2LRN4 security awareness platform
← Terug naar overzicht

BIV-driehoek versus de AVG: twee keer integriteit en vertrouwelijkheid

Informatiebeveiliging gebruikt de BIV-driehoek, de AVG noemt integriteit en vertrouwelijkheid als beginsel. Dezelfde woorden, een andere reikwijdte. Het verschil uitgelegd voor je awarenessprogramma.

In informatiebeveiliging draait alles om de BIV-driehoek: Beschikbaarheid, Integriteit en Vertrouwelijkheid (internationaal bekend als CIA). In de privacywereld noemt de AVG in artikel 5 het beginsel "integriteit en vertrouwelijkheid". Doordat twee van de drie woorden hetzelfde zijn, ontstaat er al snel verwarring. Het zijn geen synoniemen: ze hebben een andere reikwijdte en een ander doel. Wie dat onderscheid kent, legt beveiliging én privacy zuiverder uit.

Wat is de BIV-driehoek?

De BIV-driehoek is het fundament van informatiebeveiliging. Het beschrijft de drie eigenschappen die je van álle informatie en systemen wilt beschermen, niet alleen van persoonsgegevens:

  • Beschikbaarheid: de informatie en systemen zijn bruikbaar wanneer dat nodig is. Een gegijzeld systeem of een storing schaadt de beschikbaarheid.
  • Integriteit: de informatie is juist en volledig en wordt niet ongeoorloofd gewijzigd. Een vervalst bedrag of een gemanipuleerd logbestand schaadt de integriteit.
  • Vertrouwelijkheid: alleen bevoegden hebben toegang. Een datalek of een te ruim gedeelde map schaadt de vertrouwelijkheid.

Wat zegt de AVG over integriteit en vertrouwelijkheid?

De AVG kent in artikel 5 zes beginselen voor het verwerken van persoonsgegevens. Het zesde luidt "integriteit en vertrouwelijkheid": persoonsgegevens moeten met passende technische en organisatorische maatregelen worden beschermd tegen ongeoorloofde verwerking, verlies of beschadiging.

Belangrijk: dit beginsel gaat uitsluitend over persoonsgegevens, niet over alle bedrijfsinformatie. En het staat in een rij met andere AVG-beginselen, zoals doelbinding, dataminimalisatie en juistheid. Die juistheid lijkt op integriteit, maar is in de AVG een apart beginsel.

De kernverschillen op een rij

Dezelfde woorden, maar let op de reikwijdte en het doel:

  • Reikwijdte: de BIV-driehoek geldt voor álle informatie en systemen; het AVG-beginsel alleen voor persoonsgegevens.
  • Doel: BIV beschermt vooral de organisatie en de continuïteit; de AVG beschermt vooral de rechten en vrijheden van personen.
  • Beschikbaarheid: dat is een volwaardig onderdeel van de BIV-driehoek, maar geen apart AVG-beginsel. De AVG raakt beschikbaarheid alleen indirect, via de eis van passende maatregelen.
  • Integriteit: in de BIV gaat dat over juist en onveranderd; in de AVG valt 'juist en actueel' onder het aparte beginsel juistheid, terwijl 'beschermd tegen ongeoorloofde wijziging' onder integriteit en vertrouwelijkheid valt.
  • Vertrouwelijkheid: hier overlappen beide kaders het sterkst: alleen bevoegden mogen erbij.

Waar het in de praktijk verwarrend wordt

De meeste verwarring ontstaat doordat persoonsgegevens een deelverzameling zijn van alle informatie. Een klantbestand valt zowel onder de BIV-driehoek (het is bedrijfsinformatie) als onder de AVG (het zijn persoonsgegevens). Eén lek schaadt dan tegelijk de vertrouwelijkheid in BIV-termen én schendt het AVG-beginsel.

Het helpt om te onthouden: de BIV-driehoek is je brede beveiligingsbril voor alles, en de AVG legt daar bovenop een extra, strengere laag voor het specifieke geval dat het om persoonsgegevens gaat. Ze spreken elkaar niet tegen; de AVG is specifieker en voegt rechten van betrokkenen toe.

Zo verwerk je dit in je awarenessprogramma

Dit onderscheid is ideaal om vroeg in je programma te behandelen, omdat het de rest van je security- en privacycontent ordent. Mensen begrijpen daarna beter waarom een datalek twee gezichten heeft: een beveiligingsincident én een privacykwestie.

  • Introduceer eerst de BIV-driehoek als gemeenschappelijke taal voor het hele bedrijf, en plaats de AVG daarna als de strengere laag voor persoonsgegevens.
  • Gebruik één herkenbaar voorbeeld, zoals een gelekt klantbestand, en laat zien hoe het zowel BIV als AVG raakt.
  • Stem af met security en compliance, zodat zij dezelfde termen op dezelfde manier gebruiken.
  • Wil je dit verankeren in een doorlopende leerlijn? Bekijk de privacy-cursussen in onze cursuscatalogus.

FAQ

Wat betekent BIV?

BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid, de drie kerneigenschappen die informatiebeveiliging beschermt. Internationaal heet dit de CIA-driehoek (Confidentiality, Integrity, Availability). Het geldt voor alle informatie en systemen, niet alleen voor persoonsgegevens.

Is het AVG-beginsel hetzelfde als de BIV-driehoek?

Nee. De AVG noemt in artikel 5 'integriteit en vertrouwelijkheid' als beginsel voor persoonsgegevens, maar dat is smaller dan de BIV-driehoek. Beschikbaarheid is geen apart AVG-beginsel, en de AVG geldt alleen voor persoonsgegevens, terwijl de BIV-driehoek alle informatie dekt.

Zit beschikbaarheid ook in de AVG?

Niet als apart beginsel. Beschikbaarheid is een volwaardig onderdeel van de BIV-driehoek, maar de AVG noemt het alleen indirect via de eis om passende technische en organisatorische maatregelen te nemen. In de BIV-bril is beschikbaarheid dus prominenter.

Waarom is integriteit in de AVG verwarrend?

Omdat de AVG twee dingen onderscheidt die in de BIV onder integriteit vallen: 'juist en actueel' staat in de AVG onder het aparte beginsel juistheid, terwijl 'beschermd tegen ongeoorloofde wijziging' onder integriteit en vertrouwelijkheid valt. In de BIV-driehoek zit dat allemaal onder integriteit.

Spreken de AVG en de BIV-driehoek elkaar tegen?

Nee. Ze vullen elkaar aan. De BIV-driehoek is je brede beveiligingskader voor alle informatie; de AVG legt daar bovenop een strengere laag voor persoonsgegevens, inclusief rechten van betrokkenen. Eén goed programma kan beide tegelijk bedienen.

Wil je hulp bij implementatie?

Plan een korte demo of bespreek jouw use case. We reageren snel.

Plan een demo Bekijk support