Beveiligen bedrijfsinformatie

Elk bedrijf heeft te maken met verschillende soorten bedrijfsinformatie (inclusief data). Hierbij kan het ook  gaan om informatie die vertrouwelijk is. Deze informatie kan je onderverdelen in verschillende categorieën. Hieronder leggen we uit welke classificaties er bestaan voor informatie.

Belang en risico’s

Informatie is een grondstof voor het draaiend houden van de bedrijfsvoering. Het is daarom van belang dat deze informatie betrouwbaar, integer en beschikbaar is. De gevaren zijn dat vertrouwelijke informatie lekt, de integriteit van informatie gecompromitteerd is en/of informatie niet beschikbaar is. Dit kan gevolgen hebben voor de bedrijfsvoering.

Er bestaan verschillende soorten classificaties van informatie. Elk bedrijf kan zijn eigen indeling hanteren. Vanuit veiligheidsoogpunt, worden de verschillende classificaties onderscheiden in de gevolgen van een onopzettelijke openbaring. Doorgaans worden de volgende classificaties onderscheiden:

  • Geheime informatie; in enkele gevallen moet informatie geclassificeerd worden als ‘geheim’. Dit is het geval bij informatie waarbij een bedrijf moet voldoen aan wettelijke vereisten en waarbij het lekken van deze informatie ernstige schade kan betekenen voor het bedrijf;
  • Vertrouwelijke informatie; wanneer de onopzettelijke openbaring van deze informatie leidt tot negatieve gevolgen voor het bedrijf of wanneer informatie te relateren is aan een persoon;
  • Interne informatie; wanneer informatie nodig is voor de interne bedrijfsvoering. Een openbaring leidt niet tot negatieve gevolgen;
  • Publieke informatie; wanneer informatie gedeeld mag worden met de buitenwereld.

De classificatie gebeurt altijd door de eigenaar van de informatie. De eigenaar draagt de  verantwoordelijkheid voor de productie, verwerking, gebruik en beveiliging van de van de informatie.

Klant en persoonsgegevens

Een bijzondere vorm van bedrijfsinformatie zijn klant en persoonsgegevens. Als ondernemer verzamel je namen, postcodes, geboortedata, telefoonnummers en e-mailadressen van personen en klanten. Vaak komen hier nog bank- en creditcardgegevens bij.

Hoe je als bedrijf om moet gaan met klant- en persoonsgegevens is vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Op de website van de Autoriteit Persoonsgegevens vind je de volledige tekst. De omgang met klant- en persoonsgegevens is niet alleen een juridische kwestie, maar ook een vertrouwenskwestie. De betrouwbaarheid van je bedrijf loopt een deuk op als je klant- en persoonsgegevens gestolen worden of op internet worden gepubliceerd. Hieronder vind je tips voor medewerkers hoe om te gaan met klant en persoonsgegevens.

Adviezen

Het niveau van classificatie bepaalt de mate van beveiliging van de informatie. Hiervoor kunnen passende maatregelen worden genomen.

De maatregelen voor geheime informatie worden bepaald door de specifieke wettelijke vereisten.

Hieronder staan de maatregelen die genomen kunnen worden voor vertrouwelijke informatie. Voor interne bedrijfsinformatie kunnen dezelfde maatregelen worden genomen, afhankelijk van de mate van beveiliging die nodig is.

  • Laat medewerkers documenten met vertrouwelijke informatie een herkenbaar label geven, bijv door op elke pagina de term ‘vertrouwelijk’ te zetten;
  • Vraag toestemming aan de eigenaar van de informatie, wanneer vertrouwelijke informatie met anderen gedeeld dient te worden;
  • Maak het mogelijk voor medewerkers om vertrouwelijke informatie digitaal te kunnen te versturen en op te slaan. Denk hierbij aan versleuteling van email en het versleuteld opslaan van informatie;
  • Maak medewerkers erop attent dat vertrouwelijke informatie niet automatisch doorgestuurd mag worden naar niet-persoonlijke emailadressen en niet naar externe adressen, tenzij er toestemming is van de informatie eigenaar.

Informatie kan zich in verschillende fases bevinden.

  • Informatie in gebruik;
  • Informatie in beweging (transit);
  • Informatie in rust.

Het versleutelen van informatie helpt bij het beschermen van de betrouwbaarheid, integriteit en beschikbaarheid van informatie in alle fases.