Gegevensdragers, zie jij door de bomen het bos nog?


Soms zie je even door de bomen het bos niet meer. Op zich niet zo erg, maar wel wat onhandig als je de weg probeert te vinden. En die weg zocht ik vandaag, nadat ik van een collega de vraag kreeg ‘wat de verschillen zijn tussen diverse media/gegevensdragers, en welke maatregelen ze vereisen op informatiebeveiligingsvlak’? Een scherpe vaag die mij aan het denken zette als het over dit onderwerp gaat. Daarom in deze blog een nadere verkenning van

diverse begrippen uit de BIG.

Onnodig verwarring?

Niet zo heel ingewikkeld zul je zeggen, dat is immers precies één van de vragen waarom de Baseline Informatiebeveiliging Gemeenten (BIG) door de IBD is ontwikkeld. Nou blijkt die BIG niet zo eenduidig te zijn. Al snel raak je verstrikt in een veelheid aan termen die naar mijn idee vaak opvallende overlap vertonen: in de tactische BIG worden namelijk termen gebruikt als ‘verwijderbare media’ (10.7), ‘fysieke media’ (10.8.3.), ‘apparatuur met opslagmedia’ (9.2.6.) en ‘mobiele gegevensdragers’ (9.1.3.). Maakt de IBD hier een correct onderscheid of ontstaat er onnodig verwarring (of beide)? Allereerst. wat verstaan we eigenlijk onder een gegevensdrager?

Wikipedia

Een simpele zoekopdracht hiernaar op Google leidde mij naar de pagina van Wikipedia en die vertelt ons het volgende: het woord gegevensdrager is een algemene naam voor een opslagmedium, een fysiek voorwerp waarop gegevens zijn opgeslagen of kunnen worden opgeslagen. Volgens deze definitie is zowel een vel papier als een kleitablet een gegevensdrager. Het woord gegevensdrager wordt echter in de informatica in het algemeen gebruikt voor middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Hoewel niet zo gedefinieerd, worden vaak verwisselbare media bedoeld, die afzonderlijk van een systeem kunnen worden bewaard.

Terug naar de BIG

We weten nu de algemene betekenis van het woord gegevensdrager. Laten we deze nu eens vergelijken met de eerder genoemde termen die in de tactische BIG worden genoemd. Hier worden de termen, ‘verwijderbare media’, ‘fysieke media’, ‘apparatuur met opslagmedia’ en ‘mobiele gegevensdragers’ in verschillende hoofdstukken benoemd. Maar wat betekenen de termen nu eigenlijk volgens de tactische BIG?

De enige term waar een duidelijke definitie van terug te vinden is in de tactische BIG is: verwijderbare media. Verwijderbare media zijn opslagmiddelen die los van de apparatuur kunnen worden verwijderd en worden meegenomen. De verwijderbare media kunnen dus worden afgelezen met andere apparatuur. Hierbij kun je denken aan Cd-roms, USB-sticks, verwijderbare schijven, tapes of gedrukte media. Vergelijk het maar met de term verwisselbare media in de paragraaf hiervoor.

Dan de term fysieke media, waarbij het (de naam zegt het al) gaat om fysieke ‘vast te houden’ media waar informatie op opgeslagen kan worden, zoals USB-sticks, back up tapes, Cd-roms, dvd, externe HD’s etc.

En tot slot mobiele gegevensdragers die worden gebruikt voor het overdragen van informatie. Voorbeelden van mobiele gegevensdragers zijn: USB-sticks, Cd-roms, geheugenkaartjes, flash kaartjes, mobiele telefoons en tablets. Een andere benaming voor gegevensdragers is opslagmedia. En dan heb je nog apparatuur met opslagmedia, denk aan bijvoorbeeld mobiele telefoons en tablets.

Ook de draad kwijt?

Nou ik wel eerlijk gezegd. De verschillen in uitleg en toepassing van de termen zijn voor mij niet duidelijk. Simpelweg omdat ze teveel op elkaar lijken en overlap vertonen. Hiermee maakt de IBD het de lezer onnodig complex. Er kan mijns inziens simpelweg een tweedeling gemaakt worden in fysieke, verwijderbare of verwisselbare media. Dat wil zeggen media die fungeren als gegevensdrager, hiertoe behoren bijvoorbeeld USB sticks, mobiele HD’s, Cd-roms, dvd’s, Blu-rays, tapes, geheugenkaartjes etc. En daarnaast apparatuur met daarin opslagmedia die niet te verwijderen of te verwisselen is zonder het apparaat open te schroeven. Hierbij kun je denken aan een mobiele telefoon, tablet of laptop. Maar ook hierbij kan nog de kanttekening gemaakt worden dat het onderscheid niet altijd even helder is, immers een mobiele telefoon kan ook functioneren met een geheugenkaartje..

Conclusie

Door het gebruik van deze diverse terminologie wekt de IBD de indruk dat het over verschillende termen en dus ook over verschillende bijbehorende maatregelen gaat. Mogelijk heeft de IBD vooral genuanceerd willen zijn, maar heeft ze daarmee de zaak ook onnodig complex gemaakt. De nuance leidt bij mij in ieder geval tot verwarring en niet tot een zinvol onderscheid. Wat vind jij? Tijd voor een update van de BIG of zit ik er helemaal naast in deze blog?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…