...
De beveiliging van informatie houdt in dat zij beschermd wordt tegen onbevoegde toegang en verwerking, waarbij er maatregelen worden genomen om volgende kwaliteitskenmerken te garanderen:
Vertrouwelijkheid: de gegevens zijn alleen toegankelijk voor geautoriseerde personen en entiteiten of voor de juiste processen;
Integriteit: de juistheid en volledigheid van gegevens;
Beschikbaarheid: op het gewenste moment toegang hebben tot gegevens en erover kunnen beschikken.
Dit zijn de 3 kenmerken die we hanteren in het ICR. Ze worden verder uitgediept in 1.3.2. Kwaliteitskenmerken voor ICR . Merk op dat er vaak nog 2 andere kenmerken worden gehanteerd (maar deze zijn niet expliciet opgenomen in het ICR):
...
In het domein van informatieveiligheid staan vragen centraal zoals: Wie heeft toegang tot welke informatie en wanneer? Zijn de activiteiten, bij het opvragen van informatie, traceerbaar (en dus auditeerbaar)? Hoe beveiligen we de opslag en de uitwisseling van gevoelige informatie tussen verschillende partijen? Wat zijn onze beveiligingsrisico’s en welke maatregelen kunnen we nemen om de risico’s te verminderen en te beantwoorden aan de wetgeving? Hoe kunnen we aantonen dat onze organisatie informatiebeveiliging onder controle heeft? Hoe realiseren we informatiebeveiliging op een effectieve, efficiënte (en kostenefficiënte) manier? Wie is verantwoordelijk voor wat?
...
Vaak worden informatieveiligheid en bescherming van persoonsgegevens als hetzelfde beschouwd. Dat is begrijpelijk, want er zijn verschillende raakvlakken. Zo speelt de risico gebaseerde aanpak, waarbij op basis van een risicoanalyse maatregelen worden geselecteerd om de veiligheid van de gegevens te borgen, binnen beide domeinen een centrale rol. En beide domeinen zijn erop gericht om informatieveiligheidsrisico’s te verkleinen. Maar er zijn ook verschillen:
De aard van de risico’s: zowel bescherming van persoonsgegevens als informatieveiligheid beoogt risico’s terug te brengen tot een aanvaardbaar niveau. Maar er zit een verschil in de aard van die risico’s. Bij bescherming van persoonsgegevens draait het om risico’s die impact hebben op mensen. Bij informatieveiligheid draait het niet om de impact voor individuen, maar om het beheersen van bedrijfsrisico’s: informatieveiligheid gaat dan over het beschermen van informatie om de bedrijfsvoering te kunnen garanderen. Oftewel, hoe ervoor zorgen dat de juiste mensen en systemen toegang hebben tot de juiste informatie op het juiste moment.
Al dan niet aanvaarden van risico’s: bij het beheersen van risico’s wordt er bekeken of er al dan niet actie moet worden genomen. Organisaties bepalen zelf hoeveel risico zij bereid zijn om te nemen. Sommige organisaties zijn risico avers en zullen er alles aan doen om deze bedrijfsrisico’s zo klein mogelijk te houden. Andere organisaties hebben een grotere risico appetijt en zijn bereid om meer risico te accepteren, als daar een potentieel voordeel tegenover staat. Binnen de Vo moet risicoacceptatie op het juiste managementniveau gebeuren afhankelijk van het risico; indien een risico rechtstreeks impact heeft op andere Vo entiteiten moet hiermee rekening worden gehouden. De afweging hoeveel bedrijfsrisico wordt genomen is dus aan de Vo zelf. Gaat het echter over bescherming van persoonsgegevens, dan geldt er strikte wetgeving, namelijk de AVG. Het accepteren van risico’s voor persoonsgegevens zou een directe inbreuk van de AVG kunnen betekenen, waardoor het geen optie meer is om die risico’s te accepteren. Organisaties zullen in die gevallen dan noodgedwongen moeten kiezen voor het vermijden of verkleinen van risico’s.
...
Binnen organisaties zien we dan ook vaak dat verschillende partijen zich bezighouden met informatieveiligheid dan wel bescherming van persoonsgegevens: informatieveiligheid is het domein van de CISO (Chief Information Security Officer) terwijl de DPO (Data Protection Officer) zich buigt over de bescherming van persoonsgegevens en conformiteit met de betreffende wetgeving. Men zou kunnen stellen dat de technisch/organisatorische bescherming van informatie en persoonsgegevens het domein is van de CISO terwijl de conformiteit met AVG het werkgebied is van de DPO