Privacy Uitvoering
ISOR:Privacy Uitvoering /
Naar navigatie springen
Naar zoeken springen
Deze informatie is onderdeel van [[{{{Heeft bron}}}]].
Meer lezen | ||||||||||||
Doelstelling[bewerken]
In het uitvoeringsdomein worden persoonsgegevens verwerkt. De verantwoordelijke voor de verwerking moet hier de verwerking realiseren onder de condities en randvoorwaarden die in het beleidsdomein zijn gedefinieerd. Personen waarvan de persoonsgegevens worden verwerkt (betrokkenen) moeten de zekerheid kunnen krijgen dat de verwerking conform de wet- en regelgeving gebeurt.
Risico's[bewerken]
Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegeven aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen. In dit onderdeel van de Privacy Baseline zijn de eisen opgenomen voor uitvoering van de gegevensverwerking, ook wel genoemd het uitvoeringsdomein. Het beleid dat op de beleidslaag vanuit het hogere management niveau is ontwikkeld en bekrachtigd, is leidend voor de invulling van de specifieke aspecten van de gegevensverwerking.
Principes uit de {{{Heeft bron}}} binnen dit aspect[bewerken]
| ID | Principe | Criterium |
|---|---|---|
| APO_B.01 | Beleid voor (beveiligd) ontwikkelen | Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. |
| APO_B.02 | Systeem-ontwikkelmethode | Ontwikkelactiviteiten behoren te zijn gebaseerd op een gedocumenteerde systeem-ontwikkelmethode, waarin onder andere standaarden en procedures voor de applicatieontwikkeling, het toepassen van beleid en wet- en regelgeving en een projectmatige aanpak zijn geadresseerd. |
| APO_B.03 | Classificatie van informatie | Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. |
| APO_B.04 | Engineeringsprincipe voor beveiligde systemen | Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. |
| APO_B.05 | Business Impact Analyse (BIA) | De BIA behoort te worden uitgevoerd vanuit verschillende perspectieven, zich te richten op verschillende scenario’s en vast te stellen welke impact de aspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid hebben op de organisatie. |
| APO_B.06 | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Bij het ontwikkelen van applicaties behoren privacy en bescherming van persoonsgegevens, voor zover van toepassing, te worden gewaarborgd volgens relevante wet- en regelgeving. |
| APO_B.07 | Kwaliteitsmanagementsysteem | De doelorganisatie behoort conform een uitgestippeld ontwikkel- en onderhoudsbeleid een kwaliteitsmanagementsysteem in te richten, dat ervoor zorgt dat applicatieontwikkeling en -onderhoud wordt uitgevoerd en beheerst. |
| APO_B.08 | Toegangsbeveiliging op programmacode | Toegang tot de programmabroncodebibliotheken behoren te worden beperkt. |
| APO_B.09 | Projectorganisatie | Binnen de (project-)organisatie behoort een beveiligingsfunctionaris te zijn benoemd die het systeem-ontwikkeltraject ondersteunt in de vorm van het bewaken van beveiligingsvoorschriften en die inzicht verschaft in de samenstelling van het applicatielandschap. |
| APO_C.01 | Richtlijn evaluatie-ontwikkelactiviteiten | De projectorganisatie behoort richtlijnen voor de controle-activiteiten en rapportages te hebben geformuleerd, gericht op de evaluaties van ontwikkelactiviteiten, zoals requirements, specificaties en programmacode. |
| APO_C.02 | Versiebeheer applicatieontwikkkeling | De projectorganisatie behoort in het systeem-ontwikkeltraject versiebeheer procesmatig en efficiënt ingericht te hebben. |
| APO_C.03 | Patchmanagement applicatieontwikkeling | Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd. |
| APO_C.04 | (Software)configuratiebeheer | De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevens van de softwareconfiguratie-items in de configuratie-administratie (CMDB) juist en volledig zijn en blijven. |
| APO_C.05 | Quality assurance | De projectorganisatie behoort een quality assurance-proces te hebben ingericht, waarmee zij de betrouwbare werking van het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling kan vaststellen. |
| APO_C.06 | Compliance-management | De projectorganisatie behoort een compliance-managementproces ingericht te hebben, waarmee zij de implicaties uit wet- en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen. |
| APO_C.07 | Technische beoordeling informatiesystemen | Bij veranderingen van besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie. |
| APO_C.08 | Beheersorganisatie applicatieontwikkeling | De projectverantwoordelijke behoort voor de software-ontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen en van de betrokken functionarissen de taken, verantwoordelijkheden en bevoegdheden zijn vastgesteld. |
| APO_U.01 | Wijzigingsbeheerprocedure voor applicaties en systemen | Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. |
| APO_U.02 | Beperking software-installatie applicatieontwikkeling | Voor het door gebruikers/ontwikkelaars installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. |
| APO_U.03 | Richtlijn programmacode | Voor het ontwikkelen van de (programma)code zijn specifieke regels van toepassing en behoort gebruik te zijn gemaakt van specifieke best practices. |
| APO_U.04 | Analyse en specificatie informatiesysteem | De functionele eisen die verband houden met nieuwe informatiesystemen of voor uitbreiding van bestaande informatiesystemen behoren te worden geanalyseerd en gespecificeerd. |
| APO_U.05 | Analyse en specificatie informatiebeveiligingseisen | De beveiligingseisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen en voor uitbreidingen van bestaande informatiesystemen. |
| APO_U.06 | Applicatie-ontwerp | Het applicatieontwerp behoort gebaseerd te zijn op informatie, die is verkregen uit verschillende invalhoeken, zoals: business-vereisten en reviews, omgevingsanalyse en (specifieke) beveiliging. |
| APO_U.07 | Applicatiefunctionaliteit | Informatiesystemen behoren zo te worden ontworpen, dat de invoerfuncties, verwerkingsfuncties en uitvoerfuncties van gegevens (op het juiste moment) in het proces worden gevalideerd op juistheid, tijdigheid en volledigheid om het bedrijfsproces optimaal te kunnen ondersteunen. |
| APO_U.08 | Applicatiebouw | De bouw van applicaties inclusief programmacode behoort te worden uitgevoerd met (industrie) good practice en door individuen die beschikken over de juiste vaardigheden en tools en behoort te worden gereviewd. |
| APO_U.09 | Testen systeembeveiliging | Tijdens ontwikkelactiviteiten behoren zowel bedrijfsfunctionaliteiten als de beveiligingsfunctionaliteiten te worden getest. |
| APO_U.10 | Systeemacceptatietest | Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld. |
| APO_U.11 | Beschermen testgegevens | Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd. |
| APO_U.12 | Beveiligde ontwikkelomgeving | Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie en die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. |
| APO_U.13 | Applicatiekoppeling | De koppelingen tussen applicaties behoren te worden uitgevoerd met geaccordeerde koppelingsrichtlijnen om de juiste services te kunnen leveren en de informatiebeveiliging te kunnen waarborgen. |
| APO_U.14 | Logging en monitoring applicatieontwikkeling | Applicaties behoren faciliteiten te bieden voor logging en monitoring om ongeoorloofde en/of onjuiste activiteiten van medewerkers en storingen binnen de applicatie tijdig te detecteren en vast te leggen. |
| APO_U.15 | Applicatie-architectuur | De functionele en beveiligingseisen behoren in een applicatie-architectuur, conform architectuurvoorschriften, in samenhang te zijn vastgelegd. |
| APO_U.16 | Tooling ontwikkelmethode | De ontwikkelmethode moet worden ondersteund door een tool dat de noodzakelijke faciliteiten biedt voor het effectief uitvoeren van de ontwikkelcyclus. |
| CLD_B.01 | Wet- en regelgeving Clouddiensten | Alle relevante wettelijke, statutaire, regelgevende, contractuele eisen en de aanpak van de CSP om aan deze eisen te voldoen behoren voor elke clouddienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| CLD_B.02 | Cloudbeveiligingsstrategie | De CSP behoort een cloudbeveiligingsstrategie te hebben ontwikkeld die samenhangt met de strategische doelstelling van de CSP en die aantoonbaar de informatieveiligheid ondersteunt. |
| CLD_B.03 | Exit-strategie clouddiensten | In de clouddienstenovereenkomst tussen de CSP en CSC behoort een exit-strategie te zijn opgenomen waarbij zowel een aantal bepalingen1 over exit zijn opgenomen, als een aantal condities1 die aanleiding kunnen geven tot een exit. |
| CLD_B.04 | Clouddienstenbeleid | De CSP behoort haar informatiebeveiligingsbeleid uit te breiden met een cloud-beveiligingsbeleid om de voorzieningen en het gebruik van cloud-services te adresseren. |
| CLD_B.05 | Transparantie | De CSP voorziet de CSC in een systeembeschrijving waarin de clouddiensten inzichtelijk en transparant worden gespecificeerd en waarin de jurisdictie, onderzoeksmogelijkheden en certificaten worden geadresseerd. |
| CLD_B.06 | Risicomanagement | De Cloud Service Provider (CSP) behoort de organisatie en verantwoordelijkheden voor het risicomanagementproces voor de beveiliging van clouddiensten te hebben opgezet en onderhouden. |
| CLD_B.07 | IT-functionaliteit | IT-functionaliteiten behoren te worden verleend vanuit een robuuste en beveiligde systeemketen van de Cloud Service Provider (CSP) naar de Cloud Service Consumer (CSC). |
| CLD_B.08 | Bedrijfscontinuïteitsmanagement | De CSP behoort haar BCM-proces adequaat te hebben georganiseerd, waarbij de volgende aspecten zijn geadresseerd: verantwoordelijkheid voor BCM, beleid en procedures, bedrijfscontinuïteitsplanning, verificatie en updaten en computercentra. |
| CLD_B.09 | Privacy en bescherming persoonsgegevens clouddiensten | De Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie. |
| CLD_B.10 | Beveiligingsorganisatie clouddiensten | De CSP behoort een beveiligingsfunctie te hebben benoemd en een beveiligingsorganisatie te hebben ingericht, waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. |
| CLD_B.11 | Clouddienstenarchitectuur | De CSP heeft een actuele architectuur vastgelegd die voorziet in een raamwerk voor de onderlinge samenhang en afhankelijkheden van de IT-functionaliteiten. |
| CLD_C.01 | Servicemanagementbeleid en evaluatierichtlijn | De Cloud Service Provider (CSP) heeft voor clouddiensten een servicemanagementbeleid geformuleerd met daarin richtlijnen voor de beheersingsprocessen, controle-activiteiten en rapportages. |
| CLD_C.02 | Risico-control | Risicomanagement en het risico-assessmentproces behoren continu te worden gemonitord en gereviewd en zo nodig te worden verbeterd. |
| CLD_C.03 | Compliance en assurance | De CSP behoort regelmatig de naleving van de cloud-beveiligingsovereenkomsten op compliancy te beoordelen, jaarlijks een assurance-verklaring aan de CSC uit te brengen en te zorgen voor onderlinge aansluiting van de resultaten uit deze twee exercities. |
| CLD_C.04 | Technische kwetsbaarhedenbeheer clouddiensten | Informatie over technische kwetsbaarheden van gebruikte informatiesystemen behoort tijdig te worden verkregen; de blootstelling aan dergelijke kwetsbaarheden dienen te worden geëvalueerd en passende maatregelen dienen te worden genomen om het risico dat ermee samenhangt aan te pakken. |
| CLD_C.05 | Security-monitoringsrapportage | De performance van de informatiebeveiliging van de cloud-omgeving behoort regelmatig te worden gemonitord en hierover behoort tijdig te worden gerapporteerd aan verschillende stakeholders. |
| CLD_C.06 | Beheersorganisatie clouddiensten | De CSP heeft een beheersorganisatie ingericht waarin de processtructuur en de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
| CLD_U.01 | Standaarden voor clouddiensten | De CSP past aantoonbaar relevante nationale standaarden en internationale standaarden toe voor de opzet en exploitatie van de diensten en de interactie met de CSC. |
| CLD_U.02 | Risico-assessment | De Cloud Service Provider (CSP) behoort een risico-assessment uit te voeren, bestaande uit een risico-analyse en risico-evaluatie met de criteria en de doelstelling voor clouddiensten van de CSP. |
| CLD_U.03 | Bedrijfscontinuïteitsservices | Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan continuïteitseisen te voldoen. |
| CLD_U.04 | Herstelfunctie voor data en clouddiensten | De herstelfunctie van de data en clouddiensten, gericht op ondersteuning van bedrijfsprocessen, behoort te worden gefaciliteerd met infrastructuur en IT-diensten, die robuust zijn en periodiek worden getest. |
| CLD_U.05 | Dataprotectie | Data (‘op transport’, ‘in verwerking’ en ‘in rust’) met de classificatie BBN2 of hoger behoort te worden beschermd met cryptografische maatregelen en te voldoen aan Nederlandse wetgeving. |
| CLD_U.06 | Dataretentie en gegevensvernietiging | Gearchiveerde data behoort gedurende de overeengekomen bewaartermijn, technologie-onafhankelijk, raadpleegbaar, onveranderbaar en integer te worden opgeslagen en op aanwijzing van de CSC/data-eigenaar te kunnen worden vernietigd. |
| CLD_U.07 | Datascheiding | CSC-gegevens behoren tijdens transport, bewerking en opslag duurzaam geïsoleerd te zijn van beheerfuncties en data van en andere dienstverlening aan andere CSC’s, die de CSP in beheer heeft. |
| CLD_U.08 | Scheiding dienstverlening | De cloud-infrastructuur is zodanig ingericht dat de dienstverlening aan gebruikers van informatiediensten zijn gescheiden. |
| CLD_U.09 | Malwareprotectie clouddiensten | Ter bescherming tegen malware behoren beheersmaatregelen te worden geïmplementeerd voor detectie, preventie en herstel in combinatie met een passend bewustzijn van de gebruikers. |
| CLD_U.10 | Toegang IT-diensten en data | Gebruikers behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek bevoegd zijn. |
| CLD_U.11 | Cryptoservices | Gevoelige data van de CSC behoort conform het overeengekomen beleid inzake cryptografische maatregelen tijdens transport via netwerken en bij opslag bij CSP te zijn versleuteld. |
| CLD_U.12 | Koppelvlakken | De onderlinge netwerkconnecties (koppelvlakken) in de keten van de CSC naar de CSP behoren te worden bewaakt en beheerst om de risico’s van datalekken te beperken. |
| CLD_U.13 | Service-orkestratie | Service-orkestratie biedt coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service die aan de CSC wordt geleverd. |
| CLD_U.14 | Interoperabiliteit en portabiliteit | Cloud-services zijn bruikbaar (interoperabiliteit) op verschillende IT-platforms en kunnen met standaarden verschillende IT-platforms met elkaar verbinden en data overdragen (portabiliteit) naar andere CSP’s. |
| CLD_U.15 | Logging en monitoring clouddiensten | Logbestanden waarin gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiliging gebeurtenissen worden geregistreerd, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. |
| CLD_U.16 | Clouddienstenarchitectuur | De clouddienstenarchitectuur specificeert de samenhang en beveiliging van de services en de interconnectie tussen de CSC en de CSP en biedt transparantie en overzicht van randvoorwaardelijke omgevingsparameters, voor zowel de opzet, de levering en de portabiliteit van CSC-data. |
| CLD_U.17 | Multi-tenantarchitectuur | Bij multi-tenancy wordt de CSC-data binnen clouddiensten, die door meerdere CSC’s worden afgenomen, in rust versleuteld en gescheiden verwerkt op gehardende (virtuele) machines. |
| CVZ_B.01 | Beleid en procedures voor informatietransport | Ter bescherming van het informatietransport, dat via allerlei soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
| CVZ_B.02 | Overeenkomst voor informatietransport | Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. |
| CVZ_B.03 | Cryptografiebeleid voor communicatie | Ter bescherming van informatie behoort een cryptografiebeleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
| CVZ_B.04 | Organisatiestructuur netwerkbeheer | In het beleid behoort te zijn vastgesteld dat een centrale organisatiestructuur gebruikt wordt voor het beheren van netwerken (onder andere Local Area Network (LAN) en Virtual Local Area Network (VLAN)) en zo veel mogelijk van de hardware en softwarecomponenten daarvan. |
| CVZ_C.01 | Naleving richtlijnen netwerkbeheer en evaluaties | Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden. |
| CVZ_C.02 | Compliance-toets netwerkbeveiliging | De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijke management (compliancy-toetsen). |
| CVZ_C.03 | Evalueren robuustheid netwerkbeveiliging | De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden. |
| CVZ_C.04 | Evalueren netwerkgebeurtenissen (monitoring) | Toereikende logging en monitoring behoren te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op of relevant kunnen zijn voor de informatiebeveiliging. |
| CVZ_C.05 | Beheersorganisatie netwerkbeveiliging | Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. |
| CVZ_U.01 | Richtlijn voor netwerkbeveiliging | Organisaties behoren hun netwerken te beveiligen met richtlijnen voor ontwerp, implementatie en beheer 1. |
| CVZ_U.02 | Beveiligde inlogprocedure | Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot (communicatie)systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. |
| CVZ_U.03 | Netwerkbeveiligingsbeheer | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. |
| CVZ_U.04 | Vertrouwelijkheids- of geheimhoudingsovereenkomst | Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie, betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. |
| CVZ_U.05 | Beveiliging netwerkdiensten | Beveiligingsmechanismen, dienstverleningsniveaus en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. |
| CVZ_U.06 | Zonering en filtering | Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden (in domeinen). |
| CVZ_U.07 | Elektronische berichten | Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd. |
| CVZ_U.08 | Toepassingen via openbare netwerken | Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. |
| CVZ_U.09 | Gateways en firewalls | De filterfuncties van gateways en firewalls behoren zo te zijn geconfigureerd, dat inkomend en uitgaand netwerkverkeer wordt gecontroleerd en dat daarbij in alle richtingen uitsluitend het vanuit beveiligingsbeleid toegestaan netwerkverkeer wordt doorgelaten. |
| CVZ_U.10 | Virtual Private Network (VPN) | Een VPN behoort een strikt gescheiden end-to-end-connectie te geven, waarbij de getransporteerde informatie die over een VPN wordt getransporteerd, is ingeperkt tot de organisatie die de VPN gebruikt. |
| CVZ_U.11 | Cryptografische services | Ter bescherming van de vertrouwelijkheid en integriteit van de getransporteerde informatie behoren passende cryptografische beheersmaatregelen te worden ontwikkeld, geïmplementeerd en ingezet. |
| CVZ_U.12 | Draadloze toegang | Draadloos verkeer behoort te worden beveiligd met authenticatie van devices, autorisatie van gebruikers en versleuteling van de communicatie. |
| CVZ_U.13 | Netwerkconnectie | Alle gebruikte routeringen, segmenten, verbindingen en aansluitpunten van een bedrijfsnetwerk behoren bekend te zijn en te worden bewaakt. |
| CVZ_U.14 | Netwerkauthenticatie | Authenticatie van netwerk-nodes behoort te worden toegepast om onbevoegd aansluiten van netwerkdevices (sniffing) te voorkomen. |
| CVZ_U.15 | Netwerkbeheeractiviteiten | Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. |
| CVZ_U.16 | Logging en monitoring communicatievoorzieningen | Logbestanden van informatiebeveiligingsgebeurtenissen in netwerken, behoren te worden gemaakt en bewaard en regelmatig te worden beoordeeld (op de ernst van de risico’s). |
| CVZ_U.17 | Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur behoort de samenhang van het netwerk te beschrijven en structuur te bieden in de beveiligingsmaatregelen, gebaseerd op het vigerende bedrijfsbeleid, de leidende principes en de geldende normen en standaarden. |
| HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. |
| HVI_B.02 | Wet- en regelgeving Huisvesting IV | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| HVI_B.03 | Eigenaarschap Huisvesting IV | Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben. |
| HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
| HVI_B.05 | Contractmanagement | Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
| HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement). |
| HVI_B.07 | In- en externe bedreigingen | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. |
| HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
| HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. |
| HVI_C.01 | Controle-richtlijnen huisvesting IV | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. |
| HVI_C.02 | Onderhoudsplan | Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen. |
| HVI_C.03 | Continuïteitsbeheer | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. |
| HVI_C.04 | Beheersorganisatie huisvesting IV | De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
| HVI_U.01 | Richtlijn gebieden en ruimten | Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1. |
| HVI_U.02 | Bedrijfsmiddelen-inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. |
| HVI_U.03 | Fysieke zonering | Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. |
| HVI_U.04 | Beveiligingsfaciliteiten | Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1. |
| HVI_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. |
| HVI_U.06 | Apparatuur-positionering | Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. |
| HVI_U.07 | Apparatuur-onderhoud | Apparatuur behoort op een correcte wijze te worden onderhouden. |
| HVI_U.08 | Apparatuur-verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| HVI_U.09 | Bedrijfsmiddelenverwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring. |
| HVI_U.10 | Laad- en loslocatie | Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen. |
| HVI_U.11 | Bekabeling | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade. |
| HVI_U.12 | Huisvesting IV-architectuur | Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn. |
| MDW_B.01 | Beleid middlewarecomponenten | De leverancier behoort in overeenstemming met een overeengekomen middlewarecomponentenbeleid adequate maatregelen, zoals classificatie, te treffen om deze diensten te kunnen leveren. |
| MDW_B.02 | Beleid informatietransport | Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. |
| MDW_B.03 | Data en privacy | Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en versleuteling van data, voor transformatie en aggregatie, voor toegang en privacy, classificatie en labelen en bescherming tegen verlies van gegevens. |
| MDW_B.04 | Middlewarearchitectuur en certificering | De leverancier hanteert relevante industriestandaarden voor de structuur en beheersing van haar IT dienstverlening en draagt zorg voor relevante periodieke certificeringen van haar dienstverlening. |
| MDW_U.01 | Richtlijnen en procedures middlewarefunctionaliteit | Richtlijnen en procedures ten aanzien van middlewaremanagement en middlewarefunctionaliteiten behoren te worden gedocumenteerd en beschikbaar gesteld aan alle beheerders die ze nodig hebben. |
| MDW_U.02 | Rollen en verantwoordelijkheden middlewarefunctionaliteit | Alle rollen en verantwoordelijkheden voor het installeren en onderhouden van middlewarefunctionaliteiten behoren te worden gedefinieerd en toegewezen. |
| MDW_U.03 | Toegang tot middlewarefunctionaliteit | Het toewijzen en gebruik van speciale toegangsrechten tot de middlewarefunctionaliteiten en speciale systeemhulpmiddelen behoren te worden beperkt en beheerst. |
| MDW_U.04 | Hardening middlewarecomponenten | Voor het beveiligen van middlewarecomponenten behoren overbodige functies en ongeoorloofde toegang te worden uitgeschakeld. |
| MDW_U.05 | Configuratie middlewarecomponenten | De leverancier heeft conform richtlijnen en procedures de middlewarecomponenten geconfigureerd. |
| MDW_U.06 | Logging en monitoring middleware | Middleware biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht. |
| MDW_U.07 | Ontwerpdocumentatie | Het ontwerp van middleware behoort te zijn gedocumenteerd. |
| MDW_U.08 | Vertrouwelijkheid en integriteit data | Gevoelige data behoort conform het overeengekomen beleid inzake maskerings- of crypto-maatregelen, tijdens opslag voor onbevoegden te zijn gemaskeerd of versleuteld. |
| MDW_U.09 | Betrouwbare dataopslag | Opslagfaciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. |
| MDW_U.10 | Dataherstel | Regelmatig behoren back-upkopieën van informatie te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. |
| MDW_U.11 | Schonen data en media | Media behoren op een veilige en beveiligde manier te worden verwijderd en geschoond als ze niet langer nodig zijn, overeenkomstig formele procedures. |
| MDW_U.12 | Beveiliging berichtenverkeer | Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. |
| MDW_U.13 | Capaciteitsbeheer | Het gebruik van middelen behoort te worden gemonitord en beoordeeld, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. |
| PRIV_B.01 | Privacy Beleid geeft duidelijkheid en sturing | De organisatie heeft privacybeleid en procedures ontwikkeld en vastgesteld waarin is vastgelegd op welke wijze persoonsgegevens worden verwerkt en invulling wordt gegeven aan de wettelijke beginselen AVG Art. 5 lid 1 'Beginselen inzake verwerking van persoonsgegevens'. |
| PRIV_B.02 | Organieke inbedding | De verdeling van de taken en verantwoordelijkheden, de benodigde middelen en de rapportagelijnen zijn door de organisatie vastgelegd en vastgesteld. |
| PRIV_B.03 | Risicomanagement, Privacy by Design en de DPIA | De verwerkingsverantwoordelijke draagt zorg voor het beoordelen van de privacyrisico's, het treffen van passende maatregelen en het kunnen aantonen van het passend zijn van deze maatregelen. |
| PRIV_C.01 | Intern toezicht | Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond. |
| PRIV_C.02 | Toegang gegevensverwerking voor betrokkenen | De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG Art. 12, tenzij er een specifieke uitzonderingsgrond geldt. |
| PRIV_C.03 | Meldplicht Datalekken | De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt. |
| PRIV_U.01 | Doelbinding gegevensverwerking | De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
|
| PRIV_U.02 | Register van verwerkingsactiviteiten | De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens. |
| PRIV_U.03 | Kwaliteitsmanagement | De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd. |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32. |
| PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14. |
| PRIV_U.06 | Bewaren van persoonsgegevens | Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden. |
| PRIV_U.07 | Doorgifte persoonsgegevens | Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties. Bij de doorgifte naar buiten de EU:
|
| SVP_B.01 | Beleid voor beveiligde inrichting en onderhoud | Voor het beveiligd inrichten en onderhouden van het serverplatform behoren regels te worden vastgesteld en binnen de organisatie te worden toegepast. |
| SVP_B.02 | Inrichtingsprincipes voor serverplatform | Principes voor het inrichten van beveiligde servers behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het inrichten van servers. |
| SVP_B.03 | Serverplatform-architectuur | De functionele eisen, beveiligingseisen en architectuurvoorschriften van het serverplatform zijn in samenhang in een architectuurdocument vastgelegd. |
| SVP_C.01 | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen behoren te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd. |
| SVP_C.02 | Beoordeling technische serveromgeving | Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor servers en besturingssystemen. |
| SVP_C.03 | Logbestanden beheerders | Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. |
| SVP_C.04 | Logging | Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. |
| SVP_C.05 | Monitoring | De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten op servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren. |
| SVP_C.06 | Beheersorganisatie servers en serverplatforms | Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform. |
| SVP_U.01 | Bedieningsprocedure | Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben. |
| SVP_U.02 | Standaarden voor serverconfiguratie | Het serverplatform is geconfigureerd volgens gedocumenteerde standaarden. |
| SVP_U.03 | Malwareprotectie serverplatform | Ter bescherming tegen malware behoren beheersmaatregelen voor preventie, detectie en herstel te worden geïmplementeerd, in combinatie met het stimuleren van een passend bewustzijn van gebruikers. |
| SVP_U.04 | Technische kwetsbaarhedenbeheer serverplatform | Informatie over technische serverkwetsbaarheden1 behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden dient te worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. |
| SVP_U.05 | Patchmanagement serverplatform | Patchmanagement is procesmatig en procedureel opgezet en wordt ondersteund door richtlijnen zodat het zodanig kan worden uitgevoerd dat op de servers de laatste (beveiligings)patches tijdig zijn geïnstalleerd. |
| SVP_U.06 | Beheer op afstand | Richtlijnen en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van beheer op afstand van servers. |
| SVP_U.07 | Server-onderhoud | Servers behoren correct te worden onderhouden om de continue beschikbaarheid en integriteit te waarborgen. |
| SVP_U.08 | Verwijderen of hergebruiken serverapparatuur | Alle onderdelen van servers die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| SVP_U.09 | Hardenen server | Voor het beveiligen van een server worden overbodige functies en ongeoorloofde toegang uitgeschakeld. |
| SVP_U.10 | Serverconfiguratie | Serverplatforms behoren zo geconfigureerd te zijn, dat zij functioneren zoals het vereist is en zijn beschermd tegen ongeautoriseerd en incorrecte updates. |
| SVP_U.11 | Virtualisatie serverplatform | Virtuele servers behoren goedgekeurd te zijn en toegepast te worden op robuuste en veilige fysieke servers (bestaande uit hypervisors en virtuele servers) en behoren zodanig te zijn geconfigureerd dat gevoelige informatie in voldoende mate is beveiligd. |
| SVP_U.12 | Beperking software-installatie serverplatform | Voor het door gebruikers (beheerders) installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. |
| SVP_U.13 | Kloksynchronisatie | De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gedocumenteerd en gesynchroniseerd met één referentietijdbron. |
| SVP_U.14 | Ontwerpdocument | Het ontwerp van een serverplatform behoort te zijn gedocumenteerd. |
| SWP_B.01 | Verwervingsbeleid softwarepakketten | Voor het verwerven van software behoren regels te worden vastgesteld en op verwervingsactiviteiten binnen de organisatie te worden toegepast. |
| SWP_B.02 | Informatiebeveiligingsbeleid voor leveranciersrelaties | Met de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen. |
| SWP_B.03 | Exit-strategie softwarepakketten | In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit. |
| SWP_B.04 | Bedrijfs- en beveiligingsfuncties | De noodzakelijke bedrijfs- en beveiligingsfuncties binnen het veranderingsgebied behoren te worden vastgesteld met organisatorische en technisch uitgangspunten. |
| SWP_B.05 | Cryptografie Softwarepakketten | Ter bescherming van de communicatie en opslag van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
| SWP_B.06 | Beveiligingsarchitectuur | De klant behoort het architectuurlandschap in kaart te hebben gebracht waarin het softwarepakket geïntegreerd moet worden en beveiligingsprincipes te hebben ontwikkeld. |
| SWP_C.01 | Evaluatie leveranciersdienstverlening | De klant behoort regelmatig de dienstverlening van softwarepakketleveranciers te monitoren, te beoordelen en te auditen. |
| SWP_C.02 | Versiebeheer softwarepakketten | Wijzigingen aan het softwarepakket binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer. |
| SWP_C.03 | Patchmanagement softwarepakketten | Patchmanagement behoort procesmatig en procedureel uitgevoerd te worden, dat tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden van de gebruikte code, zodat zo snel mogelijk de laatste (beveiligings-)patches kunnen worden geïnstalleerd. |
| SWP_U.01 | Levenscyclusmanagement softwarepakketten | De leverancier behoort de klant te adviseren met marktontwikkelingen en kennis van (de leeftijd van) applicaties en technische softwarestack over strategische ontwikkeling en innovatieve keuzes voor het ontwikkelen en onderhouden van informatiesystemen in het applicatielandschap. |
| SWP_U.02 | Beperking wijziging softwarepakket | Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd. |
| SWP_U.03 | Bedrijfscontinuïteit | De leverancier behoort processen, procedures en beheersmaatregelen te documenteren, te implementeren en te handhaven. |
| SWP_U.04 | Input-/output-validatie | Het softwarepakket behoort mechanismen te bevatten voor normalisatie en validatie van invoer en voor schoning van de uitvoer. |
| SWP_U.05 | Sessiebeheer | Sessies behoren authentiek te zijn voor elke gebruiker en behoren ongeldig gemaakt te worden na een time-out of perioden van inactiviteit. |
| SWP_U.06 | Gegevensopslag | Te beschermen gegevens worden veilig opgeslagen in databases of bestanden, waarbij zeer gevoelige gegevens worden versleuteld. Opslag vindt alleen plaats als noodzakelijk. |
| SWP_U.07 | Communicatie | Het softwarepakket past versleuteling toe op de communicatie van gegevens die passend bij het classificatieniveau is van de gegevens en controleert hierop. |
| SWP_U.08 | Authenticatie | Softwarepakketten behoren de identiteiten van gebruikers vast te stellen met een mechanisme voor identificatie en authenticatie. |
| SWP_U.09 | Toegangsautorisatie | Het softwarepakket behoort een autorisatiemechanisme te bieden. |
| SWP_U.10 | Autorisatiebeheer | De rechten die gebruikers hebben binnen een softwarepakket (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is. |
| SWP_U.11 | Logging | Het softwarepakket biedt signaleringsfuncties voor registratie en detectie die beveiligd zijn ingericht. |
| SWP_U.12 | Application Programming Interface (API) | Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens. |
| SWP_U.13 | Gegevensimport | Softwarepakketten behoren mechanismen te bieden om niet-vertrouwde bestandsgegevens uit niet-vertrouwde omgevingen veilig te importeren en veilig op te slaan. |
| TBV_B.01 | Toegangsbeveiligingsbeleid | Een toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen. |
| TBV_B.02 | Eigenaarschap toegangsbeveiliging | Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd. |
| TBV_B.03 | Beveiligingsfunctie | Een gespecialiseerde beveiligingsfunctie dient te zijn vastgesteld die de verantwoordelijk is voor het bevorderen van toegangsbeveiliging binnen de gehele organisatie. |
| TBV_B.04 | Cryptografie toegangsbeveiliging | Ter bescherming van authenticatie-informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd. |
| TBV_B.05 | Beveiligingsorganisatie toegangsbeveiliging | De organisatie moet een beveiligingsorganisatie gedefinieerd hebben waarin de organisatorische positie, de taken, verantwoordelijkheden en bevoegdheden (TVB) van de betrokken functionarissen en de rapportagelijnen zijn vastgesteld. |
| TBV_B.06 | Toegangsbeveiligingsarchitectuur | De organisatie behoort met organisatorische eisen en wensen de technische inrichting beschreven te hebben en behoort in een toegangsbeveiligingsarchitectuur te zijn vastgelegd. |
| TBV_C.01 | Beoordelingsprocedure | Om het gebruik van toegangsbeveiligingsvoorzieningen te (kunnen) controleren, behoren er procedures te zijn vastgesteld. |
| ... meer resultaten | ||
Normen uit de {{{Heeft bron}}} binnen dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| APO_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.01.02 | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
| APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
| APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Technieken voor beveiligd programmeren |
| APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
| APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
| APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Adoptie van ontwikkelmethodologie wordt gemonitord |
| APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Software wordt ontwikkelen conform standaarden en procedures |
| APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
| APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Het softwareontwikkeling wordt projectmatig aangepakt |
| APO_B.03.01 | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
| APO_B.03.02 | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
| APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
| APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
| APO_B.04.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Principes voor het beveiligen van informatiesystemen |
| APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Beveiliging is integraal onderdeel van systeemontwikkeling |
| APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
| APO_B.05.01 | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Perspectieven bij de Business Impact Analyse |
| APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Scenario's voor de Business Impact Analyse |
| APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
| APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
| APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
| APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
| APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
| APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Risicomanagement aanpak aantoonbaar toegepast |
| APO_B.06.06 | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
| APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
| APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | De doelorganisatie beschikt over QA- en KMS-methodiek |
| APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
| APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Voor informatie- en communicatie zijn processen ingericht |
| APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
| APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Aan het management worden evaluatierapportages verstrekt |
| APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
| APO_B.08.01 | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
| APO_B.08.02 | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
| APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Taken van de beveiligingsfunctionaris |
| APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Inzicht gegeven door de beveiligingsfunctionaris |
| APO_C.01.01 | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software. | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
| APO_C.01.02 | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode. | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
| APO_C.01.03 | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten. | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
| APO_C.01.04 | De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
| APO_C.01.05 | De quality assurance-methodiek wordt conform de richtlijnen nageleefd. | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
| APO_C.01.06 | De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
| APO_C.01.07 | Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
| APO_C.02.01 | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
| APO_C.02.02 | In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd. | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
| APO_C.02.03 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiemanagement wordt ondersteund met procedures en werkinstructies |
| APO_C.02.04 | Een versiebeheertool wordt toegepast die onder andere:
| Ondersteuning vanuit het toegepaste versiebeheertool |
| APO_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
| APO_C.03.02 | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
| APO_C.03.03 | Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
| APO_C.03.04 | Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
| APO_C.03.05 | Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
| APO_C.03.06 | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
| APO_C.04.01 | Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd. | Software configuratiescomponenten worden conform procedures vastgelegd |
| APO_C.04.02 | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
| APO_C.04.03 | Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB). | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
| APO_C.05.01 | De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek. | Het compliance management proces is gedocumenteerd en vastgesteld |
| APO_C.05.02 | Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
| De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
| APO_C.05.03 | De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
| APO_C.05.04 | Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd. | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
| APO_C.06.01 | Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management. | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
| APO_C.06.02 | Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
| APO_C.07.01 | Bij verandering van besturingssystemen wordt onder andere het volgende getest:
| Testen bij verandering van besturingssystemen |
| APO_C.08.01 | De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd. | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
| APO_C.08.02 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
| APO_C.08.03 | De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
| APO_C.08.04 | De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |
| APO_U.01.01 | Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD). | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
| APO_U.01.02 | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren. | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
| APO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
| APO_U.01.04 | Enkele elementen van procedures voor wijzigingsbeheer zijn:
| Elementen van de procedures voor wijzigingsbeheer |
| APO_U.02.01 | De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren. | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
| APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’. | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
| APO_U.02.03 | De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars. | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars |
| APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| De programmacode voor functionele specificaties is reproduceerbaar |
| APO_U.03.02 | De (programma)code wordt aantoonbaar veilig gecreëerd. | Programmacode wordt aantoonbaar veilig gecreëerd |
| APO_U.03.03 | De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Programmacode is effectief, veranderbaar en testbaar |
| APO_U.03.04 | Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
| APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
| APO_U.03.06 | Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
| APO_U.03.07 | Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. | Gebruik van programmacode uit externe programmabibliotheken |
| APO_U.04.01 | De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp. | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
| APO_U.04.02 | Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden. | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
| APO_U.04.03 | Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris. | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
| APO_U.04.04 | Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). | Alle vereisten worden gevalideerd door peer review of prototyping |
| APO_U.04.05 | Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd. | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
| APO_U.05.01 | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
| APO_U.05.02 | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
| APO_U.05.03 | Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
| Informatiebeveiligingseisen |
| APO_U.05.04 | Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
| Overwogen informatiebeveiligingseisen |
| APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
| APO_U.06.02 | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
| Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
| APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit. | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
| APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
| APO_U.07.02 | Geprogrammeerde controles worden ondersteund. | Geprogrammeerde controles worden ondersteund |
| APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
| APO_U.07.04 | Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar. | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
| APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail). | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
| APO_U.07.06 | Opgeleverde/over te dragen gegevens worden gevalideerd. | Opgeleverde en over te dragen gegevens worden gevalideerd |
| APO_U.07.07 | De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd. | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
| APO_U.07.08 | Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
| APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid. | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
| APO_U.08.01 | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
| APO_U.08.02 | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages. | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
| APO_U.08.03 | Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering). | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
| APO_U.08.04 | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Geen gebruik van onveilig programmatechnieken |
| APO_U.08.05 | De programmacode is beschermd tegen ongeautoriseerde wijzigingen. | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
| APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd. | Activiteiten van applicatiebouw worden gereviewd |
| APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
| APO_U.09.01 | Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules). | Functionarissen testen functionele requirements |
| APO_U.09.02 | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
| APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd. | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
| APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt. | Van de resultaten van de testen wordt een verslag gemaakt |
| APO_U.10.03 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Testresultaten worden formeel geëvalueerd en beoordeeld |
| APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
| APO_U.10.05 | Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
| APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
| APO_U.10.07 | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
| APO_U.11.01 | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
| Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
| APO_U.12.01 | Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
| APO_U.12.02 | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces. | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
| APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen. | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
| APO_U.12.04 | Voor remote-werkzaamheden is een werkwijze vastgelegd. | Voor remote werkzaamheden is een werkwijze vastgelegd |
| APO_U.12.05 | Ontwikkelaars hebben geen toegang tot de productieomgeving. | Ontwikkelaars hebben geen toegang tot productieomgeving |
| APO_U.12.06 | Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
| APO_U.12.07 | De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
| APO_U.12.08 | De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
| APO_U.12.09 | De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
| APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen. | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
| APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig. | Van het type koppelingen is een overzicht aanwezig |
| APO_U.13.03 | Koppelingen worden uitgevoerd via geautoriseerde opdrachten. | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
| APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd. | De uitgevoerde koppelingen worden geregistreerd |
| APO_U.14.01 | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
| APO_U.14.02 | Informatie over autorisatie(s) wordt vastgelegd. | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
| APO_U.14.03 | De loggegevens zijn beveiligd. | De loggegevens zijn beveiligd |
| APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld. | De locatie van de vastlegging van de loggegevens is vastgesteld |
| APO_U.14.05 | De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
| APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
| APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
| De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
| APO_U.15.02 | Het architectuurdocument wordt actief onderhouden. | Het architectuur document wordt actief onderhouden |
| APO_U.15.03 | De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
| APO_U.15.04 | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
| APO_U.15.05 | Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten). | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
| APO_U.15.06 | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk. | De relatie tussen de persoonsgegevens is inzichtelijk |
| APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Het tool ondersteunt alle fasen van het ontwikkelproces |
| APO_U.16.02 | Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
| APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
| APO_U.16.04 | Het tool beschikt over faciliteiten voor:
| Faciliteiten van het tool |
| APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
| CLD_B.01.01 | De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten. | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
| CLD_B.01.02 | De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen. | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
| CLD_B.01.03 | De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). | Identificeren vereisten die van toepassing zijn |
| CLD_B.01.04 | De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
| CLD_B.01.05 | Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
| CLD_B.01.06 | De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Vaststellen alle van toepassing zijnde wet- en regelgeving |
| CLD_B.02.01 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
| Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
| CLD_B.02.02 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
| Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
| CLD_B.02.03 | De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
| Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
| CLD_B.03.01 | De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
| Vastleggen bepalingen over exit-regeling |
| CLD_B.03.02 | De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
| Overgaan tot exit buiten verstrijken contractperiode |
| CLD_B.04.01 | Het cloud-beveiligingsbeleid bevat:
| Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| CLD_B.05.01 | De systeembeschrijving bevat de volgende aspecten:
| Bevatten diverse aspecten in systeembeschrijving |
| CLD_B.05.02 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
| CLD_B.05.03 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden. | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
| CLD_B.05.04 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten. | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
| CLD_B.06.01 | De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
| Hebben CSP-verantwoordelijkheden |
| CLD_B.06.02 | De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP). | Goedkeuren organisatie van risicomanagementproces |
| CLD_B.06.03 | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Beschrijven risicomanagementproces |
| CLD_B.07.01 | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Treffen maatregelen voor beveiliging IT-functionaliteiten |
| CLD_B.07.02 | Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur. | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
| CLD_B.07.03 | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | Bewaken en beheersen IT-infrastructuur |
| CLD_B.07.04 | De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten. | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
| CLD_B.07.05 | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
| CLD_B.08.01 | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
| CLD_B.08.02 | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
| CLD_B.08.03 | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Committeren aan vastgestelde BCM-vereisten |
| CLD_B.08.04 | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Vaststellen en communiceren BCM- en BIA-beleid |
| CLD_B.08.05 | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
| CLD_B.08.06 | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
| CLD_B.08.07 | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
| CLD_B.08.08 | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
| CLD_B.08.09 | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
| CLD_B.09.01 | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Treffen maatregelen voor opslag, verwerking en transport van data |
| CLD_B.09.02 | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
| CLD_B.09.03 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
| CLD_B.09.04 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
| CLD_B.09.05 | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
| CLD_B.09.06 | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
| CLD_B.09.07 | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
| CLD_B.09.08 | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Specificeren en documenteren opslag op welke locatie data |
| CLD_B.10.01 | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Bewerkstelligen en promoten cloudbeveiligingsbeleid |
| CLD_B.10.02 | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
| CLD_B.10.03 | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
| CLD_B.10.04 | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
| CLD_B.10.05 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
| CLD_B.10.06 | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
| CLD_B.10.07 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
| CLD_B.10.08 | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
| ... meer resultaten | ||
Privacyprincipes in dit aspect
| ID | Privacyprincipe | Criterium |
|---|---|---|
| PRIV_U.01 | Doelbinding gegevensverwerking | De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
|
| PRIV_U.02 | Register van verwerkingsactiviteiten | De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens. |
| PRIV_U.03 | Kwaliteitsmanagement | De verwerkingsverantwoordelijke heeft kwaliteitsmanagement ingericht ten behoeve van de bewaking van de juistheid en nauwkeurigheid van persoonsgegevens. De verwerking is zo ingericht dat de persoonsgegevens kunnen worden gecorrigeerd, gestaakt of overgedragen. Indien dit gebeurt op verzoek van betrokkene dan wordt deze over de status van de afhandeling geïnformeerd. |
| PRIV_U.04 | Beveiligen van de verwerking van persoonsgegevens | De verwerkingsverantwoordelijke en de verwerker treffen technische en organisatorische maatregelen voor verwerking van persoonsgegevens op een passend beveiligingsniveauAVG Art. 32. |
| PRIV_U.05 | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | De verwerkingsverantwoordelijke stelt bij elke verzameling van persoonsgegevens tijdig en op een vastgelegde en vastgestelde wijze informatie aan de betrokkene beschikbaar, zodat de betrokkene, tenzij een uitzondering geldt, toestemming kan geven voor de verwerkingAVG Art. 14. |
| PRIV_U.06 | Bewaren van persoonsgegevens | Door het treffen van de nodige maatregelen hanteert de organisatie voor persoonsgegevens een bewaartermijn die niet wordt overschreden. |
| PRIV_U.07 | Doorgifte persoonsgegevens | Bij doorgifte aan een andere verwerkingsverantwoordelijke zijn de onderlinge verantwoordelijkheden duidelijk en bij de doorgifte aan een verwerker zijn er afdoende garanties. Bij de doorgifte naar buiten de EU:
|
Normen in dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| PRIV_U.01.01.01 | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
| PRIV_U.01.01.02 | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid |
| PRIV_U.01.01.03 | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid |
| PRIV_U.01.01.04 | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Tijdig, welbepaald en uitdrukkelijk omschreven; SMART |
| PRIV_U.01.02.01 | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doeleinden; toereikend, ter zake dienend en beperkt |
| PRIV_U.01.02.02 | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doeleinden; rechtmatigheid |
| PRIV_U.01.02.03 | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doeleinden; transparant, behoorlijk en veilig |
| PRIV_U.01.03.01 | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Verdere verwerking i.r.t. andere doelen |
| PRIV_U.01.03.02 | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Vooraf in kennis stellen van (voornemen tot) verdere verwerking |
| PRIV_U.01.04.01 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming |
| PRIV_U.01.04.02 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten |
| PRIV_U.01.04.03 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht |
| PRIV_U.01.04.04 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten |
| PRIV_U.01.04.05 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene |
| PRIV_U.01.04.06 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten |
| PRIV_U.01.04.07 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang |
| PRIV_U.01.04.08 | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Bijzondere categorieën persoonsgegevens; gezondheidsgegevens |
| PRIV_U.01.04.09 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg |
| PRIV_U.01.04.10 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid |
| PRIV_U.01.04.11 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang |
| PRIV_U.01.05.01 | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Persoonsgegevens van strafrechtelijke aard |
| PRIV_U.01.05.02 | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking |
| PRIV_U.01.05.03 | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR | |
| PRIV_U.01.05.04 | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. | |
| PRIV_U.01.05.05 | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking | |
| PRIV_U.01.06.01 | Het bepalen van een nummer dat ter identificatie van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Nationaal identificerend nummer |
| PRIV_U.01.07.01 | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Geautomatiseerde besluitvorming; niet, tenzij |
| PRIV_U.01.07.02 | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen |
| PRIV_U.01.07.03 | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
| PRIV_U.01.08.01 | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang |
| PRIV_U.01.08.02 | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen |
| PRIV_U.02.01.01 | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsverantwoordelijke |
| PRIV_U.02.01.02 | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Inhoud van het register van verwerkingsactiviteiten |
| PRIV_U.02.01.03 | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerker, categorieën van verwerkingsactiviteiten |
| PRIV_U.02.01.04 | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerker, inhoud van het register |
| PRIV_U.02.01.05 | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerker, in schriftelijke elektronische vorm |
| PRIV_U.02.01.06 | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerker, niet bijgehouden als … |
| PRIV_U.02.02.01 | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | De registers geven een samenhangend beeld |
| PRIV_U.02.02.02 | Op verzoek van de AP wordt middels de registers een actueel beeld gegeven. | Actueel beeld voor de AP |
| PRIV_U.02.02.03 | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Beschrijving gegevensstromen |
| PRIV_U.02.02.04 | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Resultaten DPIA in register |
| PRIV_U.03.01.01 | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Maatregelen i.r.t. juistheid en nauwkeurigheid |
| PRIV_U.03.01.02 | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Controle op juistheid en nauwkeurigheid |
| PRIV_U.03.02.01 | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Rectificatie op verzoek van betrokkene |
| PRIV_U.03.02.02 | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Aanvulling op verzoek van betrokkene |
| PRIV_U.03.02.03 | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Gegevens wissen op verzoek van de betrokkene |
| PRIV_U.03.02.04 | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Staken van de verwerking op verzoek van betrokkene |
| PRIV_U.03.02.05 | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Maatregelen na openbaarmaking van persoonsgegevens |
| PRIV_U.03.02.06 | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Beperking van de verwerking op verzoek van de betrokkene |
| PRIV_U.03.02.07 | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Recht op ongehinderde overdracht van gegevens |
| PRIV_U.03.02.08 | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Rechtstreekse overdracht |
| PRIV_U.03.03.01 | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking |
| PRIV_U.03.03.03 | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Informatie over afwikkeling correctieverzoek |
| PRIV_U.03.03.04 | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Elektronische verwerking van het verzoek |
| PRIV_U.03.03.05 | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Geïnformeerd, schriftelijk of op andere wijze |
| PRIV_U.03.03.06 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Informatie over geen gevolg geven aan het correctieverzoek |
| PRIV_U.03.03.07 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Identificatie van betrokkene |
| PRIV_U.04.01.01 | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Toegang wordt beperkt |
| PRIV_U.04.01.02 | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Fysieke beveiliging, wijze van verzamelen |
| PRIV_U.04.01.03 | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Organisatorische beveiliging, planmatig, aantoonbaar |
| PRIV_U.04.01.04 | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Passend beveiligingsniveau |
| PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Passend beschermingsniveau, proportioneel en subsidiair |
| PRIV_U.04.02.02 | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Risicoanalyse |
| PRIV_U.04.02.03 | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Gedragscode, certificering |
| PRIV_U.05.01.01 | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Toestemming van de betrokkene vooraf |
| PRIV_U.05.01.02 | Informatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatie over niet van betrokkene verkregen persoonsgegevens |
| PRIV_U.05.02.01 | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatievereisten bij verzoek om toestemming |
| PRIV_U.05.02.02 | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatie aan betrokkene |
| PRIV_U.05.02.03 | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatie aan betrokkene indien andere bron |
| PRIV_U.05.03.01 | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informeren bij toestemming soms niet verplicht |
| PRIV_U.05.04.01 | De toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Toestemming vrijelijk gegeven |
| PRIV_U.05.04.02 | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Toestemming indien kind jonger is dan 16 jaar |
| PRIV_U.06.01.01 | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Maatregelen na verlopen bewaartermijn |
| PRIV_U.06.01.02 | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaking van de noodzaak tot bewaren |
| PRIV_U.06.02.01 | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaartermijnen worden vastgesteld en bekrachtigd |
| PRIV_U.06.02.02 | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Maximale bewaartermijn |
| PRIV_U.06.02.03 | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Sectorspecifieke bewaartermijnen |
| PRIV_U.06.02.04 | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) |
| PRIV_U.07.01.01 | Bij doorgifte aan een andere verantwoordelijke zijn:
| De onderlinge verantwoordelijkheden |
| PRIV_U.07.02.01 | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Afdoende garanties formeel vastgelegd |
| PRIV_U.07.02.02 | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Bepalingen overeengekomen met de verwerker |
| PRIV_U.07.02.03 | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Schriftelijk vastleggen |
| PRIV_U.07.03.01 | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Vertegenwoordiger in de EU |
| PRIV_U.07.03.02 | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Afdoende garanties voor passende maatregelen |
| PRIV_U.07.03.03 | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking |
| PRIV_U.07.04.01 | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Uitzonderingsgrond voor de verwerking |
| PRIV_U.07.04.02 | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Uitzonderingsgrond voor doorgifte |
| PRIV_U.07.05.01 | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Adequaatheidsbesluit |
| PRIV_U.07.06.01 | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Passende waarborgen bij afwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.02 | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.03 | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
| PRIV_U.07.07.01 | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Afwijking voor een specifieke situatie |