In dit beleid verwijzen we veelvuldig naar de term ‘informatieasset’. We definiëren een informatieasset als volgt: “Een informatieasset is een set informatie die waarde heeft voor de organisatie of het individu welke gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.”

Toelichting

Een informatieasset is een term die wordt gebruikt om een specifieke verzameling informatie of gegevens binnen een organisatie te beschrijven. Het kan verwijzen naar zowel digitale als niet-digitale informatiebronnen, zoals documenten, databases, afbeeldingen, video's, audio-opnamen en andere soorten informatie.

Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases.

Het beheer en de bescherming van informatieassets is van groot belang voor organisaties, vooral vanwege de toenemende afhankelijkheid van informatie en de waarde ervan. Het omvat het vaststellen van beleid, procedures en technische maatregelen om ervoor te zorgen dat informatieassets veilig, nauwkeurig, beschikbaar en vertrouwelijk blijven.

Kortom, een informatieasset is een term die wordt gebruikt om te verwijzen naar de waardevolle verzameling informatie of gegevens binnen een organisatie die strategisch worden beheerd en beschermd.

Ter verduidelijking van het onderwerp informatieassets, is er vanuit Informatieclassificatieraamwerk (ICR) hieromtrent een handreiking ontwikkeld: Handreiking informatieassets

Registraties (of ‘records’) verwijzen naar alle gegevens (data) die de organisatie opslaat en/of hanteert ter ondersteuning van haar reguliere bedrijfsvoering. Elke verzameling van gegevens, onafhankelijk van haar structuur of formaat, kan als een registratie worden beschouwd.

Bij het maskeren van gegevens worden de werkelijke gegevens onherkenbaar gemaakt (zoals willekeurige tekens of waarden), waarbij de bruikbaarheid voor bepaalde doeleinden, zoals testen of analyseren, behouden blijft. Dit betekent dat de gemaskeerde gegevens in veel opzichten lijkt op de originele gegevens, maar geen werkelijke waarde of betekenis heeft vanuit een privacy- of beveiligingsperspectief.

Dit is ondermeer belangrijk in ontwikkel- en testomgevingen, waar echte gegevens nodig zijn om systemen en toepassingen te testen, maar waar gevoelige informatie beschermd moet worden.

Enkele gangbare technieken voor het maskeren van gegevens:

• Substitutie: Hierbij worden echte waarden vervangen door andere waarden uit een vervangende dataset. Bijvoorbeeld, echte namen kunnen worden vervangen door namen uit een fictieve lijst.

• Versleuteling: Gegevens worden omgezet in een gecodeerde vorm met behulp van een algoritme en een sleutel. Alleen degenen met de juiste sleutel kunnen de oorspronkelijke gegevens herstellen.

• Shuffling of Permutatie: Hierbij worden waarden binnen een kolom gemengd zodat de oorspronkelijke correlaties tussen datarecords verloren gaan.

• Redactie: Specifieke delen van de gegevens, zoals de laatste vier cijfers van een rijksregisternummer, worden verwijderd of vervangen door andere tekens zoals asterisken.

• Maskeren op basis van regels: Hierbij worden waarden gemaskeerd volgens vooraf gedefinieerde regels. Bijvoorbeeld, e-mailadressen kunnen worden gemaskeerd door de domeinnamen te vervangen.

• Pseudonimisatie: Gevoelige gegevens worden vervangen door fictieve, maar realistisch ogende gegevens, waarbij het mogelijk is om de originele gegevens te herstellen met behulp van een specifieke methode of sleutel.

• Generatie van willekeurige gegevens: Originele waarden worden vervangen door willekeurig gegenereerde waarden.

• Hashing: Gegevens worden omgezet in een vaste reeks tekens met behulp van een hash-functie. Het is moeilijk (zo niet onmogelijk) om de originele gegevens uit de hash-waarde te herleiden.