Ik weet dat dataclassificatie een tijdrovende klus kan zijn. Waarom zou je al dat werk doen als je leverancier encryptie al toepast? Hier wordt echter een denkfout gemaakt. Het is mooi dat het voor de leverancier vanzelfsprekend is dat encryptie wordt toegepast. Het zou nog mooier zijn als je als gemeente zelf verantwoordelijkheid neemt voor voldoende mate van informatiebeveiliging van alle processen en data. Dan zet je dataclassificatie in om te bepalen op welk niveau bescherming van de data nodig is en welke maatregelen er nodig zijn. En dan eis je als gemeente van je leverancier dat encryptie wordt toegepast op vertrouwelijk webverkeer.
Dataclassificatie voor de norm: bottom-up
Als dataclassificatie enkel en alleen wordt ingezet om te voldoen aan het normenkader van ENSIA, dan wordt er vaak ‘bottom-up’ gewerkt. Daarmee bedoel ik, dat een gemeente specifiek voor de DigiD-webformulieren en bijbehorende data een dataclassificatie uitvoert en vervolgens een beleidsdocumentje voor het toepassen van encryptie schrijft. Als tijdelijke oplossing is daar niets mis mee. Als je als gemeente echt verantwoordelijkheid wil nemen voor een voldoende mate van informatiebeveiliging van alle processen en data, wat het doel is van ENSIA en de BIO, dan adviseer ik een top-downbenadering
Werk aan dataclassificatiebeleid: top-down
Hoe werkt een top-downbenadering? Een gemeente beschikt dan over een encryptiebeleid waarin is opgenomen wanneer welke encryptie toegepast dient te worden. Vaak wordt DigiD daar expliciet in genoemd. Daarnaast is er een beleid voor dataclassificatie. Voor de processen en data, die betrekking hebben op de DigiD-webformulieren of de DKD/Suwinet-inlees applicatie, worden die dan automatisch meegenomen in de brede dataclassificatie.
Hoe voer je dataclassificatie uit?
Op hoofdlijnen zijn deze drie elementen van belang:
1. Houd voor de DigiD-applicaties een actueel overzicht van de webformulieren bij
Dit overzicht is een handig hulpmiddel bij het controleren of de formulieren nog live zijn en hoe vaak de formulieren gebruikt worden. Het actuele overzicht vormt bovendien de basis voor de dataclassificatie. In de regel dient per formulier de data geclassificeerd te worden.
2. Zorg voor een beleid voor dataclassificatie
In dit beleid is opgenomen op welke wijze dataclassificatie uitgevoerd dient te worden.
3. Zorg voor een encryptiebeleid
In dit beleid is opgenomen wanneer welke encryptie toegepast dient te worden. Eveneens dient het verband tussen dataclassificatie en het al dan niet toepassen van encryptie gelegd te worden.
Vervolgens ga je voor de daadwerkelijke dataclassificatie met de proces- of gegevenseigenaren om tafel zitten. Op basis van het formuleerde beleid ga je met hen de desbetreffende data classificeren en deze classificatie vast te leggen. Zorg er eveneens voor dat de actualiteit van de dataclassificatie geborgd is in de processen. Bijvoorbeeld door deze periodiek bij te werken én neem dataclassificatie gelijk mee in het proces van nieuwe webformulieren.
Onmisbaar
Het grote verschil tussen de bottom-up en top-downbenadering is hoe je naar dataclassificatie kijkt. Ons advies: zie dataclassificatie niet als een onderdeeltje van een norm, dat je ook nog dicht moet zien te lopen voor ENSIA. Zie het als een onmisbaar onderdeel in het gehele informatiebeveiligingsproces.
Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken
