Key2Control > Nieuws > Actueel > Follow the Data: terug naar de essentie van informatiebeveiliging

Follow the Data: terug naar de essentie van informatiebeveiliging

15 juli 2025 Actueel, Blogs, Informatiebeveiliging, Nieuws
dataclassificatie

De introductie van de BIR/BIG als normenkaders voor informatiebeveiliging bij de overheid – inmiddels ruim tien jaar geleden – heeft ervoor gezorgd dat informatiebeveiliging niet meer weg te denken is als intern beheersingsvraagstuk. Het gevolg daarvan is dat, zodra het informatiebeveiligingsbeleid is vastgesteld en de interne organisatie staat, vaak een verdiepingsslag volgt naar de werkvloer. In de praktijk gebeurt dit meestal via procesanalyses. Maar is dat wel logisch? Informatiebeveiliging draait immers om data, niet om processen.

Bedrijfs- en werkprocessen zijn belangrijk: ze vormen de ruggengraat van de organisatie, maar ze zijn niet het logische startpunt voor een verdiepingsslag van informatiebeveiliging. Wie vanuit processen begint, verliest zich al snel in lijstjes, verantwoordelijkheden en lange doorlooptijden. Het doel van informatiebeveiliging is grip krijgen op de beveiliging van data, en dat gaat sneller en efficiënter door vanuit applicaties te kijken waar gevoelige informatie zit.

Door Gerrit Goud

Begin met dataclassificatie

Een effectievere aanpak voor informatiebeveiliging begint bij de data zelf. Waar bevindt zich gevoelige, kritieke of vertrouwelijke informatie? In welke applicaties wordt die verwerkt? Welke processen zijn daarvan afhankelijk, wie beheert de applicaties, wie is eigenaar van de data en hoeveel gebruikers hebben eigenlijk toegang tot deze applicaties? Op papier lijken dit eenvoudige vragen voor de CISO of ISO, maar in de praktijk zijn de antwoorden vaak minder eenvoudig op te schrijven.

Dergelijke vragen gaan namelijk over dataclassificatie. Daarbij bepaal je de mate van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de informatie. Dit geeft richting aan passende beveiligingsmaatregelen én helpt bij het opzetten van BCM, vooral bij data die altijd beschikbaar moet zijn.

Waarom beginnen met dataclassificatie?

Het voordeel hiervan is dat je snel kunt bepalen welke data kritisch is, zoals persoonsgegevens of gegevens uit primaire processen (bijvoorbeeld burgerzaken, uitkeringen of jeugdhulp). Door eigenaren expliciet te maken tijdens de dataclassificatie, wordt informatiebeveiliging concreet en bespreekbaar. Zo bouw je aan vertrouwen en betrokkenheid bij de mensen die verantwoordelijk zijn. Je legt daarmee een basis voor het verder uitbouwen van informatiebeveiliging als onderdeel van bedrijfscontinuïteitsmanagement (BCM), waar procesanalyse deel van uitmaakt. Zonder het in kaart brengen en vastleggen van het eigenaarschap en het gericht in gesprek gaan met de data-eigenaren blijft informatiebeveiliging een papieren werkelijkheid.

Neem passende mitigerende maatregelen

Omdat de BIO2 eisen stelt aan een werkend ISMS op basis van de PDCA-cyclus, is het verstandig om ook de leercurve van risicomanagement mee te nemen in het verbeterproces. Begin met een pragmatische, risicogebaseerde aanpak op basis van gezond verstand. Laat die vervolgens meegroeien met de volwassenheid van het ISMS en sluit aan op een organisatiebrede standaardaanpak voor risicomanagement.

Focus op verplichte overheidsmaatregelen en risicobenadering

Opvallend is dat de BIO2 veel waarde hecht aan risicomanagement, terwijl er ook 120 verplichte beveiligingsmaatregelen zijn die je gewoon moet invoeren. Dat lijkt tegenstrijdig: waarom nog risico’s inschatten als veel maatregelen toch al verplicht zijn?

In de private sector zijn dit soort maatregelen geformuleerd als implementatierichtlijnen. Daar is het logisch dat risicomanagement centraal staat, geheel in lijn met ISO 27001. In de overheidspraktijk leidt deze combinatie van verplichtingen en risicobenadering soms tot een gevoel van overkill. Toch is de redenering begrijpelijk: de overheid wil de basis op orde hebben. Dat rechtvaardigt een generiek, verplicht maatregelenpakket voor elke overheidsorganisatie. Risicomanagement blijft als eis vanuit ISO 27001 aanvullend gelden, maar zal naar verwachting slechts een beperkt effect hebben op de te treffen maatregelen vanuit de BIO2.

Procesanalyse als basis voor BCM en AVG

Eerder in deze blog is benoemd dat dataclassificatie een basis legt voor het verder uitbouwen van informatiebeveiliging, als onderdeel van bedrijfscontinuïteitsmanagement (BCM), waar procesanalyse deel van uitmaakt. Procesanalyses zijn nuttig bij onderwerpen als bedrijfscontinuïteitsmanagement (BCM) en privacy (AVG). BCM richt zich op het beschikbaar houden van kritieke bedrijfsprocessen bij calamiteiten. De focus ligt dan op drie essentiële middelen: ICT, personeel en huisvesting.

Om BCM effectief in te richten, is het essentieel dat de organisatie eerst het belang ervan inziet en zich bewust is van haar eigen rol en verantwoordelijkheid. Dat bewustzijn vraagt tijd en begeleiding. Te vroeg starten met procesanalyses zonder dat bewustzijn en draagvlak zijn opgebouwd, leidt vaak tot weerstand, beperkte medewerking en onvolledige resultaten.

Ook onder de AVG is een procesgerichte blik nodig. Daar gaat het om de vraag of persoonsgegevens rechtmatig worden verwerkt. Maar bij informatiebeveiliging draait het niet om de vraag of je data mag gebruiken, maar hoe je die beveiligt. Dat geldt ongeacht of het gebruik rechtmatig is.

Samenvattend

Begin voor een verdiepingsslag bij de data, niet bij de processen. Classificeer informatie en bepaal wat écht beschermd moet worden. Daarmee houd je informatiebeveiliging overzichtelijk, logisch en effectief, en voorkom je dat je verzandt in eindeloze analyses die nauwelijks bijdragen aan echte veiligheid. Meer weten over dataclassificatie of de juiste aanpak bij informatiebeveiliging? Neem dan gerust contact met ons op! Wij gaan graag met je in gesprek.

Neem contact met ons op
Tags:

Dit vind je misschien ook interessant