BIO Thema Clouddiensten - Beslisbomen voor risicobeoordeling IV-diensten
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Beslisbomen ondersteunen stakeholders voor cloudservices bij het nemen van verantwoorde beslissingen voor het onderbrengen van gegevens en/of bedrijfsprocessen, zowel in de Public Cloud als in een Private Cloud of als uitbestede IT of in het eigen rekencentrum ‘on premise’.
Hieronder is als aanpak een beslisboom uitgewerkt en in relatie tot de risicoafweging. Belangrijk daarbij is de context van de overheid in de overweging mee te nemen. Overheden worden geacht om verantwoord om te gaan met gevoelige gegevens van burgers en bedrijven, maar ook met gegevens van eigen medewerkers. Zie voor de vraag die in stap 1 gesteld wordt over gegevens BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK.
De beslisboom wordt gebruikt als zelf-assessment en toetst achtereenvolgens op:
Afhankelijkheid en kwetsbaarheid
Gaat het om een primair bedrijfsproces met gevoelige gegevens van burgers en/of bedrijven, waarbij (bijzondere) persoonsgegevens in het kader van de AVG extra zwaar wegen, zeker als het de persoonlijke veiligheid/privacy van eigen medewerkers betreft?
Te Beschermen Belangen
Gaat het om zogenaamde cruciale belangen die van primair belang zijn voor het voortbestaan van de organisatie, waarbij het vertrouwen van burger en bedrijf in de betrouwbare overheid op het spel komt te staan indien die bescherming onvoldoende geborgd is?
Betrouwbaarheid van producten en diensten
De betrouwbaarheid van levering van producten en diensten is essentieel voor onze organisatie. De leverancier/provider vervuld daarin als belangrijkste actor een cruciale rol. Daarom is een passende dienstverlening nodig, waarbij het karakter van de te verwerken gegevens /processen daar geschikt voor moet zijn?
Afhankelijk van de situationele context, zal het tevens gaan om bedrijfsgegevens die vallen in één van de hieronder geschetste aspecten en die de daarbij behorende passende maatregelen vergen.
Vraag 1: Gaat het om persoonsgegevens en/of (zeer) vertrouwelijke bedrijfsgegevens?
NB Onder persoonsgegevens verstaat de AVG (Algemene Verordening Gegevensbescherming) alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), die direct of indirect kan worden geïdentificeerd. Bijvoorbeeld aan de hand van naam, identificatienummer (BSN), locatiegegevens of via elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- Direct identificeerbaar: Gegevens die naar hun aard rechtstreeks betrekking hebben op een persoon, zoals iemands naam.
- Indirect identificeerbaar: Gegevens die naar hun aard mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld.
Voorbeelden van indirect zijn het type huis of auto van een betrokkene, omdat dit iets zegt over het inkomen en vermogen van de betrokkene. Ook gegevens die in combinatie met andere gegevens tot identificeerbaarheid kunnen leiden worden aangemerkt als persoonsgegeven.
NB Vertrouwelijke bedrijfsgegevens, zoals bijvoorbeeld (nog vertrouwelijke) financiële, technische of juridische informatie, budgetten, beleidsvoornemens, aanbestedingen, beursgevoelige informatie; kortom alle informatie die (nog) niet voor derden is bestemd.
Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (pre-PIA, PIA en/of risicobeoordeling).
NB Die gedetailleerde risicoanalyse zal in het geval van:
- Privacy gevoelige gegevens bestaan uit een zogenaamde Pre-PIA (risico inschatting op basis van 9 vragen), afhankelijk van de uitkomst gevolgd door een formele (D)PIA.
- vertrouwelijke informatie zal classificatie plaatsvinden door de Betrouwbaarheidseisen te toetsen (= gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid).
Zo nee, ga naar vraag 2.
Vraag 2: Gaat het om één van de volgende type processen (= karakter van de processen)?
2a) Gaat het om de verwerking van gegevens en/of geldstromen in een of meerdere processen van onze organisatie die niet in de handen mogen vallen van de criminaliteit, omdat dat het vertrouwen dat burger en bedrijf stellen in ons als betrouwbare overheid ernstig zou kunnen schaden?
2b) Gaat het om een primair proces of processen van onze organisatie, waarbij geldt dat wanneer deze processen op enig moment worden belemmerd of gestopt, in dit voorbeeld de schade voor onze organisatie groot zal zijn (zowel in financiële zin als ook in termen van imago-schade)?
Zo nee, ga dan naar vraag 3. Zo ja, dan is een meer gedetailleerde risicoanalyse noodzakelijk (betrouwbaarheidseisen toetsen, en zo nodig meer en/of zwaardere beveiligingsmaatregelen overeenkomen, inclusief risicobeoordeling).
Vraag 3: Biedt de leverancier een acceptabel niveau van dienstverlening?
3a) Is de leverancier van de toepassing/applicatie NEN-ISO/IEC 27001 gecertificeerd?
3b) Indien er sprake is van opslag van data bij een extern datacenter is dat datacenter ISO 27001 gecertificeerd of anderszins gecertificeerd (ISAE3402 of SOC2)?
3c) Waar worden eventuele (bron)gegevens van de provincie opgeslagen die gebruikt worden bij het werken met de toepassing/applicatie in verband met ongewenste opslag buiten Europa?
3d) Is de leverancier bereid tot een externe (onafhankelijke) audit op compliance met wet- en regelgeving?
Als één van deze 4 sub-vragen uit vraag 3 negatief wordt beantwoord, dan geldt dat er een alternatieve oplossing gezocht moet worden voor public clouddiensten, zoals een private cloud-omgeving, nu of in de toekomst geleverd vanuit de overheid, zoals Rijkscloud, of IT-outsourcing, of on-premise in een eigen rekencentrum.
Afbeelding zonder nummer uit pagina 60 toevoegen: 'Schematische weergave vragen'
Kijken naar de tekst onderin voordat het een versie 2.0 wordt. Matcht dit met het origineel?