Kernprincipe 3: Zero Trust
In ketens en netwerken werk je lang niet altijd met partijen die je al kent. Dat geldt in de bouw, industrie, defensie, overheid, agrifood én logistiek. Toch wil je data veilig en verantwoord delen. Daarom is de BDI gebaseerd op het Zero Trust-principe: vertrouwen is nooit automatisch, maar het is gebaseerd op regels, context en controle.
Binnen de BDI is vertrouwen geen aanname, maar een gecontroleerd en herleidbaar besluit.
Hoe werkt dat?
Organisaties bepalen zelf:
- met wie zij data delen;
- onder welke voorwaarden zij data delen;
- voor welk doel zij data delen.
Toegang tot hun data wordt alleen verleend als daar een gegronde reden voor is én als de partij voldoet aan de afgesproken voorwaarden.
De BDI maakt onderscheid tussen:
- organisaties
- personen of rollen
- systemen of applicaties
Toegang kan automatisch verlopen of via een bevoegde medewerker of systeem.
De BDI kent vijf Zero Trust-regels:
- Vertrouwensinformatie kan worden gedeeld binnen netwerken (federaties).
2. Er is geen centrale vertrouwensautoriteit. Iedere partij behoudt autonomie.
3. Identiteit ≠ betrouwbaarheid: authenticatie is niet hetzelfde als vertrouwen.
4. De context bepaalt het vertrouwensniveau.
5. Reputatie en gedrag tellen mee.
Wat betekent dit in de praktijk?
• Je kunt veilig samenwerken, ook met onbekende partijen.
• Data wordt pas gedeeld na authenticatie én autorisatie.
• Vertrouwen wordt dynamisch beoordeeld, niet vooraf aangenomen.
• Risico’s worden beheerst zonder innovatie te blokkeren.
• Het systeem past het beveiligingsniveau aan op het risico en de context.