Eigenschap:Stelling

De programmacode is beschermd tegen ongeautoriseerde wijzigingen.  +

Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling: * heeft een eigenaar; * is voorzien van een datum en versienummer; * bevat een documenthistorie (wat is wanneer en door wie aangepast); * is actueel, juist en volledig; * is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.  +

Aan het management worden evaluatierapportages verstrekt.  +

Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten.  +

Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.  +

De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven: * een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement; * hoe (functioneel) cloud-beveiliging de weerbaarheid tegen hoge impactincidenten bewerkstelligt.  +

De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP): * geeft onder andere aan hoe zij Cloud Service Consumers (CSC’s) tegen bedreigingen beschermt; * besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden, capaciteiten en informatiebeveiligingsfunctie.  +

Aankomst- en vertrektijden van bezoekers worden geregistreerd.  +

Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem.  +

De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten.  +

De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.  +

Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.  +

Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.  +

Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.  +

Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.  +

Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform [[ISOR:Risicomanagement-_Privacy_by_Design_en_de_GEB|B.03: Risicomanagement, Privacy by Design en de DPIA]].  +

Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]], [[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]] en [[ISOR:Toegang gegevensverwerking voor betrokkenen|PRIV_C.02 Toegang gegevensverwerking voor betrokkenen]].  +

Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen.  +

Als geen gebruik wordt gemaakt van twee-factorauthenticatie: * is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; * vervalt vanaf een wachtwoordlengte van 20 posities de complexiteitseis; * is het aantal inlogpogingen maximaal 10; * is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen, vastgelegd.  +

Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende: * Welk typen gegevens moeten voor welke communicatievorm worden versleuteld. * Welk typen gegevens elektronisch worden ondertekend. * Aan welke standaarden cryptografische toepassingen dienen te voldoen. * In hoeverre backward compatibility voor algoritmen en protocollen voor netwerken mag worden toegepast.  +

Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkene<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 16 lid 1</sup>.  +

Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.  +

Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd.  +

Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving.  +

In de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen.  +

Activiteiten van applicatiebouw worden gereviewd.  +

De beveiligingsfunctionaris zorgt onder andere voor: * de actualisatie van beveiligingsbeleid voor servers en besturingssystemen; * de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met onder andere de ketenpartijen; * de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen; * de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s; * de bespreking van beveiligingsissues met ketenpartijen; * het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.  +

De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen.  +

De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten.  +

Op verzoek van de AP wordt middels de registers een actueel beeld gegeven.  +

Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 45</sup>.  +

Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning: * met disaster recovery procedures voor herstel van de applicatie-functionaliteit en data; * door een contractuele uitwijklocatie; * door de mogelijkheid van dataconversie naar alternatieve IT-systemen.  +

Adoptie van ontwikkelmethodologie wordt gemonitord.  +

Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.  +

Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd: * wet- en regelgeving en organisatorische/technische context; * risico-assessmentaanpak; * waarde assets en categorieën; * risico-evaluatiecriteria; * risico-acceptatiecriteria.  +

Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen: * Wie zijn de leveranciers of contractpartners van apps? * Wie is verantwoordelijk voor het goed functioneren van de app en de continuïteit?  +

De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 2</sup>, met daarin: #Het onderwerp en de duur van de verwerking. #De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief: ##Welke persoonsgegevens worden verstrekt aan de verwerker; ##Hoe dataminimalisatie is toegepast; #Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens; #De categorieën van betrokkenen, en: #De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.  +

De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA]]), door de verwerker.  +

Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s).  +

De generieke functies in de digitale basisinfrastructuur worden ingevuld door afspraken, standaarden en voorzieningen. Daarbij gaan afspraken boven standaarden en gaan standaarden boven voorzieningen.  +

Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack.  +

Wij de burgers maken heldere afspraken met de overheid welke diensten geleverd moeten worden en aan wie.  +

De doorgifte mag ook plaatsvinden als<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 49</sup>: #De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht; #De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving; #De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering; #De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; #De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging; #De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 96</sup>.  

Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast: * Netwerktoegangscontrole (Institute of Electrical and Electronics Engineers (IEEE) 802.1x) en apparaat-authenticatie (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers. * Integriteitcontrolemechanismen voorkomen man-in-the-middle attacks. * Encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast met backwards- compatibility-mogelijkheden voor de ondersteuning van oudere of minder sterke protocollen. * Autorisatie van mobiele clients, bijvoorbeeld via Media Access Control (MAC)-adresfiltering. * Toegangscontrole van eindgebruikers, bijvoorbeeld via Role Based Access Control (RBAC). * Niet toegestane typen netwerkverkeer worden geblokkeerd. * Niet benodigde functies zijn altijd uitgeschakeld (hardening). * Bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching en patchmanagement).  +

De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.  +

Alle externe toegang tot servers vindt versleuteld plaats.  +

Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.  +

Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.  +

Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.  +

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.  +

Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode).  +

Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.  +

Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.  +

Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x).  +

De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd.  +

Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd.  +

Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf.  +

Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.  +

De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem.  +

Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd.  +

Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.  +

Authenticatie-informatie wordt beschermd door middel van versleuteling.  +

Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)).  +

Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer: * ze niet langer nodig zijn; * gebruikers hun sessie expliciet hebben laten verlopen; * de limiet voor het verlopen van de harde sessies is bereikt.  +

Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld.  +

De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.  +

Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.  +

Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast.  +

Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten: * De entiteit die verantwoordelijk is voor de communicatievoorzieningen wordt bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend. * De rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd. * De netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken. * De coördinatie en het overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.  +

Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen.  +

Maak in alle stappen van ontwerp en doorontwikkeling van de dienst de risico's inzichtelijk en stuur op een afgewogen beheersing ervan.  +

Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn.  +

Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.  +

Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie.  +

Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden.  +

Door het kabinet is vastgesteld dat bij aanschaf en gebruik van ICT-producten en -diensten voor overheidstoepassingen het gebruik van open standaarden de norm is en open source software bij gelijke geschiktheid de voorkeur heeft boven gesloten source software.  +

De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren.  +

Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit: * Bedrijfsstrategie * Wet- en regelgeving * Huidige en verwachte bedreigingen op huisvesting IV  +

Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals: * Fysieke beveiligingszone * Fysieke toegangsbeveiligingspersoneel  +

Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.  +

De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.  +

De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen.  +

De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.  +

De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst.  +

Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden).  +

In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat: #De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; #De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; #De beveiliging van de verwerking is geborgd, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], inclusief: ##Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben. ##Welke procedure wordt gevolgd in geval van een datalek. ##In welke landen de persoonsgegevens worden opgeslagen. #De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker. #Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief: ##Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker; ##Het contact dat de verwerker mag hebben met de betrokkenen. #De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking. #Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform [[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]]. #De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties. #De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.  

Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept.  +

De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP).  +

Op verzoek van betrokkene wordt de verwerking beperkt, indien: #De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren; #De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan; #De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of: #De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.  +

Bereikcontroles worden toegepast en gegevens worden gevalideerd.  +

De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten: * Alle gebruikers zijn juist geauthentiseerd voordat ze toegang krijgen tot (modulen van) het softwarepakket. * Gebruikers kunnen veilig worden toegevoegd, verwijderd en/of geüpdatet in functies/functionaliteiten.  +

Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen.  +

De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.  +

De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan: * definiëren van de scope waarbij rekening wordt gehouden met de afhankelijkheden; * toegankelijkheid van deze plannen voor verantwoordelijke functionarissen; * toewijzen van een verantwoordelijke voor de review, update en goedkeuring; * definiëren van communicatiekanalen; * herstelprocedures; * methode voor het implementeren van het bedrijfscontinuïteitsmanagement (BCM)-plan; * continu verbeteringsproces van het BCM-plan; * relaties met beveiligingsincidenten.  +

De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie.  +

Beschrijf de dienst nauwkeurig en positioneer deze helder binnen het dienstenaanbod.  +

Beschrijf de toegepaste informatieobjecten voor een dienst systematisch in een informatiemodel en voorzie de informatieobjecten van een unieke identificatie.  +

De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten.  +

De Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.  +

De functionele samenhang van de servicecomponenten is beschreven.  +

Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.  +

De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.  +

De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven.  +

De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.  +

Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.  +

De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen: #De bedrijfsprocessen; #Organisaties en organisatieonderdelen; #De verwerkingen; #De locaties waar persoonsgegevens worden opgeslagen; #De gegevensuitwisselingen (binnen en buiten de eigen organisatie); #De systemen.  +

De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan: * Contracten: ** niet beschikbaar zijn van de afgesproken prestatie; ** eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA); ** prijsverhoging. * Geleverde prestatie/ondersteuning: ** onvoldoende compensatie voor storingen; ** niet leveren van de afgesproken beschikbaarheid of prestatie; ** gebrekkige ondersteuning. * Clouddienst(en): ** nieuwe eigenaar of nieuwe strategie; ** einde van de levensduur van clouddiensten als softwarepakket; ** achterwege blijvende features.  +

Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen.  +

Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.  +

Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken.  +

Afnemers kunnen erop vertrouwen dat de dienstverlener zich aan afspraken houdt.  +

De systeembeschrijving bevat de volgende aspecten: * typen en scope van clouddiensten weergegeven met Service Level Agreements (SLA’s); * principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven; * beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van clouddiensten; * hoe met beveiligingsincidenten wordt omgegaan; * rollen en verantwoordelijkheden van de Cloud Service Provider (CSP) en Cloud Service Consumer (CSC), inclusief de verplichting om samen te werken; * (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contractanten.  +

Het raamwerk bevat de volgende aspecten: * beveiligingsbeleid van de Cloud Service Provider (CSP) met principes en wet- en regelgeving; * functioneel; typen en scope van de clouddiensten; * zoneringsmodel voor scheiding tussen Cloud service Consumers (CSC’s); * trust framework (afspraken en maatregelen ter bevordering van de vertrouwensrelatie); * Service Level Agreements (SLA’s) en valide certificaten; * risicomanagement.  +

Het cloud-beveiligingsbeleid bevat: * Organische georiënteerde maatregelen: ** informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van cloud-services; ** communicatie met de Cloud Service Consumer (CSC) in relatie tot en tijdens wijzigingen; ** communicatie van beveiligingsinbreuken en het delen van informatie; ** richtlijnen voor de ondersteuning van (forensische) onderzoeken; ** compliancy-maatregelen op wet- en regelgeving. * Technisch georiënteerde maatregelen: ** multi-tenancy en isolatie van de CSC; ** toegangsprocedures, bijvoorbeeld sterke authenticatie voor toegang tot cloud-services; ** toegang tot en protectie van de data van de CSC; ** levenscyclusmanagement van CSC-accounts; ** risico’s gerelateerd aan niet geautoriseerde insiders; ** virtualisatie beveiliging; ** beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.  +

Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld.  +

Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren.  +

Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]] of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).  +

Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang: * defence in depth (beveiliging op verschillende lagen); * secure by default; * least privilege (minimaal toegangsniveau); * fail secure, waarbij informatie door een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd; * eenduidige naamgevingsconventie; * minimalisatie van single points of failure.  +

Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.  +

Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.  +

De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.  +

De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.  +

De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het: * ontwikkelen en onderhouden van een beveiligingsstrategie en het -beleid; * ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen; * definiëren van een set beveiligingsdiensten; * coördineren van beveiliging door de gehele organisatie; * monitoren van de effectiviteit van clouddienstreglementen; * bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.  +

Bied de dienst aan wanneer dit in het belang is of zou kunnen zijn voor de afnemer.  +

Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen.  +

Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.  +

De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij: * Technische maatregelen voorkomen dat gebruikers en beheerders toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan. * Gebruikers met nood-toegangsrechten (tijdens calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) zijn gedocumenteerd door het management geaccordeerd en wordt uitgevoerd met functiescheiding. Noodtoegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.  +

Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden.  +

Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op: * het testen van de functionele requirements; * het testen van de business rules voor de betrokken bedrijfsprocessen; * de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.  +

Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.  +

Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen: * Applicatieniveau, Voor authenticiteit, integriteit, vertrouwelijkheid en onweerlegbaarheid: encryptie. * Transportniveau, Voor veilige point to point-verbindingen: encryptie. * Netwerkniveau, Voor veilige communicatie tussen devices, encryptie, firewalls en netwerkverbindingen: Virtual Private Network (VPN).  +

Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals: * mogelijke invoerbronnen voor data en connecties met andere applicaties (componenten); * connecties tussen modules binnen de applicatie en connecties met andere applicaties; * gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage; * uitvoer van informatie naar andere applicaties en beveiliging hiervan; * mogelijke transmissie van data tussen applicaties.  +

Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]], een verwerkingsactiviteitenregister bijgehouden.  +

Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.  +

Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld.  +

Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.  +

De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbij<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 2j ; UAVG Art.24</sup>: #Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en #Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. ''De definitie van 'wetenschappelijk of historisch onderzoek' is te vinden in AVG overweging 159''.  +

De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 2i)</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht: #Nationaalrechtelijke algemene uitzonderingen<sup class="noot">UAVG Art. 23</sup>: ##De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting; ##De gegevens worden verwerkt door de [[AP (Autoriteit Persoonsgegevens)|Autoriteit persoonsgegevens]] of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of ##De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt. #Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijkt<sup class="noot">UAVG Art. 25</sup>: ##Verwerking met het oog op de identificatie van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of ##Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover: ###De verwerking voor dat doel noodzakelijk is; ###De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en ###De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt. #De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies<sup class="noot">UAVG Art. 26</sup>: ##de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges. #De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorging<sup class="noot">UAVG Art. 27</sup>: ##De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt. ##Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene. #De verwerking van genetische gegevens<sup class="noot">UAVG Art. 28</sup>: ##De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen. ##Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien: ###De betrokkene uitdrukkelijke toestemming heeft gegeven; en ###Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt. #De verwerking van biometrische gegevens<sup class="noot">UAVG Art. 29</sup>: ##de verwerking vindt plaats ten behoeve van de unieke identificatie van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.  

De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt door<sup class="noot">UAVG Art. 30 lid 2</sup>: #Scholen, voor zover de verwerking met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is; #Een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming, de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet, of de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover de verwerking noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken; of: #Onze Minister en Onze Minister van Justitie en Veiligheid voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is. Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvan<sup class="noot">UAVG Art. 30 lid 4</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid<sup class="noot">UAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f)</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt<sup class="noot">UAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d)</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 2b</sup>.<br> Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk is<sup class="noot">UAVG Art 30 lid 1</sup> voor: *Een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of *De reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvan<sup class="noot">UAVG Art. 30 lid 4</sup>. <br><br>NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6).  

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven<sup class="noot">UAVG art. 22 lid 2b ; </sup><sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 2c</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt<sup class="noot">UAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e)</sup>.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden<sup class="noot">UAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a</sup>.<br>Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen.<br>''Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag''.  +

De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 2h)</sup>. <br><br>De verwerking geschiedt door<sup class="noot">UAVG Art. 30 lid 3)</sup> : #Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk. Hierbij geldt dat het verbod om andere bijzondere categorieën persoonsgegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is in aanvulling op deze verwerking met het oog op een goede behandeling of verzorging van de betrokkene<sup class="noot">UAVG Art. 30 lid 5</sup> ; of #Verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor: ##De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of: ##De uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering. Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvan<sup class="noot">UAVG Art. 30 lid 4</sup>. <br><br> Als voorwaarde en waarborg geldt: #de gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of #door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 9 lid 3</sup>.<br>''Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld'' <sup class="noot">UAVG Art 30 lid 6</sup>.  

Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het [[AIVD (Algemene Inlichtingen- en Veiligheidsdienst)#Businessunit Nationaal Bureau voor Verbindingsbeveiliging (NBV)|Nationaal Bureau voor Verbindingsbeveiliging (NBV)]] een positief inzetadvies heeft afgegeven.  +

Maak bij de ontwikkeling van diensten gebruik van een modulaire indeling met een maximale interne samenhang en minimale externe koppelingen.  +

Bundel de dienst met andere voor de afnemer relevante diensten binnen de keten, zodat die in één keer afgenomen kunnen worden.  +

De te registreren acties worden centraal opgeslagen.  +

Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|ISO 27001 (Managementsystemen voor informatiebeveiliging)]] en [[NEN-EN-ISO 50001:2018 (Energiemanagementsystemen - Eisen met gebruiksrichtlijnen)|ISO 50001 (Energiemanagement) gecertificeerd]].  +

Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.  +

Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.  +

Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten.  +

Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie.  +

De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.  +

Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register ([[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]]).  +

De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5 lid 2</sup>.  +

Kom de gemaakte continuïteitsafspraken na om de beschikbaarheid van de dienst te garanderen.  +

Zorg dat de beoogde toegang tot gegevens en de juiste werking van de systemen continu alsook achteraf te controleren is.  +

Waarborg de integriteit van gegevens en systeemfuncties.  +

De versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat.  +

Continue bewaking via monitoring legt de volgende informatie vast: * auditlogs vanuit de netwerkcomponenten: firewalls, router, servers etc.; * analyse-informatie vanuit Intrusion Detection Systems (IDS); * resultaten vanuit netwerkscanningsactiviteiten.  +

De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd.  +

De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management.  +

De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten.  +

De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software.  +

De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.  +

Wijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.)  +

Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de [[Forum Standaardisatie]]-lijst: * [[AES|Advanced Encryption Standard (AES)]]; * Sleutellengte 128 bit voor ‘lichte’ en 192 of 256 bits voor ‘zware’ toepassingen.  +

Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het [[Forum Standaardisatie]].  +

In situaties waar geen twee-factorauthenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.  +

Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten).  +

De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen.  +

Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).  +

Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.  +

De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen.  +

De patchmanagementprocedure is actueel en beschikbaar.  +

De quality assurance-methodiek wordt conform de richtlijnen nageleefd.  +

Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management.  +

De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd.  +

De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op: * het inrichten van standaard firmware-configuraties; * het gebruik van gestandaardiseerde vooraf bepaalde serverimages voor het bouwen/configureren van servers; * het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s); * het verwijderen, uitschakelen en/of beperken van onnodige functies en services; * het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameterinstellingen; * het beschermen tegen ongeoorloofde toegang; * het uitvoeren van standaard beveiligingsbeheerpraktijken.  +

Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid.  +

Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces.  +

De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates.  +

De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.  +

De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document: * heeft een eigenaar; * is voorzien van een datum en versienummer; * bevat een documenthistorie (wat is wanneer en door wie aangepast); * is actueel, juist en volledig; * is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.  +

De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden.  +

De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery).  +

De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.  +

De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.  +

De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.  +

De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.  +

De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.  +

De beveiligingsarchitectuur is gelaagd, zoals: * het [[Beveiliging/metamodel|Nederlandse Overheid Referentie Architectuur (NORA)-beveiligingsmetamodel]]; * SABSA®.  +

De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuur van het te beveiligen systeem.  +

De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.  +

De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut.  +

De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn.  +

De communicatievoorzieningen worden geïdentificeerd en gedefinieerd.  +

De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.  +

De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek.  +

De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.  +

De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.  +

De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan.  +

De eindrapportage bevat, op basis van analyses, verbetervoorstellen.  +

De end-to-end-connectie: * wordt gecreëerd door scheiding van de adresseringsruimte en routeringen tussen Virtual Private Network (VPN’s) over het onderliggende netwerk; * geeft garanties dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken; * biedt bescherming tegen denial of service attacks en ongeautoriseerde toegang; * biedt bescherming tegen label spoofing (het mogelijk injecteren van foute labels).  +

De filterfunctie van gateways en firewalls zijn instelbaar.  +

De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.  +

De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden.  +

De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.  +

De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd.  +

Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices: * [[Telecommunications Infrastructure Standard for Data Centers|TIA-942: Telecommunication Infrastructure Standard for Data Centers]] * [https://www.nen.nl/ict/datacenters/en-50600#:~:text=De%20EN%2050600%20normenreeks%20bestaat,inclusief%20beheer%20en%20operationele%20informatie. NEN-EN 50600: Europese normenreeks voor datacenters] * [[NPR 5313:2014 (Computerruimten en datacenters)|NPR 5313: Richtlijn voor datacenters (2014)]]  +

De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals in [[ISOR:Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten|norm U.01.04]] is bedoeld en is in richtlijnen samengevat conform de [[NEN-ISO/IEC 27033-2:2012 (Network security - Guidelines for the design and implementation of network security)|ISO 27033-2 2012]].  +

De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt dankzij een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet door een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd.  +

De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd.  +

De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.  +

De locatie van de vastlegging van de loggegevens is vastgesteld.  +

De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole.  +

De loggegevens zijn beveiligd.  +

De malware-scan wordt op alle omgevingen uitgevoerd.  +

De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen: * netwerktopologie/-ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’; * identificatie- en authenticatiemechanismen; * autorisatiemechanismen en een actuele administratie van de uitgegeven rechten; * actuele beleidsregels voor de netwerkbeveiliging; * aanwijzingen voor hardening van netwerkcomponenten; * verifieerbare auditlogoplossing.  +

De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden.  +

Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.  +

Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan: * het evalueren van de requirementsanalyse, het ontwerp, de bouw, het testen en het opleveren van software; * het evalueren of de beveiligingscontrols (beleid, methoden en geprogrammeerde mechanismen voor de betrouwbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) zoals overeengekomen tijdens het risico-assessment zijn ontwikkeld en adequaat functioneren; * het vaststellen of de ontwikkelmethodologie is opgevolgd.  +

Nutsvoorzieningen: * zijn conform de technische beschrijving van de fabrikant en de lokale wettelijke eisen; * worden regelmatig onderzocht, om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen; * worden regelmatig geïnspecteerd en getest, om te waarborgen dat ze correct functioneren; * zijn zo nodig voorzien van een alarmsysteem, om disfunctioneren op te sporen; * beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.  +

Bij doorgifte aan een andere verantwoordelijke zijn: # De respectieve verantwoordelijkheden duidelijk, zodat door alle partijen aan de AVG-verplichtingen voldaan kan worden, met name met betrekking tot<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 26 lid 1</sup>: ##De uitoefening van de rechten van de betrokkene, conform [[ISOR:Toegang gegevensverwerking voor betrokkenen|PRIV_C.02: Toegang gegevensverwerking voor betrokkenen]], en: ##Het informeren van de betrokkenen bij ontvangst van de persoonsgegevens, conform [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]] #De regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteld<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 26 lid 3</sup>.  +

De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.  +

De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.  +

De opvolging van bevindingen is gedocumenteerd.  +

De organisatie beschikt over een beschrijving van de relevante controleprocessen.  +

De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten.  +

De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data).  +

De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn.  +

De organisatie past een strikt beleid toe voor het installeren en gebruiken van software.  +

De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.  +

De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan.  +

De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats.  +

De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie.  +

De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan: * gebruikte tools; * gebruikte licenties; * versiebeheer; * documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops en gebruikte externe bronnen.  +

De rechten van beheerders worden verleend op basis van rollen.  +

De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars.  +

De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.  +

De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk.  +

De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren.  +

De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch).  +

De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid.  +

De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.  +

De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd.  +

De samenhang van de processen wordt met een processtructuur vastgelegd.  +

De samenhang van de processen wordt met een processtructuur vastgelegd.  +

De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage.  +

De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan: * de eisen uit wet- en regelgeving inclusief privacy; * de contactuele eisen; * het informatiebeveiligingsbeleid van de organisatie; * de specifieke beveiligingseisen vanuit de business; * het classificatiemodel van de organisatie.  +

De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.  +

De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.  +

De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.  +

De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd.  +

De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd.  +

De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.  +

De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen.  +

De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande: * de uniformiteit en flexibiliteit van authenticatiemechanismen; * de rechten voor beheeraccounts; * de identificatie- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen; * autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.  +

De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen: * de robuustheid van het ontwerp met principes als ‘defence in depth’ en ‘inbraak betekent geen doorbraak’; * de sterkte van Identificatie-, Authenticatie en Autorisatie (IAA)-mechanismen en de relevantie van uitgegeven rechten; * de juiste implementatie van de beleidsregels voor netwerkbeveiliging; * de verificatie van de hardening van netwerkcomponenten; * de verificatie van de auditlogoplossing; * de bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen; * informatie over gebeurtenissen en incidenten, gerapporteerd door servicepersoneel en eindgebruikers.  +

De uitgevoerde koppelingen worden geregistreerd.  +

Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie.  +

De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.  +

De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.  +

De verzamelde log-informatie wordt in samenhang geanalyseerd.  +

Als er onverhoopt iets fout gaat, herstelt de overheid dat.  +, Burgers kunnen altijd voorstellen doen om de bestaande diensten uit te breiden of te veranderen.  +, De overheid levert de afgesproken diensten naar haar beste kunnen.  +, …

De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast.  +

Waarborg toegang tot en bescherming van infrastructuur, applicaties en systemen door het toepassen van meerdere lagen van beveiliging.  +

De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.  +

Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd.  +

Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het [[NCSC (Nationaal Cyber Security Centrum)|Nationaal Cyber Security Centrum (NCSC)]] (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).  +

We nemen de NORA Architectuurprincipes over als vertaling van denken vanuit de behoeften van burgers en bedrijven bij het realiseren van diensten.  +

De overheid stuurt op het voortdurend verbeteren van de dienstverlening.  +

De melding aan de betrokkene gebeurt onverwijld.  +

De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd.  +

Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan: * beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere Cloud Service Providers (CSP's) of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s); * identificatie van kritische producten en services; * identificaties van afhankelijkheden, processen, en business partners en derde partijen; * consequenties van verstoringen; * schattingen van vereiste resources voor herstel.  +

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6 lid 1</sup>: # De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; # De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; # De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6 lid 3</sup>; # De verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; # De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6 lid 3</sup>; # De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit onderdeel (punt 6) geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.  +

De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd).  +

Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerkt<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5</sup>. Hiertoe moet/moeten: # De gegevensverwerking transparant te zijn ([[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]] en [[ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens|PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens]]). # De gegevens juist te zijn en zo nodig te worden bijgewerkt ([[ISOR:Kwaliteitsmanagement|PRIV_U.03: Kwaliteitsmanagement]]). # De gegevens passend te worden beveiligd ([[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]]). # De gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is ([[ISOR:Bewaren van persoonsgegevens|PRIV_U.06: Bewaren van persoonsgegevens]]). Nota Bene: De AVG is niet van toepassing op de persoonsgegevens van overleden personen <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 27</sup>.  +

De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt: * inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt; * inventarisoverzichten kunnen vereist zijn voor: financieel (beheer van bedrijfsmiddelen), verzekeringen, gezondheid en veiligheidsredenen e.d.  +

Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen.  +

De melding aan de betrokkene is in duidelijke en eenvoudige taal.  +

E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.  +

Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]].  +

Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging.  +

Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).  +

Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals wachtwoorden en inbelnummers).  +

Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.  +

Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten.  +

De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.  +

Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken.  +

Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging).  +

Een technisch mechanisme zorgt voor (semi-)automatische updates.  +

Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]] gestelde eisen.  +

De eigenaar is verantwoordelijk voor: * het inventariseren van bedrijfsmiddelen; * het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop met bedrijfsregels en toegangsbeveiliging; * het passend classificeren en beschermen van bedrijfsmiddelen; * het procesmatig verwijderen van bedrijfsmiddelen.  +

De eigenaar is verantwoordelijk voor: * het identificeren van risico’s voor het toegangsbeveiligingssysteem door een informatielevenscyclus; * het beveiligd inrichten van het toegangsbeveiligingssysteem; * het onderhouden en het evalueren van het toegangsbeveiligingssysteem; * het ondersteunen van beveiligingsreviews.  +

Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002).  +

Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2).  +

De documentatie conform de standaarden omvat: * het bieden van gestandaardiseerde firmwareconfiguraties; * het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers; * het wijzigen van de standaardwaarden van leveranciers- en andere beveiligingsparameters; * het uitschakelen of beperken van onnodige functies en services; * het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter-instellingen (bijvoorbeeld Windows 'Register-editor'); * het beschermen tegen ongeoorloofde toegang; * het uitvoeren van standaard beveiligingsbeheerpraktijken.  +

De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management.  +

Logbestanden van gebeurtenissen bevatten, voor zover relevant: * gebruikersidentificaties; * systeemactiviteiten; * data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie; * identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie; * systeemconfiguratieveranderingen; * gebruik van speciale bevoegdheden; * alarmen die worden afgegeven door het toegangsbeveiligingssysteem; * activering en de-activering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen; * verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.  +

De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.  +

De melding aan de AP bevat ten minste<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 33a lid 3</sup>: #De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; #De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; #De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; #De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.  +

In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeld<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 33, lid 3b, 3c en 3d</sup>: #De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; #De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; #De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.  +

De verantwoordelijke functionaris analyseert periodiek: * de gelogde gebruikers- en activiteitengegevens van servers en serverplatforms; * het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen; * eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.  +

Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.  +

Het patchbeheerproces bevat methoden om: * patches te testen en te evalueren voordat ze worden geïnstalleerd; * patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk; * om te gaan met mislukte of niet uitgevoerde patches; * te rapporteren over de status van het implementeren van patches; * acties te bepalen als een technische kwetsbaarheid niet met een patch kan worden hersteld of een beschikbare patch niet kan worden aangebracht.  +

Het toegangvoorzieningsbeleid: * is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingsbeleid; * stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.  +

Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document: * heeft een eigenaar; * is voorzien van een datum en versienummer; * bevat een documenthistorie (wat is wanneer en door wie aangepast); * is actueel, juist en volledig; * is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd; * wordt actief onderhouden.  +

Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management.  +

De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.  +

Als de kans op misbruik en de verwachte schade beide hoog zijn ([[NCSC (Nationaal Cyber Security Centrum)|NCSC]]-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.  +

Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.  +

De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoen<sup class="noot">UAVG Art. 24 ; AVG Art. 9 lid 2j</sup>.  +

Het dienstverleningsniveau wordt afgestemd op de volgende eisen: * de vereiste performance en beschikbaarheid van het netwerk; * de toegestane verbindingstypen; * de toegestane netwerkprotocollen; * de toegepaste applicaties op de te leveren netwerkservices; * de beoogde architectuur- en ontwerpprincipes.  +

Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoekt<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12 lid 3</sup>.  +

Overeenkomsten over informatietransport bevatten onder andere de volgende elementen: * directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst; * procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheid; * speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie; * het handhaven van een bewakingsketen voor informatie tijdens de verzending; * acceptabele niveaus van toegangsbeveiliging.  +

Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen: * de looptijd van een overeenkomst; * de benodigde acties bij beëindiging; * de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie; * hoe het eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming; * het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken; * de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging; * de acties in geval van schending van de overeenkomst; * de privacyregelgeving ([[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]] en [[UAVG (Uitvoeringswet AVG)|Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)]]).  +

Enkele elementen van procedures voor wijzigingsbeheer zijn: * Alle wijzigingsverzoeken/Request for Changes (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen). * Het generieke wijzigingsproces heeft aansluiting met functioneel beheer. * Wijzigingen worden doorgevoerd door bevoegde medewerkers. * Van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld. * Uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd. * Aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.  +

Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd.  +

Elke gebruiker wordt geïdentificeerd met een identificatiecode.  +

Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar.  +

De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat: * doelstellingen en principes van de huisvesting IV-beveiliging bevat; * specifieke verantwoordelijkheden en rollen bevat; * processen voor het behandelen van afwijkingen en afzonderingen bevat; * procesmatig tot stand komt, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.  +

De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.  +

Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd.  +

De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.  +

De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie.  +

Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.  +

De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode.  +

De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij.  +

De geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria.  +

Het tool beschikt over faciliteiten voor: * het registreren van eisen en wensen; * het afhandelen van fouten; * het beveiligen van registraties (programmacode); * het continu integreren van componenten; * het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.  +

Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer.  +

Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties.  +

Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris.  +

Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd.  +

Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.  +

Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.  +

De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.  +

Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.  +

De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is: <br />''Het betreft een overheidsinstantie of overheidsorgaan'': de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; <br />''Een stelselmatige observatie op grote schaal is vereist'': een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen; <br />''De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten'': de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of [[AVG]] Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of [[AVG]] Art. 10 (zie [[ISOR:Doelbinding gegevensverwerking|PRIV_U.01: Doelbinding gegevensverwerking]]). In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.  +

Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules).  +

De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.  +

De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp.  +

Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende Cloud Service Providers (CSP’s)).  +

Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang: # Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd. # De wijze van verzameling van gegevens is niet privacygevoelig.  +

Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen: * onbeheerde en ad hoc-inzet van virtuele servers (zonder juiste procedures aanvraag, creëren en schonen); * overbelasting van resources ((CPU), geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.  +

Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd.  +

De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers.  +

De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers.  +

De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.  +

Isolatie van Cloud Service Consumer (CSC)-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.  +

Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 22 lid 3</sup>.  +

Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 22 lid 1</sup>: #Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of: #Is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of: #Berust op de uitdrukkelijke toestemming van de betrokkene.  +

Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 22 lid 2</sup>.<br> Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgd<sup class="noot">UAVG Art. 40</sup>.  +

Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM).  +

Het softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen.  +

Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt.  +

Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest.  +

We gebruiken functies die los van elkaar kunnen werken en samenwerken via gestandaardiseerde diensten.  +

Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn.  +

Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd.  +

Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes).  +

Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use).  +

Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.  +

Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.  +

Afnemers krijgen gerelateerde diensten gebundeld aangeboden.  +

Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.  +

Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.  +

Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.  +

Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan: * wet- en regelgeving ([[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]], [[Wet Computercriminaliteit III|wet Computercriminaliteit]], Encryptie e.d.) die invloed hebben op het ontwikkelen van applicaties; * het vertalen van de wet- en regelgeving en het overeengekomen informatiebeveiligingsbeleid, de architectuur en de standaarden tot concrete maatregelen binnen het ontwikkelproces; * het rapporteren van de evaluatie van compliance-checks op wet- en regelgeving en overeengekomen beleid, architectuur en standaarden die beschikbaar zijn gesteld aan het management; * het vastleggen van de verplichtingen voor security-compliance in een autorisatiematrix.  +

Informeer de afnemer over de dienst, zowel procesmatig als inhoudelijk.  +

De inzage doet geen afbreuk aan de rechten en vrijheden van anderen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14 lid 4</sup>.  +

Het gebruik van onveilig programmatechnieken is niet toegestaan.  +

Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken.  +

De verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig [[ISOR:Doelbinding gegevensverwerking|PRIV_U.01: Doelbinding gegevensverwerking]]) om nog persoonsgegevens van betrokkene te verwerken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 11</sup>. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.  +

Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing is<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 17 lid 1</sup>: #De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; #De betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking; #De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking. #De persoonsgegevens zijn onrechtmatig verwerkt; #De persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust; #De persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.  +

Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid.  +

Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie.  +

Geprogrammeerde controles worden ondersteund.  +

Virtuele machine platforms voor Cloud Service Consumers (CSC’s) met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.  +

Er wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits.  +

De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven.  +

Aangetoond is dat, conform [[ISOR:Beveiligen van de verwerking van persoonsgegevens|PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens]], passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).  +

<s>De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaan</s>.  +

De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeld<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12 lid 1</sup>.  +

De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP).  +

De handreiking: [https://www.cip-overheid.nl/productcategorie%C3%ABn-en-worshops/producten/secure-software/ Grip op Secure Software Development (SSD)] is uitgangspunt voor de ontwikkeling van software en systemen.  +

Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.  +

Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.  +

In geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels.  +

De Cloud Service Provider (CSP) hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.  +

Virtuele machine platforms zijn gehardend.  +

De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het: * ontwikkelen van het risicomanagementproces voor informatiebeveiliging dat toegespitst is op de omgeving van de CSP; * identificeren van analyses van de stakeholders; * definiëren van de rollen en verantwoordelijkheden van in- en externe partijen; * vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders en de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.  +

De Security Information and Event Management (SIEM) en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.  +

Om de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.  +

Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.  +

Ga uit van overheidsbreed hergebruik van diensten, of onderdelen daarvan voordat je overgaat tot het kopen of het laten maken.  +

De data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de Cloud Service Consumer (CSC) beschikbaar gesteld.  +

De data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur.  +

Als er onverhoopt iets fout gaat, herstelt de overheid dat.  +

Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is: * beschreven; * goedgekeurd door het management; * toegekend aan een verantwoordelijke functionaris. Het behandeld onder andere: planning, uitvoering van de scope, rapporteren en bespreken van verbetervoorstellen.  +

Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden.  +

Het al dan niet uitvoeren van patches voor programmacode is geregistreerd.  +

Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.  +

Het architectuurdocument wordt actief onderhouden.  +

Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).  +

Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.  +

Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.  +

Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 35 lid 11.</sup>.  +

Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd <sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 35 lid 1</sup>.  +

Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hierover<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 36.</sup>.  +

Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.  +

Het beoordelen vindt plaats met een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.  +

De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek.  +

Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit.  +

Het cryptografiebeleid stelt eisen aan: * wie verantwoordelijk is voor de implementatie en het sleutelbeheer; * het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag; * de wijze waarop de normen van het [[Forum Standaardisatie]] worden toegepast.  +

Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt.  +

Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen.  +

Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).  +

Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel.  +

De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.  +

De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten.  +

Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor: * de identificatie van bekende technische kwetsbaarheden; * een hoog-over-inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie; * de relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen; * het prioriteit geven aan herstel van onderkende kwetsbaarheden.  +

Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd.  +

Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.  +

Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen: * Onderhoud wordt uitgevoerd volgens de door de leverancier aanbevolen intervallen voor servicebeurten. * Alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit. * Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt een registratie bijgehouden. * Voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen. * Voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.  +

Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit.  +

Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is: * dat in het ontwerp rekening is gehouden met de principes van de beveiligingsarchitectuur en beveiligingsvereisten; * dat in het ontwerp rekening is gehouden met de risico’s van voorzienbare ontwikkelingen in het gebruik van IT door de organisatie.  +

Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals: * gebruikers-, beveiligings- en kwaliteitseisen; * business-vereisten (onder andere nut, noodzaak en kosten); * eisen die voortvloeien uit risico-assessments, dreigingsanalyse en prioritering ervan en technische beveiligingsreviews (en de prioritering daarvan); * eisen die voortvloeien uit de Business Impact Analyse (BIA) en Privacy Impact Assessment (PIA).  +

Het op afstand onderhouden van servers wordt strikt beheerd door: * het verifiëren van de bron van de verbinding op afstand; * het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit; * het beperken van het aantal gelijktijdige externe verbindingen; * het bewaken van activiteiten gedurende de gehele duur van de verbinding; * het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.  +

Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie.  +

Het principe van least-privilege wordt toegepast.  +

Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.  +

Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan: * het melden van de start van het project bij de verantwoordelijke voor de beveiligingsfunctie; * het gebruik van een classificatiemodel; * het toepassen van een assessment voor beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid; * het creëren van een risicoregister; * het registreren van belangrijke details in een bedrijfsapplicatieregister.  +

De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem.  +

Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’.  +

In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.  +

Het toewijzen van speciale toegangsrechten vindt plaats door een risicoafweging en met richtlijnen en procedures.  +

Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.  +

Het tool beschikt over faciliteiten voor versie- en releasebeheer.  +

Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages.  +

Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.  +

Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen door<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 5 lid 1e</sup>: *Minimale gegevensverwerking te garanderen; *Ervoor te zorgen dat de betrokkene niet meer geïdentificeerd kan worden, bijvoorbeeld door middel van pseudonimisering of anonimisering.  +

Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen: * Inleveren, Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. * Verwijderen, De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data meer op het apparaat aanwezig of toegankelijk is. * Vernietigen, Als verwijdering niet mogelijk is, wordt de data vernietigd. * Afvoeren, De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.  +

Hypervisors worden geconfigureerd om: * virtuele servers onderling (logisch) te scheiden met vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen; * de communicatie tussen virtuele servers te coderen; * de toegang te beperken tot een beperkt aantal geautoriseerde personen; * de rollen van hypervisoradministrators te scheiden.  +

De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij: * de levenscyclus van informatie (aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat; * de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.  +

Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 11 en 12; zie ook AVG overweging 57</sup>.  +

Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd.  +

De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]].  +

Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd.  +

Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden.  +

Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.  +

In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor: * de installatie en configuratie van systemen; * de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig; * de back-up; * de eisen voor de planning, met inbegrip van onderlinge verbondenheid met andere systemen; * de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen van het gebruik van systeemhulpmiddelen; * de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten door onverwachte bedienings- of technische moeilijkheden; * het beheer van audit- en systeemlogbestandinformatie; * de procedures voor het monitoren van activiteiten.  +

De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.  +

In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management).  +

In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn.  +

In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms.  +

In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: * Wanneer cryptografie ingezet wordt. * Wie verantwoordelijk is voor de implementatie. * Wie verantwoordelijk is voor het sleutelbeheer. * Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het [[Forum Standaardisatie]] worden toegepast. * De wijze waarop het beschermingsniveau wordt vastgesteld. * Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld  +

Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.  +

Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatie<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 13</sup>: #De identiteit en contactgegevens van de verantwoordelijke en, in voorkomend geval, zijn of haar vertegenwoordiger; #In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming; #De verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking; #De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 6.1f</sup>; #In voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens; #In voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien; #De periode dat de gegevens worden opgeslagen of de criteria ter bepaling van die termijn; #Dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht heeft bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid; #Dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming); #Dat de betrokkene een klacht mag indienen bij de AP; #Of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten; #Of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevens niet verstrekt; #Of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene; #Informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.  

Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatie<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 7</sup>: #De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke; #In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming; #De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking; #De betrokken categorieën persoonsgegevens; #In voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens; #Als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven, wordt informatie gegeven over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd; #De periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen; #Indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde; #Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid; #Wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking; #Dat de betrokkene het recht heeft een klacht in te dienen bij een AP; #De bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen; #Het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.  

De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens.  +

De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.  +

De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.  +

Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 12 lid 4</sup>.  +

Informatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrekt<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 14 lid 3</sup>.  +

Informatie over autorisatie(s) wordt vastgelegd.  +

De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.  +

Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van: * (onderlinge) afhankelijkheden; * software ten aanzien van versienummers en toepassingsstatus; * verantwoordelijken voor de software.  +

Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit: * beleidsregels en wet- en regelgeving; * context- en kwetsbaarheidsanalyse van de te ondersteunen bedrijfsprocessen; * afspraken met en afhankelijkheden van ketenpartijen.  +

De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit: * een actueel beveiligingsbeleid; * gerelateerde security operation-documentatie; * specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten); * het beleid voor toegang tot security gateway services; * bedrijfscontinuïteitsplannen; * relevante beveiligingscondities voor netwerkverbindingen.  +

Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagd<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 7 lid 2</sup>.  +

Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.  +

Maak bij de dienst gebruik van gegevens die afkomstig zijn uit een bronregistratie.  +

De verplichting tot het verstrekken van informatie geldt niet, indien: #De betrokkene reeds over de informatie beschikt; #Het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen; #De verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie; #Het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of: #De persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht; #Wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt; #Het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats.<sup class="noot"> Zie Mvt UAVG, toelichting bij art. 41</sup>.  +

De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten.  +

Het Europees Parlement en de Raad schrijven met INSPIRE richtlijn 2007/2/EG de lidstaten voor hoe de nationale geo-informatie infrastructuur dient te worden ingevuld. De richtlijn beschrijft 34 thema’s waarvoor elk land geo-informatie beschikbaar moet stellen. Daarbij worden er niet alleen eisen gesteld aan de interoperabiliteit van de gegevens, maar ook aan de wijze waarop ze beschikbaar moeten worden gesteld.  +

Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren.  +

Het beveiligingsbeleid geeft onder andere inzicht in: * inrichtings-, onderhouds- en beheervoorschriften (procedureel en technisch); * specifieke beveiligings- en architectuurvoorschriften; * afhankelijkheden tussen servers binnen de infrastructuur.  +

Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevens<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 30 lid 1</sup>: # De naam en de contactgegevens van: ## De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en: ## In voorkomend geval: ### Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en: ### Van de Functionaris voor Gegevensbescherming; # De verwerkingsdoeleinden; # Een beschrijving van de categorieën van betrokkenen; # Een beschrijving van de categorieën persoonsgegevens; # De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; # Bij doorgiften aan een derde land of een internationale organisatie: ## De doorgifte van verstrekte persoonsgegevens; ## De vermelding van dat derde land of die internationale organisatie; ## De documenten inzake de passende waarborgen; # De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk); # Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).  +

Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden.  +

Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer.  +

Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld.  +

Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven.  +

De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten.  +

Als de kans op misbruik en de verwachte schade beiden hoog zijn ([[NCSC (Nationaal Cyber Security Centrum)|NCSC (Nationaal Cyber Security Centrum)]] classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.  +

Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd.  +

Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.  +

De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.  +

De eigenaar van het bedrijfsmiddel zorgt ervoor dat: * bedrijfsmiddelen geïnventariseerd worden; * bedrijfsmiddelen passend worden geclassificeerd; * toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld; * bedrijfsmiddelen met juiste procedures worden verwijderd of vernietigd.  +

Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform [[ISOR:Intern toezicht|PRIV_C.01: Intern toezicht]], aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform [[ISOR:Register van verwerkingsactiviteiten|PRIV_U.02: Register van verwerkingsactiviteiten]], en een dossier kan worden aangetoond.  +

Beschreven is hoe gewaarborgd wordt dat, conform[[ISOR:Doorgifte persoonsgegevens|PRIV_U.07: Doorgifte persoonsgegevens]], persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.  +

Beschreven is hoe gewaarborgd wordt dat, conform [[ISOR:Meldplicht Datalekken|PRIV_C.03: Meldplicht Datalekken]], bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.  +