BIV-classificatie: Bescherm je bedrijfsgegevens slim en effectief

Als eigenaar van een MKB-bedrijf heb je misschien wel eens gedacht: "Is al dat gedoe rond informatiebeveiliging echt nodig voor mijn organisatie?" En mijn antwoord daarop is: ja! Ook kleinere organisaties hebben waardevolle gegevens die bescherming verdienen. In deze blog leg ik uit hoe je met de BIV-classificatie precies kunt bepalen welke beveiligingsmaatregelen nodig zijn voor jouw systemen en gegevens.

Wat is de BIV-classificatie?

Stel je runt een kleine zorginstelling met tien medewerkers. Je werkt dagelijks met cliëntgegevens, personeelsinformatie en financiële data. Als er iets misgaat met deze informatie, kan dat grote gevolgen hebben. Cliënten kunnen niet geholpen worden, zorgplannen zijn niet toegankelijk, of erger nog: privacygevoelige gegevens komen in verkeerde handen.

Om te bepalen welke beveiliging waar nodig is, gebruik je de BIV-classificatie. BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Voor elk van deze aspecten bepaal je hoe belangrijk ze zijn voor een bepaald systeem of voor bepaalde gegevens door een niveau toe te kennen: laag, midden of hoog.

Laten we eens kijken wat deze termen precies betekenen voor jouw MKB-bedrijf.

De B van Beschikbaarheid

Met beschikbaarheid geef je aan hoe belangrijk het is dat een systeem of gegevens beschikbaar zijn. Hoe erg is het als jouw medewerkers even niet bij bepaalde informatie kunnen?

Laag: Het systeem mag best een paar uur offline zijn zonder grote gevolgen. Denk aan een systeem waar medewerkers hun verlofuren bijhouden.

Midden: Het systeem mag hooguit een uur offline zijn. Dit geldt bijvoorbeeld voor e-mailsystemen in de meeste organisaties.

Hoog: Het systeem moet (bijna) altijd beschikbaar zijn. Denk aan het cliëntvolgsysteem van een zorginstelling: als zorgverleners niet bij de dossiers kunnen, kan dat de zorgverlening direct beïnvloeden.

De I van Integriteit

Integriteit gaat over hoe belangrijk het is dat gegevens correct en volledig zijn. Hoe erg is het als er fouten zitten in bepaalde gegevens?

Laag: Een foutje is vervelend, maar niet rampzalig. Bijvoorbeeld een typefout in een nieuwsbericht op de website.

Midden: Fouten moeten binnen korte tijd opgemerkt en hersteld worden. Denk aan een fout in de planning van medewerkers.

Hoog: Fouten zijn onacceptabel. Zoals bij medicatiegegevens van cliënten: hier mag geen enkel foutje in zitten.

De V van Vertrouwelijkheid

Vertrouwelijkheid gaat over wie toegang heeft tot welke gegevens. Wie mag welke informatie inzien?

Laag: De gegevens zijn openbaar of het is niet erg als ze bekend worden. Zoals de openingstijden van je organisatie.

Midden: De gegevens zijn intern en mogen niet zomaar op straat komen te liggen. Denk aan interne telefoonnummers van medewerkers.

Hoog: De gegevens zijn strikt vertrouwelijk. Zoals de medische gegevens van cliënten of inloggegevens voor systemen.

Tip: De classificatie in hoog, midden en laag is een veelgebruikte indeling, maar je kunt ook een andere schaal kiezen die beter past bij jouw organisatie. Sommige bedrijven gebruiken bijvoorbeeld een schaal van 1 tot 5 of werken met percentages voor beschikbaarheid. Het belangrijkste is dat de classificatie duidelijk is voor iedereen in jouw organisatie.

BIV in de praktijk: twee voorbeelden

Voorbeeld 1: Cliëntvolgsysteem van een zorginstelling

Stel je runt een kleine zorginstelling met ambulante begeleiding. Het cliëntvolgsysteem is het hart van je dienstverlening, waarin alle cliëntgegevens, zorgplannen en rapportages worden bijgehouden.

Voor dit systeem zou de BIV-classificatie er als volgt uit kunnen zien:

Beschikbaarheid: Hoog
Het systeem moet beschikbaar zijn tijdens werktijden. Als het systeem uitvalt, kunnen begeleiders niet bij de dossiers en weten ze niet welke zorg ze moeten leveren. Een ambulant begeleider die bij een cliënt is en niet bij het zorgplan kan, raakt in de problemen. Een beschikbaarheid van minimaal 99,9% tijdens werktijden is een goede richtlijn.

Integriteit: Hoog
Het gaat om zorggegevens, en die moeten exact kloppen. Een fout in medicatie-informatie of een verkeerd ingevuld zorgplan kan directe gevolgen hebben voor de gezondheid van cliënten. Elke wijziging in het systeem moet gecontroleerd en traceerbaar zijn.

Vertrouwelijkheid: Hoog
Medische en persoonlijke gegevens vallen onder de AVG en zijn zeer privacygevoelig. Een cliënt mag erop vertrouwen dat zijn gegevens veilig zijn. Als een onbevoegde toegang krijgt tot het systeem, kan dit leiden tot privacyschending en imagoschade voor je organisatie.

Deze hoge classificatie vraagt om stevige beveiligingsmaatregelen:

• Dagelijkse back-ups en een noodplan voor uitval
• Monitoring van beschikbaarheid
• Controles bij elke wijziging in cliëntgegevens
• Logging van alle acties voor controle achteraf
• Sterke wachtwoorden en twee-factor authenticatie
• Versleuteling van gevoelige gegevens
• Regelmatige beveiligingstests

Voorbeeld 2: Kennisdelingsplatform van een kleine zorgorganisatie

Naast het cliëntvolgsysteem heeft je zorginstelling ook een intern kennisdelingsplatform waar medewerkers bijvoorbeeld beleidsdocumenten kunnen raadplegen, interne nieuwtjes kunnen lezen en gemeenschappelijke agenda's kunnen bekijken.

Voor dit systeem zou de BIV-classificatie er zo uit kunnen zien:

Beschikbaarheid: Midden
Als het kennisdelingsplatform een paar uur niet beschikbaar is, is dat vervelend maar niet rampzalig. Medewerkers kunnen nog steeds hun primaire zorgtaken uitvoeren. Ze kunnen alleen even geen beleidsdocument raadplegen of het laatste nieuws lezen.

Integriteit: Midden
Een typefout in een nieuwsbericht of een verkeerde datum bij een evenement is niet ideaal. Maar het leidt niet tot risico's voor cliënten of grote problemen. De fout kan worden hersteld zodra iemand het opmerkt.

Vertrouwelijkheid: Midden
De informatie op het kennisdelingsplatform is alleen bedoeld voor medewerkers. Het is niet wenselijk als bijvoorbeeld interne telefoonnummers of personeelsnieuws op straat komt te liggen. Maar het is geen ramp als dit toch gebeurt, zolang er geen cliëntgegevens bij betrokken zijn.

Voor dit systeem volstaan standaard beveiligingsmaatregelen:

• Een wekelijkse back-up
• Inloggen met gebruikersnaam en wachtwoord
• Standaard firewalls en virusscanning
• Normale monitoring van beschikbaarheid

Veelvoorkomende misvattingen bij het MKB

"Mijn bedrijf is te klein om een doelwit te zijn" - Juist kleinere bedrijven zijn vaak een makkelijk doelwit omdat ze minder beveiligd zijn.

"Informatiebeveiliging is alleen voor IT-ers" - Het is juist een bedrijfsbrede verantwoordelijkheid, waarbij het gaat om processen en gedrag, niet alleen om techniek.

"Goede beveiliging is duur" - Door slim prioriteiten te stellen met de BIV-classificatie kun je juist kosten besparen en gericht investeren.

Aan de slag met BIV in jouw MKB-bedrijf

Door de BIV-classificatie toe te passen, kun je prioriteiten stellen in je informatiebeveiliging. Je besteedt de meeste aandacht aan systemen met de hoogste classificatie. Dit is vooral belangrijk voor MKB-bedrijven, waar middelen vaak beperkt zijn.

Zo begin je:

1. Inventariseer je systemen en gegevens
   Maak een lijst van alle systemen en soorten gegevens binnen je organisatie.

2. Bepaal voor elk systeem de BIV-classificatie
   Gebruik de niveaus laag, midden en hoog zoals hierboven beschreven.

3. Vertaal de classificatie naar maatregelen
   Begin met de systemen die op meerdere aspecten 'hoog' scoren.

4. Evalueer regelmatig
   Beveiligingsbehoeften veranderen. Check je classificatie jaarlijks.

Ook als klein bedrijf kun je met deze methode effectief aan de slag met informatiebeveiliging. Je hoeft geen IT-expert te zijn om te bepalen wat belangrijk is voor jouw organisatie.

Wil je hulp bij het opzetten van een BIV-classificatie voor jouw bedrijf? Neem dan contact op voor een vrijblijvend gesprek!

---

Erwin Matijsen is eigenaar van Matijsen ICT en ondersteunt bedrijven bij het effectief inzetten van data en software. Het leukst vindt hij projecten in de MKB- en not-for-profit sector, en het zijn van een brug tussen ICT en de ondernemer.

---

Terug naar alle berichten