Eigenschap:Stelling

Activiteiten van applicatiebouw worden gereviewd.  +

De beveiligingsfunctionaris zorgt onder andere voor: * de actualisatie van beveiligingsbeleid voor servers en besturingssystemen; * de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met onder andere de ketenpartijen; * de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; * de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; * de bespreking van beveiligingsissues met ketenpartijen; * het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.  +

De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.  +

De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten.  +

Op verzoek van de AP wordt middels de registers een actueel beeld gegeven.  +

Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 45</sup>.  +

Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning: * met disaster recovery procedures voor herstel van de applicatie-functionaliteit en data; * door een contractuele uitwijklocatie; * door de mogelijkheid van dataconversie naar alternatieve IT-systemen.  +

Adoptie van ontwikkelmethodologie wordt gemonitord.  +

Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.  +

Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd: * wet- en regelgeving en organisatorische/technische context; * risico-assessmentaanpak; * waarde assets en categorieën; * risico-evaluatiecriteria; * risico-acceptatiecriteria.  +

Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen: * Wie zijn de leveranciers of contractpartners van apps? * Wie is verantwoordelijk voor het goed functioneren van de app en de continuïteit?  +

De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 2</sup>, met daarin: #Het onderwerp en de duur van de verwerking. #De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief: ##Welke persoonsgegevens worden verstrekt aan de verwerker; ##Hoe dataminimalisatie is toegepast; #Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens; #De categorieën van betrokkenen, en: #De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.  +

De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA]]), door de verwerker.  +

Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s).  +

De generieke functies in de digitale basisinfrastructuur worden ingevuld door afspraken, standaarden en voorzieningen. Daarbij gaan afspraken boven standaarden en gaan standaarden boven voorzieningen.  +

Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.  +

Wij de burgers maken heldere afspraken met de overheid welke diensten geleverd moeten worden en aan wie.  +

De doorgifte mag ook plaatsvinden als<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 49</sup>: #De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving; #De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering; #De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; #De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging; #De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 96</sup>.  

Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast: * Netwerktoegangscontrole (Institute of Electrical and Electronics Engineers (IEEE) 802.1x) en apparaat-authenticatie (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers. * Integriteitcontrolemechanismen voorkomen man-in-the-middle attacks. * Encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast met backwards- compatibility-mogelijkheden voor de ondersteuning van oudere of minder sterke protocollen. * Autorisatie van mobiele clients, bijvoorbeeld via Media Access Control (MAC)-adresfiltering. * Toegangscontrole van eindgebruikers, bijvoorbeeld via Role Based Access Control (RBAC). * Niet toegestane typen netwerkverkeer worden geblokkeerd. * Niet benodigde functies zijn altijd uitgeschakeld (hardening). * Bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching en patchmanagement).  +

De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.  +

Alle externe toegang tot servers vindt versleuteld plaats.  +

Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.  +

Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.  +

Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.  +

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.  +