pleijnse
commented
4 years ago Ik denk dat de BIO-classificatie niet geschikt is. Zelfs als je open data beschikbaar stelt zul je, vanwege de integriteit die je als overheid op die dataset wil/moet bieden, al snel meer dan het minimale BBN1 moeten doen. BBN3 is specifiek voor departementaal vertrouwelijk, maar zegt verder niet zo veel over hoe je dan binnen het departement of tussen departementen data mag/moet delen. BBN2 bevat juist veel systemen die persoonsgegevens verwerken, maar die op zich niet departementaal vertrouwelijk zijn. Binnen de grenzen van een departement moet een ambtenaar redelijk makkelijk en generiek bij een systeem met beleidsstukken kunnen (BBN3), maar juist weer niet bij een systeem met gevoelige persoonsgegevens (BBN2). Kortom: een classificatie gebaseerd op de aard van de uitgewisselde informatie is hanteerbaarder dan de generieke classificatie van het systeem waar die informatie in is opgeslagen. Ik zou zelf eerder denken aan voortborduren op de Handreiking betrouwbaarheidsniveaus voor digitale dienstverlening van het Forum Standaardisatie. (https://www.forumstandaardisatie.nl/sites/default/files/BFS/4-basisinformatie/publicaties/fs-handreiking-betrouwbaarheidsniveus-v4_0.pdf)
jaronaz
Het is duidelijk dat we binnen de overheid verschillende risicoprofielen hebben bij het aanbieden van APIs. Het kan gaan om volledig open data/functionaliteit via APIs met persoonsgegevens naar departementaal vertrouwelijke gegevens. Laten we staatsgeheim voor deze discussie maar evne buiten beschouwing laten. Het zou handig zijn als we best practices kunnen bieden welke type authenticatie en autorisatie passend is voor een bepaald risicoprofiel. We zouden bijvoorbeeld kunnen kiezen voor de BBN1, BBN2 en BBN3 categoriën uit de baseline informatiebeveiliging overheid. Maar misschien is een andere indeling beter? ik ben benieuwd hoe hier over gedacht wordt.