Op basis van functionele groepen binnen een bedrijf, wordt er bepaald wie er toegang zou moeten hebben tot de verwerking of de persoonsgegevens.

Principes

Need-to-know

Een persoon dient enkel toegang te krijgen tot de verwerking indien deze de functionele behoefte heeft.

Indien iemand geen toegang of rechten nodig heeft tot de verwerking, dienen zijn accounts geen toegang te hebben tot deze informatie.

Hier betreft het een combinatie van technische en organisatorische maatregelen:

• Organisatorisch: the principe van toegang naar gegevens vastleggen binnen de functionele rol die een gebruiker toegewezen krijgt
• Organisatorisch: bepalen wie er toegang hoort te hebben
• Technologisch: het toegangsbeheer afdwingen op een technologische manier

Segregation of duty

Deze regel is van toepassing voor gevoelige functies die een aanzienlijke impact op het bedrijf kunnen hebben.

Dit is bijvoorbeeld de interne auditeur dient een ander persoon te zijn dan de operationele rol. Anders is het niet logisch dat een persoon onderzoek moet doen naar zichzelf.

Maar ook binnen het kader van anti-fraude mechanismes is bijvoorbeeld een 4-ogen van toepassing waar iemand de rol van aanmaken van de transactie krijgt en een ander persoon de rol van goedkeurder dient te hebben.

Meer functionele groepen dan personeel?

Typisch in kleine bedrijven is er een consollidatie van functies bij één persoon. Behoud hier zeker en vast het onderscheid binnen de toegangen naar de verwerkingen. Het is dan misschien wel dezelfde persoon die de toegang zal uitoefenen maar de hoedanigheid van de rol zal bepalen waarom de persoon toegang nodig heeft tot de informatie. Bijvoorbeeld als interne auditeur is dit normaal in het kader van een enquête, waar het misschien als ICT-support persoon noodzakelijk is om bepaalde zaken na te kijken op correctheid of debugging.

Beroepsgeheim?

U gebruikt de confidentialiteitsclausule in het arbeidscontract om uw organisatie en de medewerkers ervan te gewissen van hun rol en taken. Alsook de confidentialiteit van alle verwerkte informatie.

Individuele personen

Het kan zijn dat een persoon niet valt onder een specifieke rol, maar die toch noodzakelijkerwijs toegang nodig heeft tot de informatie. In dit geval kan u altijd specifieke natuurlijke personen toekennen.

Let wel: dit kunnen enkel natuurlijke personen zijn omdat een rechtspersoon aanzien wordt als een andere partij.