Dataclassificatie helpt om systematisch inzichtelijk te maken hoe afhankelijk je als organisatie bent van verschillende soorten gegevens en welke gevolgen het kan hebben als die gegevens verloren gaan, beschadigd raken of in verkeerde handen terechtkomen. Een goed ingericht classificatieproces zorgt ervoor dat je geen ad-hocmaatregelen neemt om dit te voorkomen, maar dat je dit structureel en onderbouwd doet. Zo sluiten beveiligingsmaatregelen aan bij de werkelijke gevoeligheid en waarde van de data.

Bedrijfsimpactanalyse (BIA)

Binnen het deelproject 2.10 Waarborgen van bedrijfscontinuïteit ga je bedrijfsimpactanalyses (BIA) uitvoeren op je processen. Binnen deze BIA’s bepaal je welke afhankelijkheden er in het proces allemaal aanwezig zijn. Op deze manier krijg je inzichtelijk welke dataobjecten van waarde zijn voor de school en kunnen er passende maatregelen worden genomen.

Data binnen systemen

Als school beschik je over data binnen systemen en data buiten systemen. Het classificeren van alle data binnen systemen is erg bewerkelijk. Om niet elk dataobjectEen dataobject is een afgebakende eenheid van gegevens wat als geheel wordt vastgelegd, verwerkt en beheerd binnen een systeem of proces. binnen de school te hoeven classificeren, kun je gebruikmaken van de BIV-classificatie op systeemniveau. Dit heb je gedaan in deelproject 1.7 Classificeren van systemen. Bij het uitvoeren van deze BIV-classificaties beoordeel je het systeem en daarbij ook alle data die zich binnen dit systeem bevindt. Maatregelen op basis van deze classificatie kunnen daarmee op systeemniveau worden toegepast, waardoor het goed te beheren is.

Data buiten systemen

Het komt natuurlijk voor dat bepaalde data zich buiten systemen bevindt. Vaak gaat het om gegevens die alleen op papier beschikbaar zijn, zoals toetsen die op papier zijn afgenomen, beoordelingsformulieren voor projecten of toestemmingsbriefjes van oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn.. Deze data valt buiten het BIV-classificatiemechanisme, maar moet ook beveiligd worden.

Labelen van data

Wil je toch maatregelen nemen op het niveau van de verschillende dataobjecten? Dan kan dat door een gevoeligheidslabel aan documenten mee te geven. Aan zo’n label kunnen concrete maatregelen worden gekoppeld, bijvoorbeeld het niet delen van de documenten buiten de school. Voorbeelden van dit soort labels zijn: kritiek, gevoelig, intern, openbaar. Er is ook software waarmee je je document kunt labelen, waarna op basis van de labeling bepaalde maatregelen worden genomen voor dat document, zoals encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel. of het beperken van de toegang. Vaak bieden de grote leveranciersAanbieders van ICT- of leermiddelen. deze software standaard aan.

Wat doet wie?

• De proceseigenaren bepalen welke maatregelen er nodig zijn
• De IBP’er geeft advies over de mogelijke toepassing van data-labeling
• De ICT-beheerder ondersteunt bij de mogelijke technische implementatie van data-labeling

Aan de slag

Met onderstaande stappen ga je aan de slag met het classificeren van data.