Document toolboxDocument toolbox

10.2.2. Categorieën van bedrijfsgegevens

Inleiding

Voor bedrijfsgegevens is geen specifieke wetgeving naar analogie van de GDPR. Nochtans kan bedrijfsinformatie cruciaal zijn voor een organisatie en kan het van belang zijn deze informatie te beveiligen tegen ongeautoriseerde inzage of toegang.

Het spreekt voor zich dat ook bedrijfsgegevens een klasse voor vertrouwelijkheid toegewezen moeten krijgen om zo voldoende aandacht te schenken aan het niveau van beveiliging van deze gegevens.

Deze pagina stelt een mogelijke categorisatie van bedrijfsinformatie voor op basis van de meest gangbare toekenning van informatieklassen. Het is evenwel aan elke organisatie om deze categorisatie te valideren en waar nodig aan te passen aan de noden van de eigen organisatie.

Net zoals bij https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6464603472 , beperkt deze pagina zich tot een categorisatie in het kader van de vertrouwelijkheidsklassen; integriteit en beschikbaarheid worden hier niet behandeld.

Link met persoonsgegevens

Zie ook https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6464603472

Bedrijven verwerken heel veel informatie. Heel wat van die informatie betreft rechtstreeks of onrechtstreeks ook personen en moeten dus gekenmerkt worden als persoonsgegevens. We denken hierbij zowel aan gegevens van personen die een werkrelatie hebben met de organisatie (werknemers, stagiaires, interims, vrijwilligers, ingehuurd personeel, enz.) als aan gegevens van personen met wie de organisatie een contractuele relatie heeft, zoals klanten, partners, leveranciers, enz. Ongeacht welke de relatie is tussen de organisatie en deze personen, de gerelateerde gegevens zijn persoonsgegevens en moeten aldus behandeld worden. Voor de toekenning van informatieklassen aan persoonsgegevens verwijzen we naar deel 1 van dit document.

Categorieën van bedrijfsgegevens

We identificeren volgende categorieën voor bedrijfsgegevens:

Volgende tabel geeft een goed idee van mogelijke informatie die een organisatie kan verwerken, waarbij wordt aangegeven welke informatie persoonsgegevens bevat of mogelijkerwijze persoonsgegevens kan bevatten:

 

categorie

datatype

Is of bevat zeker persoonsgegevens

Bevat      mogelijks persoonsgegevens

Organisatie

Risicoregister

 

 

 

Beschrijving risicomethode

 

 

 

Beschrijving risico beheersprocessen

 

 

 

Organisatorische beleidslijnen,    processen, procedures

 

 

 

Gepubliceerde jaarverslagen

 

 

 

Niet-gepubliceerde jaarverslagen

 

 

 

Structuur/organigram

 

X

 

Beschrijving BCM processen

 

X

 

BCP

 

X

 

Ondernemingsplan          en         opvolgings- rapportering

 

 

 

Publieke website

 

 

 

Intranet

 

X

 

Audit resultaten en rapportering

 

X

 

Wetgevende informatie

 

 

 

Gepubliceerde gegevens (KBO)

 

 

Info over derde partijen

Contracten

X

 

 

Contactgegevens

X

 

 

Financiële informatie

 

X

 

NDA’s ed overeenkomsten

X

 

 

Offertes

 

X

 

Bestellingen

 

X

 

Facturen

 

X

Info            over

materiaal       en uitrusting

Fleet gegevens

 

X

 

 

Gegevens over gebouwen

 

 

 

Contracten nutsvoorzieningen

 

 

 

Plannen nutsvoorzieningen

 

 

 

Officiële plannen

 

 

Financiële informatie

Begrotingsinformatie

 

 

 

Interne rekeningnummers

 

 

 

Boekhoudkundige info

 

 

 

Rekeningoverzichten

 

 

 

Inkomstenstaten

 

 

 

Uitgavenstaten

 

 

 

Loonstaten

 

X

 

Budgetinformatie

 

 

 

Investeringen

 

 

 

Leningen

 

 

 

Aflossingstabellen

 

 

 

Subsidies

 

 

ICT

Architectuur en designdocumenten

 

 

 

Overzicht accounts

 

X

 

Autorisatietabellen

 

X

 

CMDB

 

 

 

ICT beleidslijnen, processen en procedures

 

 

 

Manuals

 

 

 

Source codes

 

 

 

Configuratietabellen en parametrisatie

 

 

 

Inventarissen

 

 

 

Rapporten en dashboards

 

 

 

Change requests

 

X

 

Incident management info

 

X

 

Project informatie

 

x

 

ICT roadmaps en jaarplannen

 

 

 

Backupinformatie

 

 

 

Loginformatie

 

X

 

Certificaten en sleutels

 

 

 

 

(systeem)paswoorden

 

 

 

Versies en versiebeheerinfo

 

 

Opleidingen

Scholen en andere onderwijsinstellingen

 

 

 

Leerlingenlijst

X

 

 

Informatie oudercontacten

 

X

 

Schoolresultaten/

examenresultaten

X

 

 

Examenvragen

 

 

 

Sancties (leerlingen)

X

 

 

Klachtenbehandeling

 

X

Business georiënteerde informatie

Projectdossiers

 

 

 

Roadmaps

 

 

 

Klachtendossiers

 

X

 

Vergaderdossiers

 

X

 

Klantenbestand

X

 

 

Product/diensten dossiers

 

 

 

Marketinginformatie

 

x

HR informatie

functiebeschrijvingen

 

X

 

Personeelslijst

X

 

 

Personeelsdossiers

X

 

 

Werving en selectiedossiers

X

 

 

Evaluaties en exitverslagen

X

 

 

Looninformatie

x

 

 

Vorming en opleidingsdossiers

X

 

 

Klachten en geschillen dossiers

X

 

 

Sancties (personeel)

X

 

Audit

Audit dossiers

 

X

DATA TYPES VAN INFORMATIEKLASSE 1

Vertrouwelijkheidslabel: [Publiek]

1-00 ORGANISATORISCHE INFORMATIE

 

Dit zijn gegevens die de structuur en de organisatie van de onderneming kenmerken. Sommige, maar niet alle organisatorische informatie is publiek toegankelijk.

  • Gepubliceerde jaarverslagen

  • Structuur/organigram

  • Publieke website

  • Wetgevende informatie, bvb machtigingen

Een specifiek voorbeeld van organisatorische informatie van vertrouwelijkheidsklasse 1 zijn de gegevens die gepubliceerd zijn door de Kruispuntbank van Ondernemingen, dit zijn:

  • Ondernemingsnummer

  • Naam van de onderneming

  • Status van de onderneming

  • Type (natuurlijke of rechtspersoon)

  • Begindatum

  • Adres zetel

  • Rechtsvorm (bvb NV, vzw, BVBA)

  • Contactgegevens van de onderneming: telefoon, fax, email, website

  • Economische activiteiten

  • Erkenningen, vergunningen, registraties

  • Naam/voornaam van de oprichters

  • Rechtstoestand

  • Hoedanigheden

  • Linken tussen entiteiten

  • Kapitaal

  • Duur van de entiteit

  • Einddatum boekjaar

  • Datum van de algemene vergadering.

1-01       OPLEIDINGEN

Alle informatie gerelateerd aan externe opleidingen vindt men hier terug:

  • Adressen en contactgegevens van scholen en andere onderwijsinstellingen

  • Publieke informatie over opleidingen: brochures, lessenreeksen, datums, enz

DATA TYPES VAN INFORMATIEKLASSE 2

Vertrouwelijkheidslabel: [Intern]

2-00 ORGANISATORISCHE INFORMATIE

Tot deze categorie kunnen ook persoonsgegevens behoren.

  • Organisatorische documentatie zoals organisatorische beleidslijnen, processen en procedures

  • Functiebeschrijvingen

  • Algemene documentatie rond bedrijfscontinuïteit: bedrijfscontinuïteitplannen, crisisplannen

  • Ondernemingsplan en opvolgrapportering rond het ondernemingsplan

  • Intranet

  • Algemene informatie over risicobeheer: methodiek en beheersprocessen

2-01       INFORMATIE OVER DERDE PARTIJEN

Met derde partijen bedoelen we iedereen die een contractuele relatie heeft met de onderneming, bvb partners, leveranciers, dienstenleveranciers, enz.

  • Professionele contactgegevens

2-02       MATERIAAL EN UITRUSTING

Deze rubriek omvat alle informatie over gebouwen, fysiek materiaal (waaronder fleet) en uitrusting van een onderneming dat geen ICT materiaal is (dit is in een aparte rubriek opgenomen):

  • Openbare plannen: bvb kadaster plannen

2-03       ICT

Deze categorie omvat alle hardware, software en andere ICT gerelateerde datatypes:

  • Algemene documentatie zoals ICT beleidslijnen, processen en procedures

  • Manuals: gebruikersgidsen, door leveranciers aangeboden systeemgidsen, enz.

  • Loginformatie op voorwaarde dat er geen informatie van informatieklasse 3 of hoger opgenomen is: logbestanden, audit tracks, enz

  • Informatie over versies en versiebeheer

2-04       OPLEIDINGEN

Alle informatie gerelateerd aan interne opleidingen vindt men hier terug:

  • Informatie over interne aangeboden opleidingen: brochures, lessenreeksen, datums, enz

2-05       BUSINESS GERELATEERDE INFORMATIE

Deze categorie omvat alle informatie met betrekking tot de kerntaken van de onderneming:

  • Projectdossiers waarin geen informatie van klasse 3 of hoger verwerkt wordt

  • Roadmaps

  • Zakelijke klantenbestanden (geen particulieren): contactgegevens, historiek van gekochte producten/diensten, bestelinformatie

  • Producten/dienstendossiers: productcataloog, prijslijsten

  • Marketinginformatie: campagnes, promoties, enz

2-06       HR INFORMATIE

Dit omvat alle datatypes beheerd door de personeelsdienst:

  • Functiebeschrijvingen

DATA TYPES VAN INFORMATIEKLASSE 3

Vertrouwelijkheidslabel: [Vertrouwelijk]

3-00 ORGANISATORISCHE INFORMATIE

  • Niet gepubliceerde jaarverslagen: het is raadzaam om deze informatieklasse 3 toe te kennen zolang er geen goedkeuring is tot publicatie indien hier informatie is opgenomen die men tijdelijk (nog) niet wenst te delen

3-01       INFORMATIE OVER DERDE PARTIJEN

  • Contracten

  • Getekende vertrouwelijkheidsovereenkomsten, NDA’s, enz

  • Informatie over aankopen: offertes, bestellingen, facturen^

3-02       MATERIAAL EN UITRUSTING

  • Fleet gegevens: inventaris auto’s en ander rollend materiaal, verzekeringscontracten, nummerplaten,

  • enz

  • Gegevens over gebouwen: bouwplannen, alarminrichting, toegangsgegevens

  • Contracten voor nutsvoorzieningen: gas, elektriciteit, telecom, water, enz

  • Plannen nutsvoorzieningen

3-03       FINANCIËLE INFORMATIE

  • Aflossingstabellen

  • Subsidies

3-04  ICT

  • Architectuur en designdocumenten, IP adres overzichten

  • CMDB

  • Configuratietabellen en andere parametrisatie gegevens

  • Inventarissen: hardware, software, licenties, gebruikers, enz

  • Autorisatietabellen

  • Rapporten en dashboards

  • Informatie over wijzigingen: wijzigingsaanvragen, implementatie en onderhoudsschema’s

  • Informatie over incidenten en problemen

  • Project gerelateerde informatie: projectplannen, project dossiers, rapportering over projecten, enz

  • ICT roadmps en jaarplannen

  • Back-up informatie: back-up schema’s, informatie over back-up infrastructuur, enz

  • Loginformatie op voorwaarde dat er geen informatie van informatieklasse 4 of 5 is opgenomen

3-05       OPLEIDINGEN

  • Lijst van leerlingen/studenten

  • Informatie oudercontacten: notulen, activiteiten, enz

  • Klachtendossiers

3-06       BUSINESS GERELATEERDE INFORMATIE

  • Projectdossiers waarin geen informatie van klasse 4 of 5 verwerkt wordt

  • Klachtendossiers met betrekking tot de dienstverlening

  • Vergaderdossiers: agenda’s, presentaties, verslagen

  • Particuliere klantenbestanden

3-07  HR INFORMATIE

  • Personeelsdossiers zonder gevoelige informatie: persoonlijke contactgegevens personeel, personeelsnummer, evaluaties. Indien het personeelsdossier medische gegevens of financiële gegevens bevat, dan krijgt het informatieklasse 4 toegewezen.

  • Werving- en selectiedossiers

  • Vorming- en opleidingsdossiers zonder examenresultaten

  • Klachten en geschillendossiers

Data types van informatieklasse 4

Vertrouwelijkheidslabel: [Geheim]

4-00       ORGANISATORISCHE INFORMATIE

  • Risico register: dit omvat een oplijsting van de geïdentificeerde risico’s en hun behandeling

4-01       INFORMATIE OVER DERDE PARTIJEN

  • Financiële informatie over partners, leveranciers, dienstenleveranciers enz die niet gepubliceerd is

4-02    MATERIAAL EN UITRUSTING

  • Toegangscodes voor gebouwen en lokalen waar informatie van klasse 4 of lager verwerkt wordt

4-03    FINANCIËLE INFORMATIE

  • Begrotingsinformatie

  • Interne rekeningnummers

  • Boekhoudkundige informatie

  • Rekeningoverzichten

  • Inkomsten- en uitgavenstaten

  • Budgetinformatie

  • Investeringen

  • Leningen (contracten)

4-04    ICT

  • Bron codes

  • Certificaten en sleutels die niet tot de root behoren

  • Gebruikerspaswoorden

  • Systeempaswoorden voor hardware/software die informatie van klasse 4 of lager verwerkt

4-05    INFORMATIE OVER OPLEIDINGEN

  • School- en examenresultaten

  • Examenvragen

  • Sancties tegen leerlingen/studenten

4-06    HR INFORMATIE

  • Evaluaties en exitverslagen

  • Personeelsdossiers met gevoelige informatie (bvb medische informatie)

  • Looninformatie

  • Vorming- en opleidingsdossiers met examenresultaten

  • Sancties tegen personeel

4-07    AUDIT INFORMATIE

  • Audit dossiers: geplande en uitgevoerde audits, resultaten, bevindingen, aanbevelingen, opvolging, verslagen vergaderingen, interviews enz.

DATA TYPES VAN INFORMATIEKLASSE 5

Vertrouwelijkheidslabel: [Zeer geheim]

Hierin worden in de praktijk enkel de gegevens opgenomen gerelateerd aan het beheer en de uitgifte van PKI certificaten

5-00       MATERIAAL EN UITRUSTING

  • Toegangscodes voor gebouwen en lokalen waar informatie van klasse 5 verwerkt wordt

5-01       ICT

  • Root certificaten en sleutels

  • Systeempaswoorden voor de PKI infrastructuur

  • Systeempaswoorden voor elke infrastructuur die informatie van klasse 5 verwerkt