Document toolboxDocument toolbox

1.3.5.2. Werkprincipes

Voor de toepassing van maatregelen gelden volgende basisprincipes:

  • Algemene minimale maatregelen worden afgedwongen op basis van generieke informatieverwerkingscriteria.

  • Specifieke minimale maatregelen hebben een directe relatie met criteria van toepassing op informatie met specifieke contextcriteria. Deze criteria kunnen zowel een relatie hebben met de aard van informatie (vb. GDPR en persoonsgegevens) of een relatie hebben met specifieke data sets (maatregelen gespecifieerd in een overeenkomst). In het ICR wordt enkel GDPR opgenomen onder specifieke minimale maatregelen; de andere specifieke minimale maatregelen zijn organisatie-afhankelijk en worden door de entiteiten zelf bepaald op basis van de voor hun toepasselijke regelgeving.

  • Aanvullende maatregelen zijn in tegenstelling tot minimale maatregelen niet afdwingbaar, maar worden toegepast na een risicoanalyse. Hierbij reduceert, verplaatst of aanvaardt men de restrisico’s die worden geïdentificeerd na toepassing van de algemene en specifieke minimale maatregelen.

  • Het principe van gestapelde maatregelen impliceert dat de minimale maatregelen van de onderliggende informatieklasse ook op de bovenliggende klassen van toepassing blijven, met uitzondering van onverenigbare maatregelen. Deze uitzonderingen zijn expliciet opgenomen in de documentatie.

  • De GDPR vormt de basis voor de Minimale Normen van de KSZ (Kruispuntbank van de Sociale Zekerheid), de maatregelen van de GDPR en KSZ kunnen dan ook beschouwd worden als gestapeld, d.w.z. alle GDPR-maatregelen van een informatieklasse zijn ook KSZ-maatregelen in dezelfde informatieklasse.

  • Informatie en informatiedragers worden verder in dit document algemeen als middelen (assets) genoemd.

  • Maatregelen worden functioneel beschreven, niet technisch.

  • In uitzonderlijke gevallen kunnen minimale algemene en/of minimale specifieke maatregelen niet worden toegepast om organisatorische of technische redenen. Mits afspraken met de betrokken regulerende organisatie kunnen alternatieve maatregelen die de rest risico’s op gelijkwaardige manier afdekken, worden voorgesteld. Dit gebeurt altijd op basis van een risicoanalyse en met goedkeuring van topmanagement (leidend ambtenaar of directeur), aansprakelijk voor de informatie.