Heb ik overigens al eens geschreven hoe goed ik het vind dat je mijn blog nog steeds leest? Nee, oh, mijn excuses…mijn complimenten en hartelijke dank. Ik kan me natuurlijk voorstellen dat het wat mensen wit om de neus wordt als ze sommige onderwerpen lezen. Maar bedenk, het is nooit de bedoeling om angst aan te jagen, maar wel om je bewust te maken…bewust van de risico’s. Onderkennen we de risico’s dan kunnen we er wat aan doen en komen we niet voor nare verrassingen te staan.
En nu, hop, snel naar de volgende vraag in het rijtje:
Zijn er richtlijnen voor het classificeren van informatie?
Bij het classificeren (of rubriceren) van informatie denken we in ieder geval aan termen als: “intern gebruik”, “vertrouwelijk”, “geheim” of zelfs “staatsgeheim” (in allerlei classificaties). Deze termen richten zich met name op de exclusiviteit van de betreffende informatie.
De enige die die exclusiviteit goed kan bepalen is de medewerker die de gegevens vertaald naar informatie. Vindt hij of zij dat het geclassificeerd moet worden, dan moet dat vooral niet worden nagelaten (hoewel hier wat kanttekeningen bij te plaatsen zijn, want we moeten niet onnodig informatie classificeren om ze belangrijker te doen voorkomen dan ze echt is). Wel handig als er dan een voorschrift voor is hoe we classificeren. Zijn er standaarden te bedenken die bij voorbaat al een classificatie verdienen? Zoals klant- of financiële gegevens of strategische informatie over de koers die we gaan varen? Op welke wijze maken we duidelijk dat het om geclassificeerde informatie gaat? Boven aan de pagina of toch liever boven en onderaan de pagina? En welke classificaties mogen we intern gebruiken? Vrij praktisch allemaal.
Hebben we de richtlijnen voor de exclusiviteit van de informatie in het voorschrift opgenomen (wat in de praktijk al best vaak gebeurt overigens) dan kunnen we ook nog kijken naar die aspecten die in de praktijk in dit soort voorschriften nog onderbelicht zijn, namelijk de beschikbaarheid en integriteit van de informatie.
Of, kort samengevat, hoe kritisch is de informatie voor het voortbestaan van de organisatie. Hoe lang kunnen we doordraaien als de informatie tijdelijk niet beschikbaar is en hoe erg is het als die informatie voor altijd verloren gaat? Welke processen komen dan piepend en krakend tot stilstand? Hebben we daar voldoende zicht op, dan draagt dat zeker bij aan de juiste omgang met informatie.
Vervolgens kunnen we nog kijken naar de integriteit. Hoe erg is het als de gegevens niet helemaal betrouwbaar zijn? Moeten we de gegevens echt voor 100% op feiten zijn gebaseerd of mogen we ook beslissingen nemen als we niet helemaal zeker weten hoe betrouwbaar die informatie is?
Persoonlijk vind ik het, bijvoorbeeld, een prettige gedachte als een arts over integere informatie kan beschikken voordat hij aan zijn operatie begint. Voor je het weet begint hij in het verkeerde been te zagen. “Meneer, de meniscus in uw linkerknie is succesvol geopereerd” wil je liever niet horen als je sterft van de pijn in je rechterbeen.
Kortom: bij classificatie van gegevens beginnen we eerst goed te kijken naar de exclusiviteit, maar daarna willen we graag doordenken over de beschikbaarheid en integriteit van de informatie. Doen we dat op de juiste manier en weten we de medewerkers daar ook nog vertrouwd mee te maken dan zijn we een aardige stap op weg naar een juist niveau van informatiebeveiliging.