Bezoekadres
Giessenborch 28
4132 HR VIANEN (U)
Contact
fred.vandenheuvel@uphill-sales.com
info@uphill-sales.com
Telefoon
+31 (0) 625 394 616
Veel organisaties zien data nog steeds als een IT-kwestie. Dat is te kort door de bocht. Vooral voor CISO’s en securityteams. Data governance raakt direct aan risico’s, compliance, incidentbeheer en bestuurlijke verantwoordelijkheid. In een tijd van scherpe regels en toenemende aanvallen is het niet meer optioneel: je moet kunnen aantonen dat je data onder controle hebt.De kernvraag is bestuurlijk: hoe zorg je dat data, van begin tot eind, veilig, verantwoord en volgens de wet wordt beheerd?
Meer data = meer kwetsbaarheid
Organisaties verzamelen steeds meer data: klantgegevens, logfiles, HR-dossiers, externe bronnen voor AI. Vanuit een securityperspectief betekent dit: meer aanvalsoppervlak, meer waardevolle informatie op één plek. Zonder duidelijke afspraken over wie eigenaar is, hoe data is geclassificeerd en wat er mee mag, ontstaat er chaos. Data ligt verspreid over systemen en clouds, toegang is vaak historisch gegroeid, en bij een incident is de impact moeilijk snel in te schatten. Precies wat aanvallers nodig hebben.
Normen vs. richtlijnen: wat is het verschil — en waarom het vaak verward wordt
In de wereld van informatiebeveiliging en compliance worden de termen norm en richtlijn vaak door elkaar gebruikt — maar ze zijn niet hetzelfde.
Een norm (zoals ISO 27001 of NEN 7510) is een vrijwillig, technisch of procesgericht kader dat organisaties helpt om beveiliging te implementeren. Het geeft richtlijnen, maar is geen wet. Je kunt er dus niet mee worden beboet als je er niet aan voldoet.
Een richtlijn (zoals NIS2 of DORA) is daarentegen een wettelijk kader dat door de EU of nationale overheden wordt opgelegd. Het stelt verplichtingen, met sancties bij niet-naleving maar is vaak wel gebaseerd op bestaande normen. Zo leunt NIS2 sterk op ISO 27001, maar maakt het verplicht voor bepaalde sectoren.
De verwarring ontstaat omdat beide vaak dezelfde principes hanteren. Daarnaast beginnen organisaties vaak met normen en ontdekken pas later dat ze ook aan richtlijnen moeten voldoen. Het verschil is dus cruciaal: normen helpen je beveiligen en richtlijnen dwingen je tot beveiliging.
Voor CISO’s betekent het dat je moet weten welke normen je gebruikt als basis en welke richtlijnen je daarmee ondersteunt. Data governance is als het ware de brug tussen beide.
ISO 27001: van systemen naar informatie
ISO 27001 vraagt om informatie als asset te zien, risico’s te beoordelen en maatregelen te nemen. In de praktijk wordt vaak te veel gefocust op systemen en tools, terwijl de vraag “welke informatie is écht kritiek?” vaak onbeantwoord blijft.
Data governance zorgt hier voor duidelijkheid: welke assets zijn er, wie is eigenaar, hoe wordt het geclassificeerd, en welke beveiliging is nodig? Zo word je ISMS inhoudelijk sterker en beter onderbouwd.
NEN 7510: governance in de zorg
Voor zorgorganisaties is data governance extra belangrijk en verplicht via NEN 7510. De norm richt zich op bescherming van patiëntgegevens, vertrouwelijkheid en controle over gegevensuitwisseling binnen zorgketens.
Dit vraagt niet alleen om technische maatregelen, maar ook om duidelijke verantwoordelijkheden, classificatie, logging en controle over wie wat mag zien of wijzigen. Zonder helder eigenaarschap, inzicht in datastromen en grip op autorisaties is naleving bijna onmogelijk. Voor CISO’s in de zorg is data governance dus een must voor zowel patiëntveiligheid als compliance.
NIS2: governance als verplichting
De NIS2-richtlijn legt de nadruk op risicobeheer, governance en bestuurlijke verantwoordelijkheid. Je moet systematisch risico’s identificeren, beheersen en kunnen verantwoorden. Maar zonder inzicht in welke data kritiek of gevoelig is, blijft het theorie. Data governance maakt impactanalyses realistisch, helpt prioriteiten stellen en laat zien dat je gericht beheerst en geen ad-hoc maatregelen treft.
Hoewel de NIS2-richtlijn sinds 16 januari 2023 van kracht is voor lidstaten van de Europese Unie, werkt deze niet rechtstreeks op individuele organisaties in deze landen. Bij een richtlijn is namelijk nog een vertaling naar nationale wetgeving nodig. In Nederland zal de NIS2-richtlijn worden omgezet naar Nederlandse wetgeving in de Cyberbeveiligingswet (Cbw). Naar verwachting zal deze Cbw in Q2-Q3 van dit jaar in werking treden.
DORA: digitale weerbaarheid in de financiële sector
De Digital Operational Resilience Act (DORA) is de nieuwe EU-wet die financiële instellingen verplicht tot systematisch beheer van digitale risico’s inclusief data, systemen en derden. Net als NIS2 legt DORA de nadruk op bestuurlijke verantwoordelijkheid, risicobeheer en transparantie. Maar DORA gaat verder: het stelt concrete eisen aan incidentrapportage, ICT-supplierbeheer, en de bescherming van kritieke data en processen. Zonder duidelijke data governance, met inzicht in welke datasets essentieel zijn voor financiële stabiliteit, wie er verantwoordelijk voor is, en hoe ze worden beveiligd, blijft naleving theoretisch. Data governance maakt het mogelijk om impactanalyses te doen, prioriteiten te stellen en aan toezichthouders te tonen dat je niet alleen technisch, maar ook organisatorisch en juridisch voorbereid bent.
Waarom dit niet alleen IT is
IT beheert systemen. Data governance gaat over waarde, risico en rechtmatigheid. Dat vraagt betrokkenheid van business, legal, compliance en risk. De CISO stelt kaders, benoemt dreigingen en vertaalt datarisico’s naar beveiligingseisen maar het eigenaarschap van de data zelf hoort bij de business.
Naast vertrouwelijkheid en beschikbaarheid, de eerste twee pijlers van de CIA-triad (Confidentiality, Integrity, Availability), is ook integriteit een kernpunt. Gemanipuleerde of onbetrouwbare data leiden tot verkeerde beslissingen, financiële schade en compliance problemen.
Data governance zorgt voor kwaliteit, herkomst, duidelijke definities en beheersing van datastromen. Dit is vooral belangrijk bij AI en automatisering, waar foutieve input direct leidt tot foutieve output. Zonder integriteit is er geen echte veiligheid en dus ook geen betrouwbare bedrijfsvoering.
Incidentrespons: weet wat de impact is
Bij een datalek of ransomware is het cruciaal om te weten welke data is getroffen. Organisaties met goede data governance kunnen sneller inschatten wat de impact is, gerichter melden aan toezichthouders en beter onderbouwen welke maatregelen er al waren. Dat verkleint juridische, financiële en reputatieschade.
Praktische aanpak: van theorie naar actie
Maar hoe zorg je er nu voor dat deze veelheid aan regels en verplichtingen op een bruikbare manier in jouw organisatie wordt opgenomen? Onderstaande actiepunten zijn een eerste, praktische, stap hiertoe.
Breng kritieke data in kaart
Niet alleen systemen, maar de datasets die essentieel zijn voor processen, wetgeving of strategie. Dat geeft security richting.
Benoem data-eigenaren op managementniveau
Zij bepalen de waarde, keuren toegang toe en bewaken naleving. Security adviseert, maar de verantwoordelijkheid ligt bij de business.
Classificeer de data op gevoeligheid, impact en compliance
Denk aan: intern, vertrouwelijk, strikt vertrouwelijk. Dat koppelt risico direct aan beschermingsniveau inclusief versleuteling, MFA, logging en exportbeperkingen.
Review toegang en lifecycle
Functies veranderen, projecten eindigen, systemen verdwijnen maar rechten blijven vaak onbedoeld bestaan. Regelmatige reviews voorkomen onnodige privileges en zorgen dat data niet langer wordt bewaard dan nodig.
Maak het zichtbaar
Neem datarisico’s op in risicoregisters, KPI’s en managementrapportages. Zo wordt governance onderdeel van de dagelijkse sturing en kun je aantonen dat je risico’s actief beheert.
Conclusie
Voor CISO’s is data governance geen extra project. Het is de organisatorische laag die security richting en prioriteit geeft. In combinatie met NIS2, ISO 27001, DORA en NEN 7510 maakt het security tot een risico gestuurd onderdeel van de bedrijfsvoering en is het niet alleen een technische functie.
Wie geen grip heeft op zijn data, heeft uiteindelijk ook geen grip op zijn risico’s.
Gebruikte bronnen
- ISO, ISO/IEC 27001 Information Security Management
- NEN, NEN 7510 Informatiebeveiliging in de zorg
- NIST, Cybersecurity Framework 2.0
- Europese Commissie, NIS2-richtlijn
- European Banking Authority (EBA) – “DORA: What you need to know”
- CISO Online “What Is the CIA Triad in Cybersecurity and Why Does It Matter?”
Dit artikel van Fred van den Heuvel is eerder gepubliceerd op de Digital Trust Community van het Nationaal Cyber Security Centrum.