Help! Een dataclassificatie, DPIA en een BIA?!


Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG) is een gemeentebrede activiteit, waarbij de proceseigenaar verantwoordelijk is en de CISO of Privacy Officer adviseert. Vanuit de AVG en BIO moeten diverse (verplichte) maatregelen worden uitgevoerd, zoals een dataclassificatie, Data Protection Impact Assessment (DPIA) en Business Impact Analyse (BIA). Maar wat is de onderlinge samenhang van deze onderdelen? En hoe kan een dataclassificatie (of een DPIA of BIA) je ondersteunen bij het uitvoeren van een van de andere onderdelen? Ik leg het je graag uit in deze blog.

Allereerst een korte samenvatting van wat elk onderdeel inhoudt en waar het voor bedoeld is.

  1. Dataclassificatie
    Dataclassificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen. Als gemeente beschik je over veel (persoons)gegevens. Om te bepalen welke gegevens in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Binnen de BIO wordt de control ‘classificatie van informatie’ genoemd (8.2). De overheidsmaatregel die binnen deze control valt (8.2.1.1) vereist dat alle informatie (BBN1) in alle informatiesystemen door middel van een expliciete risicoafweging is geclassificeerd. Zo moet je zeer gevoelige gegevens (zoals persoonsgegevens) beter beschermen dan reeds bekende gegevens (zoals openbare jaarrapporten). Kortom, een hogere classificatie betekent meer technische en/of organisatorische maatregelen. Om gemeenten op weg te helpen met dataclassificaties heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) de handreiking Dataclassificatie opgesteld. In deze handreiking wordt beschreven wat je in kaart moet brengen om een dataclassificatie uit te voeren. Eerder schreef ik hierover ook al deze blog.

  2. Een Data Protection Impact Assessment (DPIA)
    Wanneer er een nieuw systeem of proces wordt geïmplementeerd (of aangepast), moet je een DPIA uitvoeren wanneer hier persoonsgegevens in verwerkt worden met een hoog risico. Dit is een eis vanuit de AVG (artikel 35 Gegevensbeschermingseffectbeoordeling) om vooraf te bepalen waar mogelijke privacyrisico’s liggen met betrekking tot een gegevensverwerking, om vervolgens passende technische en organisatorische maatregelen te kunnen nemen om de risico’s te verkleinen. Door het uitvoeren van een DPIA wordt de visie op privacy (en vaak ook de beveiliging) al in een beginstadium meegenomen. Een DPIA is verplicht als een gegevensverwerking (waarschijnlijk) een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

  3. Een Business Impact Analyse (BIA)
    Een BIA wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Hiermee kan je inzichtelijk maken wat jouw gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel publieke taak) te kunnen continueren. Een incident zoals brand, wateroverlast (lekkage) of stroomuitval in ruimten waar zich vitale ICT-voorzieningen bevinden kan namelijk grote gevolgen hebben voor de dienstverlening en de reputatie van de gemeente, maar ook voor de burger. In een BIA worden alle essentiële onderdelen beschreven, zoals applicaties, hardware, infrastructuur en mensen, die na een calamiteit nodig zijn om de kritische bedrijfsprocessen te herstarten. Met een BIA krijg je meer grip en zicht op de gevolgen van het uitvallen van kritische processen. Door adequaat op bedreigingen te reageren, kan de impact ervan worden geminimaliseerd. Eerder schreef ik een uitgebreide blog met daarin een stappenplan voor het uitvoeren van een BIA.

Wat is de onderlinge samenhang?

De vraag is nu natuurlijk wat de onderlinge samenhang is en hoe je profijt kan hebben als je een onderdeel al gedaan hebt? Om je op weg te helpen, deel ik daarom graag mijn analyse als het gaat om bovengenoemde onderdelen.

Beoordelen risico’s

De eerste stap is vaak het uitvoeren van een DPIA. Hierbij bepaal je of er gevoelige persoonsgegevens worden verwerkt met een hoog risico en krijg je inzichtelijk welke dreigingen en eventuele gevolgen beheerst moeten worden. De DPIA wordt meestal uitgevoerd onder verantwoordelijkheid van de proceseigenaar met ondersteuning van de Privacy Officer.

Bepalen technische en organisatorische maatregelen

De volgende stap is dataclassificatie. Door dataclassificatie toe te passen kan je bepalen welke data welk beschermingsniveau nodig heeft. Wanneer er een DPIA nodig was en je deze al hebt uitgevoerd, heb je ook al veel van de informatie beschikbaar om een dataclassificatie uit te voeren. Op basis hiervan kan je de waardevolle data van je organisatie beveiligen en het juiste beschermingsniveau toepassen. Ook deze stap valt onder de verantwoordelijkheid van de proceseigenaar meestal met ondersteuning van een Security Officer. Gezien beide onderdelen onder de verantwoordelijkheid van de proceseigenaar valt, is het dus handig om deze sessies (DPIA en dataclassificatie) te combineren.

Bepalen eisen bedrijfscontinuïteit

Daarnaast is de proceseigenaar ook verantwoordelijk voor de BIA. Niet elke dreiging heeft dezelfde impact. Om in kaart te brengen wat de impact is van een dreiging en op welk niveau gegevens geclassificeerd moeten worden, wordt een BIA uitgevoerd door de proceseigenaar. Ook hier wordt gekeken naar hoe kritisch het proces is en wat de hersteltijden moeten zijn bij een incident. Bij de implementatie van een nieuw systeem is het dus handig deze ook gelijk mee te nemen, omdat veel informatie uit de DPIA en dataclassificatie ook zinvol zijn voor de BIA. Op basis van de DPIA en dataclassificatie weet de proceseigenaar namelijk óf en hoe kritisch het proces is en wat er moet gebeuren in het geval van een bedrijfscalamiteit.

Een voorbeeld: wanneer je een nieuw softwaresysteem gaat implementeren is een DPIA verplicht. Je kan dan vanuit de DPIA eigenlijk ook je dataclassificatie opstellen. Daarnaast moet je bij de implementatie van een nieuw systeem kijken naar de bedrijfscontinuïteit van dit systeem: wat zijn de risico’s en wat moet er gebeuren wanneer dit systeem uit valt? De procesanalyse voor de bedrijfscontinuïteit vindt plaats via een BIA. En wanneer je een goede DPIA hebt opgesteld, kan je deze informatie ook gelijk verwerken in de BIA. Je ziet, de informatie die je binnen deze drie onderdelen over één systeem verzameld is soms overlappend en aanvullend.

Hiermee sla je als proceseigenaar dus meerdere vliegen in één klap. Je bent namelijk voor alle drie onderdelen verantwoordelijk en alle drie onderdelen hebben overlap en aanvullingen. Combineer je deze, dan krijg je een goed en compleet beeld van een informatiesysteem.

Zo kijk je bij alle drie onderdelen naar het type data (hoe kwetsbaar is deze voor onze organisatie?).

  • DPIA: zijn er persoonsgegevens met hoog risico? Zo, ja wat zijn de risico’s en hoe gaan we die mitigeren?
  • Dataclassificatie: wat voor informatie is het? Voor wie moet het beschikbaar zijn, en hoe moet het beschermd worden?
  • BIA: is het een kritisch proces? En wat hebben we nodig (dus ook de data) om voortgang te garanderen in geval van een calamiteit?

Conclusie

Het is handig om deze onderdelen gezamenlijk op te leveren. Dit is een samenwerking tussen de proceseigenaar, Privacy Officer en Security Officer. Uiteraard onderken ik niet dat niet alle proceseigenaren op de hoogte zijn dat ze hier verantwoordelijk voor zijn (zie ook mijn vorige blog) en in sommige organisaties dus drie keer semi hetzelfde wordt gevraagd en gedaan. Met deze blog hoop ik ervoor te zorgen dat dit dus niet meer nodig is en je als proceseigenaar de benodigde voordelen kan behalen. 

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA, dataclassificatie of BIA? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …