Stelselgegevens hebben betekenis op het niveau van het Stelsel. De bescherming van die gegevens door individuele deelnemers en beheerorganisaties moet daarom een gelijk niveau hebben. De Gemeenschappelijke Classificatie van Stelselgegevens (tabel 1) geeft richting aan het nemen van beveiligingsmaatregelen.

In tabel 1 is de classificatie van informatie binnen het Stelsel beschreven. De tabel legt met voorbeelden uit hoe de classificatie moet worden begrepen. Tabel 2 geeft een lijst van voorbeelden van geclassificeerde stelselgegevens en dient als referentie voor de classificatie van overige bestaande en nieuwe Stelselinformatie.

Tabel 1: Classificatie van informatie binnen het Stelsel

Classificatie

Openbaar

Intern

Vertrouwelijk

Uitleg

Alle informatie over het Stelsel bedoeld voor (potentiële) klanten of breder publiek.

  • Informatie die door alle direct betrokkenen in het Stelsel wordt uitgewisseld.
  • De informatie is niet bedoeld voor anderen maar als onverhoopt deze informatie met derden wordt gedeeld treedt er geen substantiële financiële schade of imago schade op.
  • Informatie die extra bescherming nodig heeft.
  • Openbaring aan niet bevoegden brengt het risico van substantiële schade toe aan het Stelsel; financieel, imago gerelateerd of anderszins.

Voorbeeld

  • De Stelsel-documentatie
  • Informatie over de aanbieders van diensten op de website van het Stelsel
  • Factsheets etc.
  • Agenda's en vergaderverslagen
  • Mails (tenzij expliciet is aangegeven dat deze vertrouwelijk zijn)
  • Dienstencatalogus
  • Metadata
  • Contractgegevens
  • Testgegevens
  • Klantenregistratie AD en MD
  • Logbestanden

Referentie

  • Vertrouwelijkheid is n.v.t.
  • N.B.: er worden wel eisen gesteld aan juistheid en beschikbaarheid van deze informatie
  • Vertrouwelijkheid is laag
  • AVG
  • Maatregelniveau:
  • Baseline
  • AV23 Risicoklasse 1
  • Vertrouwelijkheid is Midden/Hoog
  • AVG
  • Maatregelniveau:
  • Baseline + Specifiek
  • AV23 Risicoklasse 2


Tabel 2: Referentietabel met voorbeelden van geclassificeerde gegevens


Referentietabel met gegevens binnen het Stelsel
(niet uitputtend)

Classificatie

1

Logbestanden van berichten-/transactieverkeer

Vertrouwelijk - AV23 Risicoklasse 2

2

Contractgegevens

Vertrouwelijk

3

Registraties AD en MD

Vertrouwelijk - AV23 Risicoklasse 2

4

Metadata

Intern1

5

Dienstencatalogus

Intern1

6

Testgegevens

Vertrouwelijk

7

Auditrapporten

Vertrouwelijk

8

Informatie betreffende de toetreding van deelnemers exclusief het advies aan het Tactisch Beraad

Vertrouwelijk

9

Berichten(verkeer)

Vertrouwelijk

10

SNO rapportages van individuele deelnemers

Vertrouwelijk

11

Generieke managementrapportages

Intern

12

Vergaderverslagen Operationeel Beraad, Tactisch Beraad etc.

Intern

13

Beveiligingsincidenten-registratie

Vertrouwelijk

14

Generieke beveiligingsrapportage (trends)

Intern

15

Documentatie van het Afsprakenstelsel

Openbaar

16

Informatie op de website van het Stelsel

Openbaar

17

RFC's

Intern/Vertrouwelijk2

18

Rapporten van security-audits of penetratietesten

Vertrouwelijk

Voetnoten

  1. Betreft slechts het aspect vertrouwelijkheid. Er zal wel sprake zijn van extra maatregelen i.v.m. eisen aan de integriteit van de gegevens.
  2. Per RFC dient de mate van vertrouwelijkheid te worden vastgesteld en de consequenties voor de behandeling van de RFC in de wijzigingsprocedure. Tenzij anders gespecificeerd, geldt dat de samenvatting Openbaar is, reviewcommentaar Intern, en de RFC tekst Intern zolang deze niet van positief advies is voorzien door het OB.
  • No labels