Naar mijn mening is het allereerste wat je doet het maken van een risico-analyse. Om welke gegevens gaat het, wat is het beleid voor opslag, toegang en verwijdering van die gegevens (zowel intern als extern) en welke risico's worden er gelopen bij de opslag of het opvragen van de gegevens. Dit brengt risico's en dreigingen in kaart. Je kunt een redelijke inschatting maken van de waarde van de informatie, en daarnaast is er in veel gevallen een wettelijk kader waarbinnen uitspraken gedaan zijn over het bewaren van gegevens. Op basis van de risico analyse ga je een inschatting maken van de waarschijnlijkheid dat een bepaalde dreiging of een bepaald risico ook daadwerkelijk een probleem gaat worden. Op basis van die analyse ga je technische en administratieve beveiligingsmaatregelen nemen, waarbij je in het oog houdt dat de informatie die je probeert te beveiligen een bepaalde waarde heeft, en dat het nooit de bedoeling kan zijn dat de waarde van de informatie en de totale kosten van de beveiliging erg ver ...