Help! Een dataclassificatie, DPIA en een BIA?!

| Erna Havinga | ,

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG) is een gemeentebrede activiteit, waarbij de proceseigenaar verantwoordelijk is en de CISO of Privacy Officer adviseert. Vanuit de AVG en BIO moeten diverse (verplichte) maatregelen worden uitgevoerd, zoals een dataclassificatie, Data Protection Impact Assessment (DPIA) en Business Impact Analyse (BIA). Maar wat is de onderlinge samenhang van deze onderdelen? En hoe kan een dataclassificatie (of een DPIA of BIA) je ondersteunen bij het uitvoeren van een van de andere onderdelen? Ik leg het je graag uit in deze blog.

Allereerst een korte samenvatting van wat elk onderdeel inhoudt en waar het voor bedoeld is.

  1. Dataclassificatie
    Dataclassificatie heeft als doel richting te geven aan de passende technische en organisatorische maatregelen. Als gemeente beschik je over veel (persoons)gegevens. Om te bepalen welke gegevens in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Binnen de BIO wordt de control ‘classificatie van informatie’ genoemd (8.2). De overheidsmaatregel die binnen deze control valt (8.2.1.1) vereist dat alle informatie (BBN1) in alle informatiesystemen door middel van een expliciete risicoafweging is geclassificeerd. Zo moet je zeer gevoelige gegevens (zoals persoonsgegevens) beter beschermen dan reeds bekende gegevens (zoals openbare jaarrapporten). Kortom, een hogere classificatie betekent meer technische en/of organisatorische maatregelen. Om gemeenten op weg te helpen met dataclassificaties heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) de handreiking Dataclassificatie opgesteld. In deze handreiking wordt beschreven wat je in kaart moet brengen om een dataclassificatie uit te voeren. Eerder schreef ik hierover ook al deze blog.

  2. Een Data Protection Impact Assessment (DPIA)
    Wanneer er een nieuw systeem of proces wordt geïmplementeerd (of aangepast), moet je een DPIA uitvoeren wanneer hier persoonsgegevens in verwerkt worden met een hoog risico. Dit is een eis vanuit de AVG (artikel 35 Gegevensbeschermingseffectbeoordeling) om vooraf te bepalen waar mogelijke privacyrisico’s liggen met betrekking tot een gegevensverwerking, om vervolgens passende technische en organisatorische maatregelen te kunnen nemen om de risico’s te verkleinen. Door het uitvoeren van een DPIA wordt de visie op privacy (en vaak ook de beveiliging) al in een beginstadium meegenomen. Een DPIA is verplicht als een gegevensverwerking (waarschijnlijk) een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

  3. Een Business Impact Analyse (BIA)
    Een BIA wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Hiermee kan je inzichtelijk maken wat jouw gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel publieke taak) te kunnen continueren. Een incident zoals brand, wateroverlast (lekkage) of stroomuitval in ruimten waar zich vitale ICT-voorzieningen bevinden kan namelijk grote gevolgen hebben voor de dienstverlening en de reputatie van de gemeente, maar ook voor de burger. In een BIA worden alle essentiële onderdelen beschreven, zoals applicaties, hardware, infrastructuur en mensen, die na een calamiteit nodig zijn om de kritische bedrijfsprocessen te herstarten. Met een BIA krijg je meer grip en zicht op de gevolgen van het uitvallen van kritische processen. Door adequaat op bedreigingen te reageren, kan de impact ervan worden geminimaliseerd. Eerder schreef ik een uitgebreide blog met daarin een stappenplan voor het uitvoeren van een BIA.

Wat is de onderlinge samenhang?

De vraag is nu natuurlijk wat de onderlinge samenhang is en hoe je profijt kan hebben als je een onderdeel al gedaan hebt? Om je op weg te helpen, deel ik daarom graag mijn analyse als het gaat om bovengenoemde onderdelen.

Beoordelen risico’s

De eerste stap is vaak het uitvoeren van een DPIA. Hierbij bepaal je of er gevoelige persoonsgegevens worden verwerkt met een hoog risico en krijg je inzichtelijk welke dreigingen en eventuele gevolgen beheerst moeten worden. De DPIA wordt meestal uitgevoerd onder verantwoordelijkheid van de proceseigenaar met ondersteuning van de Privacy Officer.

Bepalen technische en organisatorische maatregelen

De volgende stap is dataclassificatie. Door dataclassificatie toe te passen kan je bepalen welke data welk beschermingsniveau nodig heeft. Wanneer er een DPIA nodig was en je deze al hebt uitgevoerd, heb je ook al veel van de informatie beschikbaar om een dataclassificatie uit te voeren. Op basis hiervan kan je de waardevolle data van je organisatie beveiligen en het juiste beschermingsniveau toepassen. Ook deze stap valt onder de verantwoordelijkheid van de proceseigenaar meestal met ondersteuning van een Security Officer. Gezien beide onderdelen onder de verantwoordelijkheid van de proceseigenaar valt, is het dus handig om deze sessies (DPIA en dataclassificatie) te combineren.

Bepalen eisen bedrijfscontinuïteit

Daarnaast is de proceseigenaar ook verantwoordelijk voor de BIA. Niet elke dreiging heeft dezelfde impact. Om in kaart te brengen wat de impact is van een dreiging en op welk niveau gegevens geclassificeerd moeten worden, wordt een BIA uitgevoerd door de proceseigenaar. Ook hier wordt gekeken naar hoe kritisch het proces is en wat de hersteltijden moeten zijn bij een incident. Bij de implementatie van een nieuw systeem is het dus handig deze ook gelijk mee te nemen, omdat veel informatie uit de DPIA en dataclassificatie ook zinvol zijn voor de BIA. Op basis van de DPIA en dataclassificatie weet de proceseigenaar namelijk óf en hoe kritisch het proces is en wat er moet gebeuren in het geval van een bedrijfscalamiteit.

Een voorbeeld: wanneer je een nieuw softwaresysteem gaat implementeren is een DPIA verplicht. Je kan dan vanuit de DPIA eigenlijk ook je dataclassificatie opstellen. Daarnaast moet je bij de implementatie van een nieuw systeem kijken naar de bedrijfscontinuïteit van dit systeem: wat zijn de risico’s en wat moet er gebeuren wanneer dit systeem uit valt? De procesanalyse voor de bedrijfscontinuïteit vindt plaats via een BIA. En wanneer je een goede DPIA hebt opgesteld, kan je deze informatie ook gelijk verwerken in de BIA. Je ziet, de informatie die je binnen deze drie onderdelen over één systeem verzameld is soms overlappend en aanvullend.

Hiermee sla je als proceseigenaar dus meerdere vliegen in één klap. Je bent namelijk voor alle drie onderdelen verantwoordelijk en alle drie onderdelen hebben overlap en aanvullingen. Combineer je deze, dan krijg je een goed en compleet beeld van een informatiesysteem.

Zo kijk je bij alle drie onderdelen naar het type data (hoe kwetsbaar is deze voor onze organisatie?).

  • DPIA: zijn er persoonsgegevens met hoog risico? Zo, ja wat zijn de risico’s en hoe gaan we die mitigeren?
  • Dataclassificatie: wat voor informatie is het? Voor wie moet het beschikbaar zijn, en hoe moet het beschermd worden?
  • BIA: is het een kritisch proces? En wat hebben we nodig (dus ook de data) om voortgang te garanderen in geval van een calamiteit?

Conclusie

Het is handig om deze onderdelen gezamenlijk op te leveren. Dit is een samenwerking tussen de proceseigenaar, Privacy Officer en Security Officer. Uiteraard onderken ik niet dat niet alle proceseigenaren op de hoogte zijn dat ze hier verantwoordelijk voor zijn (zie ook mijn vorige blog) en in sommige organisaties dus drie keer semi hetzelfde wordt gevraagd en gedaan. Met deze blog hoop ik ervoor te zorgen dat dit dus niet meer nodig is en je als proceseigenaar de benodigde voordelen kan behalen. 

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA, dataclassificatie of BIA? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Verder lezen

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…
Verder lezen

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Verder lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap