgeschiedenis.

Mondelinge overdracht

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Om de mondelinge overdracht van informatie te beschermen, MOETEN medewerkers en andere belanghebbenden bewust worden gemaakt van de risico's en voorzorgsmaatregelen.

Bij het mondeling overdragen van informatie kunnen volgende voorzorgsmaatregelen in acht worden genomen:

  • Voer vertrouwelijke gesprekken niet op openbare plaatsen of via risicovolle communicatiemiddelen, aangezien deze door onbevoegden kunnen worden afgeluisterd.

  • Laat geen geheime gegevens achter op voicemailsystemen of in spraakberichten.

  • Zorg ervoor dat alleen personen die vooraf zijn gescreend en bevoegd zijn, toegang hebben tot vertrouwelijke gesprekken.

  • Kies voor een geschikte locatie voor vertrouwelijke gesprekken, bijvoorbeeld een kamer die geluidsdicht is en waarvan de deur gesloten kan worden.

  • Start elk gesprek dat gevoelige informatie bevat met een waarschuwing (disclaimer), zodat alle deelnemers zich bewust zijn van het belang en de vertrouwelijkheid van de besproken zaken.

Vertrouwelijkheids- of geheimhoudingsovereenkomsten

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Vertrouwelijkheids- of geheimhoudingsovereenkomsten zijn juridische contracten tussen twee of meer partijen waarin wordt vastgelegd dat bepaalde informatie, die wordt gedeeld voor specifieke doeleinden, vertrouwelijk moet blijven en niet buiten de overeenkomende partijen mag worden verspreid. Het doel van dergelijke overeenkomsten is het beschermen van gevoelige informatie, bedrijfsgeheimen, patenten in wording, klantgegevens, en andere waardevolle en vertrouwelijke gegevens.

De partij die de informatie verstrekt, wordt vaak de 'openbaarmakende partij' genoemd, terwijl de partij die de informatie ontvangt, de 'ontvangende partij' wordt genoemd. De overeenkomst bepaalt doorgaans wat als vertrouwelijke informatie wordt beschouwd, hoe deze informatie kan worden gebruikt, de duur van de vertrouwelijkheid, en de gevolgen bij schending van de overeenkomst.

Het is van belang dat vertrouwelijkheids- of geheimhoudingsovereenkomsten de behoeften van de organisatie op het gebied van informatiebescherming adequaat weerspiegelen. Deze overeenkomsten moeten duidelijk zijn, gedocumenteerd worden, regelmatig herzien worden en ondertekend zijn door zowel het personeel als de leveranciers, en indien noodzakelijk, door specifieke medewerkers van de betreffende leverancier.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

In vertrouwelijkheids- of geheimhoudingsovereenkomsten MOET op zijn minst het volgende juridisch bindend worden vastgesteld:

  • Wat precies wordt verstaan onder de geclassificeerde informatie die beschermd moet worden.

  • De specificatie van welke informatie bescherming behoeft en de manier waarop deze kan worden onderscheiden.

  • De eigendomsrechten van zowel de informatie zelf als de intellectuele rechten die hierop betrekking hebben.

  • De duur waarvoor de overeenkomst is aangegaan.

  • De stappen die genomen dienen te worden bij het beëindigen van de overeenkomst.

  • De procedure voor het melden en rapporteren van onbedoelde openbaarmaking of lekken van informatie.

  • De consequenties en acties die volgen bij het niet nakomen van de afspraken uit de overeenkomst.

Voorkomen van gegevenslekken (Data leakage prevention)

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

Data Leakage Prevention (DLP) is een methode om te voorkomen dat gevoelige informatie, zoals persoonsgegevens of vertrouwelijke bedrijfsinformatie, het beveiligde netwerk van een organisatie verlaat zonder de juiste autorisatie. Het hoofddoel van DLP is het beschermen van de informatie waarover een organisatie beschikt en het waarborgen dat deze niet in verkeerde handen valt, hetzij door kwaadwillige acties, hetzij door onopzettelijke fouten van medewerkers.

DLP-oplossingen kunnen zowel op inhoud als op context scannen en bepalen of een bepaald stuk informatie mag worden overgedragen. Hierbij kan het gaan om data-overdracht via e-mails, webapplicaties, USB-sticks, cd's, mobiele apparaten en andere communicatie- of opslagkanalen.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Om gegevenslekken te voorkomen MOET de organisatie de volgende stappen nemen:

  • Het identificeer en classificeer van gevoelige informatie. Dit omvat het vaststellen van welke informatie gevoelig is, zoals persoonsgegevens, vertrouwelijke bedrijfsinformatie of financiële gegevens.

  • Het monitoren van kanalen waarlangs gegevens kunnen lekken. Dit omvat e-mail, bestandsoverdracht, mobiele apparaten en draagbare opslagapparatuur.

  • Het implementeren van beveiligingsmaatregelen om gegevenslekken tegen te gaan. Dit kan bijvoorbeeld het gebruik van firewalls, antivirussoftware en specifieke DLP-oplossingen omvatten.

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

DLP-oplossingen kunnen worden gebruikt om:

  • Gevoelige informatie te identificeren en monitoren, zoals in niet-gestructureerde gegevens op het systeem van een gebruiker.

  • De openbaarmaking van gevoelige informatie te detecteren, zoals wanneer deze wordt geüpload naar niet-vertrouwde clouddiensten of wordt verzonden.

  • Handelingen van gebruikers of netwerktransmissies te blokkeren die gevoelige informatie kunnen blootstellen, zoals het kopiëren of plakken van gevoelige informatie naar diensten, apparaten of opslagmedia buiten de organisatie.

Om de risico's van gegevenslekken te beperken, kan de organisatie volgende maatregelen overwegen:

  • Zorg ervoor dat gebruikers geen gegevens kunnen kopiëren en plakken naar externe diensten, apparaten en opslagmedia.

  • Vereis goedkeuring van de informatie eigenaar voor het exporteren van gevoelige informatie.

  • Stel gebruikersvoorwaarden op voor het maken van schermafbeeldingen en foto's.

  • Bescherm back-ups van gevoelige informatie met behulp van encryptie, toegangsbeveiliging en fysieke bescherming.

Wissen van informatie

Om te voorkomen dat gevoelige informatie in verkeerde handen valt, moet deze na de bewaartermijn worden verwijderd.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Bij het wissen van informatie MOET rekening worden gehouden met volgende aspecten:

  • Een wismethode (bijv. elektronisch overschrijven of cryptografisch wissen) selecteren overeenkomstig de bedrijfseisen en met inachtneming van de relevante wet- en regelgeving.

  • De resultaten van het wissen als bewijsmateriaal registreren.

  • Wanneer gebruik wordt gemaakt van dienstverleners voor het wissen van informatie, bewijs van het wissen van informatie van hen verkrijgen.

  • Indien derden de informatie van de organisatie namens de organisatie opslaan, moet de organisatie in de overeenkomsten met derden eisen inzake het wissen van informatie opnemen, die tijdens en bij beëindiging van dergelijke diensten worden afgedwongen.

Bijkomende aanbevelingen waarmee de organisatie rekening kan houden bij het wissen van informatie:

  • Configureer systemen om informatie automatisch te wissen wanneer deze niet langer nodig is.

  • Wis alle verouderde versies, kopieën en tijdelijke bestanden.

  • Gebruik geautoriseerde en veilige wissoftware waardoor informatie blijvend wordt gewist en wordt gegarandeerd dat de informatie niet met behulp van gespecialiseerde herstel- of forensische instrumenten kan worden hersteld.

  • Gebruik erkende, gecertificeerde aanbieders van beveiligde verwijderingsdiensten.

  • Gebruik verwijderingsmechanismen die geschikt zijn voor het type apparaat of opslagmedia.

  • Indien gebruik wordt gemaakt van clouddiensten:

    • Ga na of de wismethode van de clouddienstaanbieder aanvaardbaar is.

    • Maak gebruik van de door de aanbieder voorgestelde wismethode of vraag hen de informatie te verwijderen.

    • Automatiseer het wissen waar mogelijk.

    • Afhankelijk van de gevoeligheid van de data, gebruik logbestanden om na te gaan of het wisproces correct is uitgevoerd.

  • Bescherm gevoelige informatie door storage en geheugen te verwijderen voordat de apparatuur het gebouw en/of terrein van de organisatie verlaat.

Rollen en verantwoordelijkheden

RACI-overzicht van de voornaamste rollen en verantwoordelijkheden die van toepassing zijn op het beleid.

Voor meer informatie over rollen en verantwoordelijkheden zie 4. Rollen en verantwoordelijkheden

Nog verder uit te werken (als voorbeeld)

Activiteit

Uitvoeder
(Responsible)

Aansprakelijke
(Accountable)

Raadpleging
(Consultable)

Informeren
(Informed)

Toepassen van maatregelen

Controle

Overzicht van controles die gebruikt worden voor de conformiteitstoetsing van het beleid.

Type

Controle

Status
colourBlue
titleBESTAAN

Indien de afdeling regels voor het classificeren onderhoud: 
Het informatieclassificatiemodel is gekend door de informatie eigenaren. Zij weten wanneer ze welke klasse moeten toekennen aan informatie.

Status
colourBlue
titleBESTAAN

Indien de afdeling regels voor het classificeren onderhoud:
Alle informatie en informatiesystemen hebben een informatieklasse toegekend gekregen.

Status
colourBlue
titleBESTAAN

Indien de afdeling regels voor het classificeren van informatie onderhoud: 
Procedures voor het labelen van informatie zijn ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatiemodel. Eigenaars van informatie passen de procedures toe.

Status
colourBlue
titleBESTAAN

Indien de afdeling regels voor het classificeren van informatie onderhoud: 
Alle informatie heeft een label gekregen.

Status
colourYellow
titleOPZET

Er zijn regels, procedures of overeenkomsten vastgelegd voor informatieoverdracht voor alle soorten van overdracht binnen de organisatie en tussen de organisatie en andere partijen

Status
colourBlue
titleBESTAAN

Informatie die overgedragen wordt is beveiligd volgens de informatieklasse (ICR)

Status
colourBlue
titleBESTAAN

Indien de afdeling overeenkomsten met externe partijen onderhoud: 
Overeenkomsten met externe partijen bevatten conformiteitsvereisten met betrekking tot informatiebeleidslijnen en vereisten voor de bescherming van informatie

Status
colourBlue
titleBESTAAN

Indien de afdeling informatie uitwisseld met externe partijen: 
Afspraken over informatie transport en publicatie met externe partijen zijn gedocumenteerd en goedgekeurd.

Status
colourBlue
titleBESTAAN

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen:
De informatie die is opgenomen in elektronische berichten is passend beschermd naargelang de informatie klasse (cryptografie, hashing, digitale handtekening,…)

Status
colourGreen
titleWERKING

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen:
Evaluatie hulpmiddelen van toegepaste encryptie op elektronisch transport. B.v. firewall deep packet inspection.

Status
colourYellow
titleOPZET

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen:
Procedure opslag en transport van informatie, inclusief:

  • Elektronische overdracht

  • Fysieke overdracht

  • Mondelinge overdracht

  • Beschermen van registraties

  • Maskeren van gegevens

Status
colourBlue
titleBESTAAN

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen:
Procedure opslag en transport van informatie, inclusief:

  • Elektronische overdracht

  • Fysieke overdracht

Status
colourBlue
titleBESTAAN

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen: Communicatie protocol / procedure Digitaal Vlaanderen

Status
colourYellow
titleOPZET

Indien de afdeling eigen communicatie middelen gebruikt of verantwoordelijk is voor communicatiemiddelen:

Procedure opslag en transport van informatie, inclusief:

  • Elektronische overdracht

  • Fysieke overdracht

  • mondelinge overdracht

  • Beschermen van registraties

  • Maskeren van gegevens

Status
colourBlue
titleBESTAAN

De afdeling heeft alle records beveiligd overeenkomstig hun informatieklasse.

Status
colourBlue
titleBESTAAN

De afdeling heeft alle gegevens bewaard, opgeslagen, behandeld en vernietigd overeenkomstig hun informatieklasse.

Status
colourGreen
titleWERKING

Indien de afdeling incidenten beheert:

Aantal incidenten misclassificatie of wanbeheer gegevens

Status
colourYellow
titleOPZET

Indien de afdeling regels rondom informatieclassificatie beheert;

Procedure opslag en transport van informatie, inclusief:

  • Elektronische overdracht

  • Fysieke overdracht

  • Mondelinge overdracht

  • Beschermen van registraties

  • Maskeren van gegevens

Status
colourBlue
titleBESTAAN

Indien de afdeling relaties met externe partijen onderhoud:

Vertrouwelijkheids- of geheimhoudingsovereenkomsten met externe partijen, belanghebbenden en medewerkers van de organisatie zijn opgesteld, ondertekend.

Status
colourGreen
titleWERKING

Indien de afdeling relaties met externe partijen onderhoud: V

ertrouwelijkheids- of geheimhoudingsovereenkomsten met externe partijen, belanghebbenden en medewerkers van de organisatie en worden regelmatig en iedergeval jaarlijks beoordeeld.

Status
colourYellow
titleOPZET

ICR procedure classificatie van informatie

Status
colourGreen
titleWERKING

Gevoelige informatie wordt na de bewaartermijn of wanneer de informatie niet langer nodig is gewist.

Status
colourGreen
titleWERKING

De wismethode is afgestemd op de classificatie van informatie en het type opslagmedium

Status
colourYellow
titleOPZET

ICR procedure wissen informatie

Status
colourYellow
titleOPZET

Procedure informatie beheer derde partijen

Status
colourBlue
titleBESTAAN

Indien de afdeling relaties met externe partijen onderhoud:

Contractueel addendum leveranciers opslag informatie Digitaal Vlaanderen

Status
colourGreen
titleWERKING

Indien de afdeling verantwoordelijk is voor het verwerken en opslaan van clouddientsen:

Interne audit: data verwerking en opslag clouddiensten

Status
colourGreen
titleWERKING

Indien de afdeling verantwoordelijk is voor het beheren van gegevens:

Gevoelige gegevens worden gemaskeerd indien nodig geacht voor de bescherming van de gegevens

Status
colourYellow
titleOPZET

Procedure opslag en transport van informatie, inclusief:

  • Elektronische overdracht

  • Fysieke overdracht

  • Mondelinge overdracht

  • Beschermen van registraties

  • Maskeren van gegevens

Status
colourBlue
titleBESTAAN

Maatregelen om gegevenslekken te voorkomen zijn toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd.

Status
colourGreen
titleWERKING

Internal audit (rapport):

Implementatie maatregelen voorkomen van gegevenslekken voor de door de afdeling beheerde informatie.

Status
colourGreen
titleWERKING

Wanneer de afdeling verantwoordelijk is voor opslag van data:

Opslag en herstel test rapporten inclusief:

  • Informatieveiligheid overwegingen

Status
colourGreen
titleWERKING

Wanneer de afdeling testgegevens gebruikt of beheert:

Internal audit rapport:

Testgegevens zijn zorgvuldig gekozen, beschermd en gecontroleerd.

Status
colourBlue
titleBESTAAN

Wanneer de afdeling testgegevens gebruikt of beheert:

Maatregelen overeenkomstig de informatieklasse zijn genomen om testgegevens uit productie te beschermen.

Status
colourYellow
titleOPZET

Procedure verwerven testdata en omgang test datasets

Status
colourBlue
titleBESTAAN

Wanneer de afdeling verantwoordelijk is voor audits:

Audit planning

Status
colourYellow
titleOPZET

Procedure audit informatiesystemen conform ICR / ISMS beleid

Status
colourGreen
titleWERKING

Wanneer de afdeling verantwoordelijk is voor audits:

Audit rapporten informatiesysteem audits

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Page Properties Report
firstcolumnTitel
headingsBeheersmaatregel
sortByTitle
cqllabel = "iso" and label = "informatiebescherming" and space = currentSpace ( ) and ancestor = "6329502795"

Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

Zie 2.2. Informatieklassebepaling informatieassets en 10.2. Standaard data types voor meer informatie over informatieclassificatie.

Uitvoering van het beleid

Processen

De gerelateerde processen staan beschreven op volgende pagina:

Proces - Informatieklassebepaling

Oplossingen

Anonimisatie (ANONaaS)

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Beleid voor informatiebescherming

Fabrice Meunier

30/10/2023

1.0

Status
colourBlue
titleIN REVIEW

Page Properties
hiddentrue
idDS

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

Auteur

Fabrice Meunier

Status

Status
colourBlue
titleIN REVIEW

Versie

1.0

status opties:

Status
colourYellow
titleCONCEPT
Status
colourBlue
titleIN REVIEW
Status
colourPurple
titleFINAAL CONCEPT
Status
colourGreen
titleGEVALIDEERD
Status
colourRed
titleTE REVISEREN

status eveneens aanpassen bovenaan deze pagina