BIV staat voor beschikbaarheid, integriteit en vertrouwelijkheid. Het is een vaste manier om te bepalen hoe zwaar informatie, systemen en processen beveiligd moeten worden. In de praktijk helpt BIV je om betere keuzes te maken over toegangsrechten, back-ups, monitoring, leveranciers en herstel na incidenten. Daardoor is BIV niet alleen een model uit beleid, maar juist een bruikbaar hulpmiddel voor bedrijven, overheden en zorgorganisaties.
Belangrijkste punten
- BIV staat voor beschikbaarheid, integriteit en vertrouwelijkheid.
- Onder de AVG is BIV geen letterlijke wettelijke term, maar artikel 32 sluit er wel direct op aan.
- BIV-classificatie helpt je om per proces, systeem of dataset te bepalen welke schade ontstaat bij uitval, wijziging of datalek.
- Er bestaat in Nederland niet één verplichte rekenmethode voor BIV. Organisaties kiezen meestal een schaal per B, I en V, en koppelen daar maatregelen aan.
- Voor bedrijven is BIV vooral bruikbaar bij ransomware, leveranciersbeheer, Microsoft 365-labels, toegangsbeheer, back-upbeleid en incidentrespons.
- Bij de overheid schuift de normering op naar een meer risicogerichte aanpak via BIO2.
- Wie BIV serieus toepast, kijkt niet alleen naar vertrouwelijkheid, maar ook naar hoeveel uitval acceptabel is en hoe snel fouten of manipulatie ontdekt moeten worden.
Wat is BIV-classificatie?
BIV is een model uit de informatiebeveiliging dat gebruikt wordt om de waarde en gevoeligheid van informatie en systemen te beoordelen. De drie onderdelen geven elk een ander beveiligingsdoel weer. Door die drie apart te bekijken, voorkom je dat je alles op dezelfde manier behandelt.
Beschikbaarheid
Beschikbaarheid gaat over de vraag of informatie en systemen toegankelijk zijn op het moment dat je ze nodig hebt. Denk aan een webshop die bereikbaar moet zijn, een boekhoudsysteem dat op de laatste dag van de maand moet werken, of een zorgapplicatie die niet uren plat mag liggen. Het NCSC noemt dit het bruikbaar en toegankelijk houden van informatie en systemen.
Integriteit
Integriteit draait om de juistheid en volledigheid van gegevens. Data mag niet ongemerkt aangepast, verwijderd of vervuild worden. Bij salarisadministratie, contracten, facturen, logbestanden of medische gegevens is dit direct van belang. Foute data kan leiden tot verkeerde besluiten, financiële schade of juridische problemen.
Vertrouwelijkheid
Vertrouwelijkheid betekent dat informatie alleen zichtbaar is voor mensen of systemen die daar toestemming voor hebben. Dit speelt bij persoonsgegevens, klantdossiers, offertes, broncode, interne rapportages en financiële cijfers. De CSBN gebruikt dezelfde driedeling als basis om cyberincidenten te duiden.
Waarom BIV in cybersecurity zo belangrijk is
Veel organisaties kijken bij informatiebeveiliging eerst naar datalekken. Dat is logisch, maar te beperkt. Cybersecurity gaat namelijk niet alleen over uitlekken van informatie. Het gaat ook over sabotage, fouten, ransomware, uitval van leveranciers, configuratiefouten, accountovernames en manipulatie van data.
Juist daarom is BIV zo bruikbaar. Het dwingt je om per onderdeel apart te kijken naar de gevolgen. Wat gebeurt er als een systeem acht uur niet werkt. Wat gebeurt er als een orderbedrag ongemerkt wordt aangepast. Wat gebeurt er als HR-data in verkeerde handen valt. Dat levert veel betere beslissingen op dan een algemene uitspraak als “dit systeem is belangrijk”. BIV maakt belangrijk concreet.
De link tussen BIV en de AVG
Veel mensen zoeken op “biv classificatie avg”. Dat is logisch, omdat BIV vaak gebruikt wordt bij privacy en persoonsgegevens. In de AVG staat BIV niet als vaste methode genoemd, maar de inhoud sluit er wel direct op aan.
Artikel 32 van de AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen. Daarbij noemt de wet expliciet het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en diensten te waarborgen. Ook noemt de AVG het tijdig herstellen van beschikbaarheid en toegang na incidenten, plus het testen en beoordelen van maatregelen.
Dat betekent in gewone taal dit. Je moet nadenken over datalekken, dus vertrouwelijkheid. Je moet nadenken over foutieve of gemanipuleerde data, dus integriteit. Je moet nadenken over uitval en herstel, dus beschikbaarheid. Voor organisaties die persoonsgegevens verwerken is BIV dus een logische manier om artikel 32 praktisch uit te werken. De uitleg van Rijksoverheid en de informatie van de AP sluiten daar ook op aan.
Wat is BIV-classificatie?
BIV-classificatie is het proces waarbij je informatie, systemen, processen of leveranciers beoordeelt op beschikbaarheid, integriteit en vertrouwelijkheid. Je bepaalt dus niet alleen of iets belangrijk is, maar ook waarom het belangrijk is.
Een CRM-systeem kan bijvoorbeeld deze classificatie krijgen. Beschikbaarheid hoog, omdat sales en support dagelijks moeten kunnen werken. Integriteit hoog, omdat foutieve klantdata direct leidt tot fouten in offertes en communicatie. Vertrouwelijkheid hoog, omdat er persoonsgegevens en commerciële informatie in staan.
Een narrowcasting-scherm in de ontvangsthal kan juist veel lager uitkomen. Beschikbaarheid laag. Integriteit middel, want verkeerde informatie op een scherm is vervelend. Vertrouwelijkheid laag. Door die verschillen te zien, voorkom je dat je alles even zwaar beveiligt.
Hoe bereken je BIV?
Veel mensen zoeken op “biv bereken”. Daar is geen vaste landelijke formule voor, maar in de praktijk zie je vaak dezelfde aanpak terug. Organisaties geven per onderdeel een score, bijvoorbeeld van 0 tot 4 of van laag tot zeer hoog. Daarna koppelen ze die score aan maatregelen en prioriteiten.
Een praktische aanpak in 5 stappen
- Bepaal wat je beoordeelt. Bijvoorbeeld een applicatie, dataset, proces of leverancier.
- Beschrijf per B, I en V wat de schade is als het misgaat.
- Geef per onderdeel een score, bijvoorbeeld laag, middel of hoog.
- Bepaal welke maatregelen daarbij horen.
- Herhaal dit periodiek, of na grote wijzigingen.
Voorbeeld van een simpele score
| Score | Betekenis | Voorbeeld gevolg |
|---|---|---|
| Laag | Beperkte schade | Korte hinder, weinig gevolg voor klanten of processen |
| Middel | Merkbare schade | Procesvertraging, herstelwerk, interne verstoring |
| Hoog | Zware schade | Datalek, omzetverlies, juridische risico’s, uitval van dienstverlening |
Het NCSC noemt als voorbeeld een vijfpuntschaal. In Europese methoden van ENISA zie je dat organisaties per onderdeel de gevolgen beoordelen en daarna verder werken met kans en gevolg. In risicomodellen van NIST wordt risico gekoppeld aan waarschijnlijkheid en schade.
Wat moet je als bedrijf concreet met BIV?
Dit is de vraag waar het om draait. Een BIV-classificatie heeft pas waarde als je er echte keuzes aan koppelt. In het bedrijfsleven betekent dat meestal het volgende.
1. Bepaal je prioriteiten
Niet elk systeem hoeft dezelfde aandacht te krijgen. Geef voorrang aan systemen die hoge scores hebben op B, I of V. Denk aan ERP, CRM, boekhouding, HR-systemen, productieomgevingen en Microsoft 365 met gevoelige documenten.
2. Stel back-up- en hersteldoelen vast
Beschikbaarheid wordt pas bruikbaar als je het meetbaar maakt. Hoeveel dataverlies is acceptabel. Hoe lang mag een systeem eruit liggen. In BIO2 zie je dat terug in eisen rond maximaal dataverlies en maximale hersteltijd. Ook bedrijven buiten de overheid kunnen die lijn prima volgen.
3. Richt toegangsbeheer slimmer in
Bij hoge vertrouwelijkheid horen strengere rechten. Niet iedereen hoeft alles te kunnen zien. Werk met rollen, beperk exports, gebruik MFA en leg vast wie toegang heeft tot welke informatie.
4. Bescherm tegen manipulatie van data
Bij hoge integriteit moet je meer doen dan alleen back-ups maken. Dan heb je ook logging, versiebeheer, vier-ogen-principes, wijzigingscontroles en signalering van afwijkingen nodig.
5. Gebruik BIV bij leveranciers
Een externe partij die jouw klantdata host of een koppeling beheert, hoort ook in je BIV-denken thuis. Het NCSC koppelt BIV ook aan ketenbeveiliging. Vraag dus niet alleen of een leverancier “veilig” is, maar kijk welke data en processen die leverancier raakt.
6. Vertaal classificatie naar Microsoft 365 of andere tooling
Wie met Microsoft 365 werkt, kan BIV praktisch doorvoeren via labels en beleid. Microsoft laat zien hoe sensitivity labels gebruikt worden om informatie te classificeren en te beschermen. Daarmee kun je bijvoorbeeld vertrouwelijke documenten automatisch beperken of versleutelen.
BIV en ransomware
BIV is extra bruikbaar bij ransomware. Zo’n aanval raakt bijna altijd de beschikbaarheid, omdat systemen of data niet meer bruikbaar zijn. Maar daar stopt het niet. Bij moderne aanvallen zie je vaak ook dat data wordt gestolen of gewijzigd. Dan komen vertrouwelijkheid en integriteit er direct bij.
Dat maakt BIV handig als reality check. Als beschikbaarheid hoog is, moet herstel snel kunnen. Als integriteit hoog is, moet je zeker weten dat data niet ongemerkt is aangepast. Als vertrouwelijkheid hoog is, moet je rekening houden met exfiltratie en meldplicht. Het dreigingsbeeld van ENISA en cijfers van het NCSC laten zien dat uitval, ransomware en datagerichte dreigingen nog steeds zwaar wegen.
BIV-classificatie bij de overheid en BIO2
In Nederland is BIV al lang verbonden aan overheidsbeveiliging. In oudere modellen werd veel gewerkt met BBN-niveaus. In de huidige beweging richting Digitale Overheid en BIO2 zie je een duidelijkere focus op risico’s, context en onderbouwing.
Dat is ook buiten de overheid bruikbaar. De kern is simpel. Bepaal wat je beschermt. Bepaal waar de schade zit. Koppel daar passende maatregelen aan. Toets daarna of die maatregelen ook echt werken.
Veelgemaakte fouten bij BIV
Alle aandacht gaat naar vertrouwelijkheid
Veel organisaties denken bij beveiliging direct aan privacy en datalekken. Daardoor blijven beschikbaarheid en integriteit onderbelicht. Dat is riskant, want bedrijfsstilstand en onjuiste data kunnen minstens zo schadelijk zijn.
De classificatie blijft in een Excel-bestand hangen
Als BIV niet doorwerkt in autorisaties, logging, back-ups, contracten en monitoring, blijft het papierwerk.
Er is geen koppeling met processen
Een systeem kan technisch belangrijk lijken, maar het gaat uiteindelijk om het bedrijfsproces erachter. Begin dus niet bij de server, maar bij de vraag wat het bedrijf echt moet blijven doen.
Er is geen herijking
Systemen veranderen, bedrijven groeien, data stapelt op en dreigingen schuiven. Een BIV-classificatie van drie jaar geleden kan nu totaal niet meer kloppen.
Wie wil leren over BIV en classificatie?
Wie zoekt op “biv opleiding” komt meestal uit bij trainingen rond BIO, informatieclassificatie, ISO 27001 of sectorspecifieke normen. Dat klopt ook, want BIV staat zelden los van bredere governance en risicobeheersing.
Voorbeelden uit het huidige aanbod zijn onder meer trainingen van Global Knowledge, DNV, Icttrainingen, Nieuwhuis, NEN en Kiwa. Voor veel organisaties is de slimste route niet meteen een zware opleiding, maar eerst intern scherp krijgen hoe ze BIV willen gebruiken. Daarna heeft training veel meer waarde.
Een simpel BIV-stappenplan voor bedrijven
- Maak een lijst van je belangrijkste processen.
- Koppel daar systemen, data en leveranciers aan.
- Geef per onderdeel een score voor beschikbaarheid, integriteit en vertrouwelijkheid.
- Beschrijf per hoge score de concrete schade bij een incident.
- Koppel daar maatregelen aan zoals MFA, logging, back-ups, segmentatie, encryptie en hersteltests.
- Leg eigenaarschap vast.
- Controleer elk halfjaar of de classificatie nog klopt.
Conclusie
BIV is een praktische basis voor cybersecurity. Het helpt je om informatiebeveiliging niet vaag te houden, maar juist concreet te maken. Niet elk risico draait om hetzelfde. Soms is uitval het grootste probleem. Soms datamanipulatie. Soms een datalek.
Wie BIV slim toepast, maakt betere keuzes over beveiliging, herstel, rechten, leveranciers en compliance. Daarmee wordt BIV geen theoretisch model uit beleidstukken, maar een bruikbaar stuurmiddel voor het dagelijks bedrijfsleven.
