Alle normen
Naar navigatie springen
Naar zoeken springen
Normen zijn acties die nodig zijn om Privacyprincipes of Beveiligingsprincipes te realiseren. Normen komen voort uit de pdf-versies van de BIO Thema-uitwerkingen (Alle normenkaders) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) en maken ook onderdeel uit van de Information Security Object Repository (ISOR).
Normen en de bovenliggende de privacy- en beveiligingsprincipes uit deze normenkaders worden doorontwikkeld in samenhang met de NORA Bindende Architectuurafspraken en de thema's Beveiliging en Privacy.
Alle normen in de NORA[bewerken]
In de onderstaande tabel zijn alle normen uit de NORA bijeengebracht. De tekst in de kolommen is te sorteren via kolomtitels. De onderstaande tabel is ook te downloaden in csv-format. Alle eigenschappen van normen worden genoemd en gedefinieerd op de pagina Norm. Er is ook een tabel met alle eigenschappen van alle normen.
| ID | Stelling | Realiseert | Norm |
|---|---|---|---|
| APO_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.01.02 | De handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling |
| APO_B.01.03 | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Beleid voor (beveiligd) ontwikkelen | Overwegingen bij het beleid voor beveiligd ontwikkelen van software |
| APO_B.01.04 | Technieken voor beveiligd programmeren worden gebruikt voor nieuwe ontwikkelingen en hergebruik van code uit andere bronnen. | Beleid voor (beveiligd) ontwikkelen | Technieken voor beveiligd programmeren |
| APO_B.02.01 | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, zoals Structured System Analyses and Design Method (SSADM) of Scrum (Agile-ontwikkeling). | Systeem-ontwikkelmethode | Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie |
| APO_B.02.02 | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem-ontwikkelmethode | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen |
| APO_B.02.03 | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem-ontwikkelmethode | Adoptie van ontwikkelmethodologie wordt gemonitord |
| APO_B.02.04 | Standaarden en procedures worden toegepast voor:
| Systeem-ontwikkelmethode | Software wordt ontwikkelen conform standaarden en procedures |
| APO_B.02.05 | De systeem-ontwikkelmethode ondersteunt de vereiste dat te ontwikkelen applicaties voldoen aan:
| Systeem-ontwikkelmethode | De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten |
| APO_B.02.06 | Het ontwikkelen van een applicatie wordt projectmatig aangepakt. Hierbij wordt onder andere aandacht besteed aan:
| Systeem-ontwikkelmethode | Het softwareontwikkeling wordt projectmatig aangepakt |
| APO_B.03.01 | De handreiking: BIO-Dataclassificatie is het uitgangspunt voor de ontwikkeling van software en systemen. | Classificatie van informatie | Dataclassificatie als uitgangspunt voor softwareontwikkeling |
| APO_B.03.02 | De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Classificatie van informatie | Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd |
| APO_B.03.03 | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Classificatie van informatie | Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema |
| APO_B.03.04 | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen (onder andere privacy), organisatorische en technische requirements. | Classificatie van informatie | Verplichtingen uit wet en regelgeving en organisatorische en technische requirements |
| APO_B.04.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen. | Engineeringsprincipe voor beveiligde systemen | Security by Design als uitgangspunt voor softwareontwikkeling |
| APO_B.04.02 | Voor het beveiligen van informatiesystemen zijn de volgende principes van belang:
| Engineeringsprincipe voor beveiligde systemen | Principes voor het beveiligen van informatiesystemen |
| APO_B.04.03 | Beveiliging wordt als een integraal onderdeel van systemontwikkeling behandeld. | Engineeringsprincipe voor beveiligde systemen | Beveiliging is integraal onderdeel van systeemontwikkeling |
| APO_B.04.04 | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Engineeringsprincipe voor beveiligde systemen | Ontwikkelaars zijn getraind om veilige software te ontwikkelen |
| APO_B.05.01 | Bij de business impact analyse worden onder andere de volgende perspectieven in beschouwing genomen:
| Business Impact Analyse (BIA) | Perspectieven bij de Business Impact Analyse |
| APO_B.05.02 | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Business Impact Analyse (BIA) | Scenario's voor de Business Impact Analyse |
| APO_B.05.03 | Met de business impact analyse wordt vastgesteld op welke wijze een eventuele inbreuk op de aspecten beschikbaarheid, integriteit, vertrouwelijkheid- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Business Impact Analyse (BIA) | Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie |
| APO_B.06.01 | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen, is een Privacy Impact Assessment (PIA) uitgevoerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen |
| APO_B.06.02 | Voor het uitvoeren van een Privacy Impact Assessment (PIA) en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Procesbeschrijving voor uitvoeren GEB's en voor opvolgen uitkomsten |
| APO_B.06.03 | Een tot standaard verheven Privacy Impact Assessment (PIA)-toetsmodel wordt toegepast. Dit model voldoet aan de in de Algemene Verordening Gegevensbescherming (AVG) gestelde eisen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling (ISOR:Privacy en bescherming van persoonsgegevens (GEB-/ PIA-analyse)) | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen |
| APO_B.06.04 | Privacy by design en de Privacy Impact Assessment (PIA) maken onderdeel uit van een tot standaard verheven risicomanagementaanpak. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak |
| APO_B.06.05 | De risicomanagementaanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Risicomanagement aanpak aantoonbaar toegepast |
| APO_B.06.06 | Conform de Algemene Verordening Gegevensbescherming (AVG) worden bij het ontwerp/ontwikkelen van applicaties de principes privacy by design en privacy by default gehanteerd. | Privacy en bescherming persoonsgegevens applicatieontwikkeling | Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd |
| APO_B.07.01 | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over een ontwikkel en onderhoudsbeleid |
| APO_B.07.02 | De doelorganisatie beschikt over een quality qssurance-methodiek en Quality Security Management-methodiek. | Kwaliteitsmanagementsysteem | De doelorganisatie beschikt over QA- en KMS-methodiek |
| APO_B.07.03 | De ontwikkel- en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagementsysteem | De ontwikkel en onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd |
| APO_B.07.04 | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagementsysteem | Voor informatie- en communicatie zijn processen ingericht |
| APO_B.07.05 | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd. | Kwaliteitsmanagementsysteem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd |
| APO_B.07.06 | Aan het management worden evaluatierapportages verstrekt. | Kwaliteitsmanagementsysteem | Aan het management worden evaluatierapportages verstrekt |
| APO_B.07.07 | De processen voor de inrichting van de applicatieontwikkeling en het -onderhoud (impactanalyse, ontwerp, realisatietesten en beheer) zijn beschreven en maken onderdeel uit van het kwaliteitsmanagementsysteem. | Kwaliteitsmanagementsysteem | Applicatieontwikkeling- en onderhoudsprocessen zijn beschreven en maken onderdeel uit van KMS |
| APO_B.08.01 | Om de toegang tot broncodebibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen, worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Om de toegang tot broncode bibliotheken te beheersen worden richtlijnen in overweging genomen |
| APO_B.08.02 | Als het de bedoeling is dat de programmabroncode wordt gepubliceerd, behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijvoorbeeld een digitale handtekening) te worden overwogen. | Toegangsbeveiliging op programmacode | Aanvullende beheersmaatregelen wanneer programmabroncode wordt gepubliceerd |
| APO_B.09.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Projectorganisatie | Taken van de beveiligingsfunctionaris |
| APO_B.09.02 | De beveiligingsfunctionaris geeft onder andere inzicht in:
| Projectorganisatie | Inzicht gegeven door de beveiligingsfunctionaris |
| APO_C.01.01 | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien, zoals een requirementsanalyse en de specificatie van software. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien |
| APO_C.01.02 | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code die zijn opgeleverd tijdens de ontwikkelfasen: requirementsanalyse, specificatie en programmacode. | Richtlijn evaluatie-ontwikkelactiviteiten | Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code |
| APO_C.01.03 | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen, versiebeheer, quality assurance en quality control worden toegepast voor het evalueren van de ontwikkelactiviteiten. | Richtlijn evaluatie-ontwikkelactiviteiten | Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast |
| APO_C.01.04 | De projectorganisatie beschikt over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van quality assurance- en quality control-methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijn evaluatie-ontwikkelactiviteiten | Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen |
| APO_C.01.05 | De quality assurance-methodiek wordt conform de richtlijnen nageleefd. | Richtlijn evaluatie-ontwikkelactiviteiten | De Quality Assurance methodiek wordt conform de richtlijnen nageleefd |
| APO_C.01.06 | De projectorganisatie voert controle-activiteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijn evaluatie-ontwikkelactiviteiten | Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen |
| APO_C.01.07 | Periodiek worden het applicatieontwikkelingsproces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijn evaluatie-ontwikkelactiviteiten | Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld |
| APO_C.02.01 | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versiebeheer applicatieontwikkkeling | Versiemanagement is beschreven, vastgesteld en toegekend aan een verantwoordelijke functionaris |
| APO_C.02.02 | In het versiebeheerproces is vastgelegd welke applicatie-objecten in het ondersteunend tool, zoals het functioneel en technisch ontwerp en resultaten van sprints bij Agile-ontwikkeling, worden vastgelegd. | Versiebeheer applicatieontwikkkeling | Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd |
| APO_C.02.03 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer applicatieontwikkkeling | Versiemanagement wordt ondersteund met procedures en werkinstructies |
| APO_C.02.04 | Een versiebeheertool wordt toegepast die onder andere:
| Versiebeheer applicatieontwikkkeling | Ondersteuning vanuit het toegepaste versiebeheertool |
| APO_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement applicatieontwikkeling | Patchmanagement en noodzakelijke patchmanagement procedures zijn beschreven, vastgesteld en bekendgemaakt |
| APO_C.03.02 | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden voor patchmanagement. | Patchmanagement applicatieontwikkeling | Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden |
| APO_C.03.03 | Het al dan niet uitvoeren van patches voor programmacode is geregistreerd. | Patchmanagement applicatieontwikkeling | Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd |
| APO_C.03.04 | Het beheer van technische kwetsbaarheden in de code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement applicatieontwikkeling | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken |
| APO_C.03.05 | Bij het ontwikkelen van code installeert de ontwikkelaar, tenzij risicoanalyses anders uitwijzen, alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement applicatieontwikkeling | Installeren van alle noodzakelijke door de leveranciers beschikbaar patches en fixes |
| APO_C.03.06 | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo spoedig mogelijk doorgevoerd. | Patchmanagement applicatieontwikkeling | Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is |
| APO_C.04.01 | Softwareconfiguratie-items worden conform procedures en met hulpmiddelen vastgelegd. | (Software)configuratiebeheer | Software configuratiescomponenten worden conform procedures vastgelegd |
| APO_C.04.02 | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software)configuratiebeheer | De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel |
| APO_C.04.03 | Wijzigingen in softwareconfiguratie-items worden volgens een gestandaardiseerd proces vastgelegd in de Configuration Management Database (CMDB). | (Software)configuratiebeheer | Wijzigingen in softwareconfiguratie conform gestandaardiseerd proces vastgelegd in de CMDB |
| APO_C.05.01 | De projectorganisatie beschikt over een quality assurance-methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze methodiek. | Quality assurance | Het compliance management proces is gedocumenteerd en vastgesteld |
| APO_C.05.02 | Conform de quality assurance-methodiek is een quality assurance-proces ingericht voor het uitvoeren van quality assurance-activiteiten gedurende alle fasen van de ontwikkelcyclus en waarbij aandacht wordt besteed aan:
| Quality assurance | De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd |
| APO_C.05.03 | De resultaten uit de quality assurance-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Rapportage van de resultaten uit de QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken |
| APO_C.05.04 | Toetsingsafspraken en -resultaten zijn beknopt en Specifiek, Meetbaar, Realistisch en Tijdgebonden (SMART) vastgelegd. | Quality assurance | Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd |
| APO_C.06.01 | Het compliance-managementproces, bestaande uit de sub-processen planning, evaluatie, rapportering en correctie/implementatie is gedocumenteerd en vastgesteld door het management. | Compliance-management | De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd |
| APO_C.06.02 | Voor het compliance-proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance-management | Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd |
| APO_C.07.01 | Bij verandering van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling informatiesystemen | Testen bij verandering van besturingssystemen |
| APO_C.08.01 | De samenhang van de beheersprocessen wordt met een processtructuur vastgelegd. | Beheersorganisatie applicatieontwikkeling | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd |
| APO_C.08.02 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie applicatieontwikkeling | De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk |
| APO_C.08.03 | De taken, verantwoordelijkheden en bevoegdheden voor de beheerprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie applicatieontwikkeling | De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd |
| APO_C.08.04 | De projectorganisatie heeft de taken, verantwoordelijkheden en bevoegdheden voor het uitvoeren van de evaluatie- en beheerswerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie applicatieontwikkeling | De taken, verantwoordelijkheden en bevoegdheden voor de evaluatie- en beheerwerkzaamheden zijn beschreven |
| APO_U.01.01 | Wijzigingsbeheer vindt plaats op basis van algemeen geaccepteerde beheerframeworks, zoals Information Technology Infrastructure Library (ITIL), Application Services Library (ASL), Business Information Services Library (BiSL), Scrum, Software Improvement Group (SIG) en Secure Software Development (SSD). | Wijzigingsbeheerprocedure voor applicaties en systemen | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks |
| APO_U.01.02 | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatie krijgen om hun werkzaamheden te kunnen uitvoeren. | Wijzigingsbeheerprocedure voor applicaties en systemen | Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren |
| APO_U.01.03 | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Wijzigingsbeheerprocedure voor applicaties en systemen | Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces |
| APO_U.01.04 | Enkele elementen van procedures voor wijzigingsbeheer zijn:
| Wijzigingsbeheerprocedure voor applicaties en systemen | Elementen van de procedures voor wijzigingsbeheer |
| APO_U.02.01 | De organisatie heeft een strikt beleid gedefinieerd voor de software die ontwikkelaars mogen installeren. | Beperking software-installatie applicatieontwikkeling | Beleid ten aanzien van het type software dat mag worden geïnstalleerd |
| APO_U.02.02 | Het toekennen van rechten om software te installeren vindt plaats met ‘least privilege’. | Beperking software-installatie applicatieontwikkeling | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege' |
| APO_U.02.03 | De rechten worden verleend met de rollen van de type gebruikers en ontwikkelaars. | Beperking software-installatie applicatieontwikkeling | De rechten verleend op basis van de rollen van het typen gebruikers en ontwikkelaars |
| APO_U.03.01 | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijn programmacode | De programmacode voor functionele specificaties is reproduceerbaar |
| APO_U.03.02 | De (programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijn programmacode | Programmacode wordt aantoonbaar veilig gecreëerd |
| APO_U.03.03 | De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijn programmacode | Programmacode is effectief, veranderbaar en testbaar |
| APO_U.03.04 | Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. | Richtlijn programmacode | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt |
| APO_U.03.05 | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. | Richtlijn programmacode | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire |
| APO_U.03.06 | Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. | Richtlijn programmacode | Ontwikkelaars hebben kennis van algemene en vastgelegde beveiligingsfouten |
| APO_U.03.07 | Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. | Richtlijn programmacode | Gebruik van programmacode uit externe programmabibliotheken |
| APO_U.04.01 | De functionele eisen worden geanalyseerd en bepaald met verschillende invalshoeken (zoals stakeholders, business en wet- en regelgeving) en vastgelegd in een functioneel ontwerp. | Analyse en specificatie informatiesysteem | Functionele eisen van nieuwe informatiesystemen worden geanalyseerd en in Functioneel Ontwerp vastgelegd |
| APO_U.04.02 | Het functioneel ontwerp wordt gereviewd, waarna verbeteringen en of aanvullingen op het functioneel ontwerp plaatsvinden. | Analyse en specificatie informatiesysteem | Het Functioneel Ontwerp wordt gereviewd waarna verbeteringen en/of aanvullingen plaatsvinden |
| APO_U.04.03 | Met een goedgekeurd functioneel ontwerp wordt een technisch ontwerp vervaardigd dat ook ter review wordt aangeboden aan de kwaliteitsfunctionaris en beveiligingsfunctionaris. | Analyse en specificatie informatiesysteem | Op basis van een goedgekeurd Functioneel Ontwerp wordt een Technisch Ontwerp vervaardigd |
| APO_U.04.04 | Alle vereisten worden gevalideerd door een peer review of prototyping (Agile-ontwikkelmethode). | Analyse en specificatie informatiesysteem | Alle vereisten worden gevalideerd door peer review of prototyping |
| APO_U.04.05 | Parallel aan het vervaardigen van het functioneel ontwerp en technisch ontwerp worden acceptatie-eisen vastgelegd. | Analyse en specificatie informatiesysteem | Acceptatie-eisen worden vastgelegd parallel aan het Functioneel Ontwerp en Technisch Ontwerp |
| APO_U.05.01 | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Analyse en specificatie informatiebeveiligingseisen | Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen |
| APO_U.05.02 | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO 27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Analyse en specificatie informatiebeveiligingseisen | De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 |
| APO_U.05.03 | Informatiebeveiligingseisen zijn al in de ontwerpfase afgeleid uit:
| Analyse en specificatie informatiebeveiligingseisen | Informatiebeveiligingseisen |
| APO_U.05.04 | Voor informatiesystemen worden onder andere de volgende informatiebeveiligingseisen in overweging genomen:
| Analyse en specificatie informatiebeveiligingseisen | Overwogen informatiebeveiligingseisen |
| APO_U.06.01 | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie-ontwerp | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie |
| APO_U.06.02 | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals:
| Applicatie-ontwerp | Bij het ontwerp is informatie verkregen uit connecties met de te ontwerpen applicatie |
| APO_U.06.03 | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit en comptabiliteit. | Applicatie-ontwerp | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur |
| APO_U.07.01 | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatiefunctionaliteit | Bereikcontroles worden toegepast en gegevens worden gevalideerd |
| APO_U.07.02 | Geprogrammeerde controles worden ondersteund. | Applicatiefunctionaliteit | Geprogrammeerde controles worden ondersteund |
| APO_U.07.03 | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatiefunctionaliteit | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan |
| APO_U.07.04 | Voorzieningen voor het genereren van een fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatiefunctionaliteit | Voorzieningen voor het genereren van fouten- en uitzonderingsrapportage zijn beschikbaar |
| APO_U.07.05 | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (onder andere audit trail). | Applicatiefunctionaliteit | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking zijn beschikbaar |
| APO_U.07.06 | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatiefunctionaliteit | Opgeleverde en over te dragen gegevens worden gevalideerd |
| APO_U.07.07 | De controle op de juistheid, volledigheid en tijdigheid van de input (ontvangen gegevens) en op de verwerking en de output van gegevens (versterkte gegevens) worden uitgevoerd. | Applicatiefunctionaliteit | Controle op de juistheid, volledigheid en tijdigheid van input en op de verwerking en output van gegevens |
| APO_U.07.08 | Met vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatiefunctionaliteit | Voorkomen wordt dat gegevens buiten de applicatie om (kunnen) worden benaderd |
| APO_U.07.09 | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheid en bedrijfsgevoeligheid. | Applicatiefunctionaliteit | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd |
| APO_U.08.01 | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Voor het bouwen van programmacode worden gedocumenteerde standaarden en procedures beschikbaar gesteld |
| APO_U.08.02 | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in de basiscode of in software-packages. | Applicatiebouw | Veilige methodes ter voorkoming van veranderingen in basis code of in software packages |
| APO_U.08.03 | Voor het creëren van programmacode wordt gebruik gemaakt van best practices (gestructureerde programmering). | Applicatiebouw | Voor het creëren van programma code wordt gebruik gemaakt van good practices |
| APO_U.08.04 | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Geen gebruik van onveilig programmatechnieken |
| APO_U.08.05 | De programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | (Applicatie)code is beschermd tegen ongeautoriseerde wijzigingen |
| APO_U.08.06 | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Activiteiten van applicatiebouw worden gereviewd |
| APO_U.08.07 | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | De ontwikkelaars zijn adequaat opgeleid en in staat de noodzakelijke en gebruikte tools te hanteren |
| APO_U.09.01 | Vanuit de interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (onder andere business rules). | Testen systeembeveiliging | Functionarissen testen functionele requirements |
| APO_U.09.02 | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Testen systeembeveiliging | In de infrastructuur wordt specifiek getest vanuit beveiligingsoptiek |
| APO_U.10.01 | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd worden uitgevoerd. | Systeemacceptatietest | Voor acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt |
| APO_U.10.02 | Van de resultaten van de testen wordt een verslag gemaakt. | Systeemacceptatietest | Van de resultaten van de testen wordt een verslag gemaakt |
| APO_U.10.03 | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeemacceptatietest | Testresultaten worden formeel geëvalueerd en beoordeeld |
| APO_U.10.04 | Acceptatietesten worden uitgevoerd in een representatieve acceptatie-testomgeving. Deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Systeemacceptatietest | Acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving |
| APO_U.10.05 | Voordat tot acceptatie in de productieomgeving wordt overgegaan, worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Systeemacceptatietest | Vastgestelde acceptatiecriteria en passend uitgevoerde tests voorafgaand aan acceptatieproductie overgang |
| APO_U.10.06 | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Systeemacceptatietest | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens |
| APO_U.10.07 | Bij de acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus onder andere gericht is op:
| Systeemacceptatietest | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken |
| APO_U.11.01 | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt, te beschermen:
| Beschermen testgegevens | Richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen |
| APO_U.12.01 | Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkelomgeving | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging |
| APO_U.12.02 | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de ontwikkel-, test-, acceptatie- en productie-omgeving, elk met een eigen autorisatiestructuur en werkwijze, zodat sprake is van een beheerst ontwikkel- en onderhoudsproces. | Beveiligde ontwikkelomgeving | Logisch en/of fysiek gescheiden Ontwikkel, Test, Acceptatie en Productie omgevingen |
| APO_U.12.03 | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de ontwikkel-, test-, acceptatie- en productie- omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkelomgeving | De taken, verantwoordelijkheden en bevoegdheden worden uitgevoerd conform de onderkende rollen |
| APO_U.12.04 | Voor remote-werkzaamheden is een werkwijze vastgelegd. | Beveiligde ontwikkelomgeving | Voor remote werkzaamheden is een werkwijze vastgelegd |
| APO_U.12.05 | Ontwikkelaars hebben geen toegang tot de productieomgeving. | Beveiligde ontwikkelomgeving | Ontwikkelaars hebben geen toegang tot productieomgeving |
| APO_U.12.06 | Voor het kopiëren/verplaatsen van configuratie-items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkelomgeving | Overdrachtsprocedures voor het kopiëren/verplaatsen van configuratie items tussen de omgevingen |
| APO_U.12.07 | De overdracht van de ontwikkel- naar de testomgeving vindt gecontroleerd plaats met een implementatieplan. | Beveiligde ontwikkelomgeving | De overdracht van Ontwikkel- naar de Testomgeving vindt gecontroleerd plaats |
| APO_U.12.08 | De overdracht van de test- naar de acceptatie-omgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkelomgeving | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel plaats |
| APO_U.12.09 | De overdracht naar de productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Beveiligde ontwikkelomgeving | De overdracht naar de Productieomgeving vindt gecontroleerd plaats |
| APO_U.13.01 | Koppelingen tussen applicaties worden uitgevoerd met vastgestelde procedures en richtlijnen. | Applicatiekoppeling | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen |
| APO_U.13.02 | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppeling | Van het type koppelingen is een overzicht aanwezig |
| APO_U.13.03 | Koppelingen worden uitgevoerd via geautoriseerde opdrachten. | Applicatiekoppeling | Koppelingen worden uitgevoerd op basis van geautoriseerde opdrachten |
| APO_U.13.04 | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppeling | De uitgevoerde koppelingen worden geregistreerd |
| APO_U.14.01 | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden, is vastgelegd. | Logging en monitoring applicatieontwikkeling | Vastgelegd is welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden |
| APO_U.14.02 | Informatie over autorisatie(s) wordt vastgelegd. | Logging en monitoring applicatieontwikkeling | Informatie ten aanzien van autorisatie(s) wordt vastgelegd |
| APO_U.14.03 | De loggegevens zijn beveiligd. | Logging en monitoring applicatieontwikkeling | De loggegevens zijn beveiligd |
| APO_U.14.04 | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring applicatieontwikkeling | De locatie van de vastlegging van de loggegevens is vastgesteld |
| APO_U.14.05 | De applicatie geeft signalen aan de beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring applicatieontwikkeling | De applicatie geeft signalen dat loggegevens periodiek geëvalueerd en geanalyseerd moet worden |
| APO_U.14.06 | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring applicatieontwikkeling | De frequentie (wanneer) van monitoring en het rapporteren hierover is vastgelegd |
| APO_U.15.01 | De architect heeft een actueel document van het te ontwikkelen informatiesysteem opgesteld. Het document:
| Applicatie-architectuur | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld |
| APO_U.15.02 | Het architectuurdocument wordt actief onderhouden. | Applicatie-architectuur | Het architectuur document wordt actief onderhouden |
| APO_U.15.03 | De voorschriften, methoden en technieken voor applicatiearchitectuur worden toegepast. | Applicatie-architectuur | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuur worden toegepast |
| APO_U.15.04 | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie-architectuur | Samenhang tussen in- en uitstroom van gegevens en de inhoud van gegevensberichten |
| APO_U.15.05 | Het is aantoonbaar dat de onderliggende infrastructuurcomponenten beveiligd zijn met beveiligingsbaselines (onder andere uitschakeling van overbodige functionaliteiten). | Applicatie-architectuur | Dat de onderliggende infrastructuurcomponenten beveiligd zijn op basis van security baselines aantoonbaar |
| APO_U.15.06 | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens, van interne en externe ontvangers van de door de applicatie opgeleverde gegevens, is inzichtelijk. | Applicatie-architectuur | De relatie tussen de persoonsgegevens is inzichtelijk |
| APO_U.16.01 | Het tool ondersteunt alle fasen van het ontwikkelproces voor het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Het tool ondersteunt alle fasen van het ontwikkelproces |
| APO_U.16.02 | Het tool biedt een bepaald framework voor het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Framework voor het structuren van de ontwikkelfasen en het bewaken van afhankelijkheden |
| APO_U.16.03 | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor versie- en releasebeheer |
| APO_U.16.04 | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Faciliteiten van het tool |
| APO_U.16.05 | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen |
| CLD_B.01.01 | De Cloud Service Provider (CSP) informeert de Cloud Service Consumer (CSC) welke wet- en regelgeving van toepassing is op clouddiensten. | Wet- en regelgeving Clouddiensten | Informeren welke wet- en regelgeving van toepassing is op clouddiensten |
| CLD_B.01.02 | De Cloud Service Provider (CSP) identificeert haar eigen relevante wettelijke eisen (zoals Algemene Verordening Gegevensbescherming (AVG)-eisen en encryptietoepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving Clouddiensten | Selecteren relevante wettelijke eisen ter bescherming van persoonsgegevens |
| CLD_B.01.03 | De voor de Cloud Service Consumer (CSC) van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). | Wet- en regelgeving Clouddiensten | Identificeren vereisten die van toepassing zijn |
| CLD_B.01.04 | De Cloud Service Provider (CSP) voorziet de Cloud Service Consumer (CSC) van zekerheid (op bewijs gebaseerde compliancy-rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving Clouddiensten | Voorzien zekerheid over van toepassing zijnde wettelijke eisen en contractuele vereisten |
| CLD_B.01.05 | Voor clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving Clouddiensten | Treffen van maatregelen en benoemen verantwoordelijkheden om te voldoen aan gestelde eisen |
| CLD_B.01.06 | De Cloud Service Provider (CSP) heeft, om aan de eisen van de Cloud Service Consumer (CSC) te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving Clouddiensten | Vaststellen alle van toepassing zijnde wet- en regelgeving |
| CLD_B.02.01 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP) geeft aan op welke wijze zij de bedrijfsdoelstellingen van Cloud Service Consumer (CSC)(’s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Aangeven hoe cloudbeveiligingsstrategie bedrijfsdoelstellingen ondersteunt |
| CLD_B.02.02 | De cloudbeveiligingsstrategie van de Cloud Service Provider (CSP):
| Cloudbeveiligingsstrategie | Aangeven hoe te beschermen tegen bedreigingen en aandacht te besteden aan beveiligingscontext |
| CLD_B.02.03 | De samenhang van beveiligingsmaatregelen van de Cloud Service Provider (CSP) ondersteunt het behalen van de bedrijfsdoelen van de Cloud Service Consumer (CSC). Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Ondersteunen in behalen van bedrijfsdoelen door samenhang van beveiligingsmaatregelen |
| CLD_B.03.01 | De Cloud Service Consumer (CSC) legt in de overeenkomst een aantal bepalingen over de exit-regeling vast, zoals:
| Exit-strategie clouddiensten | Vastleggen bepalingen over exit-regeling |
| CLD_B.03.02 | De Cloud Service Consumer (CSC) kan buiten het verstrijken van de contractperiode besluiten over te gaan tot exit als sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie clouddiensten | Overgaan tot exit buiten verstrijken contractperiode |
| CLD_B.04.01 | Het cloud-beveiligingsbeleid bevat:
| Clouddienstenbeleid | Bevatten organisatorisch en technische georiënteerde maatregelen in cloudbeveiligingsbeleid |
| CLD_B.05.01 | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Bevatten diverse aspecten in systeembeschrijving |
| CLD_B.05.02 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie van jurisdictie over dataopslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | SLA/systeembeschrijving bevat specificatie van jurisdictie inzake data-opslag, verwerking en back-up-locatie |
| CLD_B.05.03 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie voor publicatievereisten en onderzoeksmogelijkheden. | Transparantie | SLA/systeembeschrijving bevat specificatie voor publicatie-vereisten en onderzoeksmogelijkheden |
| CLD_B.05.04 | De Service Level Agreement (SLA) of systeembeschrijving voorziet in een specificatie over het beschikbaar zijn van valide certificaten. | Transparantie | SLA/systeembeschrijving bevat specificatie met betrekking tot beschikbaar zijn van valide certificaten |
| CLD_B.06.01 | De verantwoordelijkheden van de Cloud Service Provider (CSP) zijn onder andere het:
| Risicomanagement | Hebben CSP-verantwoordelijkheden |
| CLD_B.06.02 | De organisatie van het risicomanagementproces is goedgekeurd door managers van de Cloud Service Provider (CSP). | Risicomanagement | Goedkeuren organisatie van risicomanagementproces |
| CLD_B.06.03 | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten over communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beschrijven risicomanagementproces |
| CLD_B.07.01 | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteit | Treffen maatregelen voor beveiliging IT-functionaliteiten |
| CLD_B.07.02 | Technische beveiligingsmaatregelen in de vorm van sterke toegangsbeveiliging, encryptie en data-analysemethoden zijn getroffen tegen bescherming van de infrastructuur. | IT-functionaliteit | Treffen technische beveiligingsmaatregelen tegen bescherming van infrastructuur |
| CLD_B.07.03 | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteit | Bewaken en beheersen IT-infrastructuur |
| CLD_B.07.04 | De infrastructuur wordt ingericht met betrouwbare hardware- en softwarecomponenten. | IT-functionaliteit | Inrichten infrastructuur met betrouwbare hardware- en software-componenten |
| CLD_B.07.05 | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteit | Hebben van gedocumenteerde standaarden en procedures om hoofd te bieden tegen cyberaanvallen |
| CLD_B.08.01 | De Cloud Service Provider (CSP) heeft een proceseigenaar voor het Bedrijfscontinuïteitsmanagement (BCM)-proces benoemd en hem verantwoordelijk gegeven voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Benoemen proceseigenaar voor BCM-proces en geven verantwoordelijkheden |
| CLD_B.08.02 | De verantwoordelijke voor bedrijfscontinuïteitsmanagement (BCM) stelt zeker dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Zeker stellen adequate resources voor uitvoeren van BCM-proces |
| CLD_B.08.03 | Het management van de Cloud Service Provider (CSP) committeert zich aan de vastgestelde bedrijfscontinuïteitsmanagement (BCM)-vereisten. | Bedrijfscontinuïteitsmanagement | Committeren aan vastgestelde BCM-vereisten |
| CLD_B.08.04 | Het bedrijfscontinuïteitsmanagement (BCM)-beleid en beleid voor business impact analyses zijn vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Vaststellen en communiceren BCM- en BIA-beleid |
| CLD_B.08.05 | Het beleid en de procedures voor het vaststellen van de impact van storingen van cloud-services zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Documenteren en communiceren beleid en procedures voor vaststellen van storingsimpact van cloudservices |
| CLD_B.08.06 | De Cloud Service Provider (CSP) beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beschikken over gedocumenteerd raamwerk voor plannen van bedrijfscontinuïteit |
| CLD_B.08.07 | Business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Verifiëren, actualiseren en testen business impact analyses en continuïteitsplannen |
| CLD_B.08.08 | Bij het testen wordt aandacht besteed aan de beïnvloeding van Cloud Service Consumers (CSC’s) (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Besteden aandacht aan beïnvloeden van CSC’s (tenants) en derde partijen bij testen |
| CLD_B.08.09 | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Veiligstellen, monitoren, onderhouden en testen computercentra-voorzieningen |
| CLD_B.09.01 | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen voor opslag, verwerking en transport van data |
| CLD_B.09.02 | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. | Privacy en bescherming persoonsgegevens clouddiensten | Treffen maatregelen zoals data-analyse, DPIA, sterke toegangsbeveiliging en encryptie |
| CLD_B.09.03 | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. | Privacy en bescherming persoonsgegevens clouddiensten | Toekennen classificatie aan data en middelen waarin/waarop zich data bevindt |
| CLD_B.09.04 | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Privacy en bescherming persoonsgegevens clouddiensten | Classificeren en beschermen data gerelateerd aan e-commerce en verstuurd via publieke netwerken |
| CLD_B.09.05 | De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. | Privacy en bescherming persoonsgegevens clouddiensten | Toepassen informatie- en middelenclassificatie, relevant voor ontwikkelen en aanbieden van clouddiensten |
| CLD_B.09.06 | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Privacy en bescherming persoonsgegevens clouddiensten | Vaststellen eigenaarschap van middelen die deel uitmaken van clouddiensten |
| CLD_B.09.07 | In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Privacy en bescherming persoonsgegevens clouddiensten | Vastleggen eigenaarschap in overeenkomst tussen CSP en CSC bij beëindigen van clouddienst |
| CLD_B.09.08 | De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Privacy en bescherming persoonsgegevens clouddiensten | Specificeren en documenteren opslag op welke locatie data |
| CLD_B.10.01 | De beveiligingsfunctie, die geleid wordt door een Chief Security Officer (CSO), ondersteunt de Cloud Service Provider (CSP) voor het bewerkstelligen en promoten van het cloud-beveiligingsbeleid door het:
| Beveiligingsorganisatie clouddiensten | Bewerkstelligen en promoten cloudbeveiligingsbeleid |
| CLD_B.10.02 | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie clouddiensten | Voorzien beveiligingsfunctie in proactieve ondersteuning van bepaalde processen/middelen |
| CLD_B.10.03 | De Cloud Service Provider (CSP) heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegeven. | Beveiligingsorganisatie clouddiensten | Geven positie van informatiebeveiligingsorganisatie binnen organisatie |
| CLD_B.10.04 | De Cloud Service Provider (CSP) heeft de verantwoordelijkheden bij informatiebeveiliging voor het definiëren, coördineren en evalueren beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie clouddiensten | Benoemen functionarissen voor informatiebeveiliging en onderlinge relaties inzichtelijk maken |
| CLD_B.10.05 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie clouddiensten | Toewijzen verantwoordelijkheden voor definiëren, coördineren en evalueren van informatiebeveiliging |
| CLD_B.10.06 | De belangrijkste functionarissen (stakeholders) voor informatiebeveiliging zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie clouddiensten | Vastleggen taken, verantwoordelijkheden en bevoegdheden in autorisatiematrix |
| CLD_B.10.07 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen verantwoordings- en rapportagelijnen tussen betrokken functionarissen |
| CLD_B.10.08 | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie clouddiensten | Vaststellen type, frequentie en eisen voor inhoudelijke rapportages |
| CLD_B.11.01 | Het raamwerk bevat de volgende aspecten:
| Clouddienstenarchitectuur | Bevatten diverse aspecten voor raamwerk |
| CLD_B.11.02 | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, benoemd en beschreven. | Clouddienstenarchitectuur | Beschrijven van de samenhang tussen IT-functionaliteiten bij clouddienst-aanbieding, -gebruik en -onderhoud |
| CLD_C.01.01 | De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor de inrichting van de service-managementorganisatie. | Servicemanagementbeleid en evaluatierichtlijn | Beschikken over richtlijnen voor inrichting van service-management-organisatie |
| CLD_C.01.02 | De Cloud Service Provider (CSP) heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. | Servicemanagementbeleid en evaluatierichtlijn | Beschrijven en inrichten relevante beheerprocessen |
| CLD_C.01.03 | De Cloud Service Provider (CSP) beschikt voor clouddiensten over richtlijnen voor het:
| Servicemanagementbeleid en evaluatierichtlijn | Richtlijnen voor uitvoeren controle-activiteiten en evalueren van en rapporteren over prestaties |
| CLD_C.02.01 | De Cloud Service Provider (CSP) verifieert regelmatig de criteria die gebruikt worden om de risico’s te meten en om vast te stellen of ze steeds consistent zijn met de organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. | Risico-control | Verifiëren van criteria voor risicometing en vaststelling consistentie van criteria |
| CLD_C.02.02 | Vastgestelde risico’s dienen in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact te worden gemonitord en geëvalueerd, om een compleet risicobeeld te behouden en tijdig veranderingen vast te (kunnen) stellen. | Risico-control | Monitoren en evalueren risico’s voor behouden risicobeeld en tijdige vaststelling van veranderingen |
| CLD_C.02.03 | De Cloud Service Provider (CSP) zal voor het monitoren van risico’s zich continu richten op:
| Risico-control | Richten op diverse zaken met betrekking tot monitoren van risico |
| CLD_C.02.04 | De Cloud Service Provider (CSP) voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. | Risico-control | Uitvoeren monitoringsactiviteiten en mitigeren risico’s |
| CLD_C.02.05 | Bij het monitoren en reviewen worden onder andere de volgende elementen geadresseerd:
| Risico-control | Adresseren diverse elementen bij monitoring en reviewen |
| CLD_C.03.01 | Voor de governance van de clouddienstverlening aan de Cloud Service Consumer (CSC) heeft de Cloud Service Provider (CSP) een compliance-proces ingericht, waarmee continue compliance op wet- en regelgeving en het overeengekomen cloud-beveiligingsbeleid vorm wordt gegeven. | Compliance en assurance | Inrichten compliance-proces voor governance van clouddienstverlening |
| CLD_C.03.02 | De Cloud Service Provider (CSP) registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. | Compliance en assurance | Registreren reguliere rapportages in administratie |
| CLD_C.03.03 | Het compliance-proces is bij voorkeur aangesloten op een informatiebeveiligingsmanagementsysteem. | Compliance en assurance | Aansluiten compliance-proces op ISMS |
| CLD_C.03.04 | De Cloud Service Provider (CSP) laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontracteerde clouddiensten. | Compliance en assurance | Uit laten voeren onderzoek op inrichting en beheersing van clouddiensten |
| CLD_C.03.05 | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Compliance en assurance | Betrekken cloud-omgeving en administratie bij assessment |
| CLD_C.03.06 | De Cloud Service Provider (CSP) zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance- rapportage (Third Party Mededeling (TPM)), de uitkomsten van de periodieke servicerapportages en de uitkomsten uit de continue compliance op het cloud-beveiligingsbeleid op elkaar aansluiten. | Compliance en assurance | Aansluiten uitkomsten uit diverse rapportages e.d. |
| CLD_C.04.01 | De Cloud Service Provider (CSP) stelt de Cloud Service Consumer (CSC) informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. | Technische kwetsbaarhedenbeheer clouddiensten | Beschikbaar stellen informatie over beheer van technische kwetsbaarheden |
| CLD_C.04.02 | De Cloud Service Provider (CSP) heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. | Technische kwetsbaarhedenbeheer clouddiensten | Definiëren en vaststellen rollen en verantwoordelijkheden |
| CLD_C.04.03 | Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC (Nationaal Cyber Security Centrum) classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer clouddiensten | Installeren patches en treffen mitigerende maatregelen |
| CLD_C.04.04 | Het tijdspad waarbinnen gereageerd moet worden op aankondigingen van potentieel relevante kwetsbaarheden is gedefinieerd. | Technische kwetsbaarhedenbeheer clouddiensten | Definiëren tijdspad waarbinnen gereageerd moet worden op aankondiging kwetsbaarheid |
| CLD_C.04.05 | Periodiek worden penetratietests op ICT-componenten uitgevoerd om zwakheden te identificeren. | Technische kwetsbaarhedenbeheer clouddiensten | Uitvoeren penetratietests op ICT-componenten |
| CLD_C.04.06 | Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
| Technische kwetsbaarhedenbeheer clouddiensten | Verhelpen technische zwakheden door patchmanagement |
| CLD_C.04.07 | Evaluaties van technische kwetsbaarheden worden geregistreerd en gerapporteerd. | Technische kwetsbaarhedenbeheer clouddiensten | Registreren en rapporteren evaluaties van technische kwetsbaarheden |
| CLD_C.04.08 | De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. | Technische kwetsbaarhedenbeheer clouddiensten | Communiceren verbeteringsvoorstellen uit evaluatierapportages en communiceren met de verantwoordelijken |
| CLD_C.05.01 | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiliging van de cloud-omgeving zijn vastgesteld en worden toegepast. | Security-monitoringsrapportage | Vaststellen en toepassen richtlijnen en afspraken voor monitoren en rapporteren |
| CLD_C.05.02 | Het monitoren en rapporteren over de informatiebeveiliging zijn gerelateerd aan:
| Security-monitoringsrapportage | Monitoren en rapporteren over informatiebeveiliging is gerelateerd doelen, risico en beveiligingsincidenten |
| CLD_C.05.03 | Het monitoren van informatiebeveiliging en rapportages vindt plaats met:
| Security-monitoringsrapportage | Monitoren informatiebeveiliging en rapportages op basis van verzamelde informatie en inzicht |
| CLD_C.05.04 | Informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance-management en vulnerability-management) geanalyseerd. | Security-monitoringsrapportage | Analyseren informatiebeveiligingsrapportages in samenhang |
| CLD_C.05.05 | Aantoonbaar wordt opvolging gegeven aan verbetervoorstellen uit analyserapportages. | Security-monitoringsrapportage | Opvolgen verbeteringsvoorstellen uit analyse-rapportages |
| CLD_C.05.06 | De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan de hiervoor verantwoordelijke functionarissen. | Security-monitoringsrapportage | Actualiseren beveiligingsplannen en toewijzen aan verantwoordelijken |
| CLD_C.06.01 | De samenhang van processen wordt in een processtructuur vastgelegd. | Beheersorganisatie clouddiensten | Vastleggen samenhang van processen in processtructuur |
| CLD_C.06.02 | De Cloud Service Provider (CSP) heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie clouddiensten | Beschrijven taken, verantwoordelijkheden en bevoegdheden voor uitvoeren beheer(s)werkzaamheden |
| CLD_C.06.03 | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie clouddiensten | Benoemen functionarissen voor beheersingsorganisatie en inzichtelijk maken onderlinge relaties |
| CLD_U.01.01 | De Cloud Service Provider (CSP) maakt haar dienstverlening transparant, zodat de Cloud Service Consumer (CSC) aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen. | Standaarden voor clouddiensten | Maken transparante dienstverlening |
| CLD_U.01.02 | De Cloud Service Provider (CSP) treft beveiligingsmaatregelen gebaseerd op internationale standaarden, zoals:
| Standaarden voor clouddiensten | Treffen beveiligingsmaatregelen op basis van internationale standaarden |
| CLD_U.02.01 | De risico’s op de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven met risico-evaluatiecriteria en -doelstellingen van de Cloud Service Provider (CSP). | Risico-assessment | Op waarde schatten en beschrijven van risico’s rond middelen vallend binnen clouddienstenscope |
| CLD_U.02.02 | De geïdentificeerde risico’s worden geëvalueerd met risico-acceptatiecriteria. | Risico-assessment | Evalueren risico’s op basis van risico-acceptatiecriteria |
| CLD_U.03.01 | De overeengekomen continuïteit wordt gewaarborgd door voldoende logisch of fysiek meervoudig uitgevoerde systeemfuncties. | Bedrijfscontinuïteitsservices | Waarborgen continuïteit door voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties |
| CLD_U.03.02 | De met de Cloud Service Consumer (CSC)-organisatie overeengekomen continuïteitseisen voor cloud-services wordt gewaarborgd door specifieke in de systeemarchitectuur beschreven maatregelen. | Bedrijfscontinuïteitsservices | Waarborgen van continuïteitseisen door specifieke in systeemarchitectuur beschreven maatregelen |
| CLD_U.04.01 | De data en clouddiensten worden in het geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de Cloud Service Consumer (CSC) beschikbaar gesteld. | Herstelfunctie voor data en clouddiensten | Herstellen data en clouddiensten bij calamiteiten en beschikbaar stellen |
| CLD_U.04.02 | Het continue proces van herstelbaar beveiligen van data wordt gemonitord. | Herstelfunctie voor data en clouddiensten | Monitoren proces van herstelbaar beveiligen van data |
| CLD_U.04.03 | Het toereikend functioneren van herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de Cloud Service Consumer (CSC). | Herstelfunctie voor data en clouddiensten | Testen functioneren van herstelfuncties en resultaten daarvan delen |
| CLD_U.05.01 | Gegevenstransport wordt naar de laatste stand der techniek beveiligd met cryptografie (conform Forum Standaardisatie), waarbij het sleutelbeheer zo mogelijk door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd. | Dataprotectie | ‘State of the art’ beveiligen gegevenstransport met cryptografie, met zelf uitgevoerd sleutelbeheer |
| CLD_U.05.02 | Opgeslagen gegevens in de clouddienst worden naar de laatste stand der techniek beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de Cloud Service Consumer (CSC) zelf wordt uitgevoerd. | Dataprotectie | ‘State of the art’ binnen clouddienst opgeslagen gegevens beveiligen met encryptie |
| CLD_U.06.01 | De gegarandeerde en met de Cloud Service Provider (CSP) overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet. | Dataretentie en gegevensvernietiging | Vastleggen gegarandeerde overeengekomen opslagduur en voldoen aan Archiefwet |
| CLD_U.06.02 | Gegevens zijn onafhankelijk van de door de Cloud Service Provider (CSP) toegepaste technologie raadpleegbaar tijdens de gehele bewaartermijn. | Dataretentie en gegevensvernietiging | Raadplegen gegevens, onafhankelijk van technologie gedurende bewaartermijn |
| CLD_U.06.03 | Gegevens worden zo mogelijk gearchiveerd met Write Once Read Many (WORM)-technologie, waarmee de integriteit van de data wordt gegarandeerd. | Dataretentie en gegevensvernietiging | Archiveren gegevens met behulp van WORM-technologie |
| CLD_U.06.04 | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en metadata veilig gewist of vernietigd. | Dataretentie en gegevensvernietiging | Wissen of vernietigen CSC-data voorafgaand aan voor onderhoudsdoeleinden wijzigen van opslagmedia |
| CLD_U.06.05 | Bij het beëindigen van de contractrelatie wordt de data van de Cloud Service Consumer (CSC), inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de Cloud Service Provider (CSP) kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen. | Dataretentie en gegevensvernietiging | Wissen CSC-data bij beëindigen van contractrelatie |
| CLD_U.07.01 | Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenantarchitectuur. Patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de Cloud Service Consumer (CSC) afneemt. | Datascheiding | Permanente isolatie van gegevens binnen een multi-tenant architectuur |
| CLD_U.07.02 | Isolatie van Cloud Service Consumer (CSC)-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s. | Datascheiding | Garanderen isolatie van CSC-gegevens door logische scheiding van andere CSC’s-data |
| CLD_U.07.03 | De bevoegdheden voor het inzien of wijzigen van Cloud Service Consumer (CSC)-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd. | Datascheiding | Verlenen bevoegdheden voor inzien of wijzigen en/of encryptiesleutels plus loggen rechtengebruik |
| CLD_U.08.01 | De Cloud Service Provider (CSP) realiseert de volgende scheiding van clouddienstverlening:
| Scheiding dienstverlening | Realiseren diverse scheidingen van clouddienstverlening |
| CLD_U.09.01 | De Cloud Service Provider (CSP) specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malwareprotectie) op welke positie in de informatieketen van de Cloud Service Consumer (CSC) en CSP moeten worden genomen. | Malwareprotectie clouddiensten | Specificeren welke maatregelen op welke positie in informatieketen moeten worden genomen |
| CLD_U.09.02 | De Cloud Service Provider (CSP) heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware. | Malwareprotectie clouddiensten | Uitrusten voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeter |
| CLD_U.09.03 | De malwareprotectie wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
| Malwareprotectie clouddiensten | Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie |
| CLD_U.10.01 | De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
| Toegang IT-diensten en data | Bieden toegang tot bevoegde services, IT-diensten en data |
| CLD_U.10.02 | Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:
| Toegang IT-diensten en data | Verlenen toegang aan beheerders |
| CLD_U.10.03 | Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data. | Toegang IT-diensten en data | Krijgen toegang tot IT-diensten en data |
| CLD_U.10.04 | Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. | Toegang IT-diensten en data | Toekennen bevoegdheden voor gebruikers via formele procedures |
| CLD_U.10.05 | Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept. | Toegang IT-diensten en data | Beperken toegang tot IT-diensten en data door technische maatregelen en implementeren |
| CLD_U.11.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptoservices | Uitwerken cryptografiebeleid |
| CLD_U.11.02 | In geval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels. | Cryptoservices | Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer |
| CLD_U.11.03 | Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private sleutels in beheer zijn bij de Cloud Service Consumer (CSC). Het gebruik van een private sleutel door de Cloud Service Provider (CSP) is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie. | Cryptoservices | Versleutelen gevoelige data en private-sleutelgebruik baseren op gecontroleerde overeengekomen procedure |
| CLD_U.12.01 | In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld Distributed Denial of Service attacks (DDos)-aanvallen) te signaleren en hierop te reageren. | Koppelvlakken | Treffen maatregelen in koppelpunten met externe of onvertrouwde zones |
| CLD_U.12.02 | Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt). | Koppelvlakken | Ontwerpen en configureren netwerkcomponenten om netwerkconnecties te beperken en te monitoren |
| CLD_U.12.03 | Beheeractiviteiten van de Cloud Service Provider (CSP) zijn strikt gescheiden van de data van de Cloud Service Consumer (CSC). | Koppelvlakken | Scheiden CSP-beheeractiviteiten en CSC-data |
| CLD_U.12.04 | Dataverkeer voor Cloud Service Consumers (CSC’s) zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheid van de verzonden gegevens te garanderen. | Koppelvlakken | Scheiden dataverkeer in gezamenlijk gebruikte netwerkomgevingen |
| CLD_U.12.05 | Het dataverkeer dat de Cloud Service Provider (CSP) binnenkomt of uitgaat, wordt in relatie tot de aard van de te beschermen gegevens/informatiesystemen bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Koppelvlakken | Bewaken en analyseren dataverkeer op kwaadaardige elementen |
| CLD_U.12.06 | De Cloud Service Provider (CSP) heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een allesomvattend Security Information and Event Management (SIEM), zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Koppelvlakken | Integreren Intrusion Detection Prevention en Intrusion Detection System in SIEM |
| CLD_U.12.07 | Bij ontdekte nieuwe dreigingen worden deze, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) (alleen voor rijksoverheidsorganisaties) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Koppelvlakken | Delen nieuwe dreigingen binnen overheid |
| CLD_U.13.01 | Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende Cloud Service Providers (CSP’s)). | Service-orkestratie | Functioneren orkestratietechnologie met heterogene systemen en mogelijk wereldwijde cloud-implementatie |
| CLD_U.13.02 | De functionele samenhang van de servicecomponenten is beschreven. | Service-orkestratie | Beschrijven functionele samenhang van service-componenten |
| CLD_U.13.03 | Voor orkestratie van cloud-services is de volgende informatie benodigd:
| Service-orkestratie | Zorgen voor benodigde informatie voor orkestratie van cloudservices |
| CLD_U.14.01 | Om de interoperabiliteit van cloud-services te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces. | Interoperabiliteit en portabiliteit | Hebben beschikbare gegevens om interoperabiliteit van cloudservices te garanderen |
| CLD_U.14.02 | Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data waarmee de integriteit en vertrouwelijkheid wordt gegarandeerd. | Interoperabiliteit en portabiliteit | Gebruiken beveiligde netwerkprotocollen voor import en export van data |
| CLD_U.15.01 | Het overtreden van de beleidsregels wordt door de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) vastgelegd. | Logging en monitoring clouddiensten | Vastleggen beleidsregel-overtreding |
| CLD_U.15.02 | De Security Information and Event Management (SIEM) en/of Security Operation Centre (SOC) hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Logging en monitoring clouddiensten | Hebben SIEM- en/of SOC-regels over te rapporteren incident |
| CLD_U.15.03 | De Cloud Service Provider (CSP) hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid. | Logging en monitoring clouddiensten | Hanteren en beoordelen lijst van alle kritische activa |
| CLD_U.15.04 | Aan logboeken en bewaking worden strenge eisen gesteld. Voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Logging en monitoring clouddiensten | Stellen eisen aan logboeken en bewaking |
| CLD_U.15.05 | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de Cloud Service Provider (CSP). | Logging en monitoring clouddiensten | Beperken toegang tot en beheer van loggings- en monitoringsfunctionaliteit tot CSP-medewerkers |
| CLD_U.15.06 | Wijzigingen in logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers. (Logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken.) | Logging en monitoring clouddiensten | Controleren wijzigingen in logging en monitoring |
| CLD_U.16.01 | De architectuur specificeert ten minste het volgende:
| Clouddienstenarchitectuur | Specificeren minimale zaken voor architectuur |
| CLD_U.17.01 | Cloud Service Consumer (CSC)-data op transport en in rust is versleuteld. | Multi-tenantarchitectuur | Versleutelen CSC-data op transport en in rust |
| CLD_U.17.02 | Virtuele machine platforms voor Cloud Service Consumers (CSC’s) met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht. | Multi-tenantarchitectuur | Gescheiden inrichten virtuele machine-platforms voor CSC’s |
| CLD_U.17.03 | Virtuele machine platforms zijn gehardend. | Multi-tenantarchitectuur | Hardenen virtuele machine-platforms |
| CVZ_B.01.01 | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten |
| CVZ_B.01.02 | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheid, integriteit en authenticiteit van informatie. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven het toepassen van cryptografie |
| CVZ_B.01.03 | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures voor informatietransport | Beleid of richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden |
| CVZ_B.01.04 | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Beleid en procedures voor informatietransport | Procedures beschrijven het beveiligen van informatie |
| CVZ_B.01.05 | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Beleid en procedures voor informatietransport | Procedures beschrijven het opsporen van en beschermen tegen malware |
| CVZ_B.01.06 | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures voor informatietransport | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie |
| CVZ_B.01.07 | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures voor informatietransport | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd |
| CVZ_B.02.01 | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomst voor informatietransport | Elementen in overeenkomsten over informatietransport |
| CVZ_B.02.02 | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomst voor informatietransport | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn |
| CVZ_B.03.01 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | In het cryptografiebeleid uitgewerkte onderwerpen |
| CVZ_B.03.02 | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Aanvullende onderdelen in het cryptografiebeleid |
| CVZ_B.04.01 | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management). | Organisatiestructuur netwerkbeheer | In de organisatiestructuur voor netwerkbeheer zijn beheersingsprocessen benoemd |
| CVZ_B.04.02 | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleid een formele positie binnen de gehele organisatie. | Organisatiestructuur netwerkbeheer | De beheer(sing)processen hebben een formele positie binnen de gehele organisatie |
| CVZ_B.04.03 | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur netwerkbeheer | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen zijn duidelijk gedefinieerd |
| CVZ_C.01.01 | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd |
| CVZ_C.02.01 | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Compliance-toets netwerkbeveiliging | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s |
| CVZ_C.02.02 | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Compliance-toets netwerkbeveiliging | Checklist voor veilige inrichting van netwerk(diensten) |
| CVZ_C.02.03 | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Compliance-toets netwerkbeveiliging | Resultaten worden gerapporteerd aan het verantwoordelijke management |
| CVZ_C.03.01 | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren robuustheid netwerkbeveiliging | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd |
| CVZ_C.04.01 | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerkgebeurtenissen (monitoring) | Zeer belangrijke onderdelen van netwerkbeveiliging |
| CVZ_C.04.02 | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerkgebeurtenissen (monitoring) | Continue bewaking via monitoring |
| CVZ_C.05.01 | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheersorganisatie netwerkbeveiliging | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd |
| CVZ_C.05.02 | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Beheersorganisatie netwerkbeveiliging | Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie |
| CVZ_U.01.01 | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijn voor netwerkbeveiliging | Stappen ter voorbereiding van veilige netwerkontwerpen |
| CVZ_U.01.02 | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Richtlijn voor netwerkbeveiliging | Leidende ontwerpprincipes worden gehanteerd of anders geformuleerd: “inbraak betekent geen doorbraak” |
| CVZ_U.01.03 | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Richtlijn voor netwerkbeveiliging | Netwerkbeveiliging is gebaseerd op ITU-T X.80x |
| CVZ_U.01.04 | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijn voor netwerkbeveiliging | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten |
| CVZ_U.01.05 | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals in norm U.01.04 is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Richtlijn voor netwerkbeveiliging | De implementatie van netwerkbeveiliging is gebaseerd op netwerkontwerp en in richtlijnen samengevat |
| CVZ_U.01.06 | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Richtlijn voor netwerkbeveiliging | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden |
| CVZ_U.02.01 | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt |
| CVZ_U.02.02 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal twee-factorauthenticatie. | Beveiligde inlogprocedure | Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone |
| CVZ_U.02.03 | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
| Beveiligde inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers |
| CVZ_U.03.01 | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerkbeveiligingsbeheer | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld |
| CVZ_U.03.02 | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerkbeveiligingsbeheer | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen |
| CVZ_U.03.03 | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Netwerkbeveiligingsbeheer | Beheeractiviteiten worden nauwgezet gecoördineerd |
| CVZ_U.03.04 | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerkbeveiligingsbeheer | Ter bescherming tot netwerkdiensten en/of -toepassingen zijn voor procedures opgesteld |
| CVZ_U.03.05 | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerkbeveiligingsbeheer | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden |
| CVZ_U.03.06 | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerkbeveiligingsbeheer | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd |
| CVZ_U.04.01 | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| CVZ_U.05.01 | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een positief inzetadvies heeft afgegeven. | Beveiliging netwerkdiensten | Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen |
| CVZ_U.05.02 | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Ontdekte nieuwe dreigingen vanuit de analyse worden gedeeld binnen de overheid |
| CVZ_U.05.03 | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
| Beveiliging netwerkdiensten | Bij draadloze verbindingen wordt gebruik gemaakt van encryptiemiddelen |
| CVZ_U.05.04 | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Beveiliging netwerkdiensten | Eisen op basis waarvan het dienstverleningsniveau wordt afgestemd |
| CVZ_U.05.05 | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst |
| CVZ_U.05.06 | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cyber Security Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen |
| CVZ_U.06.01 | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau |
| CVZ_U.06.02 | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding |
| CVZ_U.06.03 | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Zonering en filtering | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang wordt beheerst |
| CVZ_U.06.04 | Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen. | Zonering en filtering | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding |
| CVZ_U.07.01 | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie. | Elektronische berichten | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren |
| CVZ_U.07.02 | Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling |
| CVZ_U.07.03 | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten |
| CVZ_U.07.04 | Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie). | Elektronische berichten | Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 |
| CVZ_U.07.05 | Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen |
| CVZ_U.08.01 | Met de communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Met communicerende partijen worden afspraken gemaakt |
| CVZ_U.09.01 | Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateways en firewalls | Voor elke gateway of firewall bestaat een actueel configuratiedocument |
| CVZ_U.09.02 | De filterfunctie van gateways en firewalls zijn instelbaar. | Gateways en firewalls | De filterfunctie van gateways en firewalls is instelbaar |
| CVZ_U.09.03 | Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM). | Gateways en firewalls | Gebeurtenissen worden vastgelegd in auditlogs en worden doorgegeven aan centrale systemen zoals SIEM |
| CVZ_U.09.04 | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateways en firewalls | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten |
| CVZ_U.10.01 | De end-to-end-connectie:
| Virtual Private Networks (VPN) (ISOR:Virtual Private Networks (VPN)) | De end-to-end |
| CVZ_U.11.01 | Voor het waarborgen van de vertrouwelijkheid van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. | Cryptografische services | Voor het waarborgen van de vertrouwelijkheid wordt versleuteling toegepast op één of meer verbindingslagen |
| CVZ_U.11.02 | Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
| Cryptografische services | Voor het waarborgen van de integriteit van communicatie wordt digitale ondertekening toegepast |
| CVZ_U.11.03 | Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. | Cryptografische services | Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden |
| CVZ_U.11.04 | Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
| Cryptografische services | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden |
| CVZ_U.12.01 | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
| Draadloze toegang | Algemene maatregelen en ‘beveiligingslagen’ voor draadloze netwerken |
| CVZ_U.13.01 | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnectie | Voor de beheersing van netwerken worden minimumeisen |
| CVZ_U.13.02 | Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd. | Netwerkconnectie | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid gelogd |
| CVZ_U.14.01 | Alvorens logisch toegang te verkrijgen tot een netwerk wordt de authenticiteit van een aangesloten netwerkdevice gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). | Netwerkauthenticatie | Authenticiteit van aangesloten netwerkdevices wordt gecontroleerd |
| CVZ_U.14.02 | Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). | Netwerkauthenticatie | Alleen specifiek toegestane netwerkdevices worden gekoppeld met de aanwezige clients en informatiesystemen |
| CVZ_U.15.01 | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. Met name geldt daarbij:
| Netwerkbeheeractiviteiten | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie |
| CVZ_U.15.02 | Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheeractiviteiten | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken |
| CVZ_U.16.01 | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring netwerkgebeurtenissen (events) (ISOR:Vastleggen en monitoring van netwerkgebeurtenissen (events)) | Overtredingen van het actuele netwerkbeleid worden geregistreerd en vastgelegd in auditlogs |
| CVZ_U.16.02 | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Logging en monitoring communicatievoorzieningen | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd en beoordeeld door deskundigen |
| CVZ_U.17.01 | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuur van het te beveiligen systeem. | Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is verweven met de architectuur van het te beveiligen systeem |
| CVZ_U.17.02 | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerkbeveiligingsarchitectuur | De beveiligingsarchitectuur is gelaagd |
| CVZ_U.17.03 | De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerkbeveiligingsarchitectuur | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden |
| HVI_B.01.01 | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
| Huisvesting informatievoorzieningenbeleid | Er is een huisvesting informatievoorzieningenbeleid |
| HVI_B.01.02 | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
| Huisvesting informatievoorzieningenbeleid | Beleidsregels huisvesting informatievoorzieningen |
| HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
| Huisvesting informatievoorzieningenbeleid | Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
| HVI_B.02.01 | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. | Wet- en regelgeving Huisvesting IV | Vaststellen toepasselijkheid wetgeving |
| HVI_B.02.02 | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Wet- en regelgeving Huisvesting IV | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
| HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. | Eigenaarschap Huisvesting IV | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
| HVI_B.03.02 | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Eigenaarschap Huisvesting IV | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
| HVI_B.03.03 | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | Eigenaarschap Huisvesting IV | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
| HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Eigenaarschap Huisvesting IV | Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
| HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Certificering | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
| HVI_B.04.02 | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificering | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
| HVI_B.05.01 | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Contractmanagement | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
| HVI_B.05.02 | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Contractmanagement | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
| HVI_B.05.03 | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Contractmanagement | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
| HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). | Contractmanagement | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
| HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Contractmanagement | Evalueren levering van voorzieningen |
| HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Service Level Management | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
| HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | Service Level Management | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
| HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | Service Level Management | De aspecten waarop de Service Levels o.a. zijn gericht |
| HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | In- en externe bedreigingen | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
| HVI_B.07.02 | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | In- en externe bedreigingen | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
| HVI_B.07.03 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | In- en externe bedreigingen | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
| HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | In- en externe bedreigingen | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
| HVI_B.08.01 | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Training en bewustwording | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| HVI_B.08.02 | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Training en bewustwording | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. | Organisatiestructuur huisvesting IV | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
| HVI_B.09.02 | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. | Organisatiestructuur huisvesting IV | Er is een Huisvestingsorganisatieschema beschikbaar |
| HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. | Organisatiestructuur huisvesting IV | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
| HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. | Organisatiestructuur huisvesting IV | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
| HVI_C.01.01 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | Controle-richtlijnen huisvesting IV | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
| HVI_C.01.02 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Controle-richtlijnen huisvesting IV | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| HVI_C.01.03 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Controle-richtlijnen huisvesting IV | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
| HVI_C.01.04 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Controle-richtlijnen huisvesting IV | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
| HVI_C.01.05 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Controle-richtlijnen huisvesting IV | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
| HVI_C.02.01 | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Onderhoudsplan | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
| HVI_C.02.02 | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Onderhoudsplan | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
| HVI_C.03.01 | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Continuïteitsbeheer | Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
| HVI_C.03.02 | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | Continuïteitsbeheer | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
| HVI_C.03.03 | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Continuïteitsbeheer | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
| HVI_C.03.04 | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. | Continuïteitsbeheer | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
| HVI_C.03.05 | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Continuïteitsbeheer | Realisatie van afdoende uitwijkfaciliteiten |
| HVI_C.03.06 | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Continuïteitsbeheer | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
| HVI_C.03.07 | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Continuïteitsbeheer | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
| HVI_C.04.01 | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie huisvesting IV | Er zijn functionarissen voor de beheersorganisatie benoemd |
| HVI_C.04.02 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn toegewezen en vastgelegd |
| HVI_C.04.03 | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie huisvesting IV | Verantwoordelijkheden zijn beschreven en vastgelegd |
| HVI_C.04.04 | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie huisvesting IV | De samenhang van processen is in een processtructuur vastgelegd. |
| HVI_U.01.01 | Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. | Richtlijn gebieden en ruimten | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
| HVI_U.01.02 | Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | Richtlijn gebieden en ruimten | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
| HVI_U.01.03 | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. | Richtlijn gebieden en ruimten | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
| HVI_U.01.04 | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Richtlijn gebieden en ruimten | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
| HVI_U.01.05 | Bezoekers van kritieke faciliteiten:
| Richtlijn gebieden en ruimten | Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
| HVI_U.02.01 | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). | Bedrijfsmiddelen-inventaris | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
| HVI_U.02.02 | De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
| Bedrijfsmiddelen-inventaris | Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
| HVI_U.02.03 | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. | Bedrijfsmiddelen-inventaris | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
| HVI_U.02.04 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt:
| Bedrijfsmiddelen-inventaris | Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
| HVI_U.03.01 | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
| Fysieke zonering | Voorschriften voor het inrichten van beveiligde zones |
| HVI_U.03.02 | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Fysieke zonering | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen |
| HVI_U.03.03 | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Fysieke zonering | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
| HVI_U.03.04 | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Fysieke zonering | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
| HVI_U.03.05 | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Fysieke zonering | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
| HVI_U.04.01 | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. | Beveiligingsfaciliteiten | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
| HVI_U.04.02 | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Beveiligingsfaciliteiten | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
| HVI_U.04.03 | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Beveiligingsfaciliteiten | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
| HVI_U.04.04 | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). | Beveiligingsfaciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan |
| HVI_U.05.01 | Nutsvoorzieningen:
| Nutsvoorzieningen | De nutsvoorzieningen |
| HVI_U.05.02 | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
| HVI_U.05.03 | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. | Nutsvoorzieningen | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
| HVI_U.05.04 | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Nutsvoorzieningen | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
| HVI_U.06.01 | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. | Apparatuur-positionering | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
| HVI_U.06.02 | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. | Apparatuur-positionering | Apparatuur wordt beschermd tegen externe bedreigingen |
| HVI_U.07.01 | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur-onderhoud | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
| HVI_U.07.02 | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Apparatuur-onderhoud | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
| HVI_U.07.03 | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Apparatuur-onderhoud | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
| HVI_U.07.04 | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Apparatuur-onderhoud | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
| HVI_U.07.05 | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. | Apparatuur-onderhoud | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
| HVI_U.07.06 | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Apparatuur-onderhoud | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
| HVI_U.08.01 | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. | Apparatuur-verwijdering | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
| HVI_U.08.02 | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
| Apparatuur-verwijdering | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
| HVI_U.09.01 | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. | Bedrijfsmiddelenverwijdering | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
| HVI_U.09.02 | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. | Bedrijfsmiddelenverwijdering | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
| HVI_U.09.03 | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. | Bedrijfsmiddelenverwijdering | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
| HVI_U.09.04 | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Bedrijfsmiddelenverwijdering | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
| HVI_U.09.05 | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. | Bedrijfsmiddelenverwijdering | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
| HVI_U.10.01 | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. | Laad- en loslocatie | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
| HVI_U.10.02 | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. | Laad- en loslocatie | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
| HVI_U.10.03 | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Laad- en loslocatie | Eisen aan de laad- en loslocatie |
| HVI_U.10.04 | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. | Laad- en loslocatie | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
| HVI_U.10.05 | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. | Laad- en loslocatie | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
| HVI_U.10.06 | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Laad- en loslocatie | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
| HVI_U.10.07 | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. | Laad- en loslocatie | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
| HVI_U.11.01 | Kabels worden bij voorkeur ondergronds aangelegd. | Bekabeling | Kabels worden bij voorkeur ondergronds aangelegd |
| HVI_U.11.02 | Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices:
| Bekabeling | De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
| HVI_U.11.03 | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Bekabeling | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
| HVI_U.12.01 | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden. | Huisvesting IV-architectuur | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
| HVI_U.12.02 | De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd. | Huisvesting IV-architectuur | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
| HVI_U.12.03 | Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
| Huisvesting IV-architectuur | Aan het architectuurdocument gestelde eisen |
| Huisv_B.01.01 | Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen | ||
| Huisv_B.01.02 | Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen | ||
| Huisv_B.01.03 | Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening | ||
| Huisv_U.02.04 vervallen | Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). | Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend | |
| LTV_C.03.01 | Logbestanden van applicaties en systemen bevatten uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd. | Uitzonderingen, informatiebeveiligingsgebeurtenissen en informatie over wanneer en door wie welke gegevens zijn aangebracht, gemuteerd en gewijzigd worden opgeslagen in logbestanden van applicaties en systemen | |
| LTV_C.03.04 | Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. | Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld | |
| LTV_C.04.03 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd | |
| PRIV_B.01.01.01 | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; duidelijkheid over naleving en verantwoordingsplicht |
| PRIV_B.01.01.02 | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; cyclisch proces |
| PRIV_B.01.01.03 | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid; vastgesteld en gecommuniceerd |
| PRIV_B.01.01.04 | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. wet- en regelgeving |
| PRIV_B.01.01.05 | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegeven aan de eisen van de sectorspecifieke wetgeving. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. sectorspecifieke wetgeving. |
| PRIV_B.01.01.06 | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Privacybeleid i.r.t. gedragscode |
| PRIV_B.01.02.01 | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van privacy by design |
| PRIV_B.01.02.02 | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijving van de doeleinden voor het verzamelen |
| PRIV_B.01.02.03 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van minimalisatie van verwerken |
| PRIV_B.01.02.04 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van juistheid en actualiteit van de gegevens |
| PRIV_B.01.02.05 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van passende technische en organisatorische maatregelen |
| PRIV_B.01.02.06 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van transparante verwerking |
| PRIV_B.01.02.07 | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van maximale bewaartermijnen |
| PRIV_B.01.02.08 | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van garanties bij doorgifte |
| PRIV_B.01.02.09 | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van behoorlijke verwerking |
| PRIV_B.01.02.10 | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Privacy Beleid geeft duidelijkheid en sturing | Invulling wettelijke beginselen; beschrijven van informeren bij inbreuk |
| PRIV_B.02.01.01 | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Organieke inbedding | Verdeling taken en verantwoordelijkheden |
| PRIV_B.02.01.02 | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Organieke inbedding | Functionaris Gegevensbescherming |
| PRIV_B.02.01.03 | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. overeenkomsten |
| PRIV_B.02.01.04 | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Organieke inbedding | Verdeling taken en verantwoordelijkheden i.r.t. TVB-matrix |
| PRIV_B.02.02.01 | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Organieke inbedding | Benodigde middelen |
| PRIV_B.02.03.01 | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Organieke inbedding | Rapporteringslijnen |
| PRIV_B.03.01.01 | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, hoog risico |
| PRIV_B.03.01.02 | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, advies van FG |
| PRIV_B.03.01.03 | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, bij wijzigingen |
| PRIV_B.03.01.04 | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Risicomanagement, Privacy by Design en de DPIA | Het beoordelen van de privacyrisico's, i.r.t. DPIA |
| PRIV_B.03.02.01 | De maatregelen bestaan uit technische en organisatorische maatregelen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, technisch en organisatorisch |
| PRIV_B.03.02.02 | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, passend |
| PRIV_B.03.02.03 | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen, continuïteit |
| PRIV_B.03.02.04 | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Risicomanagement, Privacy by Design en de DPIA | Passende maatregelen i.r.t. de DPIA |
| PRIV_B.03.03.01 | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Risicomanagement, Privacy by Design en de DPIA | Aantonen onderkende risico's en maatregelen |
| PRIV_B.03.03.02 | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Risicomanagement, Privacy by Design en de DPIA | Aantonen uitvoeren DPIA en opvolgen DPIA uitkomsten |
| PRIV_B.03.03.03 | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Risicomanagement, Privacy by Design en de DPIA | Aantonen aanpak risicomanagement |
| PRIV_B.03.03.04 | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Risicomanagement, Privacy by Design en de DPIA | Aantonen toepassen DPIA toetsmodel |
| PRIV_B.03.03.05 | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Risicomanagement, Privacy by Design en de DPIA | Aantonen privacy by design |
| PRIV_C.01.01.01 | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Intern toezicht | Toezien op het voldoen aan de wettelijke verplichtingen |
| PRIV_C.01.01.02 | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Intern toezicht | Evaluatierapportage bij niet voldoen |
| PRIV_C.01.01.03 | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Intern toezicht | Planmatige controle op compliancy |
| PRIV_C.01.02.01 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Intern toezicht | Rechtmatigheid van de verwerking aantonen |
| PRIV_C.01.02.02 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Intern toezicht | Rechtmatigheid aangetoond, toereikende verwerking |
| PRIV_C.01.02.03 | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Intern toezicht | Rechtmatigheid aantonen |
| PRIV_C.01.02.04 | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Intern toezicht | Rechtmatigheid aangetoond, gebruik van overeenkomsten voor doorgifte |
| PRIV_C.01.02.05 | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid). | Intern toezicht | Gewaarborgde bescherming |
| PRIV_C.01.02.06 | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Intern toezicht | Juiste en actuele gegevens |
| PRIV_C.01.02.07 | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Intern toezicht | Aantoonbaar behoorlijke verwerking |
| PRIV_C.01.02.08 | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Intern toezicht | Aantoonbaar transparante verwerking |
| PRIV_C.01.02.09 | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Intern toezicht | Compliancydossier |
| PRIV_C.01.02.10 | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Intern toezicht | Compliancy en compleetheid aantonen met het gegevensregister |
| PRIV_C.02.01.01 | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Toegang gegevensverwerking voor betrokkenen | Informatie aan betrokkene over de verwerking van persoonsgegevens |
| PRIV_C.02.01.02 | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Toegang gegevensverwerking voor betrokkenen | Welke informatie wordt verstrekt |
| PRIV_C.02.01.03 | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Toegang gegevensverwerking voor betrokkenen | Geen afbreuk aan rechten en vrijheden van anderen |
| PRIV_C.02.02.01 | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Toegang gegevensverwerking voor betrokkenen | Tijdige verstrekking op verzoek van betrokkene |
| PRIV_C.02.02.02 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Toegang gegevensverwerking voor betrokkenen | Tijdig informeren bij geen gevolg aan verzoek van betrokkene |
| PRIV_C.02.03.01 | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Toegang gegevensverwerking voor betrokkenen | Passende, begrijpelijke en toegankelijke wijze van informeren |
| PRIV_C.02.03.02 | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Toegang gegevensverwerking voor betrokkenen | Informatie wordt schriftelijk en/of elektronisch verstrekt |
| PRIV_C.02.03.03 | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Toegang gegevensverwerking voor betrokkenen | Mondelinge informatieverstrekking |
| PRIV_C.02.03.04 | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Toegang gegevensverwerking voor betrokkenen | Kosteloos, tenzij onredelijk |
| PRIV_C.02.03.05 | De verantwoordelijke beschikt over gegevens ter identificatie van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatie niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Toegang gegevensverwerking voor betrokkenen | Gegevens ter identificatie van de betrokkene |
| PRIV_C.02.04.01 | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Toegang gegevensverwerking voor betrokkenen | Specifieke uitzonderingsgronden |
| PRIV_C.03.01.01 | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Meldplicht Datalekken | Datalek melden aan de AP |
| PRIV_C.03.01.02 | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Meldplicht Datalekken | Eisen aan de melding aan AP |
| PRIV_C.03.01.03 | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Meldplicht Datalekken | Datalek melden aan betrokkene |
| PRIV_C.03.01.04 | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Meldplicht Datalekken | Eisen aan de melding aan betrokkene |
| PRIV_C.03.01.05 | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldplicht Datalekken | Duidelijke en eenvoudige taal |
| PRIV_C.03.02.01 | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Meldplicht Datalekken | Inbreuk melden aan verwerkingsverantwoordelijke |
| PRIV_C.03.02.02 | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Meldplicht Datalekken | Termijn voor melden aan AP |
| PRIV_C.03.02.03 | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Meldplicht Datalekken | Motivering bij vertraagde melding |
| PRIV_C.03.02.04 | De melding aan de betrokkene gebeurt onverwijld. | Meldplicht Datalekken | Directe melding aan betrokkene |
| PRIV_C.03.03.01 | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Registratie en documentatie van de inbreuken |
| PRIV_C.03.03.02 | De documentatie stelt de AP in staat de naleving te controleren. | Meldplicht Datalekken | Naleving controleren op basis van documentatie |
| PRIV_C.03.03.03 | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Noodzakelijke gegevens in de documentatie |
| PRIV_C.03.03.04 | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Meldplicht Datalekken | Kennisgeving vastleggen |
| PRIV_C.03.04.01 | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan AP |
| PRIV_C.03.04.02 | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Meldplicht Datalekken | Uitzondering op meldplicht aan betrokkene |
| PRIV_U.01.01.01 | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking |
| PRIV_U.01.01.02 | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; doeleinden en rechtmatigheid |
| PRIV_U.01.01.03 | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; noodzaak en verenigbaarheid |
| PRIV_U.01.01.04 | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Doelbinding gegevensverwerking | Tijdig, welbepaald en uitdrukkelijk omschreven; SMART |
| PRIV_U.01.02.01 | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doelbinding gegevensverwerking | Doeleinden; toereikend, ter zake dienend en beperkt |
| PRIV_U.01.02.02 | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doelbinding gegevensverwerking | Doeleinden; rechtmatigheid |
| PRIV_U.01.02.03 | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doelbinding gegevensverwerking | Doeleinden; transparant, behoorlijk en veilig |
| PRIV_U.01.03.01 | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Doelbinding gegevensverwerking | Verdere verwerking i.r.t. andere doelen |
| PRIV_U.01.03.02 | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Doelbinding gegevensverwerking | Vooraf in kennis stellen van (voornemen tot) verdere verwerking |
| PRIV_U.01.04.01 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; uitdrukkelijke toestemming |
| PRIV_U.01.04.02 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak i.r.t verplichtingen en specifieke rechten |
| PRIV_U.01.04.03 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; noodzaak, vitale belangen, onmacht |
| PRIV_U.01.04.04 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; ledenadministratie, gerechtvaardigde activiteiten |
| PRIV_U.01.04.05 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; openbaar gemaakt door betrokkene |
| PRIV_U.01.04.06 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; i.r.t. rechtsvordering, gerechten |
| PRIV_U.01.04.07 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gevoelige gegevens, noodzakelijke uitzonderingen wgs. zwaarwegend algemeen belang |
| PRIV_U.01.04.08 | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; gezondheidsgegevens |
| PRIV_U.01.04.09 | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; voorwaarden verwerking i.v.m. gezondheidszorg |
| PRIV_U.01.04.10 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens; algemeen belang i.r.t volksgezondheid |
| PRIV_U.01.04.11 | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Doelbinding gegevensverwerking | Bijzondere categorieën persoonsgegevens, m.b.t. specifieke doeleinden met algemeen belang |
| PRIV_U.01.05.01 | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard |
| PRIV_U.01.05.02 | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Doelbinding gegevensverwerking | Persoonsgegevens van strafrechtelijke aard; eisen aan de verwerking |
| PRIV_U.01.05.03 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR | |
| PRIV_U.01.05.04 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt. | |
| PRIV_U.01.05.05 | Doelbinding gegevensverwerking | Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking | |
| PRIV_U.01.06.01 | Het bepalen van een nummer dat ter identificatie van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Doelbinding gegevensverwerking | Nationaal identificerend nummer |
| PRIV_U.01.07.01 | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; niet, tenzij |
| PRIV_U.01.07.02 | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming; passende maatregelen m.b.t. rechten en vrijheden en gerechtvaardigde belangen |
| PRIV_U.01.07.03 | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Doelbinding gegevensverwerking | Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens |
| PRIV_U.01.08.01 | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Doelbinding gegevensverwerking | Eisen aan het verwerken van (bijzondere) persoonsgegevens voor specifieke doelen met algemeen belang |
| PRIV_U.01.08.02 | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Doelbinding gegevensverwerking | Het verwerken van persoonsgegevens voor specifieke doelen met algemeen belang; passende maatregelen |
| PRIV_U.02.01.01 | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsactiviteiten | Register van verwerkingsverantwoordelijke |
| PRIV_U.02.01.02 | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Inhoud van het register van verwerkingsactiviteiten |
| PRIV_U.02.01.03 | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerkingsactiviteiten | Register van verwerker, categorieën van verwerkingsactiviteiten |
| PRIV_U.02.01.04 | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Register van verwerker, inhoud van het register |
| PRIV_U.02.01.05 | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerkingsactiviteiten | Register van verwerker, in schriftelijke elektronische vorm |
| PRIV_U.02.01.06 | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerkingsactiviteiten | Register van verwerker, niet bijgehouden als … |
| PRIV_U.02.02.01 | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Register van verwerkingsactiviteiten | De registers geven een samenhangend beeld |
| PRIV_U.02.02.02 | Op verzoek van de AP wordt middels de registers een actueel beeld gegeven. | Register van verwerkingsactiviteiten | Actueel beeld voor de AP |
| PRIV_U.02.02.03 | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Register van verwerkingsactiviteiten | Beschrijving gegevensstromen |
| PRIV_U.02.02.04 | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Register van verwerkingsactiviteiten | Resultaten DPIA in register |
| PRIV_U.03.01.01 | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Kwaliteitsmanagement | Maatregelen i.r.t. juistheid en nauwkeurigheid |
| PRIV_U.03.01.02 | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Kwaliteitsmanagement | Controle op juistheid en nauwkeurigheid |
| PRIV_U.03.02.01 | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Kwaliteitsmanagement | Rectificatie op verzoek van betrokkene |
| PRIV_U.03.02.02 | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Kwaliteitsmanagement | Aanvulling op verzoek van betrokkene |
| PRIV_U.03.02.03 | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Kwaliteitsmanagement | Gegevens wissen op verzoek van de betrokkene |
| PRIV_U.03.02.04 | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Kwaliteitsmanagement | Staken van de verwerking op verzoek van betrokkene |
| PRIV_U.03.02.05 | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Kwaliteitsmanagement | Maatregelen na openbaarmaking van persoonsgegevens |
| PRIV_U.03.02.06 | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Kwaliteitsmanagement | Beperking van de verwerking op verzoek van de betrokkene |
| PRIV_U.03.02.07 | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Kwaliteitsmanagement | Recht op ongehinderde overdracht van gegevens |
| PRIV_U.03.02.08 | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Kwaliteitsmanagement | Rechtstreekse overdracht |
| PRIV_U.03.03.01 | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Kwaliteitsmanagement | Notificatie bij rectificatie, gegevenswissing of verwerkingsbeperking |
| PRIV_U.03.03.02 | Kwaliteitsmanagement | Geïnformeerd, betrokkene aan wie correctie mededelingen zijn verstrekt | |
| PRIV_U.03.03.03 | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Kwaliteitsmanagement | Informatie over afwikkeling correctieverzoek |
| PRIV_U.03.03.04 | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Kwaliteitsmanagement | Elektronische verwerking van het verzoek |
| PRIV_U.03.03.05 | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Kwaliteitsmanagement | Geïnformeerd, schriftelijk of op andere wijze |
| PRIV_U.03.03.06 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Kwaliteitsmanagement | Informatie over geen gevolg geven aan het correctieverzoek |
| PRIV_U.03.03.07 | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Kwaliteitsmanagement | Identificatie van betrokkene |
| PRIV_U.04.01.01 | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Beveiligen van de verwerking van persoonsgegevens | Toegang wordt beperkt |
| PRIV_U.04.01.02 | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Beveiligen van de verwerking van persoonsgegevens | Fysieke beveiliging, wijze van verzamelen |
| PRIV_U.04.01.03 | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Beveiligen van de verwerking van persoonsgegevens | Organisatorische beveiliging, planmatig, aantoonbaar |
| PRIV_U.04.01.04 | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Beveiligen van de verwerking van persoonsgegevens | Passend beveiligingsniveau |
| PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Beveiligen van de verwerking van persoonsgegevens | Passend beschermingsniveau, proportioneel en subsidiair |
| PRIV_U.04.02.02 | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Beveiligen van de verwerking van persoonsgegevens | Risicoanalyse |
| PRIV_U.04.02.03 | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Beveiligen van de verwerking van persoonsgegevens | Gedragscode, certificering |
| PRIV_U.05.01.01 | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming van de betrokkene vooraf |
| PRIV_U.05.01.02 | Informatie over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie over niet van betrokkene verkregen persoonsgegevens |
| PRIV_U.05.02.01 | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatievereisten bij verzoek om toestemming |
| PRIV_U.05.02.02 | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene |
| PRIV_U.05.02.03 | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informatie aan betrokkene indien andere bron |
| PRIV_U.05.03.01 | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Informeren bij toestemming soms niet verplicht |
| PRIV_U.05.04.01 | De toestemming moet door de betrokkene vrijelijk gegeven kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming vrijelijk gegeven |
| PRIV_U.05.04.02 | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Toestemming indien kind jonger is dan 16 jaar |
| PRIV_U.06.01.01 | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Bewaren van persoonsgegevens | Maatregelen na verlopen bewaartermijn |
| PRIV_U.06.01.02 | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaren van persoonsgegevens | Bewaking van de noodzaak tot bewaren |
| PRIV_U.06.02.01 | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaren van persoonsgegevens | Bewaartermijnen worden vastgesteld en bekrachtigd |
| PRIV_U.06.02.02 | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Bewaren van persoonsgegevens | Maximale bewaartermijn |
| PRIV_U.06.02.03 | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaren van persoonsgegevens | Sectorspecifieke bewaartermijnen |
| PRIV_U.06.02.04 | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Bewaren van persoonsgegevens | Langere opslagperiode voor specifieke doelen (onderzoek, statistiek) |
| PRIV_U.07.01.01 | Bij doorgifte aan een andere verantwoordelijke zijn:
| Doorgifte persoonsgegevens | De onderlinge verantwoordelijkheden |
| PRIV_U.07.02.01 | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Doorgifte persoonsgegevens | Afdoende garanties formeel vastgelegd |
| PRIV_U.07.02.02 | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Doorgifte persoonsgegevens | Bepalingen overeengekomen met de verwerker |
| PRIV_U.07.02.03 | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Doorgifte persoonsgegevens | Schriftelijk vastleggen |
| PRIV_U.07.03.01 | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Doorgifte persoonsgegevens | Vertegenwoordiger in de EU |
| PRIV_U.07.03.02 | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Doorgifte persoonsgegevens | Afdoende garanties voor passende maatregelen |
| PRIV_U.07.03.03 | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Doorgifte persoonsgegevens | Toestemming voor het door een andere verwerker laten uitvoeren van de verwerking |
| PRIV_U.07.04.01 | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor de verwerking |
| PRIV_U.07.04.02 | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Doorgifte persoonsgegevens | Uitzonderingsgrond voor doorgifte |
| PRIV_U.07.05.01 | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Doorgifte persoonsgegevens | Adequaatheidsbesluit |
| PRIV_U.07.06.01 | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Doorgifte persoonsgegevens | Passende waarborgen bij afwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.02 | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Doorgifte persoonsgegevens | Passende waarborgen bij aanwezigheid adequaatheidsbesluit |
| PRIV_U.07.06.03 | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Doorgifte persoonsgegevens | Passende waarborgen, beëindigen van doorgifte en informeren van betrokkene |
| PRIV_U.07.07.01 | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Doorgifte persoonsgegevens | Afwijking voor een specifieke situatie |
| SVP_B.01.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server |
| SVP_B.01.02 | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Overwegingen betreffende het beleid voor beveiligd inrichting en onderhoud |
| SVP_B.02.01 | De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor het inrichten van servers. | Inrichtingsprincipes voor serverplatform | Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers |
| SVP_B.02.02 | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Inrichtingsprincipes voor serverplatform | Beveiligingsprincipes voor het beveiligd inrichten van servers |
| SVP_B.03.01 | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld. Dit document:
| Serverplatform-architectuur | Eisen aan het architectuurdocument van het in te richten van het serverplatform |
| SVP_B.03.02 | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van serverplatforms. | Serverplatform-architectuur | In het architectuurdocument voor servers platforms vastgelegde inrichtings eisen |
| SVP_C.01.01 | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen |
| SVP_C.01.02 | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle-activiteiten. | Richtlijn evaluatie ontwikkelactiviteiten | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| SVP_C.01.03 | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Richtlijn evaluatie ontwikkelactiviteiten | Richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie |
| SVP_C.01.04 | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controle-functionarissen vastgelegd. | Richtlijn evaluatie ontwikkelactiviteiten | De taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen zijn vastgelegd |
| SVP_C.02.01 | Technische naleving wordt bij voorkeur beoordeeld met geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Eisen aan het vervaardigen en interpreteren van technische naleving |
| SVP_C.02.02 | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidsbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen |
| SVP_C.02.03 | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar |
| SVP_C.02.04 | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente en bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Eisen aan het beoordelen van technische naleving |
| SVP_C.03.01 | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Logbestanden beheerders | Eisen aan het beschermen van de logbestanden |
| SVP_C.03.02 | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheeractiviteiten. | Logbestanden beheerders | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten |
| SVP_C.04.01 | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Logging | Eisen aan de inhoud van de logbestanden van gebeurtenissen |
| SVP_C.05.01 | De verantwoordelijke functionaris analyseert periodiek:
| Monitoring | Eisen aan de periodieke beoordeling van de logbestanden |
| SVP_C.05.02 | De verzamelde log-informatie wordt in samenhang geanalyseerd. | Monitoring | De verzamelde loginformatie wordt in samenhang geanalyseerd |
| SVP_C.05.03 | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoring | Eisen aan de periodieke rapportage over de analyse van de logbestanden |
| SVP_C.05.04 | De rapportages uit de beheerdisciplines compliancy-management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico’s geanalyseerd en geëvalueerd. | Monitoring | Analyse en evaluatie van beheer-, log- en penetratietest rapportages op structurele risico’s |
| SVP_C.05.05 | De analyserapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management. | Monitoring | Eisen aan de inhoud en verspreiding van de loganalyse |
| SVP_C.05.06 | De eindrapportage bevat, op basis van analyses, verbetervoorstellen. | Monitoring | De eindrapportage bevat verbeteringsvoorstellen op basis van analyses |
| SVP_C.06.01 | De beveiligingsfunctionaris zorgt onder andere voor:
| Beheersorganisatie servers en serverplatforms | Activiteiten van de beveiligingsfunctionaris |
| SVP_C.06.02 | Het beveiligingsbeleid geeft onder andere inzicht in:
| Beheersorganisatie servers en serverplatforms | Inhoud van het beveiligingsbeleid |
| SVP_U.01.01 | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedure | Gedocumenteerde procedures voor bedieningsactiviteiten |
| SVP_U.01.02 | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door het hoger management goedgekeurd. | Bedieningsprocedure | Formele goedkeuring vereist voor wijzigingen aan bedieningsprocedures voor systeemactiviteiten |
| SVP_U.01.03 | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedure | In de bedieningsprocedures opgenomen bedieningsvoorschriften |
| SVP_U.02.01 | De documentatie conform de standaarden omvat:
| Standaarden voor serverconfiguratie | Eisen aan de "gedocumenteerde standaarden" |
| SVP_U.03.01 | Een formeel beleid wordt toegepast waarin het ongeautoriseerde gebruik van software is verboden. | Malwareprotectie serverplatform | In beleid vastgelegd formeel verbod op het ongeautoriseerde gebruik van software |
| SVP_U.03.02 | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie serverplatform | Gebruikers zijn voorgelicht over risico’s van surfgedrag en klikken op onbekende links |
| SVP_U.03.03 | Severs zijn voorzien van (actuele) software die malware opspoort en daartegen beschermt. | Malwareprotectie serverplatform | Het downloaden van bestanden is beheerst en beperkt |
| SVP_U.03.04 | Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie serverplatform | Servers zijn voorzien van up-to-date anti-malware |
| SVP_U.03.05 | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en het principe ‘need-of-use’. | Malwareprotectie serverplatform | Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd |
| SVP_U.03.06 | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server moeten worden opgeslagen. | Malwareprotectie serverplatform | Servers en hiervoor gebruikte media worden routinematig gescand op malware |
| SVP_U.03.07 | De malware-scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie serverplatform | De malware scan wordt op alle omgevingen uitgevoerd |
| SVP_U.03.08 | De gebruikte anti-malwaresoftware en bijbehorende herstelsoftware zijn actueel en worden ondersteund door periodieke updates. | Malwareprotectie serverplatform | De anti-malware software wordt regelmatig geüpdate |
| SVP_U.04.01 | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer serverplatform | Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen |
| SVP_U.04.02 | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatforms en servers is informatie aanwezig over beschikbaarheid van:
| Technische kwetsbaarhedenbeheer serverplatform | Informatie-eisen voor het uitvoeren van een doeltreffende kwetsbaarhedenanalyse |
| SVP_U.04.03 | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Technische kwetsbaarhedenbeheer serverplatform | Verantwoordelijkheden, rollen en middelen om technische kwetsbaarheden beheren |
| SVP_U.04.04 | Voor de technische kwetsbaarheden zijn voor een doeltreffend beheerproces de activiteiten afgestemd op het incidentbeheerproces. | Technische kwetsbaarhedenbeheer serverplatform | De activiteiten zijn afgestemd op het incident |
| SVP_U.04.05 | Het kwetsbaarhedenbeheerproces wordt uitgevoerd voor:
| Technische kwetsbaarhedenbeheer serverplatform | Het kwetsbaarheden beheerproces |
| SVP_U.04.06 | Technische kwetsbaarheden worden via de patchmanagementprocessen en/of het wijzigingsbeheer hersteld. | Technische kwetsbaarhedenbeheer serverplatform | Procesmatig herstel van technische kwetsbaarheden |
| SVP_U.04.07 | Het kwetsbaarhedenbeheerproces wordt regelmatig gemonitord en geëvalueerd. | Technische kwetsbaarhedenbeheer serverplatform | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd |
| SVP_U.05.01 | Het patchmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement serverplatform | Patchmanagement is beschreven, goedgekeurd en toegekend |
| SVP_U.05.02 | Een technisch mechanisme zorgt voor (semi-)automatische updates. | Patchmanagement serverplatform | Een technisch mechanisme zorgt voor (semi-)automatische updates |
| SVP_U.05.03 | Configuratiebeheer geeft het inzicht waarmee servers worden gepatcht. | Patchmanagement serverplatform | Op basis van inzicht vanuit configuratiebeheer worden de servers gepatcht |
| SVP_U.05.04 | Het patchbeheerproces bevat methoden om:
| Patchmanagement serverplatform | Eisen aan het Patchmanagement |
| SVP_U.05.05 | De patchmanagementprocedure is actueel en beschikbaar. | Patchmanagement serverplatform | De Patchmanagement procedure is actueel en beschikbaar |
| SVP_U.05.06 | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement serverplatform | De rollen en verantwoordelijkheden voor Patchmanagement zijn vastgesteld |
| SVP_U.05.07 | De volgende aspecten van een patch worden geregistreerd:
| Patchmanagement serverplatform | Registratie van de aspecten van een patch |
| SVP_U.05.08 | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement serverplatform | Een patchrichtlijn is opgesteld, vastgesteld en geaccordeerd. |
| SVP_U.05.09 | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement serverplatform | Alleen beschikbare patches van een legitieme (geautoriseerde) bron worden geïmplementeerd |
| SVP_U.05.10 | De risico’s die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid worden vergeleken met het risico van het installeren van de patch). | Patchmanagement serverplatform | De risico’s verbonden aan het installeren van de patch worden beoordeeld |
| SVP_U.05.11 | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement serverplatform | Wanneer een niet patch beschikbaar is, worden andere beheersmaatregelen overwogen |
| SVP_U.06.01 | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door:
| Beheer op afstand | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd |
| SVP_U.06.02 | Het op afstand onderhouden van servers wordt strikt beheerd door:
| Beheer op afstand | Het op afstand onderhouden van servers wordt strikt beheerd |
| SVP_U.06.03 | Het serverplatform is zodanig ingericht, dat dit op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Het serverplatform is zodanig ingericht, dat deze op afstand wordt geconfigureerd en beheerd |
| SVP_U.06.04 | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd |
| SVP_U.06.05 | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Alle externe toegang tot servers vindt versleuteld plaats |
| SVP_U.07.01 | Het onderhoud van servers wordt uitgevoerd met richtlijnen die invulling geven aan de volgende eisen:
| Server-onderhoud | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen |
| SVP_U.08.01 | Van de server(s):
| Verwijderen of hergebruiken serverapparatuur | Niet meer benodigde opslagmedia en informatie van servers worden vernietigd |
| SVP_U.08.02 | Voorafgaand aan verwijdering of hergebruik van servers wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Verwijderen of hergebruiken serverapparatuur | Gecontroleerd wordt of te verwijderen servers nog opslagmedia en/of informatie is bevat |
| SVP_U.09.01 | Een servers is zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen server | Servers zijn zodanig geconfigureerd dat bepaalde functies zijn verwijderd of uitgeschakeld |
| SVP_U.09.02 | Een servers is zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen server | Servers zijn zodanig geconfigureerd dat gebruik van bepaalde functies wordt beperkt |
| SVP_U.09.03 | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen server | Servers worden beschermd tegen ongeoorloofde toegang |
| SVP_U.10.01 | De servers zijn geconfigureerd volgens gedocumenteerde standaarden/procedures die betrekking hebben op:
| Serverconfiguratie | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures |
| SVP_U.10.02 | De servers zijn geconfigureerd volgens een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | De servers zijn geconfigureerd conform een gestandaardiseerde serverimage |
| SVP_U.10.03 | Toegang tot serverparameterinstellingen en krachtige beheerinstrumenten zijn:
| Serverconfiguratie | Toegang tot serverparameter en krachtige beheerinstrumenten is beperkt |
| SVP_U.11.01 | Fysieke servers die worden gebruikt om virtuele servers te hosten, worden beschermd tegen:
| Virtualisatie serverplatform | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd |
| SVP_U.11.02 | Hypervisors worden geconfigureerd om:
| Virtualisatie serverplatform | Hypervisors worden geconfigureerd |
| SVP_U.11.03 | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Virtualisatie serverplatform | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures |
| SVP_U.11.04 | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Virtualisatie serverplatform | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors |
| SVP_U.12.01 | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist). | Beperking software-installatie serverplatform | Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan |
| SVP_U.12.02 | De organisatie past een strikt beleid toe voor het installeren en gebruiken van software. | Beperking software-installatie serverplatform | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. |
| SVP_U.12.03 | Het principe van least-privilege wordt toegepast. | Beperking software-installatie serverplatform | Het principe van least-privilege wordt toegepast |
| SVP_U.12.04 | De rechten van beheerders worden verleend op basis van rollen. | Beperking software-installatie serverplatform | De rechten van beheerders worden verleend op basis van rollen |
| SVP_U.13.01 | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd |
| SVP_U.13.02 | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd met externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd zijn gedocumenteerd. |
| SVP_U.14.01 | Het ontwerp van elk serverplatform en elke server is gedocumenteerd, waarbij onder andere beschreven is:
| Ontwerpdocument | Het ontwerp van elk serverplatform en elke server is gedocumenteerd |
| SWP_B.01.01 | In het verwervingsbeleid voor softwarepakketten zijn regels vastgesteld die bij de verwerving van softwarepakketten in acht dienen te worden genomen. De regels kunnen onder andere betrekking hebben op:
| Verwervingsbeleid softwarepakketten | Regels voor beleid bij verwerving softwarepakketten |
| SWP_B.01.02 | De verwerving van een softwarepakket vindt plaats met een business case, waarbij verschillende toepassingsscenario’s worden overwogen:
| Verwervingsbeleid softwarepakketten | Verwerven softwarepakket met business case |
| SWP_B.01.03 | Verwerving van een softwarepakket vindt plaats met een functioneel ontwerp, waarin de beoogde functionele en niet-functionele requirements zijn uitgewerkt in een op te stellen softwarepakket van eisen en wensen. | Verwervingsbeleid softwarepakketten | Verwerven softwarepakket met functioneel ontwerp |
| SWP_B.01.04 | Leveranciers zijn ISO 27001-gecertificeerd. | Verwervingsbeleid softwarepakketten | Leveranciers zijn gecertificeerd |
| SWP_B.02.01 | De overeenkomsten en documentatie omvatten afspraken over:
| Informatiebeveiligingsbeleid voor leveranciersrelaties | Overeenkomsten en documentatie omvatten afspraken |
| SWP_B.03.01 | De klant legt in de overeenkomst bepalingen over exit vast dat:
| Exit-strategie softwarepakketten | Vastleggen exit-bepalingen in overeenkomst |
| SWP_B.03.02 | De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie softwarepakketten | Besluiten over te gaan tot exit |
| SWP_B.04.01 | Bij de afleiding van de bedrijfsfuncties worden stakeholders uit het veranderingsgebied betrokken. | Bedrijfs- en beveiligingsfuncties | Betrekken stakeholders bij afleiden bedrijfsfuncties |
| SWP_B.04.02 | Voor het afleiden van bedrijfs- en beveiligingsfuncties worden formele methoden voor een gegevensimpactanalyse toegepast, zoals een (Business Impact Analyse) BIA en Data Protection Impact Assessment (DPIA) en wordt rekening gehouden met het informatieclassificatie-beleid. | Bedrijfs- en beveiligingsfuncties | Toepassen methoden voor gegevensimpactanalyse |
| SWP_B.04.03 | Het softwarepakket dekt de eisen van de organisatie zodanig dat geen maatwerk noodzakelijk is. Wanneer de functionaliteit door een SaaS (Software as a Service)-leverancier wordt aangeboden via een app-centre, dan wordt het volgende onderzocht en overeengekomen:
| Bedrijfs- en beveiligingsfuncties | Afdekken organisatie-eisen voor softwarepakketten |
| SWP_B.04.04 | Het softwarepakket biedt de noodzakelijke veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties, bij voorkeur gerelateerd aan open standaarden. | Bedrijfs- en beveiligingsfuncties | Bieden veilige interne en externe communicatie-, koppelings- (interfaces) en protectiefuncties |
| SWP_B.04.05 | De documentatie van het softwarepakket beschrijft alle componenten voor de beveiligingsfuncties die ze bevatten. | Bedrijfs- en beveiligingsfuncties | Beschrijven componenten voor beveiligingsfuncties |
| SWP_B.05.01 | Communicatie en opslag van informatie door softwarepakketten is passend bij de classificatie van de gegevens, al dan niet beschermd door versleuteling. | Cryptografie Softwarepakketten | Passende gegevensclassificatie bij informatiecommunicatie en -opslag |
| SWP_B.05.02 | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografie Softwarepakketten | Uitwerken cryptografiebeleid |
| SWP_B.06.01 | De beveiligingsarchitectuur ondersteunt een bedrijfsbreed proces voor het implementeren van samenhangende beveiligingsmechanismen en tot stand brengen van gemeenschappelijke gebruikersinterfaces en Application Programming Interfaces (API’s), als onderdeel van softwarepakketten. | Beveiligingsarchitectuur | Ondersteunen proces voor beveilgingsmechnismen |
| SWP_B.06.02 | Er zijn beveiligingsprincipes voorgeschreven waaraan een te verwerven softwarepakket getoetst moet worden, zoals:
| Beveiligingsarchitectuur | Voorschrijven beveiligingsprincipes |
| SWP_C.01.01 | De mate waarin de leveranciersovereenkomsten worden nageleefd, wordt geverifieerd. | Evaluatie leveranciersdienstverlening | Verifiëren mate van naleving leveranciersovereenkomsten |
| SWP_C.01.02 | De door leveranciers opgestelde rapporten over de dienstverlening worden beoordeeld en zijn de basis voor besprekingen met de leveranciers voor zover dit is opgenomen in de overeenkomst. | Evaluatie leveranciersdienstverlening | Beoordelen rapporten over dienstverlening |
| SWP_C.01.03 | Leveranciersaudits worden uitgevoerd in samenhang met rapportages over de dienstverlening. | Evaluatie leveranciersdienstverlening | Uitvoeren leveranciersaudits |
| SWP_C.01.04 | Er wordt inzicht gegeven in de complete verslaglegging van leveranciersaudits. | Evaluatie leveranciersdienstverlening | Geven inzicht in verslaglegging leveranciersaudits |
| SWP_C.01.05 | Vastgestelde problemen worden opgelost en beheerd. | Evaluatie leveranciersdienstverlening | Oplossen en beheren problemen |
| SWP_C.02.01 | De leverancier heeft versiebeheer adequaat geregeld en stelt de klant tijdig op de hoogte van de actueel te gebruiken versies. | Versiebeheer softwarepakketten | Regelen adequaat versiebeheer |
| SWP_C.02.02 | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versiebeheer softwarepakketten | Ondersteunen versiebeheer met procedures en werkinstructies |
| SWP_C.03.01 | Het patchmanagementproces en de noodzakelijke patchmanagementprocedures zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement softwarepakketten | Beschrijven, vaststellen en bekendmaken patchmanagementproces en -procedures |
| SWP_C.03.02 | Het beheer van technische kwetsbaarheden in code omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement softwarepakketten | Technisch kwetsbaarheden beheer omvat minimaal risicoanalyse |
| SWP_C.03.03 | Actualisaties/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is, worden zo snel mogelijk geïnstalleerd. | Patchmanagement softwarepakketten | Installeren patches voor kwetsbaarheden |
| SWP_U.01.01 | Tussen de leverancier en klant is een procedure afgesproken voor het tijdig actualiseren/opwaarderen van verouderde softwarepakketten uit de technische stack. | Levenscyclusmanagement softwarepakketten | Afspreken procedure voor tijdig actualiseren verouderde software |
| SWP_U.01.02 | De leverancier onderhoudt een registratie van de gebruikte softwarestack. Hierin is de vermelding van de uiterste datum dat ondersteuning plaatsvindt opgenomen, waardoor inzicht bestaat in de door de leverancier ondersteunde versies van de software. | Levenscyclusmanagement softwarepakketten | Onderhouden registratie gebruikte softwarestack |
| SWP_U.01.03 | Technologische innovaties van softwarepakketten worden aan de klant gecommuniceerd en de toepassing daarvan wordt afgestemd met de klant voor implementatie. | Levenscyclusmanagement softwarepakketten | Communiceren technologische innovaties van softwarepakketten |
| SWP_U.02.01 | Bij nieuwe softwarepakketten en bij wijzigingen op bestaande softwarepakketten moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de Baseline Informatiebeveiliging Overheid (BIO). | Beperking wijziging softwarepakket | Uitvoeren expliciete risicoafweging bij nieuwe software |
| SWP_U.02.02 | Wijzigingen in, door leveranciers geleverde, softwarepakketten worden, voor zover mogelijk en haalbaar, ongewijzigd gebruikt. | Beperking wijziging softwarepakket | Ongewijzigd gebruiken gewijzigde softwarepakketten |
| SWP_U.02.03 | Indien vereist worden de wijzigingen door een onafhankelijke beoordelingsinstantie getest en gevalideerd (dit geldt waarvoor mogelijk ook voor software in de cloud). | Beperking wijziging softwarepakket | Testen en valideren van wijzigingen |
| SWP_U.03.01 | Een adequate risicobeheersing bij de klant impliceert een voorbereiding op het voor korte of lange termijn wegvallen van leveranciersondersteuning:
| Bedrijfscontinuïteit | Adequate risicobeheersing |
| SWP_U.03.02 | De data behorende bij het softwarepakket en de beoogde bedrijfsmatige bewerking van de gegevens kan worden hersteld binnen de overeengekomen maximale uitvalsduur. | Bedrijfscontinuïteit | Herstellen data softwarepakket en bedrijfsmatige bewerking gegevens |
| SWP_U.03.03 | Periodiek wordt de beoogde werking van de disaster recovery herstelprocedures in de praktijk getest. Met cloud-leveranciers worden continuïteitsgaranties overeengekomen. | Bedrijfscontinuïteit | Testen werking herstelprocedures voor disaster recovery |
| SWP_U.04.01 | Het softwarepakket zorgt dat de invoer in een gestandaardiseerde vorm komt, zodat deze herkend en gevalideerd kan worden. | Input-/output-validatie | Zorgen voor gestandaardiseerde vorm |
| SWP_U.04.02 | Foute, ongeldige of verboden invoer wordt geweigerd of onschadelijk gemaakt. Het softwarepakket (of Software as a Service (SaaS)) voert deze controle van de invoer uit aan de serverzijde en vertrouwt niet op maatregelen aan de clientzijde. | Input-/output-validatie | Weigeren foute, ongeldige of verboden invoer |
| SWP_U.04.03 | Het softwarepakket (of Software as a Service (SaaS)) valideert alle invoer die de gebruiker aan het softwarepakket verstrekt. | Input-/output-validatie | Valideren verstrekte invoer aan softwarepakket |
| SWP_U.04.04 | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, zogenaamde ‘ingesloten’ aanvallen te detecteren. | Input-/output-validatie | Ingebouwde mechnismen om aanvallen te detecteren |
| SWP_U.04.05 | Alle uitvoer wordt naar een veilig formaat geconverteerd. | Input-/output-validatie | Uitvoer naar veilig formaat converteren |
| SWP_U.05.01 | Softwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten. | Sessiebeheer | Niet hergebruiken token-sessies |
| SWP_U.05.02 | Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie. | Sessiebeheer | Genereren nieuwe sessie met gebruikersauthenticatie |
| SWP_U.05.03 | Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
| Sessiebeheer | Automatisch ongeldig maken sessies |
| SWP_U.06.01 | De opdrachtgever specificeert de classificatie van gegevens. | Gegevensopslag | Specificeren gegevensclassificatie |
| SWP_U.06.02 | Indien van een gegeven niet de classificatie van vertrouwelijkheid is vastgesteld, wordt het gegeven per default veilig opgeslagen. | Gegevensopslag | Per default velig opslaan gegeven |
| SWP_U.06.03 | Het softwarepakket voorkomt dat wachtwoorden in leesbare vorm worden opgeslagen door gebruik van hashing in combinatie met salts en minimaal 10.000 rounds of hashing. | Gegevensopslag | Voorkomen opslag wachtwoorden in leesbare vorm |
| SWP_U.06.04 | Gegevens worden door het softwarepakket deugdelijk versleuteld opgeslagen met passende standaarden voor cryptografie, tenzij door de gegevenseigenaar is gedocumenteerd dat dit niet noodzakelijk is. Cryptografische toepassingen voldoen aan passende standaarden. | Gegevensopslag | Versleuteld opslaan van gegevens met cryptografiestandaarden |
| SWP_U.06.05 | Te beschermen gegevens worden door het softwarepakket alleen opgeslagen als dat nodig is voor het doel en voor de kortst mogelijke tijd, zijnde de kortste periode tussen het vervullen van de toepassing en de door wet- of regelgeving verplichte periode. | Gegevensopslag | Opslag gegevens als nodig voor doel en korste tijd |
| SWP_U.07.01 | Cryptografische toepassingen voldoen aan passende standaarden. | Communicatie | Voldoen aan passende standaarden |
| SWP_U.07.02 | Het platform waarop het softwarepakket draait, zorgt voor de versleuteling van communicatie tussen de applicatieserver en webserver en tussen de applicatie en database. De webserver forceert versleuteling tussen de webserver en client. | Communicatie | Versleutelen communicatie tussen applicatie- en webserver |
| SWP_U.07.03 | De opdrachtgever specificeert de classificatie van de gegevens die worden uitgewisseld en waarvoor versleuteling plaatsvindt. | Communicatie | Specificeren classificatie van uit te wisselen gegevens |
| SWP_U.07.04 | Het softwarepakket zorgt waar mogelijk voor verificatie dat het certificaat:
| Communicatie | Zorgen voor certificaatverificatie |
| SWP_U.07.05 | De versleutelde communicatie van het softwarepakket kan zodanig worden geconfigureerd, dat er geen terugval naar niet of onvoldoende versleutelde communicatie ontstaat. | Communicatie | Configureren versleutelde communicatie softwarepakket |
| SWP_U.08.01 | De authenticiteit wordt bereikt bij het zekerstellen van de volgende twee activiteiten:
| Authenticatie | Bereiken authenticiteit |
| SWP_U.08.02 | De configuratie van de identificatie- en authenticatievoorziening waarborgt dat de geauthentiseerde persoon inderdaad de geïdentificeerde persoon is. | Authenticatie | Waarborgen dat geauthentiseerde persoon de geïdentificeerde persoon is |
| SWP_U.08.03 | Het inlogmechanisme is robuust tegen herhaaldelijke, geautomatiseerde of verdachte pogingen om wachtwoorden te raden (brute-forcing of password spraying en hergebruik van gelekte wachtwoorden). | Authenticatie | Robuust zijn tegen wachtwoorden raden |
| SWP_U.09.01 | Het softwarepakket biedt mechanismen, waarmee gebruikers, overeenkomstig hun verleende rechten en rollen, alleen informatie met specifiek belang kunnen inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Toegangsautorisatie | Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak |
| SWP_U.09.02 | Beheer(ders)functies van softwarepakketten worden extra beschermd, waarmee misbruik van rechten wordt voorkomen. | Toegangsautorisatie | Beschermen beheer(ders)functies |
| SWP_U.10.01 | De rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen. | Autorisatiebeheer | Ordenen rechten voor toegang tot gegevens en functies |
| SWP_U.10.02 | Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd. | Autorisatiebeheer | Identificeren verenigbare taken en autorisaties |
| SWP_U.11.01 | In de architectuur van het softwarepakket zijn detectiemechanismen actief voor het detecteren van aanvallen. | Logging | Actief zijn van detectiemechanismen |
| SWP_U.11.02 | De te registreren acties worden centraal opgeslagen. | Logging | Centraal opslaan te registreren acties |
| SWP_U.11.03 | Er is vooraf bepaald wat te doen bij het uitvallen van loggingsmechanismen (alternatieve paden). | Logging | Bepalen acties bij uitval loggingsmechanismen |
| SWP_U.11.04 | De (online of offline) bewaartermijn voor logging is vastgesteld en komt tot uitdrukking in de configuratie-instellingen van binnen het softwarepakket. | Logging | Vaststellen bewaartermijn voor logging |
| SWP_U.12.01 | Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt. | Application Programming Interface (API) | Gebruik maken van veilige API's tijdens verwerking |
| SWP_U.12.02 | Application Programming Interface (API)-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer. | Application Programming Interface (API) | Niet weergegeven van gevoelige informatie |
| SWP_U.12.03 | Het softwarepakket maakt gebruik van veilige Application Programming Interfaces (API’s), die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals Structured Query Language (SQL) injection en Cross-Site Scripting (XSS) te voorkomen. | Application Programming Interface (API) | Gebruik maken van veilige API's die gebruikersdata scheiden |
| SWP_U.12.04 | Het softwarepakket gebruikt veilige Application Programming Interfaces (API’s) die bufferlengtes controleren, waarmee kwetsbaarheden als Buffer- en Integer overflow worden voorkomen. | Application Programming Interface (API) | Veilige API's gebruiken |
| SWP_U.13.01 | Het softwarepakket biedt een flexibel quotummechanisme voor het importeren van gegevens uit externe bronnen. | Gegevensimport | Bieden flexibel quotummechanisme |
| SWP_U.13.02 | Binnen het softwarepakket zijn beveiligingsmechanismen ingebouwd om bij import van gegevens, ‘ingesloten’ aanvallen te detecteren. | Gegevensimport | Beveiligingsmechanismen inbouwen voor detectie ingesloten aanvallen |
| SWP_U.13.03 | Het softwarepakket accepteert geen extreem grote bestanden, die buffers of het werkgeheugen kunnen ‘overspoelen’ en daarmee een Denial-of-Service (DoS)-aanval kunnen veroorzaken. | Gegevensimport | Geen grote bestanden accepteren |
| SWP_U10.03 | Er bestaat een proces voor het definiëren en onderhouden van de autorisaties. | Autorisatiebeheer | Proces voor definiëren en onderhouden van autorisaties |
| TBV_B.01.01 | Het toegangvoorzieningsbeleid:
| Toegangsbeveiligingsbeleid | Eisen aan het Toegangvoorzieningsbeleid |
| TBV_B.01.02 | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Toegangsbeveiligingsbeleid | Aandacht voor wetgeving en verplichtingen |
| TBV_B.01.03 | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. | Toegangsbeveiligingsbeleid | Standaard gebruikersprofielen |
| TBV_B.01.04 | Informatiespreiding en autorisatie tot informatie worden uitgevoerd met need-to-know- en need-to-use- principes. | Toegangsbeveiligingsbeleid | Toepassen van need-to-know en need-to-use principes |
| TBV_B.01.05 | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Toegangsbeveiligingsbeleid | Het autorisatiebeheer is procesmatig ingericht |
| TBV_B.02.01 | Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers). | Eigenaarschap toegangsbeveiliging | Het eigenaarschap is specifiek toegekend |
| TBV_B.02.02 | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. | Eigenaarschap toegangsbeveiliging | De eigenaar beschikt over kennis, middelen, mensen en autoriteit |
| TBV_B.02.03 | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiliging | Eigenaar is verantwoordelijk voor de logische toegangsbeveiligingssystemen |
| TBV_B.02.04 | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiliging | Eigenaar is verantwoordelijk voor de fysieke toegangsbeveiligingssystemen |
| TBV_B.03.01 | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie zijn benoemd |
| TBV_B.03.02 | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem. | Beveiligingsfunctie | Het toegangbeveiligingssysteem wordt periodiek geevalueerd |
| TBV_B.04.01 | Authenticatie-informatie wordt beschermd door middel van versleuteling. | Cryptografie toegangsbeveiliging | Authenticatie-informatie wordt beschermd door middel van versleuteling |
| TBV_B.04.02 | Het cryptografiebeleid stelt eisen aan:
| Cryptografie toegangsbeveiliging | Het cryptografiebeleid stelt eisen |
| TBV_B.05.01 | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | Beveiligingsorganisatie toegangsbeveiliging | De beveiligingsorganisatie heeft een formele positie |
| TBV_B.05.02 | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie toegangsbeveiliging | Verantwoordelijkheden zijn beschreven en toegewezen |
| TBV_B.05.03 | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. | Beveiligingsorganisatie toegangsbeveiliging | Taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd |
| TBV_B.05.04 | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie toegangsbeveiliging | Functionarissen zijn benoemd |
| TBV_B.05.05 | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie toegangsbeveiliging | Verantwoordings- en rapportagelijnen zijn vastgesteld |
| TBV_B.05.06 | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie toegangsbeveiliging | Frequentie en eisen voor rapportages |
| TBV_B.06.01 | De technische inrichting van de toegangsbeveiliging is met organisatorische eisen vormgegeven aangaande:
| Toegangsbeveiligingsarchitectuur | De technische inrichting van de toegangbeveiliging is vormgegeven volgens de organisatorische eisen |
| TBV_B.06.02 | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Toegangsbeveiligingsarchitectuur | Er is een toegangbeveiligingsarchitectuur |
| TBV_C.01.01 | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). | Beoordelingsprocedure | De organisatie beschikt over procedures voor de controle van toegangbeveiligingssystemen en registraties |
| TBV_C.01.02 | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | Beoordelingsprocedure | De organisatie beschikt over een beschrijving van de relevante controleprocessen |
| TBV_C.01.03 | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | Beoordelingsprocedure | De procedures hebben betrekking op ingerichte controleprocessen met vastgestelde cyclus |
| TBV_C.01.04 | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | Beoordelingsprocedure | De resultaten van controleactiviteiten worden procedureel gerapporteerd aan het management |
| TBV_C.02.01 | Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. | Beoordeling toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld |
| TBV_C.02.02 | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. | Beoordeling toegangsrechten | Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld |
| TBV_C.02.03 | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. | Beoordeling toegangsrechten | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld |
| TBV_C.02.04 | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | Beoordeling toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd |
| TBV_C.02.05 | De opvolging van bevindingen is gedocumenteerd. | Beoordeling toegangsrechten | De opvolging van bevindingen is gedocumenteerd. |
| TBV_C.02.06 | Het beoordelen vindt plaats met een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. | Beoordeling toegangsrechten | Het beoordelen vind plaats op basis van een formeel proces |
| TBV_C.02.07 | Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging. | Beoordeling toegangsrechten | Een hiervoor verantwoordelijke functionaris controleert de organisatorische- en technische inrichting |
| TBV_C.03.01 | Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). | Logging en monitoring toegangsbeveiliging | Een log-regel bevat de vereiste gegevens |
| TBV_C.03.02 | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals wachtwoorden en inbelnummers). | Logging en monitoring toegangsbeveiliging | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken |
| TBV_C.03.03 | De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt dankzij een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet door een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. | Logging en monitoring toegangsbeveiliging | De informatie verwerkende omgeving wordt middels detectievoorzieningen bewaakt met een SIEM en/of SOC |
| TBV_C.03.04 | Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. | Logging en monitoring toegangsbeveiliging | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld |
| TBV_C.03.05 | De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. | Logging en monitoring toegangsbeveiliging | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd |
| TBV_C.03.06 | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de Algemene Verordening Gegevensbescherming (AVG), een verwerkingsactiviteitenregister bijgehouden. | Logging en monitoring toegangsbeveiliging | Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteiten register bijgehouden. |
| TBV_C.03.07 | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. | Logging en monitoring toegangsbeveiliging | De logbestanden worden gedurende een overeengekomen periode bewaard |
| TBV_C.04.01 | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie toegangsbeveiliging | De samenhang van de toegangbeveiliging beheerprocessen wordt in een processtructuur vastgelegd |
| TBV_C.04.02 | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beheersorganisatie toegangsbeveiliging | De belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk |
| TBV_C.04.03 | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie toegangsbeveiliging | De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd |
| TBV_U.01.01 | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging). | Registratieprocedure | Een sluitende formele registratie- en afmeldprocedure |
| TBV_U.01.02 | Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. | Registratieprocedure | Groepsaccounts niet toegestaan tenzij |
| TBV_U.01.03 | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. | Registratieprocedure | Autorisaties worden gecontroleerd |
| TBV_U.01.04 | Gebruikers worden met juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know- en need-to-have-principes). | Registratieprocedure | Gebruikers hebben autorisaties voor applicaties op basis van juiste functierollen |
| TBV_U.01.05 | Een bevoegdhedenmatrix is beschikbaar waarmee gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Registratieprocedure | Systeemprivileges op basis van een bevoegdhedenmatrix |
| TBV_U.02.01 | Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris. | Toegangsverleningsprocedure | Uitsluitend toegang na autorisatie |
| TBV_U.02.02 | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Toegangsverleningsprocedure | Risicoafweging voor functiescheiding en toegangsrechten |
| TBV_U.02.03 | Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten. | Toegangsverleningsprocedure | Mandaatregister voor toekennen van toegangsrechten en functieprofielen |
| TBV_U.03.01 | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen of op basis van minimaal twee-factorauthenticatie. | Inlogprocedure | Minimaal 2-factor authenticatie |
| TBV_U.03.02 | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. | Inlogprocedure | Risicoafweging bij toegang tot netwerk |
| TBV_U.03.03 | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. | Inlogprocedure | Een risicoafweging bepaalt de voorwaarden voor toegang |
| TBV_U.04.01 | Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. | Autorisatieproces | Formeel proces voor verwerken van autorisaties |
| TBV_U.04.02 | Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris. | Autorisatieproces | Formele autorisatieopdracht |
| TBV_U.04.03 | De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. | Autorisatieproces | Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd |
| TBV_U.04.04 | Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. | Autorisatieproces | Toegangsrechten intrekken bij beëindigen van dienstverband |
| TBV_U.04.05 | Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. | Autorisatieproces | Toegangsrechten corresponderen met wijzigingen in het dienstverband |
| TBV_U.04.06 | Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. | Autorisatieproces | Toegangsrechten intrekken voordat dienstverband eindigt of wijzigt, afhankelijk van risicofactoren |
| TBV_U.05.01 | Als geen gebruik wordt gemaakt van twee-factorauthenticatie:
| Wachtwoordenbeheer | Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie |
| TBV_U.05.02 | In situaties waar geen twee-factorauthenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. | Wachtwoordenbeheer | Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd |
| TBV_U.06.01 | Het toewijzen van speciale toegangsrechten vindt plaats door een risicoafweging en met richtlijnen en procedures. | Speciale toegangsrechtenbeheer | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures |
| TBV_U.06.02 | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). | Speciale toegangsrechtenbeheer | Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken |
| TBV_U.06.03 | De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. | Speciale toegangsrechtenbeheer | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld |
| TBV_U.07.01 | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Functiescheiding | Een scheiding is aangebracht tussen beheertaken en gebruikstaken |
| TBV_U.07.02 | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Functiescheiding | Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol |
| TBV_U.07.03 | Een risicoafweging bepaalt waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. | Functiescheiding | Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast |
| TBV_U.07.04 | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. | Functiescheiding | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen |
| TBV_U.07.05 | Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen. | Functiescheiding | Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen |
| TBV_U.08.01 | Elke gebruiker wordt geïdentificeerd met een identificatiecode. | Geheime authenticatie-informatie | Elke gebruiker wordt geïdentificeerd op basis van een identificatiecode |
| TBV_U.08.02 | Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruiker recht heeft op het authenticatiemiddel vastgesteld. | Geheime authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal identiteit en recht op authenticatiemiddel vastgesteld |
| TBV_U.08.03 | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. | Geheime authenticatie-informatie | Verplichte geheimhoudingsverklaring is een onderdeel van de arbeidsvoorwaarden |
| TBV_U.08.04 | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. | Geheime authenticatie-informatie | Authenticatie-informatie is uniek toegekend aan één persoon en voldoet aan specifieke samenstelling van tekens |
| TBV_U.09.01 | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Autorisatie | Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken |
| TBV_U.09.02 | Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. | Autorisatie | Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen |
| TBV_U.09.03 | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. | Autorisatie | Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden |
| TBV_U.09.04 | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. | Autorisatie | Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie |
| TBV_U.10.01 | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Autorisatievoorziening | Formeel is vastgesteld welke ondersteunende middelen binnen het autorisatiebeheer proces worden ingezet |
| TBV_U.10.02 | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Autorisatievoorziening | Alle gebruikers worden nog vóór de toegang tot de applicatieomgeving in het personeelsinformatiesysteem opgenomen |
| TBV_U.10.03 | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Autorisatievoorziening | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd |
| TBV_U.10.04 | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Autorisatievoorziening | Onder autorisatiebeheer vallende applicaties hebben functionaliteit voor toekennen, inzien en beheren van autorisaties |
| TBV_U.11.01 | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Fysieke toegangsbeveiliging | Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen |
| TBV_U.11.02 | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Fysieke toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd |
| TBV_U.11.03 | Medewerkers, contractanten en externen dragen zichtbare identificatie. | Fysieke toegangsbeveiliging | Medewerkers en contractanten en externen dragen zichtbare identificatie |
| TBV_U.11.04 | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Fysieke toegangsbeveiliging | Toegang van personeel van externe partijen tot beveiligde gebieden en faciliteiten |