10.2.2. Categorieën van bedrijfsgegevens
Inleiding
Voor bedrijfsgegevens is geen specifieke wetgeving naar analogie van de GDPR. Nochtans kan bedrijfsinformatie cruciaal zijn voor een organisatie en kan het van belang zijn deze informatie te beveiligen tegen ongeautoriseerde inzage of toegang.
Het spreekt voor zich dat ook bedrijfsgegevens een klasse voor vertrouwelijkheid toegewezen moeten krijgen om zo voldoende aandacht te schenken aan het niveau van beveiliging van deze gegevens.
Deze pagina stelt een mogelijke categorisatie van bedrijfsinformatie voor op basis van de meest gangbare toekenning van informatieklassen. Het is evenwel aan elke organisatie om deze categorisatie te valideren en waar nodig aan te passen aan de noden van de eigen organisatie.
Net zoals bij https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6464603472 , beperkt deze pagina zich tot een categorisatie in het kader van de vertrouwelijkheidsklassen; integriteit en beschikbaarheid worden hier niet behandeld.
Link met persoonsgegevens
Zie ook https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6464603472
Bedrijven verwerken heel veel informatie. Heel wat van die informatie betreft rechtstreeks of onrechtstreeks ook personen en moeten dus gekenmerkt worden als persoonsgegevens. We denken hierbij zowel aan gegevens van personen die een werkrelatie hebben met de organisatie (werknemers, stagiaires, interims, vrijwilligers, ingehuurd personeel, enz.) als aan gegevens van personen met wie de organisatie een contractuele relatie heeft, zoals klanten, partners, leveranciers, enz. Ongeacht welke de relatie is tussen de organisatie en deze personen, de gerelateerde gegevens zijn persoonsgegevens en moeten aldus behandeld worden. Voor de toekenning van informatieklassen aan persoonsgegevens verwijzen we naar deel 1 van dit document.
Categorieën van bedrijfsgegevens
We identificeren volgende categorieën voor bedrijfsgegevens:
Volgende tabel geeft een goed idee van mogelijke informatie die een organisatie kan verwerken, waarbij wordt aangegeven welke informatie persoonsgegevens bevat of mogelijkerwijze persoonsgegevens kan bevatten:
categorie | datatype | Is of bevat zeker persoonsgegevens | Bevat mogelijks persoonsgegevens |
Organisatie | Risicoregister |
|
|
| Beschrijving risicomethode |
|
|
| Beschrijving risico beheersprocessen |
|
|
| Organisatorische beleidslijnen, processen, procedures |
|
|
| Gepubliceerde jaarverslagen |
|
|
| Niet-gepubliceerde jaarverslagen |
|
|
| Structuur/organigram |
| X |
| Beschrijving BCM processen |
| X |
| BCP |
| X |
| Ondernemingsplan en opvolgings- rapportering |
|
|
| Publieke website |
|
|
| Intranet |
| X |
| Audit resultaten en rapportering |
| X |
| Wetgevende informatie |
|
|
| Gepubliceerde gegevens (KBO) |
|
|
Info over derde partijen | Contracten | X |
|
| Contactgegevens | X |
|
| Financiële informatie |
| X |
| NDA’s ed overeenkomsten | X |
|
| Offertes |
| X |
| Bestellingen |
| X |
| Facturen |
| X |
Info over materiaal en uitrusting | Fleet gegevens |
| X |
| Gegevens over gebouwen |
|
|
| Contracten nutsvoorzieningen |
|
|
| Plannen nutsvoorzieningen |
|
|
| Officiële plannen |
|
|
Financiële informatie | Begrotingsinformatie |
|
|
| Interne rekeningnummers |
|
|
| Boekhoudkundige info |
|
|
| Rekeningoverzichten |
|
|
| Inkomstenstaten |
|
|
| Uitgavenstaten |
|
|
| Loonstaten |
| X |
| Budgetinformatie |
|
|
| Investeringen |
|
|
| Leningen |
|
|
| Aflossingstabellen |
|
|
| Subsidies |
|
|
ICT | Architectuur en designdocumenten |
|
|
| Overzicht accounts |
| X |
| Autorisatietabellen |
| X |
| CMDB |
|
|
| ICT beleidslijnen, processen en procedures |
|
|
| Manuals |
|
|
| Source codes |
|
|
| Configuratietabellen en parametrisatie |
|
|
| Inventarissen |
|
|
| Rapporten en dashboards |
|
|
| Change requests |
| X |
| Incident management info |
| X |
| Project informatie |
| x |
| ICT roadmaps en jaarplannen |
|
|
| Backupinformatie |
|
|
| Loginformatie |
| X |
| Certificaten en sleutels |
|
|
| (systeem)paswoorden |
|
|
| Versies en versiebeheerinfo |
|
|
Opleidingen | Scholen en andere onderwijsinstellingen |
|
|
| Leerlingenlijst | X |
|
| Informatie oudercontacten |
| X |
| Schoolresultaten/ examenresultaten | X |
|
| Examenvragen |
|
|
| Sancties (leerlingen) | X |
|
| Klachtenbehandeling |
| X |
Business georiënteerde informatie | Projectdossiers |
|
|
| Roadmaps |
|
|
| Klachtendossiers |
| X |
| Vergaderdossiers |
| X |
| Klantenbestand | X |
|
| Product/diensten dossiers |
|
|
| Marketinginformatie |
| x |
HR informatie | functiebeschrijvingen |
| X |
| Personeelslijst | X |
|
| Personeelsdossiers | X |
|
| Werving en selectiedossiers | X |
|
| Evaluaties en exitverslagen | X |
|
| Looninformatie | x |
|
| Vorming en opleidingsdossiers | X |
|
| Klachten en geschillen dossiers | X |
|
| Sancties (personeel) | X |
|
Audit | Audit dossiers |
| X |
DATA TYPES VAN INFORMATIEKLASSE 1
Vertrouwelijkheidslabel: [Publiek]
1-00 ORGANISATORISCHE INFORMATIE
Dit zijn gegevens die de structuur en de organisatie van de onderneming kenmerken. Sommige, maar niet alle organisatorische informatie is publiek toegankelijk.
Gepubliceerde jaarverslagen
Structuur/organigram
Publieke website
Wetgevende informatie, bvb machtigingen
Een specifiek voorbeeld van organisatorische informatie van vertrouwelijkheidsklasse 1 zijn de gegevens die gepubliceerd zijn door de Kruispuntbank van Ondernemingen, dit zijn:
Ondernemingsnummer
Naam van de onderneming
Status van de onderneming
Type (natuurlijke of rechtspersoon)
Begindatum
Adres zetel
Rechtsvorm (bvb NV, vzw, BVBA)
Contactgegevens van de onderneming: telefoon, fax, email, website
Economische activiteiten
Erkenningen, vergunningen, registraties
Naam/voornaam van de oprichters
Rechtstoestand
Hoedanigheden
Linken tussen entiteiten
Kapitaal
Duur van de entiteit
Einddatum boekjaar
Datum van de algemene vergadering.
1-01 OPLEIDINGEN
Alle informatie gerelateerd aan externe opleidingen vindt men hier terug:
Adressen en contactgegevens van scholen en andere onderwijsinstellingen
Publieke informatie over opleidingen: brochures, lessenreeksen, datums, enz
DATA TYPES VAN INFORMATIEKLASSE 2
Vertrouwelijkheidslabel: [Intern]
2-00 ORGANISATORISCHE INFORMATIE
Tot deze categorie kunnen ook persoonsgegevens behoren.
Organisatorische documentatie zoals organisatorische beleidslijnen, processen en procedures
Functiebeschrijvingen
Algemene documentatie rond bedrijfscontinuïteit: bedrijfscontinuïteitplannen, crisisplannen
Ondernemingsplan en opvolgrapportering rond het ondernemingsplan
Intranet
Algemene informatie over risicobeheer: methodiek en beheersprocessen
2-01 INFORMATIE OVER DERDE PARTIJEN
Met derde partijen bedoelen we iedereen die een contractuele relatie heeft met de onderneming, bvb partners, leveranciers, dienstenleveranciers, enz.
Professionele contactgegevens
2-02 MATERIAAL EN UITRUSTING
Deze rubriek omvat alle informatie over gebouwen, fysiek materiaal (waaronder fleet) en uitrusting van een onderneming dat geen ICT materiaal is (dit is in een aparte rubriek opgenomen):
Openbare plannen: bvb kadaster plannen
2-03 ICT
Deze categorie omvat alle hardware, software en andere ICT gerelateerde datatypes:
Algemene documentatie zoals ICT beleidslijnen, processen en procedures
Manuals: gebruikersgidsen, door leveranciers aangeboden systeemgidsen, enz.
Loginformatie op voorwaarde dat er geen informatie van informatieklasse 3 of hoger opgenomen is: logbestanden, audit tracks, enz
Informatie over versies en versiebeheer
2-04 OPLEIDINGEN
Alle informatie gerelateerd aan interne opleidingen vindt men hier terug:
Informatie over interne aangeboden opleidingen: brochures, lessenreeksen, datums, enz
2-05 BUSINESS GERELATEERDE INFORMATIE
Deze categorie omvat alle informatie met betrekking tot de kerntaken van de onderneming:
Projectdossiers waarin geen informatie van klasse 3 of hoger verwerkt wordt
Roadmaps
Zakelijke klantenbestanden (geen particulieren): contactgegevens, historiek van gekochte producten/diensten, bestelinformatie
Producten/dienstendossiers: productcataloog, prijslijsten
Marketinginformatie: campagnes, promoties, enz
2-06 HR INFORMATIE
Dit omvat alle datatypes beheerd door de personeelsdienst:
Functiebeschrijvingen
DATA TYPES VAN INFORMATIEKLASSE 3
Vertrouwelijkheidslabel: [Vertrouwelijk]
3-00 ORGANISATORISCHE INFORMATIE
Niet gepubliceerde jaarverslagen: het is raadzaam om deze informatieklasse 3 toe te kennen zolang er geen goedkeuring is tot publicatie indien hier informatie is opgenomen die men tijdelijk (nog) niet wenst te delen
3-01 INFORMATIE OVER DERDE PARTIJEN
Contracten
Getekende vertrouwelijkheidsovereenkomsten, NDA’s, enz
Informatie over aankopen: offertes, bestellingen, facturen^
3-02 MATERIAAL EN UITRUSTING
Fleet gegevens: inventaris auto’s en ander rollend materiaal, verzekeringscontracten, nummerplaten,
enz
Gegevens over gebouwen: bouwplannen, alarminrichting, toegangsgegevens
Contracten voor nutsvoorzieningen: gas, elektriciteit, telecom, water, enz
Plannen nutsvoorzieningen
3-03 FINANCIËLE INFORMATIE
Aflossingstabellen
Subsidies
3-04 ICT
Architectuur en designdocumenten, IP adres overzichten
CMDB
Configuratietabellen en andere parametrisatie gegevens
Inventarissen: hardware, software, licenties, gebruikers, enz
Autorisatietabellen
Rapporten en dashboards
Informatie over wijzigingen: wijzigingsaanvragen, implementatie en onderhoudsschema’s
Informatie over incidenten en problemen
Project gerelateerde informatie: projectplannen, project dossiers, rapportering over projecten, enz
ICT roadmps en jaarplannen
Back-up informatie: back-up schema’s, informatie over back-up infrastructuur, enz
Loginformatie op voorwaarde dat er geen informatie van informatieklasse 4 of 5 is opgenomen
3-05 OPLEIDINGEN
Lijst van leerlingen/studenten
Informatie oudercontacten: notulen, activiteiten, enz
Klachtendossiers
3-06 BUSINESS GERELATEERDE INFORMATIE
Projectdossiers waarin geen informatie van klasse 4 of 5 verwerkt wordt
Klachtendossiers met betrekking tot de dienstverlening
Vergaderdossiers: agenda’s, presentaties, verslagen
Particuliere klantenbestanden
3-07 HR INFORMATIE
Personeelsdossiers zonder gevoelige informatie: persoonlijke contactgegevens personeel, personeelsnummer, evaluaties. Indien het personeelsdossier medische gegevens of financiële gegevens bevat, dan krijgt het informatieklasse 4 toegewezen.
Werving- en selectiedossiers
Vorming- en opleidingsdossiers zonder examenresultaten
Klachten en geschillendossiers
Data types van informatieklasse 4
Vertrouwelijkheidslabel: [Geheim]
4-00 ORGANISATORISCHE INFORMATIE
Risico register: dit omvat een oplijsting van de geïdentificeerde risico’s en hun behandeling
4-01 INFORMATIE OVER DERDE PARTIJEN
Financiële informatie over partners, leveranciers, dienstenleveranciers enz die niet gepubliceerd is
4-02 MATERIAAL EN UITRUSTING
Toegangscodes voor gebouwen en lokalen waar informatie van klasse 4 of lager verwerkt wordt
4-03 FINANCIËLE INFORMATIE
Begrotingsinformatie
Interne rekeningnummers
Boekhoudkundige informatie
Rekeningoverzichten
Inkomsten- en uitgavenstaten
Budgetinformatie
Investeringen
Leningen (contracten)
4-04 ICT
Bron codes
Certificaten en sleutels die niet tot de root behoren
Gebruikerspaswoorden
Systeempaswoorden voor hardware/software die informatie van klasse 4 of lager verwerkt
4-05 INFORMATIE OVER OPLEIDINGEN
School- en examenresultaten
Examenvragen
Sancties tegen leerlingen/studenten
4-06 HR INFORMATIE
Evaluaties en exitverslagen
Personeelsdossiers met gevoelige informatie (bvb medische informatie)
Looninformatie
Vorming- en opleidingsdossiers met examenresultaten
Sancties tegen personeel
4-07 AUDIT INFORMATIE
Audit dossiers: geplande en uitgevoerde audits, resultaten, bevindingen, aanbevelingen, opvolging, verslagen vergaderingen, interviews enz.
DATA TYPES VAN INFORMATIEKLASSE 5
Vertrouwelijkheidslabel: [Zeer geheim]
Hierin worden in de praktijk enkel de gegevens opgenomen gerelateerd aan het beheer en de uitgifte van PKI certificaten
5-00 MATERIAAL EN UITRUSTING
Toegangscodes voor gebouwen en lokalen waar informatie van klasse 5 verwerkt wordt
5-01 ICT
Root certificaten en sleutels
Systeempaswoorden voor de PKI infrastructuur
Systeempaswoorden voor elke infrastructuur die informatie van klasse 5 verwerkt