Normen

Uit NORA Online
Versie door Jdirks2 (Overleg | bijdragen) op 30 mei 2018 om 19:37 (meer dan 500 normen, en zeker meer dan 200)

Ga naar: navigatie, zoeken

Op deze pagina vind u alle Normen uit de NORANederlandse Overheid ReferentieArchitectuur. Normen komen oorspronkelijk voort uit Normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en zijn eind 2017 in de NORANederlandse Overheid ReferentieArchitectuur toegevoegd als onderdeel van de Information Security Object Repository (ISOR). Het is de bedoeling dat zowel de privacy- en beveiligingsprincipes uit deze normenkaders als de individuele normen doorontwikkeld worden in samenhang met de NORANederlandse Overheid ReferentieArchitectuur Basisprincipes en Afgeleide Principes en de thema's Beveiliging en Privacy.

Een norm is een actie die nodig is om een Privacyprincipe of ander Themaprincipe te realiseren.

Alle normen in de NORANederlandse Overheid ReferentieArchitectuur

De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van Normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen. De onderstaande tabel is te sorteren via kolomtitels en toont standaard de eerste 200 normen.

IDStellingRealiseertNorm
AppO_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenDe gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
AppO_B.01.02De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenGrip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
AppO_B.01.03In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Beleid voor (beveiligd) ontwikkelenOverwegingen bij het beleid voor beveiligd ontwikkelen van software
AppO_B.01.04Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.Beleid voor (beveiligd) ontwikkelenTechnieken voor beveiligd programmeren
AppO_B.02.01Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).Systeem ontwikkelmethodeSoftware wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
AppO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Systeem ontwikkelmethodeSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
AppO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord.Systeem ontwikkelmethodeAdoptie van ontwikkelmethodologie wordt gemonitord
AppO_B.02.04Standaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Systeem ontwikkelmethodeSoftware wordt ontwikkelen conform standaarden en procedures
AppO_B.02.05De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleid van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • Systeem ontwikkelmethodeDe systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
    AppO_B.02.06Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • Systeem ontwikkelmethodeHet softwareontwikkeling wordt projectmatig aangepakt
    AppO_B.03.01De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.Classificatie van InformatieDataclassificatie' als uitgangspunt voor softwareontwikkeling
    AppO_B.03.02In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Classificatie van InformatieInformatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
    AppO_B.03.03Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Classificatie van InformatieBij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
    AppO_B.03.04In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.Classificatie van InformatieVerplichtingen uit wet en regelgeving en organisatorische en technische requirements
    AppO_B.04.01De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.Engineeringprincipes beveiligde systemenSecurity by Design als uitgangspunt voor softwareontwikkeling
    AppO_B.04.02Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • Engineeringprincipes beveiligde systemenPrincipes voor het beveiligen van informatiesystemen
    AppO_B.04.03Beveiliging wordt als een integraaleen benadering waarbij bijvoorbeeld organisatie, beleid, architectuur, processen gegevensbeheer, en producten onderling verbonden en afgestemd zijn. onderdeel van system ontwikkeling behandeld.Engineeringprincipes beveiligde systemenBeveiliging is integraal onderdeel van systeemontwikkeling
    AppO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen.Engineeringprincipes beveiligde systemenOntwikkelaars zijn getraind om veilige software te ontwikkelen
    AppO_B.05.01Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • Business Impact AnalysePerspectieven bij de Business Impact Analyse
    AppO_B.05.02De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Business Impact AnalyseScenario's voor de Business Impact Analyse
    AppO_B.05.03Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • Business Impact AnalyseVaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
    AppO_B.06.01Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
    AppO_B.06.02Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
    AppO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
    AppO_B.06.04Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
    AppO_B.06.05De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Risicomanagement aanpak aantoonbaar toegepast
    AppO_B.06.06Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
    AppO_B.07.01De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.Kwaliteitsmanagement systeemDe doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid
    AppO_B.07.02De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.Kwaliteitsmanagement systeemDe doelorganisatie beschikt over QA- en KMS-methodiek
    AppO_B.07.03De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.Kwaliteitsmanagement systeemDe ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd
    AppO_B.07.04Er zijn informatie- en communicatieprocessen ingericht.Kwaliteitsmanagement systeemVoor informatie- en communicatie zijn processen ingericht
    AppO_B.07.05Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdKwaliteitsmanagement systeemOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd
    AppO_B.07.06Aan het management worden evaluatie rapportages verstrekt.Kwaliteitsmanagement systeemAan het management worden evaluatierapportages verstrekt
    AppO_B.07.07De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.Kwaliteitsmanagement systeemapplicatieontwikkeling- en onderhoudprocessen zijn beschreven en maken onderdeel uit van het KMS
    AppO_B.08.01Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    Toegangsbeveiliging op programmacodeOm de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen
    AppO_B.08.02Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).Toegangsbeveiliging op programmacodeAanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd
    AppO_B.09.01De beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    ProjectorganisatieTaken van de beveiligingsfunctionaris
    AppO_B.09.02De beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • ProjectorganisatieInzicht gegeven door de beveiligingsfunctionaris
    AppO_C.01.01De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.Richtlijnen evaluatie ontwikkelactiviteitenControle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
    AppO_C.01.02De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.Richtlijnen evaluatie ontwikkelactiviteitenEvaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
    AppO_C.01.03De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.Richtlijnen evaluatie ontwikkelactiviteitenControle richtlijnen die binnen de relevante beheerprocessen worden toegepast
    AppO_C.01.04De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.Richtlijnen evaluatie ontwikkelactiviteitenHet kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
    AppO_C.01.05De QA methodiek wordt conform de richtlijnen nageleefd.Richtlijnen evaluatie ontwikkelactiviteitenDe Quality Assurance methodiek wordt conform de richtlijnen nageleefd
    AppO_C.01.06De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Richtlijnen evaluatie ontwikkelactiviteitenControleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
    AppO_C.01.07Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.Richtlijnen evaluatie ontwikkelactiviteitenHet applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
    AppO_C.02.01Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.Versie ManagementVersiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris
    AppO_C.02.02In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.Versie ManagementVersiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
    AppO_C.02.03Het versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versie ManagementVersiemanagement wordt ondersteund met procedures en werkinstructies
    AppO_C.02.04Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
  • Versie ManagementOndersteuning vanuit het toegepaste versiebeheertool
    AppO_C.03.01Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement van externe programmacodePatchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt
    AppO_C.03.02De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.Patchmanagement van externe programmacodeOntwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
    AppO_C.03.03Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd.Patchmanagement van externe programmacodeHet al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
    AppO_C.03.04Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Patchmanagement van externe programmacodeHet beheer van technische kwetsbaarheden in code uit externe bibliotheken
    AppO_C.03.05Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Patchmanagement van externe programmacodeInstalleren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes
    AppO_C.03.06Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.Patchmanagement van externe programmacodeUpdates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
    AppO_C.04.01Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.(Software) configuratie managementSoftware configuratiescomponenten worden conform procedures vastgelegd
    AppO_C.04.02De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.(Software) configuratie managementDe configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
    AppO_C.04.03Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.(Software) configuratie managementWijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB
    AppO_C.05.01Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.Compliance managementHet compliance management proces is gedocumenteerd en vastgesteld
    AppO_C.05.02Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
  • Compliance managementDe noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
    AppO_C.06.01De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.Quality assuranceDe Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
    AppO_C.06.02Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • Quality assuranceGedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
    AppO_C.06.03De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Quality assuranceRapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
    AppO_C.06.04Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.Quality assuranceToetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
    AppO_C.07.01Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
    1. de toepassingscontrole procedures;
    2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
    3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
    4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    Technische beoordeling van informatiesystemen na wijziging besturingsplatformTesten bij verandering van besturingssystemen
    AppO_C.08.01De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.Beheersing van software ontwikkeling(sprojecten)De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd
    AppO_C.08.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.Beheersing van software ontwikkeling(sprojecten)De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
    AppO_C.08.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Beheersing van software ontwikkeling(sprojecten)De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
    AppO_C.08.04De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersing van software ontwikkeling(sprojecten)De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven
    AppO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.Procedures voor wijzigingsbeheer m.b.t. applicatiesVoor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
    AppO_U.01.02Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.Procedures voor wijzigingsbeheer m.b.t. applicatiesMedewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
    AppO_U.01.03Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Procedures voor wijzigingsbeheer m.b.t. applicatiesNieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
    AppO_U.01.04Enkele elementen van de procedures voor wijzigingsbeheer zijn:
  • alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
  • Procedures voor wijzigingsbeheer m.b.t. applicatiesElementen van de procedures voor wijzigingsbeheer
    AppO_U.02.01De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.Beperkingen voor de installatie van software(richtlijnen)Beleid ten aanzien van het type software dat mag worden geïnstalleerd
    AppO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.Beperkingen voor de installatie van software(richtlijnen)Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
    AppO_U.02.03De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.Beperkingen voor de installatie van software(richtlijnen)De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars
    AppO_U.03.01De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
    • gebruikte tools;
    • gebruikte licenties;
    • versiebeheer;
    • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
    Richtlijnen voor programmacode (best practices)De programmacode voor functionele specificaties is reproduceerbaar
    AppO_U.03.02(Programma)code wordt aantoonbaar veilig gecreëerd.Richtlijnen voor programmacode (best practices)programmacode wordt aantoonbaar veilig gecreëerd
    AppO_U.03.03(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • Richtlijnen voor programmacode (best practices)programmacode is effectief, veranderbaar en testbaar
    AppO_U.03.04Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.Richtlijnen voor programmacode (best practices)Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt
    AppO_U.03.05Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.Richtlijnen voor programmacode (best practices)Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire
    AppO_U.03.06Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.Richtlijnen voor programmacode (best practices)Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten
    AppO_U.03.07Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.Richtlijnen voor programmacode (best practices)Gebruik van programmacode uit externe programmabibliotheken
    AppO_U.04.01De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).Analyse en specificatie van informatiesystemenFunctionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd
    AppO_U.04.02Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.Analyse en specificatie van informatiesystemenHet Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden
    AppO_U.04.03Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..Analyse en specificatie van informatiesystemenOp basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd
    AppO_U.04.04Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).Analyse en specificatie van informatiesystemenAlle vereisten worden gevalideerd door peer review of prototyping
    AppO_U.04.05Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.Analyse en specificatie van informatiesystemenAcceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp
    AppO_U.05.01Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.Analyse en specificatie van informatiebeveiligingseisenEen expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen
    AppO_U.05.02De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.Analyse en specificatie van informatiebeveiligingseisenDe Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005
    AppO_U.05.03Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • Analyse en specificatie van informatiebeveiligingseisenInformatiebeveiligingseisen
    AppO_U.05.04Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • Analyse en specificatie van informatiebeveiligingseisenOverwogen informatiebeveiligingseisen
    AppO_U.06.01Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • Applicatie ontwerpHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie
    AppO_U.06.02Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • Applicatie ontwerpBij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie
    AppO_U.06.03Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.Applicatie ontwerpHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur
    AppO_U.07.01Bereikcontroles worden toegepast en gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd.Applicatie functionaliteitenBereikcontroles worden toegepast en gegevens worden gevalideerd
    AppO_U.07.02Geprogrammeerde controles worden ondersteund.Applicatie functionaliteitenGeprogrammeerde controles worden ondersteund
    AppO_U.07.03Het uitvoeren van onopzettelijke mutaties wordt tegengegaan.Applicatie functionaliteitenHet uitvoeren van onopzettelijke mutaties wordt tegengegaan
    AppO_U.07.04Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.Applicatie functionaliteitenVoorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar
    AppO_U.07.05Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).Applicatie functionaliteitenVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar
    AppO_U.07.06Opgeleverde/over te dragen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden gevalideerd.Applicatie functionaliteitenOpgeleverde en over te dragen gegevens worden gevalideerd
    AppO_U.07.07Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) en op de verwerking en output van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (versterkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd) wordt uitgevoerd.Applicatie functionaliteitenControle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens
    AppO_U.07.08Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd buiten de applicatie om (kunnen) worden benaderd.Applicatie functionaliteitenVoorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd
    AppO_U.07.09Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.Applicatie functionaliteitenGegevens worden conform vastgestelde beveiligingsklasse gevalideerd
    AppO_U.08.01Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • ApplicatiebouwVoor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld
    AppO_U.08.02Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.ApplicatiebouwVeilige methodes ter voorkoming van veranderingen in basis code of in software packages
    AppO_U.08.03Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).ApplicatiebouwVoor het creëren van programma code wordt gebruik gemaakt van good practices
    AppO_U.08.04Het gebruik van onveilig programmatechnieken is niet toegestaan.ApplicatiebouwGeen gebruik van onveilig programmatechnieken
    AppO_U.08.05Programmacode is beschermd tegen ongeautoriseerde wijzigingen.Applicatiebouw(Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen
    AppO_U.08.06Activiteiten van applicatiebouw worden gereviewd.ApplicatiebouwActiviteiten van applicatiebouw worden gereviewd
    AppO_U.08.07De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.ApplicatiebouwDe ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren
    AppO_U.09.01Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).Testen van systeembeveiligingFunctionarissen testen functionele requirements
    AppO_U.09.02De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.Testen van systeembeveiligingIn de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek
    AppO_U.10.01Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.Systeem acceptatietestsVoor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt
    AppO_U.10.02Van de resultaten van de testen wordt een verslag gemaakt.Systeem acceptatietestsVan de resultaten van de testen wordt een verslag gemaakt
    AppO_U.10.03Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.Systeem acceptatietestsTestresultaten worden formeel geëvalueerd en beoordeeld
    AppO_U.10.04(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.Systeem acceptatietestsAcceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving
    AppO_U.10.05Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.Systeem acceptatietestsVastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang
    AppO_U.10.06Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.Systeem acceptatietestsTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens
    AppO_U.10.07Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • Systeem acceptatietestsBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken
    AppO_U.11.01De volgende richtlijnen worden toegepast om operationele gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • Beschermen van testgegevensRichtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen
    AppO_U.12.01Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Beveiligde ontwikkel- (en test) omgevingUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging
    AppO_U.12.02De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.Beveiligde ontwikkel- (en test) omgevingLogisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen
    AppO_U.12.03De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.Beveiligde ontwikkel- (en test) omgevingDe taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen
    AppO_U.12.04Voor remote werkzaamheden is een werkwijze vastgelegd.Beveiligde ontwikkel- (en test) omgevingVoor remote werkzaamheden is een werkwijze vastgelegd
    AppO_U.12.05Ontwikkelaars hebben geen toegang tot de Productie-omgeving.Beveiligde ontwikkel- (en test) omgevingOntwikkelaars hebben geen toegang tot productieomgeving
    AppO_U.12.06T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.Beveiligde ontwikkel- (en test) omgevingOverdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen
    AppO_U.12.07De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.Beveiligde ontwikkel- (en test) omgevingDe overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats
    AppO_U.12.08De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.Beveiligde ontwikkel- (en test) omgevingDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats
    AppO_U.12.09De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingDe overdracht naar de Productieomgeving vindt gecontroleerd plaats
    AppO_U.13.01Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.ApplicatiekoppelingenKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen
    AppO_U.13.02Van het type koppelingen is een overzicht aanwezig.ApplicatiekoppelingenVan het type koppelingen is een overzicht aanwezig
    AppO_U.13.03Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.ApplicatiekoppelingenKoppelingen worden uitgevoerd op basis van geautoriseerde opdrachten
    AppO_U.13.04De uitgevoerde koppelingen worden geregistreerd.ApplicatiekoppelingenDe uitgevoerde koppelingen worden geregistreerd
    AppO_U.14.01Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.Logging en monitoringVastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden
    AppO_U.14.02InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.Logging en monitoringInformatie ten aanzien van autorisatie(s) wordt vastgelegd
    AppO_U.14.03De loggegevens zijn beveiligd.Logging en monitoringDe loggegevens zijn beveiligd
    AppO_U.14.04De locatie van de vastlegging van de loggegevens is vastgesteld.Logging en monitoringDe locatie van de vastlegging van de loggegevens is vastgesteld
    AppO_U.14.05De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.Logging en monitoringDe applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden
    AppO_U.14.06De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.Logging en monitoringDe frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd
    AppO_U.15.01De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Applicatie architectuurDe architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld
    AppO_U.15.02Het architectuurdocument wordt actief onderhouden.Applicatie architectuurHet architectuur document wordt actief onderhouden
    AppO_U.15.03De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.Applicatie architectuurDe voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast
    AppO_U.15.04Tussen in- en uitstroom van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.Applicatie architectuurSamenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten
    AppO_U.15.05Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).Applicatie architectuurDat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar
    AppO_U.15.06De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is inzichtelijk.Applicatie architectuurDe relatie tussen de persoonsgegevens is inzichtelijk
    AppO_U.16.01Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.Tooling ontwikkelmethodeHet tool ondersteunt alle fasen van het ontwikkelproces
    AppO_U.16.02Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.Tooling ontwikkelmethodeFramework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden
    AppO_U.16.03Het tool beschikt over faciliteiten voor versie- en releasebeheer.Tooling ontwikkelmethodeHet tool beschikt over faciliteiten voor versie- en releasebeheer
    AppO_U.16.04Het tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • Tooling ontwikkelmethodeFaciliteiten van het tool
    AppO_U.16.05Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen.Tooling ontwikkelmethodeHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen
    CommVZ_B.01.1Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid en procedures informatietransportBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten
    CommVZ_B.01.2Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid en procedures informatietransportBeleid of richtlijnen omschrijven het toepassen van cryptografie
    CommVZ_B.01.3Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid en procedures informatietransportBeleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden
    CommVZ_B.01.4Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Beleid en procedures informatietransportProcedures beschrijven het beveiligen van informatie
    CommVZ_B.01.5Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Beleid en procedures informatietransportProcedures beschrijven het opsporen van en beschermen tegen malware
    CommVZ_B.01.6Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Beleid en procedures informatietransportProcedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie
    CommVZ_B.01.7E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.Beleid en procedures informatietransportE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd
    CommVZ_B.02.1Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
    1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
    2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
    3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
    4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
    5. acceptabele niveaus van toegangsbeveiliging.
    Overeenkomsten over informatietransportElementen in overeenkomsten over informatietransport
    CommVZ_B.02.2In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.Overeenkomsten over informatietransportIn de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn
    CommVZ_B.03.1In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
  • Cryptografiebeleid voor communicatieIn het cryptografiebeleid uitgewerkte onderwerpen
    CommVZ_B.03.2Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moet voor welke communicatievorm worden versleuteld;
  • welk type gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
  • Cryptografiebeleid voor communicatieAanvullende onderdelen in het cryptografiebeleid
    CommVZ_B.04.1In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).Organisatiestructuur van netwerkbeheerIn de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd
    CommVZ_B.04.2De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie.Organisatiestructuur van netwerkbeheerDe beheer(sing)processen hebben een formele positie binnen de gehele organisatie
    CommVZ_B.04.3De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.Organisatiestructuur van netwerkbeheerDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd
    CommVZ_C.01.1De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
    • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
    • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
    • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
    • actuele beleidsregels voor netwerkbeveiliging;
    • aanwijzingen voor hardening van netwerkcomponenten;
    • verifieerbare auditlog oplossing.
    Naleving richtlijnen netwerkbeheer en evaluatiesDe naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
    CommVZ_C.02.1Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.Netwerk security compliancy checkingInformatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s
    CommVZ_C.02.2De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
  • Netwerk security compliancy checkingChecklist voor veilige inrichting van netwerk(diensten)
    CommVZ_C.02.3Resultaten worden gerapporteerd aan het verantwoordelijke management.Netwerk security compliancy checkingResultaten worden gerapporteerd aan het verantwoordelijke management
    CommVZ_C.03.1De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
  • Evalueren netwerkbeveiligingDe teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
    CommVZ_C.04.1Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
  • Evalueren netwerk monitoringZeer belangrijke onderdelen van netwerkbeveiliging
    CommVZ_C.04.2Continue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
  • Evalueren netwerk monitoringContinue bewaking via monitoring
    CommVZ_C.05.1De communicatievoorzieningen worden geïdentificeerd en gedefinieerd.Beheerorganisatie netwerkbeveiligingDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd
    CommVZ_C.05.2Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
  • Beheerorganisatie netwerkbeveiligingBeheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
    CommVZ_U.01.1De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
    1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
    2. inventarisatie van de functionele eisen;
    3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
    4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
    5. evaluatie van bestaande ontwerpen en implementaties.
    Richtlijnen netwerkbeveiligingStappen ter voorbereiding van veilige netwerkontwerpen
    CommVZ_U.01.2Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak".Richtlijnen netwerkbeveiligingLeidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak”
    CommVZ_U.01.3Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen.Richtlijnen netwerkbeveiligingNetwerkbeveiliging is gebaseerd op ITU-T X.80x
    CommVZ_U.01.4Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).Richtlijnen netwerkbeveiligingNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten
    CommVZ_U.01.5Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.Richtlijnen netwerkbeveiligingDe implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat
    CommVZ_U.01.6De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8.Richtlijnen netwerkbeveiligingNetwerken zijn zo opgezet dat ze centraal beheerd kunnen worden
    CommVZ_U.02.1Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend.Beveiligde inlogprocedureVoor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt
    CommVZ_U.02.2Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..Beveiligde inlogprocedureToegang vanuit een niet-vertrouwde zones naar een vertrouwde zone
    CommVZ_U.02.3Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  • remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  • versterkte authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., voor toepassingen waarbij de ‘standaard’ authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van gebruikers (en applicaties) kan worden gecompromitteerd;
  • Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
  • Beveiligde inlogprocedureToegang tot netwerken is beperkt tot geautoriseerde gebruikers
    CommVZ_U.03.1Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.Netwerk beveiligingsbeheerVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld
    CommVZ_U.03.2Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.Netwerk beveiligingsbeheerNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen
    CommVZ_U.03.3Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast.Netwerk beveiligingsbeheerBeheeractiviteiten worden nauwgezet gecoördineerd
    CommVZ_U.03.4Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld.Netwerk beveiligingsbeheerTer bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld
    CommVZ_U.03.5De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden.Netwerk beveiligingsbeheerDe functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden
    CommVZ_U.03.6Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.Netwerk beveiligingsbeheerSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd
    CommVZ_U.04.1Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  • de looptijd van een overeenkomst;
  • de benodigde acties bij beëindiging;
  • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  • hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  • de acties in geval van schending van de overeenkomst;
  • de privacyregelgeving (UAVG en AVG/GDPR).
  • Vertrouwelijkheids- of geheimhoudingsovereenkomstElementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten
    CommVZ_U.05.1Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen.Beveiliging netwerkdienstenBinnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen
    CommVZ_U.05.2Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Beveiliging netwerkdienstenOntdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid
    CommVZ_U.05.3Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven.Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomstenBij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen
    CommVZ_U.05.4Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • vereiste performance en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van het netwerk;
    • toegestane verbindingstypen;
    • toegestane netwerkprotocollen;
    • toegepaste applicaties op de te leveren netwerkservices;
    • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementenEisen op basis waarvan het dienstverleningsniveau wordt afgestemd
    CommVZ_U.05.5De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.Beveiliging netwerkdienstenDe noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst
    CommVZ_U.05.6Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
  • Beveiliging netwerkdienstenBeveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen
    CommVZ_U.06.01Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Zonering en filteringAlle gescheiden groepen hebben een gedefinieerd beveiligingsniveau
    CommVZ_U.06.02Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Zonering en filteringHet netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding
    CommVZ_U.06.03Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. door middel van een gateway (bijv. een firewall, een filterende router).Zonering en filteringPerimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst
    CommVZ_U.06.04Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen.Zonering en filteringDraadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding
    CommVZ_U.07.1Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Elektronische berichtenVoor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren
    CommVZ_U.07.2Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.Elektronische berichtenVoor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling
    CommVZ_U.07.3Bij web- en mailverkeer van gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Elektronische berichtenBij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten
    CommVZ_U.07.4Voor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie).Elektronische berichtenVoor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1
    CommVZ_U.07.5Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema van de organisatie;
  • correcte adressering en transport van het bericht waarborgen;
  • herstelbaarheid van onderbroken communicatie en beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de dienst;
  • wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • toestemming verkrijgen van het verantwoordelijk management en gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
  • 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. voor toegang vanuit openbaar toegankelijke netwerken.
  • Elektronische berichtenVoor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen
    CommVZ_U.08.1Met communicerende partijen worden afspraken gemaakt over:
  • wederzijdse authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.;
  • bevoegdheden voor gebruik van de dienst;
  • integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst;
  • passende verificatie voor de controle van de transactie.
  • Toepassingen via openbare netwerkenMet communicerende partijen worden afspraken gemaakt
    CommVZ_U.09.1Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Gateway/FirewallVoor elke gateway of firewall bestaat een actueel configuratiedocument
    CommVZ_U.09.2De filterfunctie van gateways en firewalls is instelbaar.Gateway/FirewallDe filterfunctie van gateways en firewalls is instelbaar
    CommVZ_U.09.3Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM.Gateway/FirewallGebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM
    CommVZ_U.09.4Uitsluitend toegestaan netwerkverkeer wordt doorgelaten.Gateway/FirewallUitsluitend toegestaan netwerkverkeer wordt doorgelaten
    CommVZ_U.10.1De end-to-end connectie:
  • wordt gecreëerd door scheiding van adresseringsruimte en routeringen tussen VPN’s over het onderliggende netwerk;
  • geeft garanties, dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen Denial of Service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label-spoofing (het mogelijk injecteren van foute labels).
  • Virtual Private Networks (VPN)De end-to-end
    CommVZ_U.11.1Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie.Cryptografische ServicesVoor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen
    CommVZ_U.11.2Voor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
  • communicatieprotocollen, die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen, die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst en de integriteit van de ontvangen data.
  • Cryptografische ServicesVoor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast
    CommVZ_U.11.3Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Cryptografische ServicesCryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden
    CommVZ_U.11.4Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
  • Advanced Encryption Standard (AES);
  • sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware” toepassingen.
  • Cryptografische ServicesCryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden
    CommVZ_U.12.1Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
  • netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (EAP-TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • integriteitcontrolemechanismen voorkomen Man-in the-Middle attacks;
  • encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast, met backwards compatibility mogelijkheden voor ondersteuning van oudere of minder sterke protocollen;
  • autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van mobiele clients, b.v. via MAC adresfiltering;
  • toegangscontrole van eindgebruikers, b.v. via RBAC;
  • niet toegestane typen netwerkverkeer worden geblokkeerd;
  • niet benodigde functies zijn altijd uitgeschakeld (Hardening);
  • bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching & patchmanagement).
  • Wireless AccessAlgemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken
    CommVZ_U.13.1Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten van netwerkverbindingen die worden gebruikt;
  • actuele lijst van toegestane en gebruikte protocollen;
  • actuele lijst van gebruikte netwerktoepassingen;
  • continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • actuele netwerktopologie en daarvoor geldende beveiligingseisen.
  • NetwerkconnectiesVoor de beheersing van netwerken worden minimumeisen
    CommVZ_U.13.2Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd.NetwerkconnectiesNetwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd
    CommVZ_U.14.1Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS).NetwerkauthenticatieAuthenticiteit van aangesloten netwerkdevices wordt gecontroleerd
    CommVZ_U.14.2Alleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x).NetwerkauthenticatieAlleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen
    CommVZ_U.15.1Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • administratie:
    • het continue actualiseren van de netwerktopologie;
    • het beheersen en ‘huishouden’ van netwerkresources en de wijze waarop die beschikbaar zijn gesteld.
  • beschikbaarheidsbeheer;
    • het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg mogelijk worden ontdekt en te verholpen.
  • incident management:
    • het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • technische kwetsbaarheden management:
    • het verzamelen en uitvoeren van securityupgrades, zoals het aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling;
    • het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
  • Netwerk beheeractiviteitenNetwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie
    CommVZ_U.15.2Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.Netwerk beheeractiviteitenNetwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken
    CommVZ_U.16.1Overtredingen van het actuele netwerkbeleid (afwijkingen van de baselineEen gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.) worden geregistreerd en vastgelegd in auditlogs.Vastleggen en monitoring van netwerkgebeurtenissen (events)Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs
    CommVZ_U.16.2Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Vastleggen en monitoring van netwerkgebeurtenissen (events)Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen
    CommVZ_U.17.1De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem.Netwerk beveiligingsarchitectuurDe beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem
    CommVZ_U.17.2De beveiligingsarchitectuur is gelaagd, zoals:
  • NORANederlandse Overheid ReferentieArchitectuur Beveiliging Metamodel;
  • SABSA®.
  • Netwerk beveiligingsarchitectuurDe beveiligingsarchitectuur is gelaagd
    CommVZ_U.17.3De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden.Netwerk beveiligingsarchitectuurDe netwerk topologie is in kaart gebracht en wordt continu actueel gehouden
    Huisv_B.01.01De organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderingen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
  • Huisvesting informatievoorziening BeleidAan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
    Huisv_B.01.02Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Huisvesting informatievoorziening BeleidBeleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting Informatievoorziening, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Huisvesting informatievoorziening BeleidAan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01De verantwoordelijke voor de Huisvesting Informatievoorziening organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting Informatievoorziening.Wet en regelgevingDe voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02Het Huisvesting Informatievoorziening beleid waarover de Huisvesting Informatievoorziening organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Wet en regelgevingKlant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd.EigenaarschapVoor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.EigenaarschapHet eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel.EigenaarschapDe eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • EigenaarschapOp passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.CertificeringISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • CertificeringCertificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01De eisen en specificaties voor de Huisvesting Informatievoorziening voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.ContractmanagementISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02Het verwerven van Huisvesting Informatievoorziening voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.ContractmanagementHet verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd.ContractmanagementBij SLA en DAP betrokken rollen voor Contractmanagement Service Level Management zijn vastgelegd
    Huisv_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.ContractmanagementAfspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.ContractmanagementDe levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Service LevelmanagementBeschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02De dienstenniveaus zijn in lijn met het Huisvesting Informatievoorziening beveiligingsbeleid.Service LevelmanagementDe Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).Service LevelmanagementDe aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.Interne en Externe bedreigingenDe organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Interne en Externe bedreigingenTegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen.Interne en Externe bedreigingenBij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheidInterne en Externe bedreigingenDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover.Training en AwarenessAwareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Training en AwarenessAanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting Informatievoorziening een formele positie.OrganisatiestructuurISOR:De verantwoordelijken voor de Huisvesting Informatievoorziening hebben een formele positie
    Huisv_B.09.02Voor Huisvesting Informatievoorziening is een organisatieschema beschikbaar.OrganisatiestructuurEr is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.OrganisatiestructuurHet organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.OrganisatiestructuurDe taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd
    Huisv_C.01.01De Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen.Controle richtlijnDe Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
    Huisv_C.01.02De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Controle richtlijnBeschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    Huisv_C.01.03De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Controle richtlijnBeschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
    Huisv_C.01.04De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie.Controle richtlijnBeschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
    Huisv_C.01.05De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd.Controle richtlijnVastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
    Huisv_C.02.01De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan.OnderhoudsplanVerantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
    Huisv_C.02.02Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.OnderhoudsplanVoor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
    Huisv_C.03.01Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
  • ContinuiteitsmanagementHet BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
    Huisv_C.03.02De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.ContinuiteitsmanagementCommunicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
    Huisv_C.03.03Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit.ContinuiteitsmanagementHet opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
    Huisv_C.03.04De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd.ContinuiteitsmanagementDe herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
    Huisv_C.03.05Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden.ContinuiteitsmanagementRealisatie van afdoende uitwijkfaciliteiten
    Huisv_C.03.06Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest.ContinuiteitsmanagementGebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
    Huisv_C.03.07De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen.ContinuiteitsmanagementVerantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
    Huisv_C.04.01De samenhang van de processen wordt door middel van een processtructuur vastgelegd.Huisvesting Informatievoorziening BeheersingsorganisatieISOR:De samenhang van de Huisvestings-IV processen wordt d.m.v. een processtructuur vastgelegd
    Huisv_C.04.02De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Huisvesting Informatievoorziening BeheersingsorganisatieFunctionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
    Huisv_C.04.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Huisvesting Informatievoorziening BeheersingsorganisatieVerantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
    Huisv_C.04.04De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Huisvesting Informatievoorziening BeheersingsorganisatieTaken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
    Huisv_U.01.01Personeel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Richtlijnen gebieden en ruimtenPersoneel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
    Huisv_U.01.02Zonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.Richtlijnen gebieden en ruimtenIn beveiligde gebieden wordt slechts onder toezicht gewerkt
    Huisv_U.01.03Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Richtlijnen gebieden en ruimtenLeegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
    Huisv_U.01.04Tenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Richtlijnen gebieden en ruimtenFoto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
    Huisv_U.01.05Bezoekers van kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden continu aan toezicht onderworpen;
  • worden gemonitord bij aankomst en vertrek;
  • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
  • Wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
  • dragen verplicht een badge.
  • Richtlijnen gebieden en ruimtenRichtlijnen m.b.t. bezoek tot kritieke faciliteiten
    Huisv_U.02.01Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie geïdentificeerd (zie 8.2).Bedrijfsmiddelen inventarisEigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
    Huisv_U.02.02De Huisvesting Informatievoorziening organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting Informatievoorziening relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
  • de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Bedrijfsmiddelen inventarisIdentificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
    Huisv_U.02.03De inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel, consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Bedrijfsmiddelen inventarisActualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
    Huisv_U.02.04De Huisvesting Informatievoorziening organisatie heeft inventarisoverzichten:
  • deze inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • deze inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Bedrijfsmiddelen inventarisDoeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
    Huisv_U.02.04 vervallenVoor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2).eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
    Huisv_U.03.01Voor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:

    @ het Kader Rijkstoegangsbeleid (2010); @ het Normenkader Beveiliging Rijkskantoren (NkBR 2015);

    @ het Beveiligingsvoorschrift Rijk (BVR 2013).
    Fysieke zoneringVoor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
    Huisv_U.03.02Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Fysieke zoneringBeveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
    Huisv_U.03.03Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Fysieke zoneringInformatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
    Huisv_U.03.04Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen.Fysieke zoneringHet dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
    Huisv_U.03.05Van elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord.Fysieke zoneringVan elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord
    Huisv_U.04.01Belangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn.Beveiligingsfaciliteiten ruimtenBelangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
    Huisv_U.04.02Faciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Beveiligingsfaciliteiten ruimtenVertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
    Huisv_U.04.03Adresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., zijn niet vrij toegankelijk voor onbevoegden.Beveiligingsfaciliteiten ruimtenAdresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
    Huisv_U.04.04Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).Beveiligingsfaciliteiten ruimtenSleutelbeheer is ingericht op basis van een sleutelplan
    Huisv_U.05.01Nutsvoorzieningen:
    • zijn in overeenstemming met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
    • worden regelmatig onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
    • worden regelmatig geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
    • worden zo nodig voorzien van een alarmsysteem om disfunctioneren op te sporen;
    • beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.
    NutsvoorzieningenDe nutsvoorzieningen
    Huisv_U.05.02Noodverlichting en (nood)communicatiemiddelen zijn aanwezig.NutsvoorzieningenNoodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
    Huisv_U.05.03Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.NutsvoorzieningenAanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
    Huisv_U.05.04Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder..NutsvoorzieningenRedundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
    Huisv_U.06.01Apparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd..Apparatuur positioneringOnbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
    Huisv_U.06.02Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische straling) van buitenaf.Apparatuur positioneringApparatuur wordt beschermd tegen externe bedreigingen
    Huisv_U.07.01Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Onderhoud ApparatuurApparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
    Huisv_U.07.02Alleen bevoegd onderhoudspersoneel mag reparaties en onderhoudsbeurten aan apparatuur uitvoeren.Onderhoud ApparatuurAlleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
    Huisv_U.07.03Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is (R).Onderhoud ApparatuurReparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
    Huisv_U.07.04Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden.Onderhoud ApparatuurAlle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
    Huisv_U.07.05Aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan.Onderhoud ApparatuurEr wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
    Huisv_U.07.06Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert.Onderhoud ApparatuurVoorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
    Huisv_U.08.01Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat.Apparatuur verwijderingVoorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
    Huisv_U.08.02Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
  • Apparatuur verwijderingHet verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
    Huisv_U.09.01In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.Bedrijfsmiddelen verwijderingHet toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
    Huisv_U.09.02Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd.Bedrijfsmiddelen verwijderingIdentificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
    Huisv_U.09.03Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht.Bedrijfsmiddelen verwijderingTijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
    Huisv_U.09.04Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Bedrijfsmiddelen verwijderingMeenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
    Huisv_U.09.05De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd.Bedrijfsmiddelen verwijderingDocumentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
    Huisv_U.10.01Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R).Laad en los locatieEen procedure beschrijft het omgaan met verdachte brieven en pakketten
    Huisv_U.10.02Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel.Laad en los locatieToegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
    Huisv_U.10.03De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Laad en los locatieEisen aan de laad- en loslocatie
    Huisv_U.10.04De buitendeuren van een laad- en loslocatie moeten beveiligd zijn (gesloten) als de binnendeuren open zijn.Laad en los locatieDe buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
    Huisv_U.10.05Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer.Laad en los locatieInkomende materialen worden bij binnenkomst op de locatie geregistreerd
    Huisv_U.10.06Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden.Laad en los locatieInkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
    Huisv_U.10.07Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld.Laad en los locatieInkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
    Huisv_U.11.01Kabels worden bij voorkeur ondergronds aangelegd.BekabelingKabels worden bij voorkeur ondergronds aangelegd
    Huisv_U.11.02De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
  • BekabelingDe huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
    Huisv_U.11.03Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.BekabelingVoedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
    Huisv_U.12.01De aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden.Huisvesting-IV architectuurDe architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
    Huisv_U.12.02De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd.Huisvesting-IV architectuurDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
    Huisv_U.12.03Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Huisvesting-IV architectuurAan het architectuurdocument gestelde eisen
    LTV_B.02.01Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Eigenaarschap van bedrijfsmiddelenEigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen
    LTV_B.02.02De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren t.a.v. de inrichting van het toegangbeveiligingssysteem.Eigenaarschap van bedrijfsmiddelenDe eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit
    LTV_B.02.03De eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s t.a.v toegangbeveiligingssysteem o.b.v InformatieBetekenisvolle gegevens. lifecycle;
  • het ondersteunen van beveiligingsreviews.
  • Eigenaarschap van bedrijfsmiddelenVerantwoordelijkheidvoor de beveiliging van de logische componenten
    LTV_B.02.04De eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Eigenaarschap van bedrijfsmiddelenVerantwoordelijkheid voor de beveiliging van de fysieke componenten
    LTV_B.03.01De rollen binnen de beveiligingsfunctie moeten zijn benoemd, en de taken en verantwoordelijkheden vastgelegd. Bijvoorbeeld: HRM, Proceseigenaar, Autorisatiebeheerder en CISO, Beveiligingsambtenaar (BVA).Beveiligingsfunctie toegangbeveiligingEisen aan de rollen binnen de beveiligingsfunctie
    LTV_B.03.02De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.Beveiligingsfunctie toegangbeveiligingPeriodieke evluatie van het toegangbeveiligingssysteem
    LTV_B.04.01Authenticatie-informatie wordt beschermd zijn door middel van versleuteling.Cryptografie bij authenticatieAuthenticatie-informatie is versleuteld
    LTV_B.04.02In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

    a. het bewaren van authenticatiegeheimen tijdens verwerking, transport en opslag; b. wie verantwoordelijk is voor de implementatie; c. wie verantwoordelijk is voor het sleutelbeheer; d. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het forum standaardisatie worden toegepast; e. de wijze waarop het beschermingsniveau vastgesteld wordt;

    f. bij interdepartementale communicatie wordt het beleid centraal vastgesteld.
    Cryptografie bij authenticatieUitwerking van het cryptografiebeleid voor authenticatie
    LTV_B.04.03Crypografische toepassingen voldoen aan passende standaarden.Cryptografie bij authenticatieEisen aan Crypografische toepassingen voldoen aan passende standaarden
    LTV_B.05.01De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.BeveiligingsorganisatiePositie van Beveiligingsorganisatie
    LTV_B.05.02De belangrijkste functionarissen (stakeholders) voor beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.BeveiligingsorganisatieOrganisatieschema met de belangrijkste functionarissen
    LTV_B.05.03De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.BeveiligingsorganisatieToewijzen van verantwoordelijkheden voor de takenvan binnen de beveiligingsorganisatie
    LTV_B.05.04De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.BeveiligingsorganisatieDe Autorisatiematrix met de beschrijving van de taken, verantwoordelijkheden en bevoegdheden
    LTV_B.05.05De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.Positie van BeveiligingsorganisatieDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen
    LTV_B.05.06De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.Organisatieschema met de belangrijkste functionarissenDe frequentie en de eisen voor de inhoudelijke rapportages
    LTV_B.06.01Op basis van de organisatorische eisen is de technische inrichting van de toegangbeveiliging vorm gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aangaande:
    • de uniformiteit en flexibiliteit van authenticatiemechanismen;
    • de rechten voor beheeraccounts;
    • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatiemechanismen om voldoende sterke wachtwoorden af te dwingen;
    • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
    Toegangbeveiliging(voorzienings)architectuurVormgeving van de technische inrichting van de toegangbeveiliging
    LTV_B.06.02De inrichting van het identiteit- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.Toegangbeveiliging(voorzienings)architectuurInrichting van het identiteit- en toegangsbeheer vastgelegd in toegangbeveiligingsarchitectuur
    LTV_B.06.03De IAA beveiligingsmaatregelen die hun weerslag hebben in componenten van de toegangbeveiligingsarchitectuur zijn benoemd en beschreven.Toegangbeveiliging(voorzienings)architectuurHet beschrijven van de IAA beveiligingsmaatregelen
    LTV_B.06.04De onderlinge samenhang tussen technische componenten (waaronder infrastructuur en software, toegangsvoorziening, firewall) die bij het gebruiken en onderhouden van toegangbeveiligingssysteem zijn betrokken, zijn benoemd en beschreven.Toegangbeveiliging(voorzienings)architectuurBeschrijving van de onderlinge samenhang tussen technische componenten
    LTV_C.01.01De organisatie beschikt over een beschrijving van de relevante controleprocessen.Toegangbeveiliging beoordelingsprocedureDe organisatie beschikt over een beschrijving van de relevante controleprocessen
    LTV_C.01.02De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Toegangbeveiliging beoordelingsprocedureDe procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
    LTV_C.01.03De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren.Toegangbeveiliging beoordelingsprocedureRapportage van controle-resultaten aan het management ter initiatie van de juiste acties
    LTV_C.02.01Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Beoordeling toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
    LTV_C.02.02Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld.Beoordeling toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
    LTV_C.02.03Autorisaties voor speciale toegangsrechten worden vaker beoordeeld.Beoordeling toegangsrechtenAutorisaties voor speciale toegangsrechten worden vaker beoordeeld
    LTV_C.02.04De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Beoordeling toegangsrechtenBeoordelingsrapportage bevat vermelding van systemen met kwetsbaarheden en zwakheden
    LTV_C.02.05De opvolging van bevindingen is gedocumenteerd.Beoordeling toegangsrechtenDe opvolging van bevindingen is gedocumenteerd
    LTV_C.02.06Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen).Beoordeling toegangsrechtenHet beoordelen vindt plaats op basis van een formeelproces
    LTV_C.02.07Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging.Beoordeling toegangsrechtenBeleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
    LTV_C.02.08De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd.Beoordeling toegangsrechtenTaken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
    LTV_C.03.01Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
  • Gebeurtenissen registrerenEisen aan de autorisatie-logregels
    LTV_C.03.01Logbestanden van applicaties en systemen bevatten uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn aangebracht, gemuteerd en gewijzigd.Uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd worden opgeslagen in logbestanden van applicaties en systemen
    LTV_C.03.02Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.).Gebeurtenissen registrerenEen logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
    LTV_C.03.03De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.Gebeurtenissen registrerenDe informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
    LTV_C.03.04Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen.Gebeurtenissen registrerenNieuwe dreigingen worden binnen geldende juridische kaders gedeeld
    LTV_C.03.05De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Gebeurtenissen registrerenDe SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
    LTV_C.03.06Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden.Gebeurtenissen registrerenBij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
    LTV_C.03.07De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.Gebeurtenissen registrerenDe logbestanden worden gedurende een overeengekomen periode bewaard
    LTV_C.04.02De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Toegangbeveiliging beheers(ings)organisatieBelangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
    LTV_C.04.03De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Toegangbeveiliging beheers(ings)organisatieDe verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
    LTV_C.04.04De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.Toegangbeveiliging beheers(ings)organisatieDe taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
    LTV_U.01.01Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers.Registratieprocedure “Registratie van gebruikers”Sluitende formele registratie- en afmeldprocedure voor alle gebruikers
    LTV_U.01.02Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.Registratieprocedure “Registratie van gebruikers”Gebruik van groepsaccounts niet toegestaan tenzij door proceseigenaar gemotiveerd en vastgelegd
    LTV_U.01.03De procedures beschrijven alle fasen van de levenscyclus van de gebruikerstoegang en de relaties tussen de autorisatieprocessen (eerste registratie en beëindiging).Registratieprocedure “Registratie van gebruikers”Relaties tussen autorisatieprocessen en levenscyclus-fasen voor toegang in procedures beschreven
    LTV_U.01.04De aanvraag van autorisaties op het gebruik van informatie systemen en de toegewezen autorisatieniveau ’s worden gecontroleerd.Registratieprocedure “Registratie van gebruikers”Controle van aanvraag en toegewezen autorisatieniveau’s voor gebruik van informatiesystemen
    LTV_U.01.05Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd tot het gebruik van applicaties.Registratieprocedure “Registratie van gebruikers”Gebruikers op basis van juiste functierollen geautoriseerd tot het gebruik van applicaties
    LTV_U.01.06Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes.Registratieprocedure “Registratie van gebruikers”Autorisatieprofielen zijn gecreëerd op basis van need-to-know en need-to-have principes
    LTV_U.01.07Een bevoegdhedenmatrix is beschikbaar op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van zijn taken.Registratieprocedure “Registratie van gebruikers”Tot voor uitoefening van taken benodigde en in bevoegdhedenmatrix beschreven privileges toegang
    LTV_U.02.01Toegang tot informatiesystemen wordt uitsluiten verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.Toegangsverlening procedureSlechts na autorisatie door een bevoegde functionaris wordt toegang verleend tot informatiesystemen
    LTV_U.02.02Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Toegangsverlening procedureFunctiescheiding en toegangsrechten worden bepaald o.b.v. risicoafweging
    LTV_U.02.03Uit een actueel mandaatregister blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel functieprofielen.Toegangsverlening procedureHet mandaatregister is actueel en toont wie bevoegdheden heeft
    LTV_U.03.01Als vanuit een onvertrouwde zone toegang wordt verleend tot een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..InlogproceduresToegang tot een vertrouwde zone wordt slechts verleend o.b.v. minimaal two-factor authenticatie
    LTV_U.03.02Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt.InlogproceduresVoorafgaand aan toegang tot het netwerk aan externe leveranciers wordt een risicoafweging gemaakt
    LTV_U.03.03De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.InlogproceduresDe risicoafweging bepaalt onder welke voorwaarden leveranciers toegang krijgen
    LTV_U.04.01Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties.AutorisatieprocesHet autorisatie beheerproces
    LTV_U.04.02Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris.AutorisatieprocesO.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
    LTV_U.04.03De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd.AutorisatieprocesVastleggen en archiveren van aanvraag, verwerken en afmelden van autorisatieverzoek-activiteiten
    LTV_U.04.04Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd.AutorisatieprocesPeriodiek worden controles uitgevoed op alle uitgegeven autorisaties
    LTV_U.04.05Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken.AutorisatieprocesIntrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
    LTV_U.04.06De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband.AutorisatieprocesWijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
    LTV_U.04.07Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast.AutorisatieprocesI.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
    LTV_U.04.08Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren.AutorisatieprocesToegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
    LTV_U.05.01Als geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

    Het aantal inlogpogingen is maximaal 10.

    De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
    Wachtwoorden beheerWachtwoordlengte, complexiteit, toegestane inlogpogingen en blokkadetijdsduur
    LTV_U.05.02In situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Wachtwoorden beheerWaar geen two-factor authenticatie mogelijk is, minimaal halfjaarlijks vernieuwen van wachtwoord
    LTV_U.05.03Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd.Wachtwoorden beheerHet wachtwoordbeleid wordt geautomatiseerd uitgevoerd
    LTV_U.05.04Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd.Wachtwoorden beheerMaximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
    LTV_U.05.05Wachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.Wachtwoorden beheerGeldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar, overige 6 maanden
    LTV_U.06.01Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging en richtlijnen en procedures.Speciale toegangsrechten beheerSpeciale toegangsrechten worden toegewezen o.b.v. risico afweging, richtlijnen en procedures
    LTV_U.06.02Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know , need to use).Speciale toegangsrechten beheerToegang met speciale toegangsrechten is beperkt voor zover noodzakelijk voor de taakuitoefening
    LTV_U.06.03Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en beheerfuncties.Speciale toegangsrechten beheerToegang is beperkt tot tot de noodzakelijk geachte set van applicaties en beheerfuncties
    LTV_U.06.04De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.Speciale toegangsrechten beheerDe uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
    LTV_U.07.01Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.FunctiescheidingToepassen van functiescheiding en toegangsrechten is bepaald o.b.v. risicoafweging
    LTV_U.07.02Niemand in een organisatiede (interne en externe) partijen die met elkaar verbonden zijn om de gegevensverwerking tot stand te brengen, bijvoorbeeld overheidsinstanties en de samenwerkende partners in een keten en bijvoorbeeld ook commerciële partners aan wie een verwerkersovereenkomst wordt voorgelegd. of proces mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden.FunctiescheidingNiemand mag rechten/bevoegdheden hebben om de gehele proces cyclus te beïnvloeden
    LTV_U.07.03Rollen, taken en verantwoordelijkheden zijn vastgesteld conform de gewenste functiescheidingen.FunctiescheidingRollen, taken en verantwoordelijkheden zijn conform de gewenste functiescheidingen vastgesteld
    LTV_U.07.04Er is een scheiding tussen beheertaken en overige gebruikstaken, waarbij onder andere:
    • Gebruikstaken alleen mogelijk zijn wanneer ingelogd is als standaard gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem;
    • Beheertaken alleen uitgevoerd kunnen worden met een beheerders account (gebruikersnaam en wachtwoord);
    • Controletaken worden uitgevoerd door specifieke functionarissen.
    FunctiescheidingScheiding is aangebracht tussen beheertaken en overige gebruikstaken
    LTV_U.07.05Verantwoordelijkheden voor beheer en wijziging van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.FunctiescheidingVerantwoordelijkheden voor gegevensbeheer en -wijziging eenduidig aan één specifieke rol toegewezen
    LTV_U.07.06Maatregelen zijn getroffen waarmee onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen of voorkomen.FunctiescheidingWaarnemen en voorkomen van onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen
    LTV_U.08.01Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Geheime authenticatie-informatie (IA)Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode
    LTV_U.08.02Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel.Geheime authenticatie-informatie (IA)Min. vaststellen van identiteit en recht op authenticatiemiddel bij uitgifte van authenticatiemiddelen
    LTV_U.08.03Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.Geheime authenticatie-informatie (IA)Authenticatie bij intern gebruik van IT-voorzieningen min. o.b.v. wachtwoorden
    LTV_U.08.04Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie geheim te houden.Geheime authenticatie-informatie (IA)Verplichte geheimhoudingsverklaring van gebruikers als onderdeel van de arbeidsvoorwaarden
    LTV_U.08.05Gebruikers behoren na ontvangst van geheime (tijdelijke) authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie te bevestigen en te wijzigen.Geheime authenticatie-informatie (IA)Bevestigen en wijzigen van ontvangst van geheime (tijdelijke) authenticatie-informatie
    LTV_U.08.06Tijdelijke geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie worden op beveiligde wijze en veilige kanalen verstrekt.Geheime authenticatie-informatie (IA)Beveiligd verstrekken van tijdelijke geheime authenticatie-informatie
    LTV_U.08.07Geheime authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.-informatie is uniek toegekend aan een persoon en voldoet aan specifieke samenstelling van tekens (niet gemakkelijk) te raden.Geheime authenticatie-informatie (IA)Niet gemakkelijk te raden geheime authenticatie-informatie is uniek toegekend aan een persoon
    LTV_U.09.01Maatregelen zijn genomen die het fysiek en/of logisch isoleren van gevoelige informatie waarborgen.AutorisatieMaatregelen ter waarborging van fysiek en/of logisch isoleren van gevoelige informatie
    LTV_U.09.02Gebruikers kunnen alleen die informatie inzien en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. die ze nodig hebben voor de uitoefening van hun taak.AutorisatieGebruikers kunnen alleen informatie verwerken welke nodig is voor uitoefening van hun taken
    LTV_U.09.03Beheerdersfuncties in toepassingen hebben extra bescherming om misbruik van rechten te voorkomen.AutorisatieBeheerdersfuncties in toepassingen hebben extra bescherming
    LTV_U.09.04Het toegangsbeleid geeft o.a. aan dat toegang tot informatie en functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.AutorisatieHet toegangsbeleid schrijft voor dat toegang wordt beperkt o.b.v. rollen en verantwoordelijkheden
    LTV_U.09.05Toegangsbeperking is in overeenstemming met het toegangsbeleid van de organisatie.AutorisatieToegangsbeperking is ingericht en functioneert in overeenstemming met het toegangsbeleid
    LTV_U.10.01Door een verantwoordelijke is formeel vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer.AutorisatievoorzieningsfaciliteitenFormeel is vastgesteld welke middelen worden ingezet binnen het proces autorisatiebeheer
    LTV_U.10.02Alle interne en externe gebruikers worden vóór de toegang tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem.AutorisatievoorzieningsfaciliteitenToegang aan interne en externe gebruikers na registratie in het personeelinformatiesysteem
    LTV_U.10.03Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.AutorisatievoorzieningsfaciliteitenAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd
    LTV_U.10.04Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.AutorisatievoorzieningsfaciliteitenApplicaties hebben functionaliteit om autorisaties toe te kennen, in te zien en te beheren
    LTV_U.11.01Toegang tot beveiligingszones of gebouwen waar zich resources bevinden is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.Fysieke toegangbeveiligingBeveiligingszones of gebouwen slechts toegankelijk voor hiertoe geautoriseerde personen
    LTV_U.11.02Aankomst en vertrektijden van bezoekers worden geregistreerd.Fysieke toegangbeveiligingRegistatie van aankomst en vertrektijden van bezoekers
    LTV_U.11.03Medewerkers en contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..Fysieke toegangbeveiligingMedewerkers en contractanten en externen dragen zichtbare identificatie
    LTV_U.11.04In geval van concrete beveiligingsrisico’s wordt conform onderlinge afspraken een waarschuwing verzonden aan de relevante collega’s binnen het beveiligingsdomein.Fysieke toegangbeveiligingVerzenden van waarschuwingen bij concrete beveiligingsrisico’s aan de relevante collega’s
    LTV_U.11.05Hiervoor wordt nog een tekst aangeleverdFysieke toegangbeveiligingUitwisseling van persoonsgerelateerde beveiligingsinformatie
    LTV_U.11.06Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk, beperkte toegang tot beveiligde gebieden of faciliteiten, die vertrouwelijke informatie bevatten te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord.Fysieke toegangbeveiligingExtern personeel krijgt na formele toestemming en voor zover noodzakelijk beperkte toegang
    PRIV_B.01.01.01Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG art. 5 lid 2..Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid; duidelijkheid inzake verantwoordingsplicht
    PRIV_B.01.01.02Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid als cyclisch proces
    PRIV_B.01.01.03Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid; vastgesteld en gecommuniceerd
    PRIV_B.01.01.04De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid i.r.t. wet- en regelgeving
    PRIV_B.01.01.05In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid i.r.t. sectorspecifieke wetgeving.
    PRIV_B.01.01.06In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de Avg nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan wordt gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming (FG)AVG art. 25 en art. 64 lid 2.Privacy Beleid geeft duidelijkheid en sturingPrivacybeleid i.r.t. gedragscode
    PRIV_B.01.02.01Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform B.03, §2.1.3 toepassen van Privacy by Design, het uitvoeren van GEB's en het gebruik van standaard instellingen.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijving van privacy by design
    PRIV_B.01.02.02Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform U.01, §2.2.1, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet op een met die doeleinden onverenigbare wijze worden verwerkt.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijving van de doeleinden voor het verzamelen
    PRIV_B.01.02.03Beschreven is hoe gewaarborgd wordt dat, conform U.01, §2.2.1, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van minimalisatie van verwerken
    PRIV_B.01.02.04Beschreven is hoe gewaarborgd wordt dat, conform U.03, §2.2.3, de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van juistheid en actualiteit van de gegevens
    PRIV_B.01.02.05Beschreven is hoe gewaarborgd wordt dat, conform U.04, §2.2.4, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe de verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van passende technische en organisatorische maatregelen
    PRIV_B.01.02.06Beschreven is hoe gewaarborgd wordt dat, conform U.05, §2.2.5 en C.02, §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van transparante verwerking
    PRIV_B.01.02.07Beschreven is hoe gewaarborgd wordt dat, conform U.06, §2.2.6, persoonsgegevens niet langer worden bewaard dan waarvoor zij worden verwerkt noodzakelijk is en in welke vorm de opslag moet plaatsvinden zodat na deze periode de betrokkenen niet langer zijn te identificeren.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van maximale bewaartermijnen
    PRIV_B.01.02.08Beschreven is hoe gewaarborgd wordt dat, conform U.07, §2.2.7, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd zodat aangetoond kan worden dat ook bij de doorgifte aan de Avg wordt voldaan en wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van garanties bij doorgifte
    PRIV_B.01.02.09Beschreven is hoe gewaarborgd wordt hoe, conform C.01. §2.3.1, verantwoor-delijken aantonen dat gedurende en na de verwerking de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register , conform U.02 §2.2.2, en een dossier kan worden aangetoond.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van behoorlijke verwerking
    PRIV_B.01.02.10Beschreven is hoe gewaarborgd wordt dat, C.03, §2.3.3, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en / of vrijheden van natuurlijke personen.Privacy Beleid geeft duidelijkheid en sturingInvulling geven aan de wettelijke beginselen, beschrijven van informeren bij inbreuk
    PRIV_B.02.01.01De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is ten alle tijde duidelijk wie deze verantwoordelijke is.Organieke inbeddingVerdeling taken en verantwoordelijkheden
    PRIV_B.02.01.02De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van het volgende situaties aan de orde is:
  • het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • er is stelselmatige observatie op grote schaal vereist: een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd betreffen bijzondere categorieën, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, conform U.01/04 of Avg art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of Avg art. 10.
  • In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkings-verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een Functionaris voor de Gegevensbescherming hebben aangewezen.
    Organieke inbeddingFunctionaris Gegevensbescherming
    PRIV_B.02.01.03Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Organieke inbeddingVerdeling taken en verantwoordelijkheden i.r.t. overeenkomsten
    PRIV_B.02.01.04De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Organieke inbeddingVerdeling taken en verantwoordelijkheden i.r.t. TVB-matrix
    PRIV_B.02.02.01Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Organieke inbeddingBenodigde middelen
    PRIV_B.02.03.01De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de Functionaris voor de Gegevensbescherming zijn vastgesteld en vastgelegd.Organieke inbeddingRapporteringsmiddelen
    PRIV_B.03.01.01Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een GEB uitgevoerdAVG art. 35 lid 1..Risicomanagement, Privacy by Design en de GEBHet beoordelen van de privacyrisico's, hoog risico
    PRIV_B.03.01.02Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een GEB diens advies in.Risicomanagement, Privacy by Design en de GEBHet beoordelen van de privacyrisico's, advies van FG
    PRIV_B.03.01.03Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (GEB) wordt uitgevoerdAVG Avg art. 35 lid 11..Risicomanagement, Privacy by Design en de GEBHet beoordelen van de privacyrisico's, bij wijigingen
    PRIV_B.03.01.04Wanneer uit een GEB blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de APAVG art. 36..Risicomanagement, Privacy by Design en de GEBHet beoordelen van de privacyrisico's, i.r.t. de GEB
    PRIV_B.03.02.01De maatregelen bestaan uit technische en organisatorische maatregelen.Risicomanagement, Privacy by Design en de GEBPassende maatregelen, technisch en organisatorisch
    PRIV_B.03.02.02Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG art. 25..Risicomanagement, Privacy by Design en de GEBPassende maatregelen, passend
    PRIV_B.03.02.03De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffect beoordelingen (GEB's).Risicomanagement, Privacy by Design en de GEBPassende maatregelen, continuíteit
    PRIV_B.03.02.04De resultaten van de GEB worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Risicomanagement, Privacy by Design en de GEBPassende maatregelen, i.r.t. de GEB
    PRIV_B.03.03.01Van alle verwerkingen waarop een GEB is uitgevoerd is een GEB rapportage beschikbaar, waardoor bekend welke risico's bestaan en welke maatregelen genomen (moeten) worden.Risicomanagement, Privacy by Design en de GEBAantonen onderkende risico's en maatregelen
    PRIV_B.03.03.02Een procesbeschrijving is aanwezig voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten.Risicomanagement, Privacy by Design en de GEBAantonen uitvoeren GEB en opvolgen GEB uitkomsten
    PRIV_B.03.03.03De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de GEB's.Risicomanagement, Privacy by Design en de GEBAantonen aanpak risicomanagement
    PRIV_B.03.03.04Een tot standaard verheven GEB toetsmodel wordt toegepast; dit model voldoet aan de in de Avg gestelde eisen.Risicomanagement, Privacy by Design en de GEBAantonen toepassen GEB toetsmodel
    PRIV_B.03.03.05Privacy by Design en de GEB en maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Risicomanagement, Privacy by Design en de GEBAantonen privacy by design
    PRIV_C.01.01.01De verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd.Intern toezichtEvaluatie, controle op het voldoen aan wettelijke verplichtingen
    PRIV_C.01.01.02Als blijkt dat toch niet voldaan wordt aan de eisen van de Avg, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.Intern toezichtEvaluatie, rapportage bij niet voldoen
    PRIV_C.01.01.03Er is een planning van activiteiten in het kader van het beoordelen van de compliancy.Intern toezichtEvaluatie, planning en compliancy
    PRIV_C.01.02.01Aangetoond is dat, conform U.01 §2.2.1, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.).Intern toezichtRechtmatigheid aangetoond, welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
    PRIV_C.01.02.02Aangetoond is dat, conform U.01 §2.2.1, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).Intern toezichtRechtmatigheid aangetoond, toereikende verwerking
    PRIV_C.01.02.03Aangetoond is dat, conform U.01 §2.2.1, de verwerking ten aanzien van de betrokkene rechtmatig is (rechtmatigheid).Intern toezichtRechtmatigheid aangetoond, rechtmatige verwerking
    PRIV_C.01.02.04Bij het aantonen van de rechtmatigheid (/02.03) wordt gebruik gemaakt van de overeenkomsten voor de doorgiften (conform U.07 §2.2.7.Intern toezichtRechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte
    PRIV_C.01.02.05Aangetoond is dat, conform U.04, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen).Intern toezichtRechtmatigheid aangetoond, passende en gewaarborgde beveiliging
    PRIV_C.01.02.06Aangetoond is dat, conform U.03 §2.2.3, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid).Intern toezichtRechtmatigheid aangetoond, juiste en actuele gegevens
    PRIV_C.01.02.07Aangetoond is dat, conform B.03 §2.1.3, de wijze van verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ten aanzien van de betrokkene behoorlijk is (behoorlijkheid).Intern toezichtRechtmatigheid aangetoond, behoorlijke verwerking
    PRIV_C.01.02.08Aangetoond is dat, conform U.05 §2.2.5 en C.02 en §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is (transparantieInzicht in de werkwijze die de overheid hanteert.).Intern toezichtRechtmatigheid aangetoond, transparante verwerking
    PRIV_C.01.02.09De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG art. 5 lid 2..Intern toezichtRechtmatigheid aangetoond, compliancy
    PRIV_C.01.02.10Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register conform U.02 §2.2.2.Intern toezichtRechtmatigheid aangetoond, gebruik van gegevensregister
    PRIV_C.02.01.01De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van hem betreffende persoonsgegevens.Toegang gegevensverwerking voor betrokkenenInformatie over de verwerking van persoonsgegevens aan betrokkene
    PRIV_C.02.01.02De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG art. 15.:
    1. de verwerkingsdoeleinden;
    2. de betrokken categorieën van persoonsgegevens;
    3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
    4. indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
    5. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
    6. dat de betrokkene het recht heeft klacht in te dienen bij de AP;
    7. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
    8. het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
    9. bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
    10. op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
    Toegang gegevensverwerking voor betrokkenenInformatie over de verwerking van persoonsgegevens, inhoudelijkheid
    PRIV_C.02.01.03De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG art. 14 lid 4..Toegang gegevensverwerking voor betrokkenenInformatie over de verwerking van persoonsgegevens, evt. afbreuk aan rechten cq. vrijheden van anderen
    PRIV_C.02.02.01De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG art. 12 lid 3 en 4., tenzij:
    • de complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
    • de informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
    • de betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
    Toegang gegevensverwerking voor betrokkenenTijdige verstrekking op verzoek van betrokkene
    PRIV_C.02.02.02Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • is dit de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
  • Toegang gegevensverwerking voor betrokkenenTijdig verstrekking bij geen gevolg op verzoek van betrokkene
    PRIV_C.02.03.01De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG art. 12 lid 1.. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG art. 12 lid 7..Toegang gegevensverwerking voor betrokkenenPassende vorm, begrijpelijke en toegankelijke wijze van communicatie
    PRIV_C.02.03.02De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.Toegang gegevensverwerking voor betrokkenenPassende vorm, gekozen van medium
    PRIV_C.02.03.03Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.Toegang gegevensverwerking voor betrokkenenPassende vorm bij mondelinge verstrekking
    PRIV_C.02.03.04Het verstrekken van de informatie en het verstrekken van de communicatie is kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond, of: buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, mag de verwerkingsverantwoordelijke, ofwel:
    1. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
    2. weigeren gevolg te geven aan het verzoek.
    Toegang gegevensverwerking voor betrokkenenPassende vorm, eventuele kosten
    PRIV_C.02.03.05De verantwoordelijke heeft gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden niet behouden, verkrijgen of verwerkt als er geen doeleinden, conform U.01 §2.2.1).zijn om nog persoonsgegevens van betrokkene te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 11.Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.Toegang gegevensverwerking voor betrokkenenPassende vorm, gegevens ter identificatie
    PRIV_C.02.04.01De verantwoordelijke heeft geen informatie verstrekt als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG art. 23..Toegang gegevensverwerking voor betrokkenenSpecifieke uitzonderingsgrond
    PRIV_C.03.01.01Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP.Meldplicht DatalekkenMeldt een datalek, aan AP
    PRIV_C.03.01.02De melding aan de AP bevat ten minsteAVG art. 33a lid 3.:
  • de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoons-gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevens¬registers in kwestie;
  • de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Meldplicht DatalekkenMeldt een datalek, eisen aan de melding aan AP
    PRIV_C.03.01.03Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene.Meldplicht DatalekkenMeldt een datalek, melding aan betrokkene
    PRIV_C.03.01.04In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeldAVG art. 33, lid 3b, 3c en 3d. :
  • de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Meldplicht DatalekkenMeldt een datalek, eisen aan de melding aan betrokkene
    PRIV_C.03.01.05De melding aan de betrokkene is in duidelijke en eenvoudige taal.Meldplicht DatalekkenMeldt een datalek, in duidelijke en eenvoudige taal
    PRIV_C.03.02.01Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.Meldplicht DatalekkenTermijn melden aan verwerkingsverantwoordelijke
    PRIV_C.03.02.02De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.Meldplicht DatalekkenTermijn melden aan AP
    PRIV_C.03.02.03Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.Meldplicht DatalekkenTermijn, motivering bij vertraagd melden
    PRIV_C.03.02.04De melding aan de betrokkene gebeurt onverwijld.Meldplicht DatalekkenTermijn aan betrokkene
    PRIV_C.03.03.01De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht DatalekkenDocumenteert de inbreuk, eisen aan de registratie
    PRIV_C.03.03.02De documentatie stelt de AP in staat de naleving te controleren.Meldplicht DatalekkenDocumenteert de inbreuk, mogelijkheid tot controle
    PRIV_C.03.03.03De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht DatalekkenDocumenteert de inbreuk, noodzakelijke gegevens
    PRIV_C.03.03.04Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene Overweging 87..Meldplicht DatalekkenDocumenteert de inbreuk, m.b.t. kennisgeving
    PRIV_C.03.04.01De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
    • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
    • wanneer melding afbreuk zou doen aan een zwaarwegend belang;
    • de verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG art. 95. ;
    • de organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtAVG art. 34..
    Meldplicht DatalekkenUitzondering op melden van datalek aan AP
    PRIV_C.03.04.02De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
  • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
  • de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
  • de mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
  • het een verwerking is die berust op een wettelijke bepaling waarbij een specifieke uitzondering geldtAVG art. 23., of:
  • de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18..
  • Meldplicht DatalekkenUitzondering op melden van datalek aan betrokkene
    PRIV_U.01.01.01Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG art. 5 lid 1 en overweging 50..Doelbinding gegevensverwerkingTijdig welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking
    PRIV_U.01.01.02Van alle gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG art. 5 lid 1b..Doelbinding gegevensverwerkingTijdig welbepaald en uitdrukkelijk omschreven, rechtmatigheid en doelmatigheid
    PRIV_U.01.01.03Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn voor het doel en bij verdere verwerking of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verenigbaar zijn met het oorspronkelijke doelAVG art. 6 lid 4..Doelbinding gegevensverwerkingTijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel
    PRIV_U.01.01.04Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.Doelbinding gegevensverwerkingTijdig welbepaald en uitdrukkelijk omschreven, SMART
    PRIV_U.01.02.01De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel data minimalisatie genoemd).Doelbinding gegevensverwerkingDoeleinden, toereikend, ter zake dienend en beperkt
    PRIV_U.01.02.02De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:
    1. de betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
    2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
    4. de verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
    6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
    7. De rechtsgrond voor de verwerking moet worden vastgesteld bij het recht dat op de verwerkingsverantwoordelijke van toepassing isAVG art. 6 lid 3..
    Doelbinding gegevensverwerkingDoeleinden, rechtmatig
    PRIV_U.01.02.03Persoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkeneAVG art. 5. De AVG is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

    Hiertoe:

    1. dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
    2. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
    3. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd passend te worden beveiligd (U.04, §2.2.4).
    4. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).
    Doelbinding gegevensverwerkingDoeleinden, behoorlijk en transparant
    PRIV_U.01.03.01De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld is alleen mogelijk, wanneer:
  • de verdere verwerking verenigbaar is met het doel waarvoor de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG art. 6 lid 4.:
    1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
    2. het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
    3. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerktAVG art. 9. en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG art. 10.;
    4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
    5. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
  • de verdere verwerking plaatsvindt op basis van de toestemming van betrokkene; Of:
  • wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
  • Doelbinding gegevensverwerkingVerdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is
    PRIV_U.01.03.02Wanneer de verwerkingsverantwoordelijke een verdere verwerking voorneemt moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie U.05, §2.2.5). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61..Doelbinding gegevensverwerkingVoornemens voor verdere verwerking
    PRIV_U.01.04.01Er vindt geen verwerking van persoonsgegevens plaats waaruit ras of etnische afkomst blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedtUitvoeringswet AVG art. 22.:
    1. met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is;
    2. met het doel personen van een bepaalde etnische of culturele minderheids-groep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen verband houdende met de grond ras of etnische afkomst op te heffen of te verminderen en slechts indien:
      1. dit voor dat doel noodzakelijk is;
      2. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep behoort als bedoeld in de aanhef van onderdeel b, en:
      3. de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.
    Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. ras of etnische afkomst
    PRIV_U.01.04.02Er vindt geen verwerking van persoonsgegevens plaats waaruit politieke opvattingen blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescollegesUitvoeringswet AVG art. 30..
    Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. politieke opvattingen
    PRIV_U.01.04.03Er vindt geen verwerking van persoonsgegevens plaats waaruit religieuze of levensbeschouwelijke overtuigingen blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedt door instellingen, voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaaktUitvoeringswet AVG art. 29.. Hierbij worden ook geen persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan derden verstrekt zonder toestemming van de betrokkene.
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingen
    PRIV_U.01.04.04Er vindt geen verwerking van persoonsgegevens plaats waaruit het lidmaatschap van een vakbond blijkt, tenzij aan /04.09 is voldaan.Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. lidmaatschap vakbond
    PRIV_U.01.04.05Er vindt geen verwerking van persoonsgegevens plaats van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, tenzij:
  • voldaan is aan /04.09Uitvoeringswet AVG art. 24., of:
  • een zwaarwegend geneeskundig belang prevaleert, of:
  • de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. genetische gegevens
    PRIV_U.01.04.06Er vindt geen verwerking van persoonsgegevens plaats van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, tenzij:
  • voldaan is aan /04.09, of:
  • de verwerking geschiedt met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derdeUitvoeringswet AVG art. 26. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. biometrische gegevens
    PRIV_U.01.04.07Er vindt geen verwerking van persoonsgegevens plaats van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid, tenzij:
  • voldaan is aan /04.0, of:
  • dit noodzakelijk is met het oog op redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijden-de gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen. In die situatie worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding hiertoe zijn verplicht. Indien de verwerkingsverantwoordelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudings¬plicht rust, is hij verplicht tot geheimhouding van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. gezondheidsgegevens
    PRIV_U.01.04.08Er vindt geen verwerking van persoonsgegevens plaats met betrekking tot iemands seksuele gedrag of seksuele gerichtheid, tenzij aan /04.09 is voldaan De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheid
    PRIV_U.01.04.09Indien wel de in /04.01 - /04.08 genoemde verwerkingen plaats vindt is aan één van de onderstaande voorwaarden voldaan :
    1. betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat;
    2. de verwerking is noodzakelijk voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht (zie ook /04.10);
    3. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene;
    4. de verwerking wordt verwerkt door een rechtspersoon zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
    5. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn openbaar gemaakt;
    6. de verwerking is noodzakelijk voor de instelling, uitoefening of verdediging van een rechtsvordering;
    7. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (zie ook /04.10);
    8. de verwerking is noodzakelijk voor doelen van preventieve of arbeidsgenees-kunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, voor het verstrekken van gezondheidszorg of sociale diensten, op grond van Unie-wetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid (zie ook /04.10);
    9. de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid op grond van Uniewetgeving of nationale wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of:
    10. de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelenAVG art. 89 lid 1., op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
    Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerking
    PRIV_U.01.04.10De voorwaarden b, g en h van /04.09 zijn niet van toepassing als de verwerking geschiedt doorUitvoeringswet AVG art. 23.:
  • hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is;
  • verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover dat noodzakelijk is voor:
    1. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
    2. de uitvoering van de overeenkomst van verzekering;
  • scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
  • een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet en de rechtspersoon, bedoeld in artikel 256 eerste lid of artikel 302 tweede lid van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;
  • Onze Minister voor zover dat in verband js met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk;
  • bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:
    1. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene, of:
    2. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingen
    PRIV_U.01.04.11Het verbod om bijzondere persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is vanuit het algemeen belang (punt g) niet van toepassing indienUitvoeringswet AVG art. 28.:
  • dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt door de Autoriteit of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of:
  • dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij het verlenen van ontheffing beperkingen en voorschriften opleggen. Hierbij wordt de evenredigheid met het nagestreefde doel gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens geëerbiedigd en worden passende en specifieke maatregelen getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
  • Doelbinding gegevensverwerkingBijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belang
    PRIV_U.01.05.01Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerktUitvoeringswet AVG art. 31.:
  • als de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  • als de verwerkingsverantwoordelijke deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten eigen behoeve verwerkt :
    1. ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
  • indien deze ten behoeve van derden worden verwerkt:
    1. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
    2. door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. door een verwerkingsverantwoordelijke die hiervoor toestemming heeft verkregen van de Autoriteit.
  • Doelbinding gegevensverwerkingStrafrechtelijke veroordelingen en strafbare feiten
    PRIV_U.01.05.02De verwerking vindt alleen plaats onder toezicht van de overheid of indien de verwerking is toegestaan bij wet- en regelgeving die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheidAVG art. 10..Doelbinding gegevensverwerkingStrafrechtelijke veroordelingen en strafbare feiten, eisen aan de verwerking
    PRIV_U.01.05.03De verwerking van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..Doelbinding gegevensverwerkingStrafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR
    PRIV_U.01.05.04Het verbod om persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor de doeleinden waarvoor deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerktUitvoeringswet AVG art. 31 lid 3..Doelbinding gegevensverwerkingStrafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
    PRIV_U.01.05.05De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..Doelbinding gegevensverwerkingStrafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
    PRIV_U.01.06.01Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet bepaaldUitvoeringswet AVG art. 44.:
  • Overheidsorganen kunnen bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
  • Het burgerservicenummer (BSN) als uniek persoonsnummer voldoet aan artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb).
  • Voor instellingen die geen beroep kunnen doen op Wabb art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservice¬nummer, tenzij de deelnemer geen burgerservicenummer heeft.
  • Doelbinding gegevensverwerkingNationaal identificerend nummer
    PRIV_U.01.07.01Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit:
  • noodzakelijk is voor de totstandkoming of de uitvoering van een overeen-komst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
  • is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
  • berust op de uitdrukkelijke toestemming van de betrokkene.
  • Doelbinding gegevensverwerkingGeautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzij
    PRIV_U.01.07.02In de bij punten a) en c) in /07.01 bedoelde gevallen heeft de verwerkingsverant-woordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.Doelbinding gegevensverwerkingGeautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene
    PRIV_U.01.07.03Bij de bij punten a) en c) in /07.01 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens, tenzij /04.01 punt a) of g), van toepassing is en passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.Doelbinding gegevensverwerkingGeautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
    PRIV_U.01.08.01De verwerking van (bijzondere) persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats zover Invulling van art. 9 lid 2j. Uitvoeringswet Avg art. 27.:
  • het onderzoek een algemeen belang dient;
  • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en:
  • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
  • Doelbinding gegevensverwerkingEisen aan het verwerken van (bijzondere) persoonsgegevens
    PRIV_U.01.08.02Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maat-regelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen:
    • het waarborgen van de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.AVG art. 5 lid 1b. (bijvoorbeeld door pseudonimisering), en:
    • de betrokkene niet meer kan worden geïdentificeerdAVG art. 5 lid 1e..
    Doelbinding gegevensverwerkingEisen aan het verwerken van persoonsgegevens
    PRIV_U.02.01.01Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsactiviteitenRegister van verwerkingsverantwoordelijke
    PRIV_U.02.01.02Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
    1. de naam en de contactgegevens van:
      1. de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. in voorkomend geval:
        1. van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. van de Functionaris voor de Gegevensbescherming;
    2. de verwerkingsdoeleinden;
    3. een beschrijving van de categorieën van betrokkenen;
    4. een beschrijving van de categorieën van persoonsgegevens;
    5. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
    6. bij doorgiften aan een derde land of een internationale organisatie:
      1. de doorgifte van verstrekte persoonsgegevens
      2. de vermelding van dat derde land of die internationale organisatie
      3. de documenten inzake de passende waarborgen;
    7. de beoogde termijnen waarbinnen de verschillende categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moeten worden gewist (indien mogelijk);
    8. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsactiviteitenRegister van verwerkingsverantwoordelijke, inhoud van het register
    PRIV_U.02.01.03De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerkingsactiviteitenRegister van verwerker, categorieën van verwerkingsactiviteiten
    PRIV_U.02.01.04Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:

    1) de naam en de contactgegevens van: a) de verwerkers b) iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt. In voorkomend geval: i) de vertegenwoordiger van de verwerkingsverantwoordelijke, of: ii) de verwerker en van de Functionaris voor de Gegevensbescherming; 2) de categorieën van verwerkingen die voor rekening van iedere verwerkings-verantwoordelijke zijn uitgevoerd; 3) bij doorgiften aan een derde land of een internationale organisatie: a) de doorgifte van verstrekte persoonsgegevens b) de vermelding van dat derde land of die internationale organisatie c) de documenten inzake de passende waarborgen;

    4) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsactiviteitenRegister van verwerker, inhoud van het register
    PRIV_U.02.01.05Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerkingsactiviteitenRegister van verwerker, in schriftelijke elektronische vorm
    PRIV_U.02.01.06Het register hoeft niet te worden bijgehouden, indien:
    1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
    2. het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
    3. de verwerking incidenteel is, en:
    4. er geen verwerking plaatsvindt van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in verband met strafrechtelijke veroordelingen en strafbare feiten.
    Register van verwerkingsactiviteitenRegister van verwerker, niet bijgehouden als …
    PRIV_U.02.02.01De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.Register van verwerkingsactiviteitenOp verzoek van AP wordt middels de registers een actueel en samenhangend beeld
    PRIV_U.02.02.02Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Register van verwerkingsactiviteitenRegisters van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld
    PRIV_U.02.02.03De onderlinge samenhang (gegevensstromen) en afhankelijkheden tussen:
  • de bedrijfsprocessen;
  • organisaties en organisatieonderdelen;
  • de verwerkingen;
  • de locaties waar persoonsgegevens opgeslagen;
  • de gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • de systemen zijn benoemd en beschreven.
  • Register van verwerkingsactiviteitenActueel en samenhangend beeld t.a.v. gegevensstromen
    PRIV_U.02.02.04Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (GEB) meegenomen als onderdeel van de opname van de verwerking in het register.Register van verwerkingsactiviteitenActueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen
    PRIV_U.03.01.01De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.KwaliteitsmanagementMaatregelen i.r.t. juistheid en nauwkeurigheid
    PRIV_U.03.01.02De verwerkingsverantwoordelijke voert periodiek controles op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan hogere management.KwaliteitsmanagementControle op juistheid en nauwkeurigheid
    PRIV_U.03.02.01Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1..KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, rectificatie op verzoek van betrokkene
    PRIV_U.03.02.02Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG art. 16 lid 1..KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, vervollediging op verzoek van betrokkene
    PRIV_U.03.02.03Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG art. 17 lid 1.:
  • de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • de betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  • de betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;
  • de persoonsgegevens zijn onrechtmatig verwerkt;
  • de persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkings-verantwoordelijke rust;
  • de persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
  • KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, wissen op verzoek van betrokkene
    PRIV_U.03.02.04Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG art. 21 lid 1..KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, steken van de verwerking op verzoek van betrokkene
    PRIV_U.03.02.05Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van, die persoonsgegevens te wissenAVG art. 17 lid 2..KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen redelijke maatregelen na openbaarmaking van persoonsgegevens
    PRIV_U.03.02.06Op verzoek van betrokkene wordt de verwerking beperkt, indien:
  • de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  • de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  • de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  • de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
  • KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, beperking van de verwerking op verzoek van betrokkene
    PRIV_U.03.02.07De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG art. 20., als de verwerking berust op:
  • toestemming van betrokkene, of:
  • een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;
  • en geldt niet als:

    1. de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
    2. het afbreuk doet aan de rechten en vrijheden van anderen.
    KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, recht op ontvangst van gegevens en op overdragen van gegevens aan andere verwerkingsverantwoordelijke
    PRIV_U.03.02.08De betrokkene kan de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien /02.07 geldt en dit technisch mogelijk is.KwaliteitsmanagementGecorrigeerd, gestaakt of overgedragen, overdracht aan andere verwerkingsverantwoordelijke
    PRIV_U.03.03.01De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergtAVG art. 19..KwaliteitsmanagementGeïnformeerd, van iedere ontvanger van elke rectificatie, gegevenswissing of verwerkingsbeperking
    PRIV_U.03.03.02De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19..KwaliteitsmanagementGeïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt
    PRIV_U.03.03.03De verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaanAVG art. 19..KwaliteitsmanagementGeïnformeerd, bretrokkene over gevolg van verzoek van betrokken
    PRIV_U.03.03.04De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.KwaliteitsmanagementGeïnformeerd, elketronische verwerking van het verzoek
    PRIV_U.03.03.06Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG art. 12 lid 3..KwaliteitsmanagementGeïnformeerd, informeren bij geen gevolg geven aan het verzoek
    PRIV_U.03.03.07De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt, kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG art. 12 lid 5..KwaliteitsmanagementGeïnformeerd, schriftelijk of op andere wijze
    PRIV_U.03.03.08Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG art. 12 lid 4..KwaliteitsmanagementGeïnformeerd, identificatie van betrokkene
    PRIV_U.04.01.01De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG art. 32 lid 3..Beveiligen van de verwerking van persoonsgegevensTechnische en organisatorische maatregelen, beperkte toegang
    PRIV_U.04.01.02Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  • Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  • De wijze van verzameling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd is niet privacygevoelig.
  • Beveiligen van de verwerking van persoonsgegevensTechnische en organisatorische maatregelen, fysieke beveiliging
    PRIV_U.04.01.03Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.Beveiligen van de verwerking van persoonsgegevensTechnische en organisatorische maatregelen, organisatorische beveiliging
    PRIV_U.04.01.04De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG art. 32. Dit is 'het informatiebeveiligingsartikel':
  • de pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  • Beveiligen van de verwerking van persoonsgegevensTechnische en organisatorische maatregelen, passend beveiligingsniveau
    PRIV_U.04.02.01De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.Beveiligen van de verwerking van persoonsgegevensPassend niveau, technische, organisatorische en fysieke beveiligingsmaatregelen
    PRIV_U.04.02.02De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, hetzij per ongeluk hetzij onrechtmatigAVG art. 32 lid 2..Beveiligen van de verwerking van persoonsgegevensPassend niveau, gebaseerd op analyse van het verwerkingsrisico
    PRIV_U.04.02.03Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.Beveiligen van de verwerking van persoonsgegevensPassend niveau, aantoonbaarheid
    PRIV_U.05.01.01De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG art. 6 lid 1.Vetgedrukte tekst, het doorgeven aan derden en het verder verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 14 lid 3.. Dit geldt voor persoonsgegevens die via betrokkenen of anderen wordt of is verkregen.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensTijdig, toestemming van de betrokkene vooraf
    PRIV_U.05.01.02InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevensAVG art. 14 lid 3..Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensTijdig, verstrekken van informatie
    PRIV_U.05.02.01Het verzoek om toestemming bestaat in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenhedenAVG art. 7 lid 2..Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensInformatie, verzoek om toestemming
    PRIV_U.05.02.02Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 13.:
  • de identiteit en contactgegevens van de verantwoordelijke;
  • in voorkomend geval de contactgegevens van de Functionaris voor de Gegevensbescherming;
  • de verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  • de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking op deze rechtsgrond (art. 6.1f) is gebaseerd;
  • in voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  • in voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  • de periode dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden opgeslagen of de criteria ter bepaling van die termijn;
  • dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  • dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  • dat de betrokkene een klacht mag indienen bij de AP;
  • of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  • of de betrokkene verplicht is de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet verstrekt;
  • of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  • informatie over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
  • Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensInformatie aan betrokkene
    PRIV_U.05.02.03Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG art. 7.:
  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  • in voorkomend geval de contactgegevens van de Functionaris voor de Gegevens-bescherming;
  • de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  • de betrokken categorieën van persoonsgegevens;
  • in voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven wordt er informatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  • de periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  • indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  • dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  • wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  • dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  • de bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  • het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensInformatie aan betrokkene bij ontvangst gegevens bij een ander dan de betrokkene
    PRIV_U.05.03.01De verplichting tot het verstrekken van informatie geldt niet, indien:
    • de betrokkene reeds over de informatie beschikt;
    • het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
    • de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen (In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie.);
    • het verkrijgen of verstrekken van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
    • de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
    • wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
    • het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats Zie Mvt Uitvoeringswet, toelichting bij art. 41..
    Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensToestemming, vrijelijk gegeven
    PRIV_U.05.04.01De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG art. 14 lid 4..Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitzondering
    PRIV_U.05.04.02Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG art. 8..Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensToestemming, toestemming of machtiging door ouderlijk verantwoordelijke
    PRIV_U.06.01.01Als de bewaartermijnen verlopen, zijn de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verwijderd, vernietigd of geanonimiseerd.Bewaren van persoonsgegevensNodige maatregelen, verwijderd, vernietigd of geanonimiseerd
    PRIV_U.06.01.02De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.Bewaren van persoonsgegevensNodige maatregelen, beoordeling evt. langere bewaartermijn
    PRIV_U.06.02.01Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.Bewaren van persoonsgegevensBewaartermijn, vastgesteld en bekrachtigd
    PRIV_U.06.02.02De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG art. 5 lid 1e..Bewaren van persoonsgegevensBewaartermijn, maximale periode
    PRIV_U.06.02.03Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn.Bewaren van persoonsgegevensBewaartermijn, in sectorspecifieke wetgeving vastgelegde bewaartermijn
    PRIV_U.06.02.04Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e. en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AvgAVG art. 89 lid 1..Bewaren van persoonsgegevensBewaartermijn, eisen aan evt. langere opslagperiode
    PRIV_U.07.01.01Bij doorgifte aan een andere verantwoordelijke zijn:
  • de respectieve verantwoordelijkheden duidelijk, zodat zij aan hun Avg-verplichtingen voldoen, met name met betrekking totAVG art. 26 lid 1.:
    1. de uitoefening van de rechten van de betrokkene (C.02, §2.3.2), en:
    2. het informeren van de betrokkenen te bij ontvangst (conform U.05)
    • de regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG art. 26 lid 3..
    Doorgifte persoonsgegevensDe onderlinge verantwoordelijkheden
    PRIV_U.07.02.01De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegd, metAVG art. 28 lid 2. daarin:
  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
  • - welke persoonsgegevens worden verstrekt aan de verwerker; - hoe dataminimalisatie is toegepast;

    • het soort persoonsgegevens, inclusief

    - de classificatie van de persoonsgegevens;

    • de categorieën van betrokkenen, en:
    • de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
    Doorgifte persoonsgegevensAfdoende garanties door verwerker in een overeenkomst of andere rechtshandeling vastgelegd
    PRIV_U.07.02.02In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:

    a. de persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften; b. de gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden; c. de beveiliging van de verwerking is geborgd, conform U.04 §2.2.4, inclusief:

    • welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben;
    • welke procedure wordt gevolgd in geval van een datalek;
    • in welke landen de persoonsgegevens worden opgeslagen;

    d. de vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker; e. passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:

    • hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
    • het contact dat de verwerker mag hebben met de betrokkenen.

    f. de verwerkingsverantwoordelijke bijstand wordt verleent om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking; g. na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkings-verantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terug-bezorgd worden en bestaande kopieën worden verwijderd, conform U.06 §2.2.6; h. de verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.

    i. de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de Avg of op andere Wet- en regelgeving inzake gegevensbescherming.
    Doorgifte persoonsgegevensVormvereisten aan eisen voor afdoende garanties door verwerker
    PRIV_U.07.02.03De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.Doorgifte persoonsgegevensAfdoende garanties
    PRIV_U.07.03.01Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoor-diger in de EU aangewezen, tenzij:
    1. sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens betreft, of:
    2. bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
    3. het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
    Doorgifte persoonsgegevensVertegenwoordiger in de EU
    PRIV_U.07.03.02De verwerking door een verwerker vindt alleen plaats als een verwerkings-verantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, zie B.03 §2.1.3, door de verwerker.Doorgifte persoonsgegevensVertegenwoordiger i.r.t. afdoende garanties over het toepassen van passende technische en organisatorische maatregelen
    PRIV_U.07.03.03Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG art. 28 lid 1..Doorgifte persoonsgegevensVertegenwoordiger i.r.t. het door een andere verwerker uitvoeren van de verwerking
    PRIV_U.07.04.01De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkings-verantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Avg art. 48.Doorgifte persoonsgegevensUitzonderingsgrond t.a.v. de verwerking
    PRIV_U.07.04.02De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie.Doorgifte persoonsgegevensUitzonderingsgrond t.a.v. doorgifte
    PRIV_U.07.05.01Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG art. 45..Doorgifte persoonsgegevensAdequaatheidsbesluit
    PRIV_U.07.06.01Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG art. 46.:
  • een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  • door de AP goedgekeurd bindende bedrijfsvoorschriften zijn, zie /05.02;
  • standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteldAVG art. 93, lid 2.;
  • standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurdAVG art. 93, lid 2.;
  • een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  • een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  • door de AP passende waarborgen zijn, waarbij er met name:
    • contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
    • bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
    Doorgifte persoonsgegevensPassende waarborgen bij afwezigheid adequaatheidsbesluit
    PRIV_U.07.06.02Als bindende bedrijfsvoorschriften (/05.01 punt b) worden gebruikt om passende waarborgen te bieden, dan:
  • zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • zijn de hier beknopt weergegeven elementen vastgelegd (zie voor de volledige weergave artikel 47 lid 1):
    1. de structuur en de contactgegeven;
    2. de gegevensdoorgiften of reeks van doorgiften;
    3. het intern en extern juridisch bindende karakter;
    4. de toepassing van de algemene beginselen inzake gegevensbescherming;
    5. de rechten van betrokkenen;
    6. de aanvaarding van aansprakelijkheid voor alle inbreuken;
    7. de wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    8. de taken van elke Functionaris voor de Gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
      1. de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      2. opleiding, en:
      3. de behandeling van klachten;
    9. de klachtenprocedures;
    10. de bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
    11. de procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
    12. de procedure voor samenwerking met de AP;
    13. de procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
    14. de passende opleiding inzake gegevensbescherming voor personeel.
    Doorgifte persoonsgegevensPassende waarborgen bij aanwezigheid adequaatheidsbesluit
    PRIV_U.07.06.03Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49..Doorgifte persoonsgegevensPassende waarborgen, beëindigen van doorgifte en informeren van betrokkene
    PRIV_U.07.07.01Doorgifte persoonsgegevensAfwijking voor een specifieke situatie
    SERV_B.01.01De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoudGangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server
    SERV_B.01.02In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
  • het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
  • het gebruik van hardeningsrichtlijnen;
  • het toepassen van standaard images;
  • het beperken van toegang tot krachtige faciliteiten en host parameter settings;
  • het beschermen tegen ongeautoriseerde toegang.
  • Beleid voor beveiligde inrichting en onderhoudOverwegingen betreffende het beleid voor beveiligd inrichting en onderhoud
    SERV_B.02.01De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Principes voor inrichten van beveiligde serversGangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers
    SERV_B.02.02Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Principes voor inrichten van beveiligde serversBeveiligingsprincipes voor het beveiligd inrichten van servers
    SERV_B.03.01Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Serverplatform architectuurEisen aan het architectuurdocument van het in te richten van het serverplatform
    SERV_B.03.02In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.Serverplatform architectuurIn het architectuurdocument voor servers platforms vastgelegde inrichtings eisen
    SERV_C.01.01De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Evaluatie richtlijnen servers en besturingssystemenRichtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
    SERV_C.01.02De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Evaluatie richtlijnen servers en besturingssystemenDe organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    SERV_C.01.03De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Evaluatie richtlijnen servers en besturingssystemenRichtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie
    SERV_C.01.04De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.Evaluatie richtlijnen servers en besturingssystemenDe taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd
    SERV_C.02.01Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgevingEisen aan het vervaardigen en interpreteren van technische naleving
    SERV_C.02.02Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Beoordeling technische serveromgevingPeriodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
    SERV_C.02.03De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgevingUitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
    SERV_C.02.04Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgevingEisen aan het beoordelen van technische naleving
    SERV_C.03.01De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Beheerderactiviteiten vastgelegd in logbestandenEisen aan het beschermen van de logbestanden
    SERV_C.03.02Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Beheerderactiviteiten vastgelegd in logbestandenSpeciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
    SERV_C.04.01Logbestanden van gebeurtenissen bevatten, voor zover relevant:
    1. gebruikersidentificaties;
    2. systeemactiviteiten;
    3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    5. systeemconfiguratie veranderingen;
    6. gebruik van speciale bevoegdheden;
    7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
    9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Registratie gebeurtenissenEisen aan de inhoud van de logbestanden van gebeurtenissen
    SERV_C.05.01De verantwoordelijke functionaris analyseert periodiek:

    De verantwoordelijke functionaris analyseert periodiek:

    • de gelogde gebruikers-, activiteiten gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten aanzien van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
    Monitoren van serverplatformsEisen aan de periodieke beoordeling van de logbestanden
    SERV_C.05.02De verzamelde loginformatie wordt in samenhang geanalyseerd.Monitoren van serverplatformsDe verzamelde loginformatie wordt in samenhang geanalyseerd
    SERV_C.05.03Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoren van serverplatformsEisen aan de periodieke rapportage over de analyse van de logbestanden
    SERV_C.05.04De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Monitoren van serverplatformsAnalyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s
    SERV_C.05.05De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Monitoren van serverplatformsEisen aan de inhoud en verspreiding van de loganalyse
    SERV_C.05.06De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.Monitoren van serverplatformsDe eindrapportage bevat verbeteringsvoorstellen op basis van analyses
    SERV_C.06.01De beveiligingsfunctionaris zorgt o.a. voor:
    1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
    2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
    3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    5. de bespreking van beveiligingsissues met ketenpartijen;
    6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
    Beheerorganisatie serverplatformsActiviteiten van de beveiligingsfunctionaris
    SERV_C.06.02Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen servercomponenten;
  • de inrichting, het onderhoud en het beheer van de servers.
  • Beheerorganisatie serverplatformsInhoud van het beveiligingsbeleid
    SERV_U.01.01Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.BedieningsproceduresGedocumenteerde procedures voor bedieningsactiviteiten
    SERV_U.01.02Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd.BedieningsproceduresFormele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten
    SERV_U.01.03In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
  • de installatie en configuratie van systemen;
  • de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
  • de back-up;
  • de eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
  • de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen;
  • de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;
  • het beheer van audit- en systeemlog bestandinformatie;
  • de procedures voor het monitoren van activiteiten.
  • BedieningsproceduresIn de bedieningsprocedures opgenomen bedieningsvoorschriften
    SERV_U.02.01De documentatie conform de standaarden omvat:
  • het bieden van gestandaardiseerde firmware-configuraties;
  • het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden van leverancier- en andere beveiligingsparameters;
  • het uitschakelen of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameter instellingen (bijvoorbeeld Windows 'Register-editor');
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer praktijken.
  • Standaarden voor configuratie van serversEisen aan de "gedocumenteerde standaarden"
    SERV_U.03.01Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden.MalwareprotectieIn beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software
    SERV_U.03.02Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.MalwareprotectieGebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links
    SERV_U.03.03Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt.MalwareprotectieHet downloaden van bestanden is beheerst en beperkt
    SERV_U.03.04Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links.MalwareprotectieServers zijn voorzien van up-to-date anti-malware
    SERV_U.03.05Het downloaden van bestanden is beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en beperkt op basis van een risicoanalyse en van het principe "need-of-use".MalwareprotectieVoor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd
    SERV_U.03.06Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen.MalwareprotectieServers en hiervoor gebruikte media worden routinematig gescand op malware
    SERV_U.03.07De malware scan wordt op alle omgevingen uitgevoerd.MalwareprotectieDe malware scan wordt op alle omgevingen uitgevoerd
    SERV_U.03.08Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate.MalwareprotectieDe anti-malware software wordt regelmatig geüpdate
    SERV_U.04.01Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Beheer van serverkwetsbaarhedenEisen aan het installeren van patches en tussentijdse mitigerende maatregelen
    SERV_U.04.02Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van:
    • (onderlinge)afhankelijkheden;
    • software t.a.v. versienummers, toepassingsstatus;
    • verantwoordelijken voor de software.
    Beheer van serverkwetsbaarhedenInformatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse
    SERV_U.04.03Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
  • Beheer van serverkwetsbaarhedenVerantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren
    SERV_U.04.04Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident.Beheer van serverkwetsbaarhedenDe activiteiten zijn afgestemd op het incident
    SERV_U.04.05Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van bekende technische kwetsbaarheden;
  • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • prioriteit geven aan herstel van onderkende kwetsbaarheden.
  • Beheer van serverkwetsbaarhedenHet kwetsbaarheden beheerproces
    SERV_U.04.06Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld.Beheer van serverkwetsbaarhedenProcesmatig herstel van technische kwetsbaarheden
    SERV_U.04.07Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd.Beheer van serverkwetsbaarhedenHet kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd
    SERV_U.05.01Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.PatchmanagementPatchmanagement is beschreven, goedgekeurd en toegekend
    SERV_U.05.02Een technisch mechanisme zorgt voor (semi-) automatische updates.PatchmanagementEen technisch mechanisme zorgt voor (semi-)automatische updates
    SERV_U.05.03Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht.PatchmanagementOp basis van inzicht vanuit configuratiebeheer worden de servers gepatcht
    SERV_U.05.04Het Patchmanagement proces bevat methoden om:
    1. patches te testen en te evalueren voordat ze worden geïnstalleerd;
    2. patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    3. om te gaan met de mislukte of niet uitgevoerde patches;
    4. te rapporteren over de status van het implementeren van patches;
    5. acties te bepalen, ingeval een technische kwetsbaarheid niet met een patch kan worden hersteld, of een beschikbare patch niet kan worden aangebracht.
    PatchmanagementEisen aan het Patchmanagement
    SERV_U.05.05De patchmanagement procedure is actueel en beschikbaar.PatchmanagementDe Patchmanagement procedure is actueel en beschikbaar
    SERV_U.05.06De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.PatchmanagementDe rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld
    SERV_U.05.07De volgende aspecten van een patch worden geregistreerd:
    de beschikbare patches;
    
    • hun relevantie voor de systemen / bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie; en
    • het patchresultaat.
    PatchmanagementRegistratie van de aspecten van een patch
    SERV_U.05.08Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.PatchmanagementEen patchrichtlijn is opgesteld, vastgesteld en geaccordeerd.
    SERV_U.05.09Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.PatchmanagementAlleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd
    SERV_U.05.10De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch.PatchmanagementDe risico’s verbonden aan het installeren van de patch worden beoordeeld
    SERV_U.05.11Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
  • het uitschakelen van functionaliteiten en/of diensten;
  • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijv. firewalls, rond de grenzen van netwerken;
  • het vaker monitoren om de werkelijke aanvallen op te sporen;
  • het kweken van bewustzijn omtrent de kwetsbaarheid.
  • PatchmanagementWanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen
    SERV_U.06.01Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
    1. het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    2. het autoriseren van individuele sessies;
    3. het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    4. het loggen van alle ondernomen activiteiten;
    5. het gebruiken van unieke authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. referenties voor elke implementatie;
    6. het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    7. het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    8. het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    Beheer op afstandToegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd
    SERV_U.06.02Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
  • het verifiëren van de bron van de verbinding op afstand;
  • het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
  • het beperken van het aantal gelijktijdige externe verbindingen;
  • het bewaken van activiteiten gedurende de gehele duur van de verbinding;
  • het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
  • Beheer op afstandHet op afstand onderhouden van servers wordt strikt beheerd
    SERV_U.06.03Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstandHet serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd
    SERV_U.06.04Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstandHandmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd
    SERV_U.06.05Alle externe toegang tot servers vindt versleuteld plaats.Beheer op afstandAlle externe toegang tot servers vindt versleuteld plaats
    SERV_U.07.01Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
  • onderhoud wordt uitgevoerd in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten;
  • alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit;
  • van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden;
  • voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;
  • voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
  • Onderhoud van serversHet onderhoud van servers wordt uitgevoerd op basis van richtlijnen
    SERV_U.08.01de server(s):
  • wordt informatie welke niet meer benodigd is, vernietigd door middel van het verwijderen of overschrijven gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
  • worden opslagmedia die niet meer benodigd zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
  • Veilig verwijderen of hergebruiken van serverapparatuurNiet meer benodigde opslagmedia en informatie van servers worden vernietigd
    SERV_U.08.02Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Veilig verwijderen of hergebruiken van serverapparatuurGecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat
    SERV_U.09.01Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
  • niet-essentiële en overbodige (redundant) services;
  • het kunnen uitvoeren van gevoelige transacties en scripts;
  • krachtige beheerhulpmiddelen;
  • het “run” commando” en “commandprocessors”;
  • de “auto-run”-functie.
  • Hardenen van serversServers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld
    SERV_U.09.02Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
  • communicatiediensten die inherent vatbaar zijn voor misbruik;
  • communicatieprotocollen die gevoelig zijn voor misbruik.
  • Hardenen van serversServers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt
    SERV_U.09.03Servers worden beschermd tegen ongeoorloofde toegang doordat:
  • onnodige of onveilige gebruikersaccounts zijn verwijderd;
  • belangrijke beveiliging gerelateerde parameters juist zijn ingesteld;
  • time-out faciliteiten worden gebruikt, die:
    1. automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
    2. vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
  • Hardenen van serversServers worden beschermd tegen ongeoorloofde toegang
    SERV_U.10.01De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
  • het inrichten van standaard firmware-configuraties;
  • het gebruik van gestandaardiseerde vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
  • het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter instellingen;
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer.
  • ServerconfiguratieDe Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures
    SERV_U.10.02De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage.ServerconfiguratieDe servers zijn geconfigureerd conform een gestandaardiseerde serverimage
    SERV_U.10.03Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.
    ServerconfiguratieToegang tot serverparameter en krachtige beheerinstrumenten is beperkt
    SERV_U.11.01Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
  • onbeheerde en ad hoc inzet van virtuele servers (zonder juiste procedure aanvraag, creëren en schonen);
  • overbelasting van resources (CPU, geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
  • Beveiliging Virtueel serverplatformFysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd
    SERV_U.11.02Hypervisors worden geconfigureerd om:
  • virtuele servers onderling (logisch) te scheiden op basis van vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
  • de communicatie tussen virtuele servers te coderen;
  • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
  • de rollen van hypervisor administrators te scheiden.
  • Beveiliging Virtueel serverplatformHypervisors worden geconfigureerd
    SERV_U.11.03Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
  • fysieke servers, die worden gebruikt voor het hosten van virtuele servers;
  • hypervisors, die zijn geassocieerd met virtuele servers;
  • virtuele servers die op een fysieke server worden uitgevoerd.
  • Beveiliging Virtueel serverplatformVirtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures
    SERV_U.11.04Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
  • het toepassen van standaard beveiligingsrichtlijnen ten aanzien van fysieke en logische toegang;
  • het hardenen van de fysieke en virtuele servers;
  • wijzigingsbeheer, malwareprotectie;
  • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
  • Beveiliging Virtueel serverplatformVirtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors
    SERV_U.12.01Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list).Beperking van software-installatieOp de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan
    SERV_U.12.02De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.Beperking van software-installatieDe organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.
    SERV_U.12.03Het principe van least-privilege wordt toegepast.Beperking van software-installatieHet principe van least-privilege wordt toegepast
    SERV_U.12.04De rechten van beheerders worden verleend op basis van rollen.Beperking van software-installatieDe rechten van beheerders worden verleend op basis van rollen
    SERV_U.13.01De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.KloksynchronisatieDe systemen zijn met een standaard referentietijd voor gebruik geconfigureerd
    SERV_U.13.02De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.KloksynchronisatieDe interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd.
    SERV_U.14.01Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij o.a. beschreven is:
  • dat in het ontwerp rekening is gehouden met de principes van de beveiligingsarchitectuur en beveiligingsvereisten;
  • dat in het ontwerp rekening is gehouden met de risico’s ten aanzien van voorzienbare ontwikkelingen in het gebruik van IT door de organisatie.
  • OntwerpdocumentatieHet ontwerp van elk serverplatform en elke server is gedocumenteerd
    TVZ_B.01.01Het toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beleid;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
  • ToegangbeveiligingsbeleidEisen aan het Toegangvoorzieningsbeleid
    TVZ_B.01.02Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.ToegangbeveiligingsbeleidEisen aan het Toegangvoorzieningsbeleid
    TVZ_B.01.03Voor veelvoorkomende rollen in de organisaties zijn standaard gebruikersprofielen met toegangsrechten aanwezig.ToegangbeveiligingsbeleidVoor veelvoorkomende rollen zijn standaard gebruikersprofielen met toegangsrechten aanwezig
    TVZ_B.01.04Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need-to-use principes.ToegangbeveiligingsbeleidToepassen van need-to-know en need-to-use principes
    TVZ_B.01.05Het autorisatiebeheer is procesmatig ingericht. (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).ToegangbeveiligingsbeleidHet autorisatiebeheer is procesmatig ingericht