In het organisatiedocument Informatieveiligheid hebben we het verschil (en de gelijkenissen) tussen informatiebeveiliging en bescherming van persoonsgegevens uitgelegd. We definiëren ook impactschalen vanuit het standpunt van de generieke organisatie en vanuit het standpunt van individuen (GDPR).
1.
...
3.
...
4.
...
4.1. Generieke impactschalen
Rekening houdend met de materiële en immateriële schade, definiëren we de volgende impact schalen, deze zijn generiek en stellen zich in het standpunt van de organisatie:
| Definities van impact op de organisatie |
Image Modified | Verwaarloosbare impact/schade Geen impact op de organisatie. Dienstverlening (het leveren van informatie en informatie verwerkende systemen aan de burger of organisatie) kan langere tijd (meer dan een maand) onbeschikbaar zijn zonder significante gevolgen voor de organisatie of voor de burger. Er zijn geen kritische bedrijfsmomenten.
|
Image Modified | Minimale impact/schade Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen. Niet beschikbare dienstverlening langer dan één maand heeft significante gevolgen voor de organisatie of de burger. Er zijn geen kritische bedrijfsmomenten.
|
Image Modified | Belangrijke impact/schade Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen. Het lopende werkingsbudget ondersteunt de financiële middelen. Niet beschikbare dienstverlening langer dan één week heeft significante gevolgen voor de organisatie of de burger. Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 24 uur significante gevolgen heeft voor de organisatie of burger.
|
Image Modified | Ernstige impact/schade Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen. Reservering van financiële middelen is noodzakelijk en hebben invloed op lopende en toekomstige werkingsbudgetten. Niet beschikbare dienstverlening langer dan 72 uur heeft significante gevolgen voor de organisatie of de burger. Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 12 uur significante gevolgen heeft voor de organisatie of de burger.
|
Image Modified | Bedreigende impact/schade Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om het voortbestaan van de dienstverlening te garanderen. Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten. Bedreigend voor het voortbestaan van de organisatie. Niet beschikbare dienstverlening langer dan 24 uur heeft significante gevolgen voor de organisatie of de burger. Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 2 uur significante gevolgen heeft voor de organisatie of de burger.
|
1.
...
3.
...
4.
...
4.2. Specifieke impactschalen voor persoonsgegevens (GDPR)
Onderstaande impact schalen zijn specifiek gericht op de evaluatie van persoonsgegevens. De wetgeving (GDPR) heeft het individu als onderwerp:
...
Onderstaande schalen gebruiken we als evaluatie van restrisico’s nadat de maatregelen gedetailleerd in de overeenkomstige specifieke maatregelen zijn genomen.
| Definities van impact op het individu |
Image Modified | Verwaarloosbare impact/schade Materiële schade Immateriële schade
|
Image Modified | Minimale impact/schade Materiële schade Minimale financiële schade voor het individu Geen aantoonbare impact op de levenskwaliteit Potentiële compensatie mogelijk zonder juridische dwangmaatregelen
Immateriële schade
|
Image Modified | Belangrijke impact/schade Materiële schade Belangrijke financiële schade voor het individu Geen aantoonbare blijvende impact op de levenskwaliteit Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen
Immateriële schade
|
Image Modified | Ernstige impact/schade Materiële schade Belangrijke financiële schade voor het individu Aantoonbare blijvende impact op de levenskwaliteit Compensatie mogelijk op basis van juridische dwangmaatregelen
Immateriële schade
|
Image Modified | Bedreigende impact/schade Materiële schade Immateriële schade
|
1.
...
3.
...
4.
...
4.3. Informatieklassen voor vertrouwelijkheid en integriteit
Door de koppeling van de impactschalen aan de klassen van informatie, worden zowel voor vertrouwelijkheid als integriteit 5 klassen voorzien. Gebruik makend van deze 5 impactschalen kunnen de klassen van vertrouwelijkheid en integriteit geïdentificeerd worden (Zie ook 8.1.3. Beslissingsboom voor vertrouwelijkheid en 8.1.2. Beslissingsboom voor integriteit):
schaal | Vertrouwelijkheid | schaal | Integriteit |
Image Modified | Organisatie: De informatie is consulteerbaar door iedereen. Er is geen of verwaarloosbare impact als de informatie publiek is. De dienstverlening blijft gegarandeerd als de informatie publiek is.
Personen:
Er is geen tot minimale materiële schade (financiële schade, levenskwaliteit) voor het individu indien de betrokken persoonsgegevens publiek zijn. Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens publiek zijn.
| Image Modified | Organisatie: Schending van de integriteit (foutieve informatie, wijziging door onbevoegden) heeft geen of verwaarloosbare impact op de organisatie. De dienstverlening blijft gegarandeerd als de informatie gewijzigd wordt.
Personen: Er is geen tot minimale materiële schade (financiële schade, levenskwaliteit) voor het individu indien de betrokken persoonsgegevens foutief zijn. Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.
|
Image Modified | Organisatie: Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden: minimale financiële schade; geen aantoonbare impact op levenskwaliteit; potentiële compensatie is mogelijk zonder juridische dwangmaatregelen.
Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.
| Image Modified | Organisatie: Minimale fouten in de informatie zijn toegestaan. De organisatie heeft geen directe hinder indien de informatie gewijzigd wordt door onbevoegden. Bijsturing van de criteria en/of maatregelen zijn aangewezen indien de integriteit geschonden wordt.
Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn: minimale financiële schade; geen aantoonbare impact op levenskwaliteit; potentiële compensatie is mogelijk zonder juridische dwangmaatregelen.
Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.
|
Image Modified | Organisatie: De informatie is toegankelijk voor een grote groep gebruikers. Bijsturing van de criteria en/of maatregelen zijn noodzakelijk indien de vertrouwelijkheid geschonden is, maar dit is nog mogelijk binnen het lopende werkingsbudget.
Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden: belangrijke financiële schade voor het individu; geen aantoonbare blijvende impact op de levenskwaliteit; potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.
Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.
| Image Modified | Organisatie: Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn: belangrijke financiële schade voor het individu; geen aantoonbare blijvende impact op de levenskwaliteit; potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.
Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.
|
Image Modified | Organisatie: De informatie is toegankelijk voor een beperkte groep gebruikers. Bijsturing van de criteria en of maatregelen zijn noodzakelijk op korte termijn indien de vertrouwelijkheid geschonden is en reservering van bijkomende financiële middelen is hiervoor noodzakelijk.
Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden: belangrijke financiële schade voor het individu en/of; aantoonbare blijvende impact op de levenskwaliteit; potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.
Er is ernstige immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden. De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in zekere mate aangetast indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.
| Image Modified | Organisatie: Personen: Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn: belangrijke financiële schade voor het individu en/of; aantoonbare blijvende impact op de levenskwaliteit; potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.
Er is ernstige immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn. De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in zekere mate aangetast indien de betrokken persoonsgegevens foutief zijn.
|
Image Modified | Organisatie: De informatie is toegankelijk voor een selecte groep gebruikers. Bijsturing van criteria en/of maatregelen zijn noodzakelijk indien de vertrouwelijkheid geschonden is en dit vereist reservering van financiële middelen die de lopende en toekomstige budgetten overschrijden. Schending van de vertrouwelijkheid bedreigt het voortbestaan van de organisatie.
Personen:
Er is materiële schade aan het individu indien de betrokken persoonsgegevens toegankelijk zijn voor onbevoegden: De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in grote mate aangetast indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.
| Image Modified | Organisatie: Er worden geen fouten in de informatie of wijziging door onbevoegden getolereerd. Bijsturing van criteria en/of maatregelen zijn noodzakelijk indien de integriteit geschonden is en dit vereist reservering van financiële middelen die de lopende en toekomstige budgetten overschrijden. Het voorkomen van fouten in de informatie bedreigt het voortbestaan van de organisatie.
Personen: Er is materiële schade aan het individu indien de betrokken persoonsgegevens foutief zijn: De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in grote mate aangetast indien de betrokken persoonsgegevens foutief zijn.
|
1.
...
3.
...
4.
...
4.4. Informatieklassen voor beschikbaarheid
Beschikbaarheid wordt klassiek uitgedrukt in een percentage. Dit cijfer geeft de gewenste beschikbaarheid die overeenkomt met de behoeften gespecifieerd in de verwerkingsovereenkomst voor de betrokken toepassing of dienst. In deze overeenkomst zal het detail worden opgenomen hoe deze beschikbaarheid wordt berekend op basis van ongeplande onbeschikbaarheden. Naar analogie met vertrouwelijkheid en integriteit maken we gebruik van de 5 impactschalen om de verschillende klassen van beschikbaarheid aan te duiden (Zie ook 8.1.1. Beslissingsboom voor beschikbaarheid):
Schaal | Beschikbaarheid |
Image Modified | De dienstverlening kan meer dan een maand onbeschikbaar zijn zonder significante gevolgen voor de organisatie of de burger. En/of Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn. En/of De onbeschikbaarheid treft weinig of geen gebruikers (bijvoorbeeld minder dan 5% van de doelgroep). En/of Niet-herstel van informatie heeft geen impact op de organisatie of de burger. En/of Performantieverlies heeft geen significante impact voor de organisatie of de burger. |
Image Modified | De dienstverlening mag niet langer dan een maand onbeschikbaar zijn. Is de dienstverlening langer dan 1 maand onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn. En/of De onbeschikbaarheid treft een minimaal aantal gebruikers (bijvoorbeeld minder dan 20% van de doelgroep). En/of Informatie moet minstens gedeeltelijk hersteld kunnen worden. En/of Maximaal 75% performantieverlies is toegestaan. |
Image Modified | De dienstverlening mag incidenteel uitvallen, tot een week. Is de dienstverlening langer dan één week onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 24 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een significant aantal gebruikers (bijvoorbeeld tot 50% van de doelgroep) of enkele prioritaire gebruikers (minder dan 10%). Elke entiteit bepaalt zelf de criteria voor een prioritaire gebruiker. En/of Informatie moet volledig hersteld kunnen worden tot een zekere datum. En/of Maximaal 50% performantieverlies is toegestaan. |
Image Modified | De dienstverlening kan quasi niet uitvallen, maximaal 72 uur. Is de dienstverlening langer dan 72 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 12 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een groot aantal gebruikers (bijvoorbeeld tot 75% van de doelgroep), of meerdere prioritaire gebruikers (bijvoorbeeld tot 25%). En/of Informatie moet volledig hersteld kunnen worden tot een datum op korte termijn. En/of Maximaal 20% performantieverlies is toegestaan. |
Image Modified | De dienstverlening mag enkel zeer uitzonderlijk uitvallen, tot 24 uur. Is de dienstverleningen langer dan 24 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 2 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een zeer groot aantal gebruikers (bijvoorbeeld meer dan 75% van de doelgroep) en meerdere prioritaire gebruikers (bijvoorbeeld meer dan 25%). En/of Informatie moet volledig hersteld kunnen worden tot het moment van onbeschikbaarheid. En/of Maximaal 5% performantieverlies is toegestaan.
|
1.
...
3.
...
4.
...
4.5. Samenvatting van de schalen voor informatieclassificatie
...
Om het gebruik in documentatie te vereenvoudigen krijgt elke schaal een unieke code onder vorm van een cijfer. Bovendien passen we een unieke kleurcode toe om de visuele herkenbaarheid te verbeteren. In de documentatie gebruiken we de terminologie informatieklassen om deze graden te groeperen.
Referenties naar Klasse 1, krijgen een blauwekleur
Referenties naar Klasse 2, krijgen een groenekleur
Referenties naar Klasse 3, krijgen een oranjekleur
Referenties naar Klasse 4, krijgen een rodekleur
Referenties naar Klasse 5, krijgen een zwarte kleur