Risico's en verantwoordelijkheden

De verwerkingsverantwoordelijke moet bepalen wie nu toegang mag hebben tot de gegevens, moet hij vastleggen wanneer en onder welke voorwaarden dit kan gebeuren (vertrouwelijkheid van de gegevens), en moet hij bepalen op welke manier de gegevens worden ingezameld en wie die gegevens mag verwerken of wijzigen (integriteit van de gegevens). Hij zal ook de termijn vastleggen waarbinnen de gegevens toegankelijk zijn en met welke methode ze beschikbaar zijn (beschikbaarheid van de gegevens), en ten slotte moet hij vastleggen welke bewijzen er aangemaakt moeten worden (wie heeft wanneer toegang gehad tot welke gegevens).


Vroeger was informatiebeveiliging vooral een taak voor de informatici van het bedrijf en volstond het om een aantal technische maatregelen te nemen om het informatiesysteem van het bedrijf veilig te stellen.

Ondertussen is er zoveel veranderd en zijn er zoveel nieuwe mogelijkheden en toepassingen dat informatiebeveiliging een allesomvattende aanpak vraagt. Hoewel het initiatief moet uitgaan van de directie is het tegenwoordig zo dat iedere persoon die invloed kan uitoefenen op een of ander element van het informatiesysteem verantwoordelijkheid draagt. Dit is vrijwel iedere persoon die tot het bedrijf behoort. Het is van het grootste belang dat iedereen, elke dag opnieuw, actief meewerkt om de veiligheid te bewaren.

De directie kan dit doen door een informatiebeveiligingsbeleid uit te werken en erop toe te zien dat de maatregelen die ze heeft ingevoerd, daadwerkelijk in de praktijk worden omgezet. De personeelsleden door die maatregelen op te volgen. Bijvoorbeeld door geen onnodige informatie vrij te geven, of door erop toe te zien dat de toegangsdeur tot het lokaal waar vertrouwelijke informatie ligt opgeslagen, correct wordt gesloten, of door een persoonlijke toegangscode tot een databank niet aan een ander door te geven,…

De directie moet voor zichzelf en haar personeel een gedragscode voor informatiebeveiliging opstellen en ze zal haar personeel daarvan bewust maken. Alle personeelsleden moeten ervan doordrongen zijn hoe belangrijk het is dat zij de beveiligingsregels in acht nemen. Zij moeten zich ten volle bewust zijn van de gevolgen als zij niet zorgvuldig en volgens de regels met informatie omspringen. Voor iedereen binnen het bedrijf moet het een tweede natuur worden de beheersmaatregelen op te volgen. Alleen op die manier kan een beveiligingsbeleid doeltreffend zijn.