Veiligheid van de informatie & GDPR

Het koninklijk besluit van 17/03/2013 omschrijft « informatieveiligheid » als: strategie, regels, procedures en middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid, de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen.

In grote lijnen betreft het de beveiliging van alle vormen van informatie van een organisatie tegen onbevoegde toegang of wijziging, waarbij er maatregelen worden genomen om volgende informatie-eigenschappen te garanderen:

  • beschikbaarheid: op het gewenste moment toegang hebben tot gegevens en erover kunnen beschikken;
  • integriteit: de juistheid en volledigheid van gegevens;
  • vertrouwelijkheid: de gegevens enkel beschikbaar stellen voor bevoegde personen en entiteiten of voor de juiste processen;
  • authenticiteit: de mate van betrouwbaarheid van de originaliteit en herkomst van de gegevens;
  • onweerlegbaarheid: het kunnen aantonen dat een actie of een gebeurtenis effectief plaatsvond;
  • eveneens is het begrip auditeerbaarheid belangrijk, m.a.w. het opspoorbaar zijn van handelingen en activiteiten door bevoegde (of onbevoegde) personen.

In het domein van informatieveiligheid staan vragen centraal zoals: Wie heeft toegang tot welke informatie en wanneer? Zijn de activiteiten, bij het opvragen van informatie, traceerbaar (en dus auditeerbaar)? Hoe beveiligen we de opslag en de uitwisseling van gevoelige informatie tussen verschillende partijen? Wat zijn onze beveiligingsrisico’s en welke maatregelen kunnen we nemen om de risico’s te verminderen en te beantwoorden aan de wetgeving? Hoe kunnen we aantonen dat onze organisatie informatiebeveiliging onder controle heeft? Hoe realiseren we informatiebeveiliging op een effectieve, efficiënte (en kostenefficiënte) manier? Wie is verantwoordelijk voor wat?