Naar de inhoud Naar de navigatie

10.2 Maatregelen op basis van een risicoanalyse

Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.

De opdrachtgever van de app bepaalt op basis van een risicoanalyse hoe gegevens beschermd dienen te worden en waartegen. Op basis van deze analyse kan, bij voorkeur in samenwerking met de leverancier(s) van de app en/of andere ICT-voorzieningen, de juiste set van de benodigde maatregelen worden vastgesteld. Vragen die belangrijk zijn in dit traject:

  1. Hoe belangrijk/vertrouwelijk is de informatie die in een app wordt verwerkt of gepresenteerd?
  2. Wie is eigenaar van deze informatie?
  3. Welke risico’s zijn er?
  4. Welke aanvullende wettelijke of andere regelingen zijn op deze gegevens of de verwerking ervan van toepassing?
  5. Op welke platformen draait de app? Wie is de eigenaar van deze apparaten?

In de volgende afbeelding wordt dit proces weergegeven:

Er zijn drie gouden regels die gelden bij het gebruik van apps die privacygevoelige of andere vertrouwelijke gegevens bevatten. Het verdient aanbeveling om deze regels actief mee te delen aan de gebruiker, bijvoorbeeld door een informatie- of gebruiksvoorwaardenmededeling bij het eerste gebruik van een app te tonen,met daarin het volgende:

  1. Gebruik altijd de originele software op het apparaat en de meest recente versie daarvan (besturingssysteem).
  2. Gebruik altijd de officiële appstore van het platform of gebruik bij apps voor intern gebruik de interne Enterprise App store of distributievoorzieningen van de eventuele EMM/UEM -tooling.
  3. Beveilig de toegang tot het apparaat (met bijvoorbeeld een toegangscode).

Bij het gebruik van apps binnen de eigen bedrijfsomgeving kunnen meerdere maatregelen worden getroffen om de veiligheid van het gebruikte device te waarborgen. Denk hier aan het gebruik van EMM/UEM-voorzieningen die strikte device policies en bijvoorbeeld een remote wipe kunnen afdwingen en strikte regels rondom toegestane versies van de systeemsoftware. Indien een EMM/UEM wordt toegepast; lever zo mogelijk het apparaat beveiligd uit aan de gebruiker of gebruik OS-specifieke activatievoorzieningen om ongeautoriseerde toegang of aanpassingen te voorkomen. Meer informatie over Uniform Endpoint Management (UEM) in het hoofdstuk Beheer en distributie.

Volgende pagina: 10.3 Belangrijke beveiligingsstappen en principes

De betekenis die mensen geven aan gegevens in een context.

Ga naar de pagina met de definitie van 'informatie'

Het geheel van bewerkingen die worden uitgevoerd op persoonsgegevens

Ga naar de pagina met de definitie van 'verwerking'

Een verzameling processtappen die wordt getriggerd om een beoogd resultaat te bereiken.

Ga naar de pagina met de definitie van 'proces'

Een natuurlijke persoon die iets gebruikt.

Ga naar de pagina met de definitie van 'gebruiker'

Een bepaald voorkomen van iets.

Ga naar de pagina met de definitie van 'versie'

De mogelijkheid van een entiteit om een object te benaderen en te gebruiken.

Ga naar de pagina met de definitie van 'toegang'
Overgenomen van "https://www.noraonline.nl/index.php?title=Handreiking_appontwikkeling_en_beheer_-_10.2_Maatregelen_op_basis_van_een_risicoanalyse&oldid=91299"