Het garanderen van de beveiliging en privacy van gevoelige klantinformatie is een belangrijke verantwoordelijkheid. Dat geldt voor alle bedrijven, dus ook voor het mkb. In dit artikel vertellen we je alles over de grondbeginselen van gegevensbescherming.

Gegevensbescherming omvat alle administratieve, logische en technische controles die noodzakelijk zijn om informatie te beschermen. Voor de ontwikkeling en invoering van een kader voor informatiebeveiliging wordt vaak de V-I-B-driehoek gebruikt.

De V-I-B-driehoek voor gegevensbescherming

De V-I-B-driehoek staat voor het kader van Vertrouwelijkheid, Integriteit en Beschikbaarheid voor gegevensbescherming.
De V-I-B-driehoek

De V-I-B-driehoek bestaat uit drie fundamentele concepten van informatiebeveiliging:

  • Vertrouwelijkheid (en privacy). Het voorkomen dat gegevens zonder toestemming worden geraadpleegd, gebruikt, vrijgegeven, ingezien, geïnspecteerd of opgenomen.
  • Integriteit. Het voorkomen dat gegevens zonder toestemming of op onjuiste wijze worden gewijzigd of vernietigd.
  • Beschikbaarheid. Garanderen dat bevoegde gebruikers betrouwbare en tijdige toegang hebben tot gegevens.

Om de vertrouwelijkheid van gevoelige gegevens te beschermen wordt over het algemeen op diverse gebieden beleid bepaald. Dit gebeurt op het gebied van arbeid, beveiliging en privacy. Bedrijven bepalen wie er toegang heeft tot bepaalde gegevens en voor welke doeleinden. Ook wordt bepaald wat zij mogen doen met deze gegevens. Voorbeelden van technische controles om vertrouwelijkheid te garanderen zijn:

Om informatie effectief te beschermen moeten bedrijven iets doen om de vertrouwelijkheid, integriteit en beschikbaarheid van al hun gevoelige gegevens te garanderen. Dit moet ook gebeuren voor de systemen en toepassingen voor het verwerken en opslaan van die gegevens.

Met het gebruik van een op risico gebaseerde aanpak kan je bedrijf de controles invoeren die nodig zijn om iets te doen aan kwetsbaarheden en een acceptabel risiconiveau bereiken voor gegevens. Dit doe je met het oog op specifieke dreigingen. Hoe groter het risico dat met de gegevens is gemoeid, hoe meer en vooral beter beschermende maatregelen moeten worden ingevoerd.

Het beheersen van beveiligingsrisico’s bij gegevensbescherming

Het basisproces voor het gegevensbescherming bestaat uit beoordeling van, beheersing van, aanvaarding van en communicatie over risico's.
Het basisproces voor het beheersen van risico’s

Voor de beheersing van beveiligingsrisico’s doorloop je vier belangrijke fasen:

Risicobeoordeling

Hier zijn verschillende methoden voor, ieder met zijn eigen kostenplaatje en mate van complexiteit. In grote lijnen bestaat het proces uit de volgende stappen:

  • Identificatie van assets: identificeer alle assets van je organisatie (zowel materieel als immaterieel) die moeten worden beschermd. Bepaal de kwantitatieve (kostprijs of bijdrage aan omzet) en kwalitatieve (bijvoorbeeld het relatieve belang) van elk van die assets.
  • Bedreigingsanalyse: bepaal welke negatieve omstandigheden of gebeurtenissen zich kunnen voordoen. Wat zijn hiervan de effecten of consequenties? Hoe groot is de kans dat dit zal gebeuren? Hoe vaak zal dit gebeuren?
  • Beoordeling kwetsbaarheid: welke controlemechanismen ontbreken er voor een bepaald systeem of zijn zwak? Hierdoor kan een eventuele dreiging namelijk schadelijker, kostbaarder en waarschijnlijker zijn en vaker voorkomen.

Risicobeheersing

De risicobeoordeling vormt de basis voor managementbeslissingen. Op basis hiervan kun je bepalen wat er moet worden gedaan aan specifieke risico’s. Voorbeelden van maatregelen:

Risico afzwakken. Beleid, controles of andere maatregelen invoeren om de impact van een bedreiging voor een bepaald systeem te verminderen of de kans dat de situatie zich daadwerkelijk voordoet te verkleinen.

Risico overdragen. Draag risico over aan een derde partij zoals een verzekeringsmaatschappij of dienstverlener die er uitdrukkelijk mee akkoord gaat dit risico over te nemen.

Risico voorkomen. Neem het risico helemaal weg door bijvoorbeeld het systeem te upgraden of weg te doen. Je kunt ook stoppen met de activiteit die het risico creëert.

Acceptatie van restrisico

Op dit moment geeft het management formeel goedkeuring voor de maatregelen die zijn genomen om het risico te beheersen. Ook aanvaardt het de eventuele overblijvende risico’s die vanuit praktisch oogpunt niet (verder) kunnen worden beheerst.

Communicatie over het risico

Relevante stakeholders moeten worden geïnformeerd over de manieren waarop risico wordt beheerd of over beslissingen om bepaalde risico’s te aanvaarden. Ook moeten zij weten wat hun individuele rol en verantwoordelijkheden zijn met betrekking tot specifieke risico’s.

Je las zojuist een sectie uit het eBook ‘Gegevensbescherming voor Dummies‘ van Netdata-partner ESET.

Wil je meer weten over gegevensbescherming? Download het gratis eBook dan hier of klik op onderstaande afbeelding!

Contact