De samenhang tussen Privacy, Beveiliging en IAM

Uit NORA Online
Versie door Ericbrouwer (overleg | bijdragen) op 26 mei 2022 om 11:14 (1e opzet)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Wat is de relatie tussen deze 3 thema's?
Daar kijken we als volgt tegenaan.

Bezien vanuit Privacy:
IAM Identity en Access Management (IAM of IDM) is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Dit is een informatiebeveiligingsmaatregel. Je wil immers niet dat iedereen toegang krijgt tot bepaalde vertrouwelijke/privacygevoelige informatie, alleen die medewerkers die deze toegang nodig hebben voor het uitoefenen van hun functie.

Bezien vanuit Beveiliging:

  • IAM valt binnen Beveiliging, het bevat passende maatregelen. Door IB worden de risico’s gezien en dan is er behoefte aan aanvullende maatregelen die organisatieafhankelijk zijn. Dit vraagt om onderzoek.
  • Beveiliging bevat de termen autorisatie en IAM, met name Autorisatie. Deze zorgen ervoor dat rollen gescheiden zijn (rol gebaseerd). Terwijl de AVG schijnt taak gebaseerd te zijn op basis van de verantwoordelijken. De AVG is strenger dan informatiebeveiliging. Merk op dat binnen de NORA geen relatie gegeven is tussen IB en AVG (thema beveiliging verwijst alleen naar de BIO en ISO). Vanuit de AVG worden passende maatregelen geëist voor autorisatie aanvullend en ook taak gebaseerd.
  • Zo geeft Privacy by Design aanvullende eisen voor informatiebeveiliging, maar Security by Design stelt minder strenge eisen. * Informatiebeveiliging is net te grof qua beveiligingseisen en Privacy wat strenger. Informatiebeveiligers moeten de eisen vanuit de AVG beter begrijpen!

Bezien vanuit IAM:
IAM (a.k.a. Toegang), Privacy en Beveiliging zijn 3 gerelateerde thema’s die een gezamenlijk doel nastreven: Namelijk dat “objecten en informatie van belang” op zo’n manier worden gebruikt dat de belangen van alle betrokkenen in balans met elkaar worden behartigd. Deze 3 thema’s hebben naast overlap ook specifieke aandachtspunten.

  • Beveiliging richt zich voornamelijk op het belang van degene die verantwoordelijk is voor het object. Het valt uiteen in fysieke beveiliging van objecten (veelal beveiliging van panden/ruimtes) tegen in- en uitbraak; en in informatiebeveiliging.
  • IAM een deelgebied van Beveiliging dat zich binnen fysieke beveiliging en informatiebeveiliging focust op de “wie met welke rechten (need-to-know) en onder welke condities toegang krijgt tot informatie en objecten”
  • Privacy richt zich voornamelijk op het belang van de persoon waarop informatie betreft, en focust op de rechtvaardiging van de informatieverwerkingen en de juistheid van deze informatie.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Nederlandse Overheid Referentie Architectuur.

Overgenomen van "https://www.noraonline.nl/index.php?title=De_samenhang_tussen_Privacy,_Beveiliging_en_IAM&oldid=61834"