Gegevensdragers, zie jij door de bomen het bos nog?


Soms zie je even door de bomen het bos niet meer. Op zich niet zo erg, maar wel wat onhandig als je de weg probeert te vinden. En die weg zocht ik vandaag, nadat ik van een collega de vraag kreeg ‘wat de verschillen zijn tussen diverse media/gegevensdragers, en welke maatregelen ze vereisen op informatiebeveiligingsvlak’? Een scherpe vaag die mij aan het denken zette als het over dit onderwerp gaat. Daarom in deze blog een nadere verkenning van

diverse begrippen uit de BIG.

Onnodig verwarring?

Niet zo heel ingewikkeld zul je zeggen, dat is immers precies één van de vragen waarom de Baseline Informatiebeveiliging Gemeenten (BIG) door de IBD is ontwikkeld. Nou blijkt die BIG niet zo eenduidig te zijn. Al snel raak je verstrikt in een veelheid aan termen die naar mijn idee vaak opvallende overlap vertonen: in de tactische BIG worden namelijk termen gebruikt als ‘verwijderbare media’ (10.7), ‘fysieke media’ (10.8.3.), ‘apparatuur met opslagmedia’ (9.2.6.) en ‘mobiele gegevensdragers’ (9.1.3.). Maakt de IBD hier een correct onderscheid of ontstaat er onnodig verwarring (of beide)? Allereerst. wat verstaan we eigenlijk onder een gegevensdrager?

Wikipedia

Een simpele zoekopdracht hiernaar op Google leidde mij naar de pagina van Wikipedia en die vertelt ons het volgende: het woord gegevensdrager is een algemene naam voor een opslagmedium, een fysiek voorwerp waarop gegevens zijn opgeslagen of kunnen worden opgeslagen. Volgens deze definitie is zowel een vel papier als een kleitablet een gegevensdrager. Het woord gegevensdrager wordt echter in de informatica in het algemeen gebruikt voor middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Hoewel niet zo gedefinieerd, worden vaak verwisselbare media bedoeld, die afzonderlijk van een systeem kunnen worden bewaard.

Terug naar de BIG

We weten nu de algemene betekenis van het woord gegevensdrager. Laten we deze nu eens vergelijken met de eerder genoemde termen die in de tactische BIG worden genoemd. Hier worden de termen, ‘verwijderbare media’, ‘fysieke media’, ‘apparatuur met opslagmedia’ en ‘mobiele gegevensdragers’ in verschillende hoofdstukken benoemd. Maar wat betekenen de termen nu eigenlijk volgens de tactische BIG?

De enige term waar een duidelijke definitie van terug te vinden is in de tactische BIG is: verwijderbare media. Verwijderbare media zijn opslagmiddelen die los van de apparatuur kunnen worden verwijderd en worden meegenomen. De verwijderbare media kunnen dus worden afgelezen met andere apparatuur. Hierbij kun je denken aan Cd-roms, USB-sticks, verwijderbare schijven, tapes of gedrukte media. Vergelijk het maar met de term verwisselbare media in de paragraaf hiervoor.

Dan de term fysieke media, waarbij het (de naam zegt het al) gaat om fysieke ‘vast te houden’ media waar informatie op opgeslagen kan worden, zoals USB-sticks, back up tapes, Cd-roms, dvd, externe HD’s etc.

En tot slot mobiele gegevensdragers die worden gebruikt voor het overdragen van informatie. Voorbeelden van mobiele gegevensdragers zijn: USB-sticks, Cd-roms, geheugenkaartjes, flash kaartjes, mobiele telefoons en tablets. Een andere benaming voor gegevensdragers is opslagmedia. En dan heb je nog apparatuur met opslagmedia, denk aan bijvoorbeeld mobiele telefoons en tablets.

Ook de draad kwijt?

Nou ik wel eerlijk gezegd. De verschillen in uitleg en toepassing van de termen zijn voor mij niet duidelijk. Simpelweg omdat ze teveel op elkaar lijken en overlap vertonen. Hiermee maakt de IBD het de lezer onnodig complex. Er kan mijns inziens simpelweg een tweedeling gemaakt worden in fysieke, verwijderbare of verwisselbare media. Dat wil zeggen media die fungeren als gegevensdrager, hiertoe behoren bijvoorbeeld USB sticks, mobiele HD’s, Cd-roms, dvd’s, Blu-rays, tapes, geheugenkaartjes etc. En daarnaast apparatuur met daarin opslagmedia die niet te verwijderen of te verwisselen is zonder het apparaat open te schroeven. Hierbij kun je denken aan een mobiele telefoon, tablet of laptop. Maar ook hierbij kan nog de kanttekening gemaakt worden dat het onderscheid niet altijd even helder is, immers een mobiele telefoon kan ook functioneren met een geheugenkaartje..

Conclusie

Door het gebruik van deze diverse terminologie wekt de IBD de indruk dat het over verschillende termen en dus ook over verschillende bijbehorende maatregelen gaat. Mogelijk heeft de IBD vooral genuanceerd willen zijn, maar heeft ze daarmee de zaak ook onnodig complex gemaakt. De nuance leidt bij mij in ieder geval tot verwarring en niet tot een zinvol onderscheid. Wat vind jij? Tijd voor een update van de BIG of zit ik er helemaal naast in deze blog?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in