Anonimisering en pseudonimisering
Anonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimiserin...
Lees meerABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar vraagt strakker beleid.
ABAC staat voor Attribute-Based Access Control. Het is toegangscontrole op basis van attributen: kenmerken van de gebruiker, de data, de actie of de context.
Een eenvoudige regel kan zijn: medewerkers van afdeling Finance mogen financiële datasets lezen, maar alleen voor hun eigen land en alleen wanneer de data niet als strikt vertrouwelijk geclassificeerd is.
ABAC kijkt dus niet alleen naar wie je bent, maar ook naar wat je wil doen, met welke data en onder welke omstandigheden.
Gebruikersattributen. Afdeling, functie, land, team, contracttype of senioriteit.
Data-attributen. Classificatie, eigenaar, domein, project, land of gevoeligheid.
Actie-attributen. Lezen, schrijven, exporteren, delen of verwijderen.
Contextattributen. Locatie, tijdstip, toestel, netwerk of risicoscore.
De policy engine combineert die attributen en neemt een beslissing.
Een internationaal bedrijf heeft klantdata per land. Een Belgische salesmanager mag Belgische klantrecords zien. Een Nederlandse salesmanager mag Nederlandse klantrecords zien. Een centraal finance-team mag omzetcijfers per land zien, maar geen persoonsgegevens exporteren.
Met pure RBAC krijg je snel veel rollen: Sales BE, Sales NL, Finance BE, Finance NL, enzovoort. Met ABAC kan je werken met attributen zoals afdeling, land en dataclassificatie.
RBAC is eenvoudiger: rollen bundelen rechten. ABAC is flexibeler: policies combineren kenmerken.
Voor veel organisaties is RBAC de basis. ABAC komt erbij wanneer rollen te grof worden of wanneer toegang sterk afhangt van datalabels, regio's en context.
De prijs is beheer. ABAC vraagt betrouwbare attributen, heldere policies en goede logging. Als iemands afdeling verkeerd staat, kan de toegangsbeslissing ook verkeerd zijn.
ABAC past goed bij dataclassificatie. Een policy kan bijvoorbeeld zeggen dat persoonsgegevens alleen zichtbaar zijn voor teams met een geldige verwerkingsgrond, of dat exports van gevoelige data extra approval vragen.
In BI-modellen lijkt ABAC soms op dynamische Row Level Security: filters hangen af van attributen van de ingelogde gebruiker.
Attributen moeten kloppen. Foute metadata leidt tot foute toegang.
Policies moeten leesbaar blijven. Een onbegrijpelijke policy is moeilijk te auditeren.
Log beslissingen. Je wil achteraf weten waarom toegang wel of niet gegeven werd.
Begin klein. Start met enkele gevoelige datasets in plaats van meteen alles conditioneel te maken.
Anonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimiserin...
Lees meerEen API gateway is de voordeur voor API-verkeer. Ze bundelt authenticatie, rate limits, routing, logging en soms transformatie, zodat achter...
Lees meerEen approval workflow is een geautomatiseerde goedkeuringsstroom waarin een mens expliciet ja of nee zegt voor een document, aanvraag, betal...
Lees meerEen audit trail is het spoor van acties en wijzigingen in een systeem: wie deed wat, wanneer en met welk resultaat. Je gebruikt het om besli...
Lees meerEen businessbegrippenlijst legt vast wat woorden zoals klant, omzet, marge of actieve gebruiker precies betekenen in je organisatie. Het is ...
Lees meer