De samenhang tussen Privacy, Beveiliging en IAM: verschil tussen versies

De relaties in kaart brengen[bewerken]

Het doel van architectuur is om de informatievoorziening van de organisaties vorm te geven zodat deze op de lange termijn aansluit op de bedrijfsdoelstellingen. Structuur is hierbij erg van belang zodat duidelijk wordt waar bepaalde thema’s aan verbonden zijn. Hoe duidelijker de samenhang en onderlinge afhankelijkheid, des te duidelijker wordt welke prioritering gelegd moet worden bij het stimuleren van bepaalde thema’s en of onderwerpen die daarbinnen vallen.

Als eerste inzet bij het in kaart leggen van de samenhang is er gekeken naar de drie thema's IAM, Privacy & Beveiliging om door middel van bepaalde invalshoeken de relaties te leggen.

Bezien vanuit IAM:
IAM (a.k.a. Toegang), Privacy en Beveiliging zijn 3 gerelateerde thema’s die een gezamenlijk doel nastreven: Namelijk dat “objecten en informatie van belang” op zo’n manier worden gebruikt dat de belangen van alle betrokkenen in balans met elkaar worden behartigd. Deze 3 thema’s hebben naast overlap ook specifieke aandachtspunten.

• Beveiliging richt zich voornamelijk op het belang van degene die verantwoordelijk is voor het object. Het valt uiteen in fysieke beveiliging van objecten (veelal beveiliging van panden/ruimtes) tegen in- en uitbraak; en in informatiebeveiliging.
• IAM een deelgebied van Beveiliging dat zich binnen fysieke beveiliging en informatiebeveiliging focust op de “wie met welke rechten (need-to-know) en onder welke condities toegang krijgt tot informatie en objecten”
• Privacy richt zich voornamelijk op het belang van de persoon waarop informatie betreft, en focust op de rechtvaardiging van de informatieverwerkingen en de juistheid van deze informatie.

Bezien vanuit Privacy:
IAM Identity en Access Management (IAM of IDM) is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Dit is een informatiebeveiligingsmaatregel. Je wil immers niet dat iedereen toegang krijgt tot bepaalde vertrouwelijke/privacygevoelige informatie, alleen die medewerkers die deze toegang nodig hebben voor het uitoefenen van hun functie.

Bezien vanuit Beveiliging:

• IAM valt binnen Beveiliging, het bevat passende maatregelen. Door IB worden de risico’s gezien en dan is er behoefte aan aanvullende maatregelen die organisatieafhankelijk zijn. Dit vraagt om onderzoek.
• Beveiliging bevat de termen autorisatie en IAM, met name Autorisatie. Deze zorgen ervoor dat rollen gescheiden zijn (rol gebaseerd). Terwijl de AVG schijnt taak gebaseerd te zijn op basis van de verantwoordelijken. De AVG is strenger dan informatiebeveiliging. Merk op dat binnen de NORA geen relatie gegeven is tussen IB en AVG (thema beveiliging verwijst alleen naar de BIO en ISO). Vanuit de AVG worden passende maatregelen geëist voor autorisatie aanvullend en ook taak gebaseerd.
• Zo geeft Privacy by Design aanvullende eisen voor informatiebeveiliging, maar Security by Design stelt minder strenge eisen. * Informatiebeveiliging is net te grof qua beveiligingseisen en Privacy wat strenger. Informatiebeveiligers moeten de eisen vanuit de AVG beter begrijpen!

Waarom is dat van belang?[bewerken]

De samenhang tussen de NORA thema’s geeft structuur aan de referentie. Hoe duidelijker de samenhang en onderlinge afhankelijkheid van de thema’s is, des te duidelijker wordt welke prioritering gelegd moet worden bij het stimuleren van bepaalde thema’s. Door te kijken naar bepaalde invalshoeken en de thema’s in relatie te brengen worden de thema’s actueel gehouden. Dit gebeurt in samenwerking tussen de thematrekkers en de expertgroepen zodat ze continue blijven samenwerken aan de NORA thema’s. Op deze manier wordt de samenwerking en kennisdeling gestimuleerd.

Welke invalshoeken worden hierbij genomen?[bewerken]

• Onderwerpen
  

(Deel) onderwerpen zijn onderwerpen die de NORA thema's over het algemeen raken. Hierbij geldt dat de onderzochte onderwerpen gemeenschappelijk vallen binnen de thema’s IAM, Privacy en Beveiliging. Gemeenschappelijk Privacy en Beveiliging maar geen IAM, en Specifiek voor Beveiliging en niet voor IAM en Privacy. Overeenkomsten en verschillen geven beide de relaties aan. Die laatste is belangrijkst. Vanuit elke thema wordt het belang van bepaalde onderwerpen meegenomen. Zie toelichting: https://www.noraonline.nl/wiki/Identity_%26_Access_Management_(IAM)/Relaties_met_andere_elementen

• Generieke Functies
  

Generieke functies zijn iets wat meerdere overheidsorganisaties moeten kunnen voor het uitvoeren van hun taken. We gebruiken deze generieke functies om de samenhang vast te leggen tussen de NORA thema’s.

• Dienstverleningsconcept
  

Binnen het Dienstverleningsconcept zijn de capabilities uitgewerkt als generieke functies die de overheid nodig heeft om haar rol als dienstverlener aan de Nederlandse maatschappij goed te kunnen vervullen. Het is daarom een gemeenschappelijk kader waarvan de dienstverlening aan de hand daarvan kan worden (her) ontworpen en gemanaged. Bieden van een democratisch verkiezingsproces Machtigen en vertegenwoordigen Visie op dienstverlening, beleidsvorming en -evaluatie Bieden van een overzicht van de diensten van de overheid Diensten leveren volgens de afspraken Bieden van correctiemogelijkheden (Her)ontwerpen van een dienst Sturen op (verbetering van) de kwaliteit van dienstverlening

• Kwaliteitsdoelen
  

De kwaliteitsdoelen zijn kenmerken van overheidsdienstverlening vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven. Deze kenmerken worden hierbij gelinkt aan de relatie van de thema’s binnen het dienstverleningsconcept.

Interne bronvermeldingen[bewerken]

Identity_&_Access_Management_(IAM)/Relaties_met_andere_elementen

Externe links als bron[bewerken]