Eigenschap:Stelling

De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 2</sup>, met daarin: #Het onderwerp en de duur van de verwerking. #De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief: ##Welke persoonsgegevens worden verstrekt aan de verwerker; ##Hoe dataminimalisatie is toegepast; #Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens; #De categorieën van betrokkenen, en: #De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.  +

De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA]]), door de verwerker.  +

Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s).  +

De generieke functies in de digitale basisinfrastructuur worden ingevuld door afspraken, standaarden en voorzieningen. Daarbij gaan afspraken boven standaarden en gaan standaarden boven voorzieningen.  +

Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.  +

Wij de burgers maken heldere afspraken met de overheid welke diensten geleverd moeten worden en aan wie.  +

De doorgifte mag ook plaatsvinden als<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 49</sup>: #De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving; #De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering; #De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; #De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging; #De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 96</sup>.  

Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast: * Netwerktoegangscontrole (Institute of Electrical and Electronics Engineers (IEEE) 802.1x) en apparaat-authenticatie (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers. * Integriteitcontrolemechanismen voorkomen man-in-the-middle attacks. * Encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast met backwards- compatibility-mogelijkheden voor de ondersteuning van oudere of minder sterke protocollen. * Autorisatie van mobiele clients, bijvoorbeeld via Media Access Control (MAC)-adresfiltering. * Toegangscontrole van eindgebruikers, bijvoorbeeld via Role Based Access Control (RBAC). * Niet toegestane typen netwerkverkeer worden geblokkeerd. * Niet benodigde functies zijn altijd uitgeschakeld (hardening). * Bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching en patchmanagement).  +

De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.  +

Alle externe toegang tot servers vindt versleuteld plaats.  +

Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.  +

Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.  +

Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.  +

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.  +

Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).  +

Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.  +

Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.  +

Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x).  +

De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.  +

Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.  +

Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf.  +

Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.  +

De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.  +

Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.  +

Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.  +

Authenticatie-informatie wordt beschermd door middel van versleuteling.  +

Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)).  +

Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer: * ze niet langer nodig zijn; * gebruikers hun sessie expliciet hebben laten verlopen; * de limiet voor het verlopen van de harde sessies is bereikt.  +

Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld.  +

De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.  +

Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.  +

Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.  +

Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten: * De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend. * De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd. * De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken. * De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.  +

Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen.  +

Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.  +

Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn.  +

Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.  +

Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.  +

Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.  +

Door het kabinet is vastgesteld dat bij aanschaf en gebruik van ICT-producten en -diensten voor overheidstoepassingen het gebruik van open standaarden de norm is en open source software bij gelijke geschiktheid de voorkeur heeft boven gesloten source software.  +

De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren.  +

Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit: * Bedrijfsstrategie * Wet- en regelgeving * Huidige en verwachte bedreigingen op huisvesting IV  +

Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals: * Fysieke beveiligingszone * Fysieke toegangsbeveiligingspersoneel  +

Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.  +

De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.  +

De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.  +

De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.  +

De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst.  +

Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden).  +

In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat: #De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; #De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; #De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief: ##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben. ##Welke procedure wordt gevolgd in geval van een datalek. ##In welke landen de persoonsgegevens worden opgeslagen. #De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker. #Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief: ##Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker; ##Het contact dat de verwerker mag hebben met de betrokkenen. #De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking. #Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]]. #De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. #De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.  

Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.  +

De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP).  +

Op verzoek van betrokkene wordt de verwerking beperkt, indien: #De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren; #De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan; #De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of: #De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.  +

Bereikcontroles worden toegepast en gegevens worden gevalideerd.  +

De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten: * Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket. * Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.  +

Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen.  +

De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.  +

De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan: * definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden; * toegankelijkheid van deze plannen voor verantwoordelijke functionarissen; * toewijzen van een verantwoordelijke voor de review, update en goedkeuring; * definiëren van communicatiekanalen; * herstelprocedures; * methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan; * continu verbeteringsproces van het BCM-plan; * relaties met beveiligingsincidenten.  +

De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie.  +

Beschrijf de dienst nauwkeurig en positioneer deze helder binnen het dienstenaanbod.  +

Beschrijf de toegepaste informatieobjecten voor een dienst systematisch in een informatiemodel en voorzie de informatieobjecten van een unieke identificatie.  +

De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.  +

De Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.  +

De functionele samenhang van de servicecomponenten is beschreven.  +

Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.  +

De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.  +

De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven.  +

De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.  +

Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.  +

De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen: #De bedrijfsprocessen; #Organisaties en organisatieonderdelen; #De verwerkingen; #De locaties waar persoonsgegevens worden opgeslagen; #De gegevensuitwisselingen (binnen en buiten de eigen organisatie); #De systemen.  +

De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: * Contracten: ** niet beschikbaar zijn van de afgesproken prestatie; ** eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA); ** prijsverhoging. * Geleverde prestatie/ondersteuning: ** onvoldoende compensatie voor storingen; ** niet leveren van de afgesproken beschikbaarheid of prestatie; ** gebrekkige ondersteuning. * Clouddienst(en): ** nieuwe eigenaar of nieuwe strategie; ** einde van de levensduur van clouddiensten als softwarepakket; ** achterwege blijvende features.  +

Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.  +

Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.  +

Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken.  +

Afnemers kunnen erop vertrouwen dat de dienstverlener zich aan afspraken houdt.  +

De systeembeschrijving bevat de volgende aspecten: * typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s); * principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven; * beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten; * hoe met beveiligingsincidenten wordt omgegaan; * rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken; * (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.  +

Het raamwerk bevat de volgende aspecten: * beveiligingsbeleid van de Cloud Service Provider (CSP) met principes en wet- en regelgeving; * functioneel; typen en scope van de clouddiensten; * zoneringsmodel voor scheiding tussen Cloud service Consumers (CSC’s); * trust framework (afspraken en maatregelen ter bevordering van de vertrouwensrelatie); * Service Level Agreements (SLA’s) en valide certificaten; * risicomanagement.  +

Het cloud-beveiligingsbeleid bevat: * Organische georiënteerde maatregelen: ** informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services; ** communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen; ** communicatie van beveiligingsinbreuken en het delen van informatie; ** richtlijnen voor de ondersteuning van (forensische) onderzoeken; ** compliancy-maatregelen op wet- en regelgeving. * Technisch georiënteerde maatregelen: ** multi-tenancy en isolatie van de CSC; ** toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services; ** toegang tot en protectie van de data van de CSC; ** levenscyclusmanagement van CSC-accounts; ** risico’s gerelateerd aan niet geautoriseerde insiders; ** virtualisatie beveiliging; ** beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.  +

Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.  +

Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren.  +

Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]] of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).  +

Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang: * defence in depth (beveiliging op verschillende lagen); * secure by default; * least privilege (minimaal toegangsniveau); * fail secure, waarbij informatie door een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd; * eenduidige naamgevingsconventie; * minimalisatie van single points of failure.  +

Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.  +

Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.  +

De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.  +

De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.  +

De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het: * ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid; * ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; * definiëren van een set beveiligingsdiensten; * coördineren van beveiliging door de gehele organisatie; * monitoren van de effectiviteit van clouddienstreglementen; * bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.  +

Bied de dienst aan wanneer dit in het belang is of zou kunnen zijn voor de afnemer.  +

Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen.  +

Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.  +

De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij: * Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan. * Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.  +

Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden.  +

Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op: * het testen van de functionele requirements; * het testen van de business rules voor de betrokken bedrijfsprocessen; * de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.  +

Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.  +

Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen: * Applicatieniveau, Voor authenticiteit, integriteit, vertrouwelijkheid en onweerlegbaarheid: encryptie. * Transportniveau, Voor veilige point to point-verbindingen: encryptie. * Netwerkniveau, Voor veilige communicatie tussen devices, encryptie, firewalls en netwerkverbindingen: Virtual Private Network (VPN).  +

Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals: * mogelijke invoerbronnen voor data en connecties met andere applicaties (componenten); * connecties tussen modules binnen de applicatie en connecties met andere applicaties; * gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage; * uitvoer van informatie naar andere applicaties en beveiliging hiervan; * mogelijke transmissie van data tussen applicaties.  +

Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]], een verwerkingsactiviteitenregister bijgehouden.  +

Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.  +