De samenhang tussen Privacy, Beveiliging en IAM

Uit NORA Online
Ga naar: navigatie, zoeken

Het Venndiagram (relaties met onderwerpen)
Hier worden twee venndiagrammen gepubliceerd. De eerste laat het theoretische kader zien van de relaties en beschrijving voor de 7 vlakken daarin. De tweede venndiagram laat zien welke relaties de NORA thema's IAM, Privacy en Beveiliging hebben in de praktijk. De vlakken nr. 2 en nr. 7 blijken dus niet relevant te zijn !
Zie uitleg hierover op het MIRO-bord.



De relaties in kaart brengen[bewerken]

Voor de overheid is architectuur van belang om de informatievoorziening van de overheidsorganisaties vorm te geven zodat deze -ook op de lange termijn- aansluit op de dienstverlening aan burgers en bedrijven. De samenhang tussen de NORA thema’s geeft structuur aan de referentie-architectuur. Hoe duidelijker de samenhang en onderlinge afhankelijkheid van de thema’s is, des te duidelijker wordt welke prioritering gelegd moet worden bij het stimuleren van bepaalde thema’s en/of onderwerpen die daarbinnen vallen.
Door te kijken naar bepaalde invalshoeken en de thema’s in relatie met elkaar te brengen worden de thema’s actueel gehouden. Dit gebeurt bij voorkeur in samenwerking tussen de thematrekkers en de expertgroepen zodat ze continue blijven samenwerken aan de NORA thema’s. Op deze manier wordt de samenwerking en kennisdeling gestimuleerd.

Voor de drie thema's IAM, Privacy en Beveiliging zijn de onderlinge relaties onderzocht. De hele historie daarvan is te lezen via de bespreking in de NORA Gebruikersraad van 7 juni 2022.
De hoofdlijnen daarvan zijn hieronder beschreven:

De relaties zijn beschreven vanuit elk thema:

Bezien vanuit IAM:
IAM (a.k.a. Toegang), Privacy en Beveiliging zijn 3 gerelateerde thema’s die een gezamenlijk doel nastreven: Namelijk dat “objecten en informatie van belang” op zo’n manier worden gebruikt dat de belangen van alle betrokkenen in balans met elkaar worden behartigd. Deze 3 thema’s hebben naast overlap ook specifieke aandachtspunten.

  • Beveiliging richt zich voornamelijk op het belang van degene die verantwoordelijk is voor het object. Het valt uiteen in fysieke beveiliging van objecten (veelal beveiliging van panden/ruimtes) tegen in- en uitbraak; en in informatiebeveiliging.
  • IAM een deelgebied van Beveiliging dat zich binnen fysieke beveiliging en informatiebeveiliging focust op de “wie met welke rechten (need-to-know) en onder welke condities toegang krijgt tot informatie en objecten”
  • Privacy richt zich voornamelijk op het belang van de persoon waarop informatie betreft, en focust op de rechtvaardiging van de informatieverwerkingen en de juistheid van deze informatie.

Bezien vanuit Privacy:
IAM Identity en Access Management (IAM of IDM) is een overkoepelende term voor processen binnen een organisatie die zich richten op het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen. Dit is een informatiebeveiligingsmaatregel. Je wil immers niet dat iedereen toegang krijgt tot bepaalde vertrouwelijke/privacygevoelige informatie, alleen die medewerkers die deze toegang nodig hebben voor het uitoefenen van hun functie.

Bezien vanuit Beveiliging:

  • IAM valt binnen Beveiliging, het bevat passende maatregelen. Door IB worden de risico’s gezien en dan is er behoefte aan aanvullende maatregelen die organisatieafhankelijk zijn. Dit vraagt om onderzoek.
  • Beveiliging bevat de termen autorisatie en IAM, met name Autorisatie. Deze zorgen ervoor dat rollen gescheiden zijn (rol gebaseerd). Terwijl de AVG schijnt taak gebaseerd te zijn op basis van de verantwoordelijken. De AVG is strenger dan informatiebeveiliging. Merk op dat binnen de NORA geen relatie gegeven is tussen IB en AVG (thema beveiliging verwijst alleen naar de BIO en ISO). Vanuit de AVG worden passende maatregelen geëist voor autorisatie aanvullend en ook taak gebaseerd.
  • Zo geeft Privacy by Design aanvullende eisen voor informatiebeveiliging, maar Security by Design stelt minder strenge eisen. * Informatiebeveiliging is net te grof qua beveiligingseisen en Privacy wat strenger. Informatiebeveiligers moeten de eisen vanuit de AVG beter begrijpen!


En daarna is de samenhang van de thema's onderzocht vanuit de volgende invalshoeken:

(Deel) onderwerpen zijn onderwerpen die de NORA thema's over het algemeen raken. Hierbij geldt dat de onderzochte onderwerpen gemeenschappelijk vallen binnen de thema’s IAM, Privacy en Beveiliging. Gemeenschappelijk Privacy en Beveiliging maar geen IAM, en Specifiek voor Beveiliging en niet voor IAM en Privacy. Overeenkomsten en verschillen geven beide de relaties aan. Die laatste is belangrijkst. Vanuit elke thema wordt het belang van bepaalde onderwerpen meegenomen. Zie toelichting: https://www.noraonline.nl/wiki/Identity_%26_Access_Management_(IAM)/Relaties_met_andere_elementen

Generieke functies zijn iets wat meerdere overheidsorganisaties moeten kunnen voor het uitvoeren van hun taken. We gebruiken deze generieke functies om de samenhang vast te leggen tussen de NORA thema’s.

Binnen het Dienstverleningsconcept zijn de capabilities (lees: generieke functies) die de overheid nodig heeft om haar rol als dienstverlener aan de Nederlandse maatschappij goed te kunnen vervullen. Het is daarom een gemeenschappelijk kader voor dienstverlening aan de hand waarvan de uitvoering en het (her)ontwerp van overheidsdiensten kan worden gemanaged. Het gaat om:

  1. Bieden van een democratisch verkiezingsproces
  2. Machtigen en vertegenwoordigen
  3. Visie op dienstverlening, beleidsvorming en -evaluatie
  4. Bieden van een overzicht van de diensten van de overheid
  5. Diensten leveren volgens de afspraken
  6. Bieden van correctiemogelijkheden
  7. (Her)ontwerpen van een dienst
  8. Sturen op (verbetering van) de kwaliteit van dienstverlening

De kwaliteitsdoelen zijn kenmerken van overheidsdienstverlening vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven. Deze kenmerken worden hierbij gelinkt aan de relatie van de thema’s binnen het dienstverleningsconcept.

Interne bronvermeldingen[bewerken]

Identity & Access Management (IAM)/Relaties_met_andere_elementen