Skip to main content

Help! Een dataclassificatie, DPIA en een BIA?!

| Erna Havinga | ,

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG) is een gemeentebrede activiteit, waarbij de proceseigenaar verantwoordelijk is en de CISO of Privacy Officer adviseert. Vanuit de AVG en BIO moeten diverse (verplichte) maatregelen worden uitgevoerd, zoals een dataclassificatie, Data Protection Impact Assessment (DPIA) en Business Impact Analyse (BIA). Maar wat is de onderlinge samenhang van deze onderdelen? En hoe kan een dataclassificatie (of een DPIA of BIA) je ondersteunen bij het uitvoeren van een van de andere onderdelen? Ik leg het je graag uit in deze blog.

Allereerst een korte samenvatting van wat elk onderdeel inhoudt en waar het voor bedoeld is.

  1. Dataclassificatie
    Dataclassificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen. Als gemeente beschik je over veel (persoons)gegevens. Om te bepalen welke gegevens in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Binnen de BIO wordt de control ‘classificatie van informatie’ genoemd (8.2). De overheidsmaatregel die binnen deze control valt (8.2.1.1) vereist dat alle informatie (BBN1) in alle informatiesystemen door middel van een expliciete risicoafweging is geclassificeerd. Zo moet je zeer gevoelige gegevens (zoals persoonsgegevens) beter beschermen dan reeds bekende gegevens (zoals openbare jaarrapporten). Kortom, een hogere classificatie betekent meer technische en/of organisatorische maatregelen. Om gemeenten op weg te helpen met dataclassificaties heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) de handreiking Dataclassificatie opgesteld. In deze handreiking wordt beschreven wat je in kaart moet brengen om een dataclassificatie uit te voeren. Eerder schreef ik hierover ook al deze blog.

  2. Een Data Protection Impact Assessment (DPIA)
    Wanneer er een nieuw systeem of proces wordt geïmplementeerd (of aangepast), moet je een DPIA uitvoeren wanneer hier persoonsgegevens in verwerkt worden met een hoog risico. Dit is een eis vanuit de AVG (artikel 35 Gegevensbeschermingseffectbeoordeling) om vooraf te bepalen waar mogelijke privacyrisico’s liggen met betrekking tot een gegevensverwerking, om vervolgens passende technische en organisatorische maatregelen te kunnen nemen om de risico’s te verkleinen. Door het uitvoeren van een DPIA wordt de visie op privacy (en vaak ook de beveiliging) al in een beginstadium meegenomen. Een DPIA is verplicht als een gegevensverwerking (waarschijnlijk) een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

  3. Een Business Impact Analyse (BIA)
    Een BIA wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Hiermee kan je inzichtelijk maken wat jouw gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel publieke taak) te kunnen continueren. Een incident zoals brand, wateroverlast (lekkage) of stroomuitval in ruimten waar zich vitale ICT-voorzieningen bevinden kan namelijk grote gevolgen hebben voor de dienstverlening en de reputatie van de gemeente, maar ook voor de burger. In een BIA worden alle essentiële onderdelen beschreven, zoals applicaties, hardware, infrastructuur en mensen, die na een calamiteit nodig zijn om de kritische bedrijfsprocessen te herstarten. Met een BIA krijg je meer grip en zicht op de gevolgen van het uitvallen van kritische processen. Door adequaat op bedreigingen te reageren, kan de impact ervan worden geminimaliseerd. Eerder schreef ik een uitgebreide blog met daarin een stappenplan voor het uitvoeren van een BIA.

Wat is de onderlinge samenhang?

De vraag is nu natuurlijk wat de onderlinge samenhang is en hoe je profijt kan hebben als je een onderdeel al gedaan hebt? Om je op weg te helpen, deel ik daarom graag mijn analyse als het gaat om bovengenoemde onderdelen.

Beoordelen risico’s

De eerste stap is vaak het uitvoeren van een DPIA. Hierbij bepaal je of er gevoelige persoonsgegevens worden verwerkt met een hoog risico en krijg je inzichtelijk welke dreigingen en eventuele gevolgen beheerst moeten worden. De DPIA wordt meestal uitgevoerd onder verantwoordelijkheid van de proceseigenaar met ondersteuning van de Privacy Officer.

Bepalen technische en organisatorische maatregelen

De volgende stap is dataclassificatie. Door dataclassificatie toe te passen kan je bepalen welke data welk beschermingsniveau nodig heeft. Wanneer er een DPIA nodig was en je deze al hebt uitgevoerd, heb je ook al veel van de informatie beschikbaar om een dataclassificatie uit te voeren. Op basis hiervan kan je de waardevolle data van je organisatie beveiligen en het juiste beschermingsniveau toepassen. Ook deze stap valt onder de verantwoordelijkheid van de proceseigenaar meestal met ondersteuning van een Security Officer. Gezien beide onderdelen onder de verantwoordelijkheid van de proceseigenaar valt, is het dus handig om deze sessies (DPIA en dataclassificatie) te combineren.

Bepalen eisen bedrijfscontinuïteit

Daarnaast is de proceseigenaar ook verantwoordelijk voor de BIA. Niet elke dreiging heeft dezelfde impact. Om in kaart te brengen wat de impact is van een dreiging en op welk niveau gegevens geclassificeerd moeten worden, wordt een BIA uitgevoerd door de proceseigenaar. Ook hier wordt gekeken naar hoe kritisch het proces is en wat de hersteltijden moeten zijn bij een incident. Bij de implementatie van een nieuw systeem is het dus handig deze ook gelijk mee te nemen, omdat veel informatie uit de DPIA en dataclassificatie ook zinvol zijn voor de BIA. Op basis van de DPIA en dataclassificatie weet de proceseigenaar namelijk óf en hoe kritisch het proces is en wat er moet gebeuren in het geval van een bedrijfscalamiteit.

Een voorbeeld: wanneer je een nieuw softwaresysteem gaat implementeren is een DPIA verplicht. Je kan dan vanuit de DPIA eigenlijk ook je dataclassificatie opstellen. Daarnaast moet je bij de implementatie van een nieuw systeem kijken naar de bedrijfscontinuïteit van dit systeem: wat zijn de risico’s en wat moet er gebeuren wanneer dit systeem uit valt? De procesanalyse voor de bedrijfscontinuïteit vindt plaats via een BIA. En wanneer je een goede DPIA hebt opgesteld, kan je deze informatie ook gelijk verwerken in de BIA. Je ziet, de informatie die je binnen deze drie onderdelen over één systeem verzameld is soms overlappend en aanvullend.

Hiermee sla je als proceseigenaar dus meerdere vliegen in één klap. Je bent namelijk voor alle drie onderdelen verantwoordelijk en alle drie onderdelen hebben overlap en aanvullingen. Combineer je deze, dan krijg je een goed en compleet beeld van een informatiesysteem.

Zo kijk je bij alle drie onderdelen naar het type data (hoe kwetsbaar is deze voor onze organisatie?).

  • DPIA: zijn er persoonsgegevens met hoog risico? Zo, ja wat zijn de risico’s en hoe gaan we die mitigeren?
  • Dataclassificatie: wat voor informatie is het? Voor wie moet het beschikbaar zijn, en hoe moet het beschermd worden?
  • BIA: is het een kritisch proces? En wat hebben we nodig (dus ook de data) om voortgang te garanderen in geval van een calamiteit?

Conclusie

Het is handig om deze onderdelen gezamenlijk op te leveren. Dit is een samenwerking tussen de proceseigenaar, Privacy Officer en Security Officer. Uiteraard onderken ik niet dat niet alle proceseigenaren op de hoogte zijn dat ze hier verantwoordelijk voor zijn (zie ook mijn vorige blog) en in sommige organisaties dus drie keer semi hetzelfde wordt gevraagd en gedaan. Met deze blog hoop ik ervoor te zorgen dat dit dus niet meer nodig is en je als proceseigenaar de benodigde voordelen kan behalen. 

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA, dataclassificatie of BIA? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…
Verder lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen