of 59232 LinkedIn

Doe jij het veilig in de trein?

In alle drukte van de spits heb je gelukkig een zitplaats weten te bemachtigen. Dat komt goed uit, want je bent gisteren niet meer toegekomen aan het schuldsaneringsdossier van Mw. Jansen. Straks heb je een meeting om dit dossier door te nemen, dus het is maar goed dat je dit dossier nog even rustig op je tablet kunt doorkijken. Je hebt het toch voor elkaar gekregen; je komt alsnog voorbereid op deze afspraak.

Ken je dit? Of heb je weleens een collega gezien die gebruik maakte van de mogelijkheid om in de trein nog even snel informatie door te lezen? Ik kom het regelmatig tegen. Het Nieuwe Werken maakt het gemakkelijk om op verschillende plaatsen ons werk te kunnen doen. Misschien hebben we niet allemaal een tablet tot onze beschikking, maar een dossier doormailen naar je Hotmail en bekijken op je smartphone kan natuurlijk ook. Erg fijn.

 

Is het eigenlijk wel zo verstandig om alle informatie te lezen op alle plaatsen? Ik vind het een groot verschil of een collega op het gemeentehuis per ongeluk over je schouder meekijkt, of dat dit de buurman van Mw. Jansen is die achter je in de trein zit en meekijkt zonder dat je het in de gaten hebt.  Ik vind het onacceptabel als mijn schuldsaneringsdossier gelezen wordt door mijn buurman, dit gaat hem niets aan. Het antwoord is duidelijk; nee, dat is niet verstandig. Daarom heeft de overheid hier ook wetten voor opgesteld waar je je als gemeente aan moet houden. Maar welke informatie is dan wel geschikt om in de trein te lezen, en welke informatie kun je beter niet downloaden op je tablet en lezen op publieke plaatsen? Een schuldsaneringsdossier is misschien duidelijk, maar gemeenten beschikken over ontelbaar veel verschillende soorten informatie en welke informatie is nu meer en welke minder gevoelig? Daar is een manier voor: data classificatie.

 

Wat is data classificatie?

Data classificatie is het toekennen van een beveiligingsniveau aan data en informatie. Dit is in de eerste plaats belangrijk, omdat met behulp van deze classificatie maatregelen genomen kunnen worden om risico’s af te dekken. Denk hierbij bijvoorbeeld aan technische maatregelen zoals het onmogelijk maken van informatie ontsluiting op een tablet. Een tweede, en misschien wel belangrijker punt, is dat jij en je collega’s kunnen inschatten waar je je informatie kunt gebruiken en kunt ontsluiten. Aan deze classificaties hangen namelijk ook maatregelen hoe je hiermee om dient te gaan.

 

Hoe werkt data classificatie?

De verantwoordelijke voor de informatie dient de informatie te classificeren op basis van de noodzaak, prioriteit en verwachte graad van bescherming. Dit betekent bijvoorbeeld ook dat wanneer je een PowerPoint presentatie maakt, je moet bepalen wat de waarde is van de informatie in deze slides. Denk hierbij aan de waarde van de informatie, de wettelijke eisen (Wet Bescherming Persoonsgegevens WBP bijvoorbeeld), de gevoeligheid en de onmisbaarheid voor de gemeente. De WBP verplicht gemeenten om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen.

De richtlijn vanuit het Kwaliteitsinstituut Nederlandse Gemeenten (KING)[1] voor data classificatie is de volgende: 

 Afbeelding

  1. Openbaar
  2. Bedrijfsvertrouwelijk
  3. Vertrouwelijk
  4. Geheim

 

Wanneer gebruik je nu welke classificatie?

Hoe weet je nu welke classificatie je aan je informatie moet geven? Dit hangt af van de methodiek van je gemeente, maar hieronder geef ik een aantal voorbeelden van mogelijkheden.

 

  1. Openbaar: Openbare informatie, gepubliceerde informatie die voor iedereen toegankelijk is (mag zijn), zoals bijvoorbeeld informatie op de website. Deze moet weliswaar juist zijn, maar hoeft niet afgeschermd te worden.
  2. Bedrijfsvertrouwelijk: Informatie die (potentieel) toegankelijk is voor alle medewerkers in de gemeente, maar niet openbaar is, zoals presentaties en jaarplannen.
  3. Vertrouwelijk: Deze classificatie verwijst naar gevoelige informatie, die bij uitlekken substantiële schade kan toebrengen aan de reputatie van de gemeente en negatief beoordeeld zal worden door de publieke opinie. Denk aan voorlopige financiële stukken, of stukken die nog bewerkt moeten worden en door het ontbreken van volledige informatie eenvoudig verkeerd geïnterpreteerd kunnen worden. Voorbeelden hiervan zijn informatie over openbare orde en veiligheid, handhaving en controle van Sociale Zaken (tenzij dit over personen gaat, dan valt dit onder ‘Geheim’).
  4. Geheim: Deze informatie verwijst naar personen. Het is ook mogelijk dat informatie op een of andere manier strikt gebonden is aan bepaalde geautoriseerde personen. Wanneer deze informatie bekend wordt buiten de gemeenten kan dit de gemeenten zelf, de burgers of partners schaden. Denk hierbij aan informatie over basisregistratie van persoonsgegevens en dossiers over kinderbescherming of schuldsanering.

 

Hoe je nu daadwerkelijk omgaat met geclassificeerde informatie is wederom afhankelijk van de gemeente. Echter, in het plaatje hierboven kun je afleiden dat je bij de hoogste drie classificaties extra voorzichtig moet zijn. Als deze gegevens lekken of bij verkeerde mensen terecht komen heeft dit grote gevolgen, zoals reputatieschade omdat de gemeente op de voorpagina van de krant staat.

 

Wat betekent dit nu?

Dit betekent dat het schuldsaneringsdossier van Mw. Jansen  een voorbeeld van geheime informatie is. Het risico dat anderen deze informatie opzettelijk of per ongeluk raadplegen is in een drukke trein erg groot. Nu kan de gemeente bepalen dat er maatregelen worden genomen om deze informatie alleen beschikbaar te maken vanaf je desktop op je werkplek en dat deze niet uitgeprint kan worden. Dit maakt het werken natuurlijk niet echt gemakkelijk. De gemeente kan ook bepalen dat je bijvoorbeeld wel thuis aan dit dossier kunt werken via een veilige verbinding, maar dan moet zij er wel op kunnen vertrouwen dat dit dossier niet tijdens de treinreis geraadpleegd wordt, of dat thuis niet andere leden van het gezin deze informatie zien.  Dit zijn een paar overwegingen waar de gemeente rekening mee kan houden. Het zijn echter niet de enige aspecten waar aan gedacht kan worden. Raadpleeg voor meer informatie de website van KING en het IBD.  Hoe je je data classificatie en overige informatiebeveiliging ook inricht, het belangrijkste is om alle collega’s bewust te maken van de waarde van informatie, hoe je hier bij jouw gemeente mee omgaat en nog belangrijker; waarom je dit doet. Maak het onderwerp data classificatie bespreekbaar, zodat men bij twijfel met elkaar de discussie aangaat.

 

Het schuldsaneringsdossier van Mw. Jansen wil je dus niet op een tablet kunnen ontsluiten die iemand leest in de trein. Je wilt ook niet dat een medewerker dit dossier even naar zichzelf mailt, wanneer hij er thuis niet bij kan, omdat deze informatie dan nog steeds in verkeerde handen kan vallen. Zorg daarom dat collega’s, je afdeling, je gemeente, het College van B&W weten wat de waarde is van informatie, wat deze classificaties betekenen en hoe je hier mee om moet gaan. Een classificatie methodiek implementeren is de eerste stap, maar het bewustzijn creëren bij alle collega’s is een cruciale tweede.

 

Meer weten?

Wil je meer weten over data classificatie en informatiebeveiliging? Kijk op de website van KING voor of neem gerust contact met mij op.

- ‘handreiking dataclassificatie’,

- Tactische Baseline van KING (HS 7.2.),

Presentatie ‘Bewustwording Informatiebeveiliging’

 


Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers