gepubliceerd op 13 juli 2021
Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaar Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter(...)
FEDERALE OVERHEIDSDIENST JUSTITIE
Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de traceerbaarheid en de integriteit van de persoonsgegevens en de informatie die worden verwerkt in de gegevensbanken bedoeld in artikel 44/2 van de Wet op het Politieambt, te verzekeren Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie.
Ter kennisgeving van: De Dames en Heren Procureurs-generaal, Mevrouw en Heren Provinciegouverneurs, De Heer Minister-President van het Brussels Hoofdstedelijk Gewest, De Heer Federaal procureur en de Dames en Heren Magistraten van het federaal parket, De Dames en Heren Arrondissementscommissarissen, De Heer Voorzitter van de Vaste Commissie van de lokale politie, De Dames en Heren Korpschefs van de lokale politie, Mevrouw en Heren Voorzitters van het Controleorgaan op de politionele informatie, het Vast Comité van Toezicht op de politiediensten en de algemene inspectie van de federale politie en van de lokale politie.
Mevrouw de Burgemeester, Mijnheer de Burgemeester, Mijnheer de Commissaris-generaal, I. WETTELIJK KADER EN TOEPASSINGSGEBIED Het artikel 44/4 § 2 van de wet op het politieambt (hierna "WPA") vormt de wettelijke basis voor de onderhavige dwingende richtlijn die betrekking heeft op de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de traceerbaarheid en de integriteit van de persoonsgegevens en de informatie die worden verwerkt in de Algemene Nationale Gegevensbank, in de basisgegevensbanken, in de bijzondere gegevensbanken, in de gemeenschappelijke gegevensbanken en in de technische gegevensbanken, bedoeld in artikel 44/2 van de WPA, te verzekeren.
Hoewel de onderhavige richtlijn in principe handelt over de noodzakelijke context voor de beveiliging van de operationele systemen, sluit dit evenwel niet uit dat, naast de WPA en titel 2 van de wet van 30 juli 2018Relevante gevonden documenten type wet prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 bron federale overheidsdienst justitie, federale overheidsdienst binnenlandse zaken en ministerie van landsverdediging 30 JULI 2018 - Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens sluiten betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna "gegevensbeschermingswet" of "GBW" genoemd), ook de Algemene Verordening Gegevensbescherming1 en titel 1 van de GBW van toepassing zijn op bepaalde maatregelen die genomen worden in uitwerking van de onderhavige richtlijn.
Onderhavige richtlijn is van toepassing op de politiediensten, zoals bedoeld in artikel 2, 2° van de wet van 7 december 1998Relevante gevonden documenten type wet prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 bron diensten van de eerste minister Wet tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus sluiten tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus.
Het advies van de Raad van burgemeesters werd op 12 augustus 2020 uitgebracht, dat van het Controleorgaan op de politionele informatie op 22 september 2020 en dat van het College van procureursgeneraal op 7 januari 2021.
II. INLEIDING Bij de uitvoering van hun opdrachten maken de politiediensten steeds vaker gebruik van nieuwe informatie- en communicatietechnologieën.
In een maatschappij waar er steeds meer aandacht is voor de veiligheid van informatie en de bescherming van persoonsgegevens, dienen de risico's die onvermijdelijk verbonden zijn aan een dergelijke informatie- en gegevensverwerking door de politiediensten goed te worden omkaderd en afgedekt door het nemen van de nodige technische en organisatorische maatregelen.
De WPA voorziet dat de ministers van Justitie en Binnenlandse Zaken hiervoor de nodige maatregelen bij dwingende richtlijn bepalen. Bij het bepalen van de onderhavige maatregelen hebben de ministers zich geïnspireerd op de "Baseline Information Security Guidelines" (BSG) van het Centrum voor Cyber Security Belgium. Het is de wens van de ministers dat deze Guidelines het referentiekader vormen voor het informatieveiligheidsbeleid en beveiligingsplannen van de politiediensten.
De maatregelen vervat in de onderhavige richtlijn dienen de politiediensten, die over verschillende maturiteitsniveaus beschikken inzake informatieveiligheid, onder meer in staat te stellen hun maturiteitsniveau stapsgewijs te verhogen aan de hand van de beproefde PDCA-methode (Plan-Do-Check-Act) en het hiermee gepaard gaande risicobeheer te versterken, de continuïteit van de politieactiviteiten te verzekeren, het lekken van informatie te voorkomen, de veiligheid van haar personeel en de burgers te verzekeren en zo het vertrouwen van de maatschappij ten opzichte van hen te versterken.
Deze progressiviteit beoogt ook de continuïteit van de operationele politieactiviteiten rekening houdend met de beschikbare middelen.
De onderhavige richtlijn bepaalt de minimale maatregelen waar de politiediensten rekening mee dienen te houden bij het opstellen, het implementeren en het evalueren van het informatieveiligheidsbeleid, evenals de beveiligingsplannen en de procedures en processen die de onderhavige richtlijn zullen concretiseren.
De progressieve implementatie van de onderhavige richtlijn evenals de bepaling van de prioriteiten, zullen worden hernomen in het informatieveiligheidsbeleid, de beveiligingsplannen (zie onder), in interne nota's van de geïntegreerde politie en/of middels een bijwerking van de fiches van de richtlijn van 14 juni 2002 van de Ministers van Justitie en van Binnenlandse Zaken (MFO-3) betreffende het informatiebeheer inzake gerechtelijke en bestuurlijke politie, die bestemd zijn voor de operationele diensten.
De korpschefs voor de lokale politie en de commissaris-generaal, de directeurs-generaal en de directeurs voor de federale politie staan borg voor de goede uitvoering van deze richtlijnen voor wat de gegevensbanken bedoeld in artikel 44/2, §§ 1 en 3 WPA, betreft. In voorkomend geval, wordt een overleg tussen de bevoegde actoren, in het bijzonder de commissaris-generaal, de directeurs-generaal, de directeurs, de korpschefs, de functioneel beheerder en de bevoegde functionaris voor de gegevensbescherming sterk aanbevolen.
III. DE MINIMALE BEVEILIGINGSMAATREGELEN 1) Het informatieveiligheidsbeleid en beveiligingsplannen De politiediensten dienen te beschikken over een uniform en geactualiseerd beleid inzake informatieveiligheid, hierna "het informatieveiligheidsbeleid", dat wordt gevalideerd door het "coördinatiecomité van de geïntegreerde politie"2 (hierna het CCGPI) na advies van het "comité informatie en ICT"3. Rekening houdende met het informatieveiligheidsbeleid, worden vervolgens de beveiligingsplannen opgesteld, die de te implementeren technische en organisatorische maatregelen bevatten inzake informatieveiligheid. Deze beveiligingsplannen, evenals de procedures en processen die de onderhavige richtlijn zullen concretiseren, worden gevalideerd door de bevoegde hiërarchie, zijnde het Directiecomité wat de federale politie betreft, en de korpschef wat de politiezones betreft, na advies van de betrokken functionaris voor de gegevensbescherming.
Het informatieveiligheidsbeleid en de veiligheidsplannen evenals de procedures en processen die de onderhavige richtlijn zullen concretiseren, dienen regelmatig te worden geëvalueerd.
De politiediensten maken conform artikel 244 van de GBW het beleid inzake informatieveiligheid evenals de beveiligingsplannen over aan het Controleorgaan op de politionele informatie (hierna het "COC"). 2) De organisatie van de informatieveiligheid De politiediensten voorzien een risicobeheersysteem inzake informatieveiligheid en identificeren de rollen en verantwoordelijkheden van de verschillende actoren betrokken bij de informatieveiligheid. De bevoegde functionaris voor de gegevensbescherming is ook belast met de opvolging van het informatieveiligheidsbeleid en de implementatie van het beveiligingsplan of de beveiligingsplannen.
Om ervoor te zorgen dat alle organisatorische maatregelen worden uitgevoerd, informeren de politiediensten hun personeel en de derden die onder hun verantwoordelijkheid werken. Het veiligheidsbeleid en de beveiligingsplannen dienen beschikbaar en raadpleegbaar te zijn voor de personen die deze moeten toepassen. Een toegang tot alle informatie is echter niet nodig om dit doel te bereiken.
Procedures en goede praktijken voor de informatieveiligheid die de onderhavige richtlijn zullen concretiseren, worden door de politiediensten ontwikkeld, goedgekeurd en gecommuniceerd.
Er worden procedures vastgelegd voor elke gebruiker, in het bijzonder voor diegenen die toegang hebben tot gegevens met een bijzondere gevoeligheid of tot kritieke systemen.
Deze procedures hebben betrekking op de volgende onderwerpen: - de toegangscontrole / het autorisatiebeheer; - de intrekking van rechten; - de vertrouwelijkheid van gegevens; - de fysieke toegang tot gebouwen en infrastructuur; - de toegangssystemen en vertrouwelijkheid van toegangsgegevens; - de maatregelen om het juiste gebruik te bepalen van werkinstrumenten die ter beschikking gesteld worden (zoals mobiele apparaten, telewerk, de geclassificeerde informatie, etc.); - de maatregelen die genomen worden om de activiteiten te controleren (toegang, vernietiging van opslag, toegang op afstand, logbestanden).
Deze onderwerpen worden hieronder toegelicht.
De politiediensten leggen procedures vast houdende de regels voor de toegang tot de gegevens en de informatie, met al dan niet een bijzondere gevoeligheid, evenals de controle die voorzien wordt om de naleving van deze regels te verzekeren.
De politiediensten bepalen regels en veiligheidsmaatregelen voor het gebruik van mobiele informatiedragers en voor de toegang tot en het beheer van informatie op afstand (vb. telewerken). Procedures die de onderhavige richtlijn zullen concretiseren, worden hiervoor voorzien. 3) De veiligheid inzake het personeelsbeheer De politiediensten stellen een beleid op voor het beheer van de personeelsleden en de externe medewerkers inzake informatieveiligheid en gegevensbescherming.Er worden procedures ontwikkeld die betrekking hebben op de volgende aspecten: Voor de aanwerving: - aanwervingsprocedures en bijbehorende maatregelen.
Tijdens de tewerkstelling: - modaliteiten die voorzien dat alle personeelsleden en externe medewerkers zich dienen te houden aan de interne instructies van de organisatie.
Na beëindiging of verandering van dienstverband: - verantwoordelijkheden en verplichtingen voor informatiebeveiliging en gegevensbescherming blijven bestaan na beëindiging of verandering van dienstverband en deze voorwaarden moeten duidelijk worden gecommuniceerd en geïntegreerd in het werknemersmanagementproces (intern of extern).
Met alle personen die toegang hebben tot de informatiesystemen van de politiediensten en die niet onderworpen zijn aan het statuut van de personeelsleden van de geïntegreerde politie, wordt een vertrouwelijkheidsovereenkomst afgesloten. 4) Sensibilisering, opleiding & communicatie De politiediensten voorzien in een permanente opleiding van de personeelsleden en de externe medewerkers met betrekking tot het informatieveiligheids- en gegevensbeschermingsbeleid. De politiediensten voorzien een opleidingsplan, opdat alle personeelsleden en externe medewerkers, de nodige opleiding krijgen en op de hoogte worden gehouden van aanpassingen aan de richtlijnen en procedures betreffende: - de informatieveiligheid en de bescherming van het privéleven; - de maatregelen die van toepassing zijn bij de uitoefening van hun functies; - hun rol en verantwoordelijkheid daarin.
De politiediensten ontwikkelen een sensibiliseringsprogramma met de volgende doelstellingen: - de personeelsleden en de externe medewerkers bewust maken van de informatieveiligheid en de bescherming van het privéleven (met focus op persoonsgegevens); - duidelijk uitleggen welke de verantwoordelijkheden zijn van de hiërarchische overheid, van een specifieke dienst, van de medewerkers en van de personen belast met de controle van de toepassing van de veiligheidsmaatregelen.
De sessies dienen op geregelde tijdstippen te worden herhaald, zodat ook nieuwe medewerkers tijdig opgenomen worden in het programma.
De informatie moet voor elk van de medewerkers: o verstaanbaar zijn; o aangepast aan de uitoefening van zijn/haar functie; o steeds op een eenvoudige, vlotte manier toegankelijk zijn. 5) Het beheer van de activa4 Teneinde de veiligheid te verzekeren van de systemen die operationele gegevens verwerken, stellen de politiediensten de inventaris op van hun essentiële activa, ongeacht de categorie ervan (informatie, gegevens, applicaties, netwerken, processen, systemen enz.)5. De inventaris is een niet-exhaustieve en evolutieve lijst, die stapsgewijs aangevuld zal worden, teneinde een voortdurende verbetering te kunnen voorzien gebruikmakend van de hiervoor vermelde PDCA-cyclus. Het doel is om het maturiteitsniveau van de politiediensten geleidelijk te verhogen.
Alle activa dienen in detail beschreven te worden en alle elementen ervan worden bijgehouden en geactualiseerd om zodoende te beschikken over een correct beeld van de informatie- en systeemarchitectuur van de organisatie.
Een functionele verantwoordelijke wordt geïdentificeerd voor elk element van deze inventaris en in het betrokken beveiligingsplan wordt zijn taak duidelijk omschreven.
De politiediensten zorgen ervoor dat er een procedure voor het beheer van de informatiemiddelen wordt uitgewerkt. Hierbij wordt rekening gehouden met het belang van de gegevens van de organisatie. 6) De toegangscontrole Voor de politiediensten zijn de regels m.b.t. de toegang tot de gegevens en informatie in de politionele gegevensbanken vervat in de ministeriële richtlijn bedoeld in artikel 44/4, § 3 WPA. Voor de toegang tot de andere essentiële ICT-activa bepalen de politiediensten de toegangsregels in afzonderlijke procedures die de onderhavige richtlijn zullen concretiseren.
Er wordt een proces voorzien dat de identificatie van de gebruiker waarborgt wanneer deze zijn of haar taken wenst uit te oefenen.
Essentiële ICT-activa zijn enkel toegankelijk via een individuele en unieke identificator. 7) Cryptografie De politiediensten beschermen afdoende de gegevens en informatie tijdens de opslag, de overdracht en het gebruik ervan. Zoals beschreven in artikel 50 en 60 van de GBW moeten persoonsgegevens tijdens de opslag, de overdracht en het gebruik ervan adequaat worden beschermd. Het beschermingsniveau houdt rekening met de risicoanalyse en, indien nodig, worden pseudonimiserings- of versleutelingsmaatregelen voor de gegevens of informatie of elke andere maatregel die een passend beschermingsniveau waarborgt genomen. 8) De fysieke veiligheid De politiediensten beveiligen hun infrastructuur.Zij nemen de beschermings- en beveiligingsmaatregelen om de toegangen te beheren van de personen die de gebouwen en lokalen mogen betreden. De maatregelen zijn aangepast in functie van de fysieke aanwezigheid van personen in de lokalen.
De politiediensten beschermen hun gegevens en hun gegevensdragers. Zij nemen preventieve maatregelen tegen verlies, schade, diefstal van of ongeoorloofde toegang tot de activa van de organisatie en tegen een eventuele onderbreking van de activiteiten van de organisatie. 9) De operationele veiligheid De politiediensten nemen voor alle essentiële activa afzonderlijk specifieke maatregelen: elke verdachte handeling of elk incident wordt gemeld en onderzocht.Er wordt tevens een spoor bewaard van de opvolging van deze incidenten.
De minimale technische maatregelen die voor de ICT-middelen van de politiediensten genomen moeten worden6, zijn: - een anti-malware/antivirus: actueel en up-to-date; - een detectie- en blokkeringssysteem voor inbraak of ongeoorloofde toegang; - een procedure voor het bijwerken van software; - een incident management (inclusief communicatie); - back-up en business continuity (Operationele veiligheid) procedures. 10) De beveiliging van de mededeling van de informatie De politiediensten nemen specifieke maatregelen om de mededeling van informatie te beveiligen, teneinde een ongeoorloofde toegang tot de gegevens en informatie te vermijden7. Indien toegelaten door de wet, worden de informatie en de gegevens van de politiediensten steeds geraadpleegd door terug te keren naar de oorspronkelijke gegevensbank met een controle van de daarvoor voorziene autorisaties. Mededelingen, kopieën of extracties worden vermeden. Indien dit absoluut niet mogelijk is en een mededeling van bepaalde informatie of gegevens van de politiediensten toch dient te gebeuren, dienen de meegedeelde gegevens steeds toereikend, ter zake dienend en niet overmatig te zijn rekening houdende met het doeleinde van de mededeling en dienen steeds de nodige veiligheidsmaatregelen voorzien te worden. 11) Aankoop, ontwikkeling en onderhoud van informatiesystemen De politiediensten dienen bij de aankoop, de ontwikkeling (en testen) en het onderhoud van systemen, processen en procedures die de onderhavige richtlijn zullen concretiseren, op te stellen en te gebruiken om de informatie te beschermen, zowel in de ontwikkelingsfase als tijdens het operationeel gebruik ervan. De systemen en processen voor gegevensverwerking worden ontworpen en ontwikkeld om de gegevens en informatie standaard (by default) te beschermen (art. 51, § 2 GBW). 12) Betrekkingen met derden (leveranciers, overheden) De politiediensten leggen de relaties met de leveranciers en de overheden vast. Deze relaties worden geformaliseerd in een document, dat in voorkomend geval duidelijk aangeeft: - wie de verwerkingsverantwoordelijke(n) is (zijn); - welke partij de verwerker is; - hoe de verantwoordelijkheden worden verdeeld; - hoe de gegevensbescherming georganiseerd is; met inbegrip van: o de veiligheid en de vereiste houding; o het beheer van incidenten; o de melding van inbreuken; o het contact met de overheden (of niet). 13) Het gebruik van een "Cloud" Indien politiediensten beroep doen op "cloud computing" diensten, voldoen deze aan de vereiste veiligheidsmaatregelen zoals hernomen in het informatieveiligheidsbeleid en, in voorkomend geval, in het betrokken beveiligingsplan.Wanneer wordt afgeweken van de principes vastgelegd in het informatieveiligheidsbeleid dient steeds het voorafgaand advies van het comité informatie en ICT te worden ingewonnen en is een beslissing vereist van het CCGPI. Contracten/documenten dienen als dusdanig te worden opgesteld, opdat de vereiste veiligheidsmaatregelen worden gerespecteerd.
Auditrapporten en certificeringen van cloud-dienstverleners, alsook de architectuur van de cloud-oplossing, worden aan de bevoegde systeembeheerders (bij DRI en in respectievelijke politiezone) gecommuniceerd, zodat zij voorafgaandelijk kunnen nagaan of deze voldoen aan de vereiste veiligheidsmaatregelen en/of desgewenst de nodige aanpassingen kunnen vragen.
Vereist is dat Cloud-datacenters en de bijbehorende technische faciliteiten zich op het grondgebied van de Europese Unie bevinden.
In contracten/documenten moet duidelijk worden vastgelegd wie de verwerkingsverantwoordelijke is, welke partij verwerker is en hoe de verantwoordelijkheden worden verdeeld. 14) Incident management aangaande informatieveiligheid De politiediensten zorgen ervoor dat zowel personeelsleden als externe medewerkers en andere betrokken personen beschikken over een procedure die het mogelijk maakt om verdachte activiteiten te rapporteren. Het gaat om een procedure om mogelijke of vermoedelijke inbreuken in verband met persoonsgegevens of in verband met de veiligheid van systemen te rapporteren, te registeren en te behandelen zodat kwetsbaarheden voortijdig en gestructureerd kunnen behandeld worden.
De politiediensten stellen eveneens een incidentenbeheersplan op, zowel voor informatieveiligheidsincidenten als inbreuken in verband met persoonsgegevens, dat: - de rollen en verantwoordelijkheden van alle betrokken actoren vastlegt; - een intern register voorziet waarin alle gemelde inbreuken op de beveiliging worden hernomen.
De politiediensten zorgen ervoor dat het personeelslid dat een mogelijk veiligheidsincident rapporteert hierdoor geen negatieve gevolgen ondervindt. 15) Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer De politiediensten voorzien een beschermingssysteem dat de beschikbaarheid van de gegevens en de informatie garandeert. De politiediensten voorzien de nodige bescherming van de informatie en de gegevens die zij verwerken tegen verlies, ongeoorloofde wijziging of vernietiging, hetzij per ongeluk hetzij door een moedwillige handeling.
De politiediensten zorgen ervoor dat de beschikbaarheid van en toegang tot de informatie en de gegevens na een fysiek of technisch incident tijdig kan hersteld worden.
De politiediensten voorzien een oplossing, teneinde de continuïteit van de gebruikte toepassingen te verzekeren. In deze oplossing worden maximaal de ontwikkelcodes van de toepassingen bijgehouden. 16) Juridische monitoring De politiediensten volgen alle wetswijzigingen inzake de informatieveiligheid en de gegevensbescherming op, evenals de door de bevoegde overheden of organen uitgebrachte of gewijzigde adviezen hieromtrent.17) Evaluatie van de beveiligingsmaatregelen De politiediensten evalueren op geregelde tijdstippen de informatiebeveiliging (onder andere conform de voornoemde PDCA-cyclus). De beveiligingsplannen dienen mettertijd te evolueren. Ze kunnen met name worden herzien om rekening te houden met: - veranderingen in bedreigingen en feedback als gevolg van incidentenbehandeling; - de resultaten van risicoanalyses, controleonderzoeken of audits; - veranderingen in organisatorische, juridische, regelgevende en technologische contexten.
Deze evoluties en aanpassingen worden opgevolgd door het comité informatie en ICT en het "coördinatiecomité van de geïntegreerde politie", met de volgende hoofdtaken: - de opvolging van de uitvoering van het veiligheidsbeleid en de beveiligingsplannen; - het meten van de voortgang en de beveiligingsstatus van de organisatie; - het voorstellen van updates; - het voorstellen van aanvullende documenten en richtsnoeren om de tenuitvoerlegging ervan te vergemakkelijken of te verduidelijken; - de opvolging van de evolutie van de technische documenten.
IV. De methodologie Voor het inventariseren van de essentiële activa van de politiediensten en de risicoanalyse voor elk van deze essentiële activa kunnen de politiediensten zich inspireren op de methodologie voorzien in de "Baseline Information Security Guidelines" van het Belgisch Centrum voor Cybersecurity.
De Minister van Justitie, V. VAN QUICKENBORNE De Minister van Binnenlandse Zaken, A. VERLINDEN _______ Nota's 1 Verordening (EU) 2016/679 van het Europees Parlement van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. 2 Zoals bedoeld in artikel 8ter van de wet van 7 december 1998Relevante gevonden documenten type wet prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 bron diensten van de eerste minister Wet tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus sluiten tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus. 3 Zoals bedoeld in artikel 8sexies van de wet van 7 december 1998Relevante gevonden documenten type wet prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 bron diensten van de eerste minister Wet tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus sluiten tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus. 4 Voor informatiebeveiliging worden de essentiële activa in brede zin beschouwd als 'alle middelen die een waarde hebben voor de organisatie en die moeten worden beveiligd'. Dit beperkt zich niet enkel tot IT-infrastructuur of tastbare middelen, maar ook tot mensen. Het kunnen bovendien ook ontastbare middelen zijn, zoals processen, procedures, bepaalde werkwijzen, kennis en expertise etc. 5 Datacenter, toegangsystemen, antivirus, ... 6 Zoals beschreven in de inleiding, gaat het om een progressieve implementatie ingevolge het maturiteitsniveau. 7 Het kan onder meer gaan om veiligheidsmaatregelen die voorzien worden in een koninklijk besluit voorzien door artikel 44/11/12 WPA dat een bepaalde toegang regelt of een samenwerkingsprotocol inzake mededeling van gegevens aan een partner van de politiediensten.