Bedrijfsinformatie beveiligen
Elk bedrijf heeft te maken met verschillende soorten bedrijfsinformatie. Het kan hierbij gaan om klantinformatie, financiële administratie, offertes of personeelsgegevens. Maar ook kan het gaan om gegevens over je productieproces of toeleveranciers. Het gaat vaak om vertrouwelijke informatie die vanwege wet- en regelgeving niet mag worden ingezien, of vanwege bedrijfseconomische redenen. Deze informatie kan je onderverdelen in verschillende categorieën. Hieronder leggen we uit welke classificaties er bestaan voor informatie.
Informatie is een grondstof voor het draaiend houden van de bedrijfsvoering. Het is daarom van belang dat je nadenkt over de vertrouwelijkheid, beschikbaarheid en betrouwbaarheid van de informatie. De gevaren zijn dat vertrouwelijke informatie lekt, niet langer betrouwbaar is en/of niet beschikbaar. Dit kan gevolgen hebben voor de bedrijfsvoering.
Soorten classificaties van informatie
Er bestaan verschillende soorten classificaties van informatie. Elk bedrijf kan zijn eigen indeling hanteren. Vanuit veiligheidsoogpunt, worden de verschillende classificaties onderscheiden in de gevolgen van een onopzettelijke openbaring. Doorgaans worden de volgende classificaties onderscheiden:
- Geheime informatie
In enkele gevallen moet informatie geclassificeerd worden als 'geheim'. Dit is het geval bij informatie waarbij een bedrijf moet voldoen aan wettelijke vereisten en waarbij het lekken van deze informatie ernstige schade kan betekenen voor het bedrijf. - Vertrouwelijke informatie
Wanneer de onopzettelijke openbaring van deze informatie leidt tot negatieve gevolgen voor het bedrijf of wanneer informatie te relateren is aan een persoon. - Interne informatie
Wanneer informatie nodig is voor de interne bedrijfsvoering. Een openbaring leidt niet tot negatieve gevolgen. - Publieke informatie
Wanneer informatie gedeeld mag worden met de buitenwereld.
De classificatie gebeurt altijd door de eigenaar van de informatie. De eigenaar draagt de verantwoordelijkheid voor de productie, verwerking, gebruik en beveiliging van de informatie.
Klant en persoonsgegevens
Een specifieke vorm van bedrijfsinformatie zijn klant en persoonsgegevens. Als ondernemer verzamel je namen, postcodes, geboortedata, telefoonnummers en e-mailadressen van personen en klanten. Vaak komen hier nog bank- en creditcardgegevens bij.
Hoe je als bedrijf om moet gaan met klant- en persoonsgegevens is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) . Op de website van de Autoriteit Persoonsgegevens (AP) vind je de volledige tekst. Hoe je omgaat met klant- en persoonsgegevens is niet alleen een juridische kwestie, maar ook een vertrouwenskwestie. Buiten de eventuele boetes van de AP loopt de betrouwbaarheid van je bedrijf een deuk op als je klant- en persoonsgegevens gestolen worden of op het internet worden gepubliceerd.
Tips voor het omgaan met klant- en persoonsgegevens
Het niveau van classificatie bepaalt de mate van beveiliging van de informatie. Hiervoor kunnen passende maatregelen worden genomen. De maatregelen voor geheime informatie worden bepaald door de specifieke wettelijke vereisten.
Hieronder staan de maatregelen die genomen kunnen worden voor vertrouwelijke informatie. Voor interne bedrijfsinformatie kunnen dezelfde maatregelen worden genomen, afhankelijk van de mate van beveiliging die nodig is.
- Laat medewerkers documenten met vertrouwelijke informatie een herkenbaar label geven, bijvoorbeeld door op elke pagina de term ‘vertrouwelijk’ te zetten.
- Vraag toestemming aan de eigenaar van de informatie, wanneer vertrouwelijke informatie met anderen gedeeld dient te worden.
- Maak het mogelijk voor medewerkers om vertrouwelijke informatie digitaal te kunnen te versturen en op te slaan. Denk hierbij aan versleuteling van e-mail en het versleuteld opslaan van informatie.
- Maak medewerkers erop attent dat vertrouwelijke informatie niet automatisch doorgestuurd mag worden naar niet-persoonlijke e-mailadressen en niet naar externe adressen, tenzij er toestemming is van de informatie eigenaar.
Informatie kan zich in verschillende fases bevinden:
- informatie in gebruik
- informatie in beweging (transit)
- informatie in rust
Het versleutelen van informatie helpt bij het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in alle fases.