IRMA-V10 | Autorisaties |
---|---|
Stelling | Eenieder krijgt slechts toegang tot die informatie waarvoor diegene gemachtigd is |
Beschrijving | Autorisaties vormen een belangrijk aspect van Informatiebeheer. Middels autorisaties of bevoegdheden is men in staat om bijvoorbeeld informatie in te kunnen inzien of te kunnen aanpassen. Autorisaties zijn van groot belang voor onder meer de toegankelijkheid en veiligheid van informatie. Ze worden over het algemeen toegekend op procesniveau of op zaakniveau, waarbij de autorisaties worden toegekend aan groepen of personen. Vaak veranderen autorisaties in de levensloop van informatie. Zo mag na de afwikkeling van een zaak de informatie niet meer aangepast worden, of mag de informatie na afronding van een zaak door een grotere groep mensen worden ingezien door onder meer het openbaar maken van de informatie |
Rationale | Middels autorisaties is het mogelijk om informatie toegankelijk en bruikbaar te maken voor de mensen die hiertoe recht hebben |
Implicaties | Het moet inzichtelijk zijn op procesniveau en soms ook op zaakniveau welke mensen of groepen welke autorisaties mogen of moeten hebben. Zo mag medische informatie enkel ingezien worden door een behandelend arts, of mag in sommige gevallen zelfs niet eens de metadata zichtbaar zijn |
Eisen | Toegankelijkheid, Veiligheid, Vindbaarheid |
Wettelijke onderbouwing | Archiefregeling (Artikel 35): “De zorgdrager neemt doeltreffende maatregelen tegen ongeautoriseerde toegang tot de archiefruimte of de archiefbewaarplaats” |
Onderbouwing generiek | Baseline Informatiebeveiliging Overheid (Paragraaf 9.2.2.1): “Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris” |
Meer informatie | Baseline Informatiebeveiliging Overheid (BIO) |