BIO Thema Clouddiensten/Beslisbomen voor risicobeoordeling IV-diensten: verschil tussen versies
k (opmaak aangepast en afbeeldingen toegevoegd) |
k (tekst verder in lijn met versie 2.1) |
||
(24 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{#element: | {{#element: | ||
|Elementtype=Hoofdstuk normenkader | |Elementtype=Hoofdstuk normenkader | ||
|ID= | |ID=CLD_TOEL BRI | ||
|Titel=BIO Thema Clouddiensten - | |Titel=BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten | ||
|Kent element met zelfde titel=Nee | |Kent element met zelfde titel=Nee | ||
|Versieaanduiding=1 | |Versieaanduiding=2.1 | ||
|Redactionele wijzigingsdatum= | |Status actualiteit=Actueel | ||
|Publicatiedatum= | |Redactionele wijzigingsdatum=2021/12/06 | ||
|Beschrijving= | |Publicatiedatum=2021/10/29 | ||
|Beschrijving=De Beslisboom in afbeelding 'Beslisboom voor risicobeoordeling' ondersteunt stakeholders voor cloud-services bij het nemen van verantwoorde beslissingen voor het onderbrengen van gegevens en/of bedrijfsprocessen in de publieke cloud, private cloud, als uitbestede IT of in het eigen rekencentrum ‘on premise’. De beslisboom is uitgewerkt in relatie tot de risicoafweging. | |||
Overheden worden geacht om verantwoord om te gaan met gevoelige gegevens van burgers en bedrijven, maar ook met gegevens van eigen medewerkers. Zie voor de vraag die in stap 1 gesteld wordt over gegevens [[ | [[Afbeelding:BIO Thema Clouddiensten - Procesflow voor de risicoanalyse.png|thumb|none|500px|Beslisboom voor risicobeoordeling|alt=”Beslisboom voor risicobeoordeling”]] | ||
Belangrijk daarbij is om de context van de overheid in de overweging mee te nemen. Overheden worden geacht om verantwoord om te gaan met gevoelige gegevens van burgers en bedrijven, maar ook met gegevens van eigen medewerkers. Zie voor de vraag die in stap 1 gesteld wordt over gegevens [[BIO Thema Clouddiensten/Standpunt AIVD en beleidsverkenning BZK]]. | |||
De beslisboom wordt gebruikt als zelf-assessment en toetst achtereenvolgens op: | De beslisboom wordt gebruikt als zelf-assessment en toetst achtereenvolgens op: | ||
# Afhankelijkheid en kwetsbaarheid, Gaat het om een primair bedrijfsproces met gevoelige gegevens van burgers en/of bedrijven, waarbij (bijzondere) persoonsgegevens vanwege de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]] extra zwaar wegen, zeker als het de persoonlijke veiligheid/privacy van eigen medewerkers betreft? | |||
# Te Beschermen Belangen, Gaat het om zogenaamde cruciale belangen die van primair belang zijn voor het voortbestaan van de organisatie, waarbij het vertrouwen van de burger en het bedrijf in de betrouwbare overheid op het spel komt te staan indien die bescherming onvoldoende geborgd is? | |||
# Betrouwbaarheid van producten en diensten, De betrouwbaarheid van de levering van producten en diensten is essentieel voor de organisatie. De Cloud Service Provider (CSP) vervuld daarin als belangrijkste actor een cruciale rol. Daarom is een passende dienstverlening nodig, waarbij het karakter van de te verwerken gegevens/processen daarvoor geschikt moet zijn. | |||
Afhankelijk van de situationele context, zal het tevens gaan om bedrijfsgegevens die vallen in één van de hieronder geschetste domeinen uit afbeelding 'Schematische weergave soorten gegevens' en die de daarbij behorende passende maatregelen vergen. | |||
[[Afbeelding:BIO Thema Clouddiensten - Situationele context van gegevens.png|thumb|none|500px|Schematische weergave soorten gegevens|alt=”Situationele context van gegevens”]] | |||
'''Afhankelijkheid en kwetsbaarheid''' | |||
Vraag 1: Gaat het om persoonsgegevens en/of (zeer) vertrouwelijke bedrijfsgegevens? | |||
NB Onder persoonsgegevens verstaat de AVG alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), die direct of indirect kan worden geïdentificeerd. Bijvoorbeeld aan de hand van naam, identificatienummer (BSN), locatiegegevens of via elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. | |||
* Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam. | |||
* Indirect identificeerbaar: Gegevens die naar hun aard mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. | * Indirect identificeerbaar: Gegevens die naar hun aard mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. | ||
Voorbeelden van indirect zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven. | Voorbeelden van indirect zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven. | ||
NB Vertrouwelijke bedrijfsgegevens, zoals bijvoorbeeld (nog vertrouwelijke) financiële, technische of juridische informatie, budgetten, beleidsvoornemens, aanbestedingen, beursgevoelige informatie; kortom alle informatie die (nog) niet voor derden is bestemd. | NB Vertrouwelijke bedrijfsgegevens, zoals bijvoorbeeld (nog vertrouwelijke) financiële, technische of juridische informatie, budgetten, beleidsvoornemens, aanbestedingen, beursgevoelige informatie; kortom alle informatie die (nog) niet voor derden is bestemd. | ||
Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (pre- | Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (pre-DPIA, DPIA en/of risicobeoordeling). | ||
NB Die gedetailleerde risicoanalyse zal in het geval van: | NB Die gedetailleerde risicoanalyse zal in het geval van: | ||
* Privacy gevoelige gegevens bestaan uit een zogenaamde | * Privacy gevoelige gegevens bestaan uit een zogenaamde pre-DPIA (risico inschatting op basis van 9 vragen), afhankelijk van de uitkomst gevolgd door een formele DPIA. | ||
* vertrouwelijke informatie zal classificatie plaatsvinden door de Betrouwbaarheidseisen te toetsen (= gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid). | * vertrouwelijke informatie zal classificatie plaatsvinden door de Betrouwbaarheidseisen te toetsen (= gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid). | ||
Zo nee, ga naar vraag 2. | Zo nee, ga naar vraag 2. | ||
'''Te beschermen belangen''' | |||
Vraag 2: Gaat het om één van de volgende typen processen (is het karakter van de processen)? | |||
2a) Gaat het om de verwerking van gegevens en/of geldstromen in een of meerdere processen van onze organisatie die niet in de handen mogen vallen van de criminaliteit, omdat dat het vertrouwen dat burger en bedrijf stellen in ons als betrouwbare overheid ernstig zou kunnen schaden? | 2a) Gaat het om de verwerking van gegevens en/of geldstromen in een of meerdere processen van onze organisatie die niet in de handen mogen vallen van de criminaliteit, omdat dat het vertrouwen dat burger en bedrijf stellen in ons als betrouwbare overheid ernstig zou kunnen schaden? | ||
Regel 60: | Regel 65: | ||
Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (betrouwbaarheidseisen toetsen, en zo nodig meer en/of zwaardere beveiligingsmaatregelen overeenkomen, inclusief risicobeoordeling). | Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (betrouwbaarheidseisen toetsen, en zo nodig meer en/of zwaardere beveiligingsmaatregelen overeenkomen, inclusief risicobeoordeling). | ||
'''Betrouwbaarheid van producten en diensten''' | |||
Vraag 3: Biedt de leverancier een acceptabel niveau van dienstverlening? | |||
3a) Is de leverancier van de toepassing/applicatie [[NEN-ISO/IEC 27001]] gecertificeerd? | 3a) Is de leverancier van de toepassing/applicatie [[NEN-ISO/IEC 27001]] gecertificeerd? | ||
Regel 69: | Regel 77: | ||
3d) Is de leverancier bereid tot een externe (onafhankelijke) audit op compliance met wet- en regelgeving? | 3d) Is de leverancier bereid tot een externe (onafhankelijke) audit op compliance met wet- en regelgeving? | ||
Als één van deze 4 sub-vragen uit vraag 3 negatief wordt beantwoord, dan geldt dat er een alternatieve oplossing gezocht moet worden voor public clouddiensten, zoals een private cloud-omgeving, nu of in de toekomst geleverd vanuit de overheid, zoals Rijkscloud, of IT-outsourcing, of on-premise in een eigen rekencentrum. | Als één van deze 4 sub-vragen uit vraag 3 negatief wordt beantwoord, dan geldt dat er een alternatieve oplossing gezocht moet worden voor public clouddiensten, zoals een private cloud-omgeving, nu of in de toekomst geleverd vanuit de overheid, zoals Rijkscloud, of IT-outsourcing, of on-premise in een eigen rekencentrum. | ||
: → [[BIO Thema Clouddiensten/Inleiding#Context van de relatie tussen de CSC en de CSP|Ga terug naar Context van de relatie tussen de CSC en de CSP]] | |||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten | ||
}} | }} |
Huidige versie van 6 dec 2021 om 18:39
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De Beslisboom in afbeelding 'Beslisboom voor risicobeoordeling' ondersteunt stakeholders voor cloud-services bij het nemen van verantwoorde beslissingen voor het onderbrengen van gegevens en/of bedrijfsprocessen in de publieke cloud, private cloud, als uitbestede IT of in het eigen rekencentrum ‘on premise’. De beslisboom is uitgewerkt in relatie tot de risicoafweging.
Belangrijk daarbij is om de context van de overheid in de overweging mee te nemen. Overheden worden geacht om verantwoord om te gaan met gevoelige gegevens van burgers en bedrijven, maar ook met gegevens van eigen medewerkers. Zie voor de vraag die in stap 1 gesteld wordt over gegevens BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK.
De beslisboom wordt gebruikt als zelf-assessment en toetst achtereenvolgens op:
- Afhankelijkheid en kwetsbaarheid, Gaat het om een primair bedrijfsproces met gevoelige gegevens van burgers en/of bedrijven, waarbij (bijzondere) persoonsgegevens vanwege de Algemene Verordening Gegevensbescherming (AVG) extra zwaar wegen, zeker als het de persoonlijke veiligheid/privacy van eigen medewerkers betreft?
- Te Beschermen Belangen, Gaat het om zogenaamde cruciale belangen die van primair belang zijn voor het voortbestaan van de organisatie, waarbij het vertrouwen van de burger en het bedrijf in de betrouwbare overheid op het spel komt te staan indien die bescherming onvoldoende geborgd is?
- Betrouwbaarheid van producten en diensten, De betrouwbaarheid van de levering van producten en diensten is essentieel voor de organisatie. De Cloud Service Provider (CSP) vervuld daarin als belangrijkste actor een cruciale rol. Daarom is een passende dienstverlening nodig, waarbij het karakter van de te verwerken gegevens/processen daarvoor geschikt moet zijn.
Afhankelijk van de situationele context, zal het tevens gaan om bedrijfsgegevens die vallen in één van de hieronder geschetste domeinen uit afbeelding 'Schematische weergave soorten gegevens' en die de daarbij behorende passende maatregelen vergen.
Afhankelijkheid en kwetsbaarheid
Vraag 1: Gaat het om persoonsgegevens en/of (zeer) vertrouwelijke bedrijfsgegevens?
NB Onder persoonsgegevens verstaat de AVG alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), die direct of indirect kan worden geïdentificeerd. Bijvoorbeeld aan de hand van naam, identificatienummer (BSN), locatiegegevens of via elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam.
- Indirect identificeerbaar: Gegevens die naar hun aard mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld.
Voorbeelden van indirect zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven.
NB Vertrouwelijke bedrijfsgegevens, zoals bijvoorbeeld (nog vertrouwelijke) financiële, technische of juridische informatie, budgetten, beleidsvoornemens, aanbestedingen, beursgevoelige informatie; kortom alle informatie die (nog) niet voor derden is bestemd.
Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (pre-DPIA, DPIA en/of risicobeoordeling).
NB Die gedetailleerde risicoanalyse zal in het geval van:
- Privacy gevoelige gegevens bestaan uit een zogenaamde pre-DPIA (risico inschatting op basis van 9 vragen), afhankelijk van de uitkomst gevolgd door een formele DPIA.
- vertrouwelijke informatie zal classificatie plaatsvinden door de Betrouwbaarheidseisen te toetsen (= gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid).
Zo nee, ga naar vraag 2.
Te beschermen belangen
Vraag 2: Gaat het om één van de volgende typen processen (is het karakter van de processen)?
2a) Gaat het om de verwerking van gegevens en/of geldstromen in een of meerdere processen van onze organisatie die niet in de handen mogen vallen van de criminaliteit, omdat dat het vertrouwen dat burger en bedrijf stellen in ons als betrouwbare overheid ernstig zou kunnen schaden?
2b) Gaat het om een primair proces of processen van onze organisatie, waarbij geldt dat wanneer deze processen op enig moment worden belemmerd of gestopt, in dit voorbeeld de schade voor onze organisatie groot zal zijn (zowel in financiële zin als ook in termen van imago-schade)?
Zo nee, ga dan naar vraag 3. Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (betrouwbaarheidseisen toetsen, en zo nodig meer en/of zwaardere beveiligingsmaatregelen overeenkomen, inclusief risicobeoordeling).
Betrouwbaarheid van producten en diensten
Vraag 3: Biedt de leverancier een acceptabel niveau van dienstverlening?
3a) Is de leverancier van de toepassing/applicatie NEN-ISO/IEC 27001 gecertificeerd?
3b) Indien er sprake is van opslag van data bij een extern datacenter is dat datacenter ISO 27001 gecertificeerd of anderszins gecertificeerd (ISAE3402 of SOC2)?
3c) Waar worden eventuele (bron)gegevens van de provincie opgeslagen die gebruikt worden bij het werken met de toepassing/applicatie in verband met ongewenste opslag buiten Europa?
3d) Is de leverancier bereid tot een externe (onafhankelijke) audit op compliance met wet- en regelgeving?
Als één van deze 4 sub-vragen uit vraag 3 negatief wordt beantwoord, dan geldt dat er een alternatieve oplossing gezocht moet worden voor public clouddiensten, zoals een private cloud-omgeving, nu of in de toekomst geleverd vanuit de overheid, zoals Rijkscloud, of IT-outsourcing, of on-premise in een eigen rekencentrum.