Alle normen

• het specificeren van requirements;
• het ontwikkelen, bouwen en testen;
• de overdracht van ontwikkelde applicatie naar de productie omgeving;
• de training van software ontwikkelaars.

1. Remote login

Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.

1. Versterkte authenticatie

Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.

1. Single Sign-On

Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.

• Transportniveau

Voor veilige point to point-verbindingen: encryptie.

• Netwerkniveau

1. alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog vóór het gebruik;
2. alle bijlagen en downloads nog vóór het gebruik;
3. virtual machines;
4. netwerkverkeer.

1. wanneer cryptografie ingezet wordt;
2. wie verantwoordelijk is voor de implementatie van cryptologie ;
3. wie verantwoordelijk is voor het sleutelbeheer;
4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
5. de wijze waarop het beschermingsniveau vastgesteld wordt;
6. het onderling vaststellen van het beleid voor communicatie tussen organisaties.

• de CSC-identiteit;
• de bedrijfsrelatie van de CSC binnen het cloudnetwerk;
• het IP-adres van de CSC.

• worden slechts toegang geboden voor vastgestelde doeleinden;
• worden continu aan toezicht onderworpen;
• worden gemonitord bij aankomst en vertrek;
• krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
• wordt verteld dat het gebruik van beeld- en geluidopnamemateriaal/apparatuur niet is toegestaan;
• dragen verplicht een badge.

Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

1. De verwerkingsdoeleinden;
2. De betrokken categorieën persoonsgegevens;
3. De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
4. Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
5. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
6. Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
7. Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
8. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
9. Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
10. Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.

• De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
• De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
• De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.

• Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
• De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
• De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
• De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
• Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt ^{AVG Art. 23; UAVG Art. 42}, of:
• De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezicht^{UAVG Art. 42}.
• De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit^{AVG overweging 18}.

1. De betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is^{AVG Art. 6 lid 3};
4. De verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is^{AVG Art. 6 lid 3};
6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit onderdeel (punt 6) geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.

1. De verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt met^{AVG Art. 6 lid 4}:
   1. Ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
   2. Het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
   3. De aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerkt^{AVG Art. 9} en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt^{AVG Art. 10};
   4. De mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
   5. Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
2. De verdere verwerking plaatsvindt op basis van de toestemming van betrokkene. Of:
3. Wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.

1. Nationaalrechtelijke algemene uitzonderingen^{UAVG Art. 23}:
   1. De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
   2. De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
   3. De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
2. Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijkt^{UAVG Art. 25}:
   1. Verwerking met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
   2. Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
      1. De verwerking voor dat doel noodzakelijk is;
      2. De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
      3. De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
3. De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies^{UAVG Art. 26}:
   1. de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
4. De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorging^{UAVG Art. 27}:
   1. De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
   2. Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
5. De verwerking van genetische gegevens^{UAVG Art. 28}:
   1. De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
   2. Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
      1. De betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat; en
      2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
6. De verwerking van biometrische gegevens^{UAVG Art. 29}:
   1. de verwerking vindt plaats ten behoeve van de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

De verwerking geschiedt door^{UAVG Art. 30 lid 3)} :

1. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk. Hierbij geldt dat het verbod om andere bijzondere categorieën persoonsgegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is in aanvulling op deze verwerking met het oog op een goede behandeling of verzorging van de betrokkene^{UAVG Art. 30 lid 5} ; of
2. Verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
   1. De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
   2. De uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvan^{UAVG Art. 30 lid 4}.

Als voorwaarde en waarborg geldt:

1. de gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of
2. door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden^{AVG Art. 9 lid 3}.
   Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld ^{UAVG Art 30 lid 6}.

• De verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens (WPG) of de Wet justitiële en strafvorderlijke gegevens (WJSG);
• De verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:

1. De verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

of:

• De verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in de UAVG Art. 30, derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene;
• Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:

1. Ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
2. Ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;

• Persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke mogen uitsluitend worden verwerkt, indien dit geschiedt overeenkomstig de regels die zijn vastgesteld in overeenstemming met de procedures in de Wet op de ondernemingsraden voor zover het persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke betreft;
• Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt, indien:

1. Door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (WPBR);
2. Door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
3. Door een verwerkingsverantwoordelijke die hiervoor van de AP een vergunning heeft verkregen.

• Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak (dus met een specifieke wettelijke grondslag) gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
• Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.
• De (anno 2019) in de maak zijnde wet Digitale overheid (voorheen: Wet generieke digitale infrastructuur - GDI) maakt het noodzakelijk dat er ook voor private partijen een wettelijke grondslag komt voor het verwerken van het BSN in het kader van authenticatie^{Mvt bij de GDI pag. 15}.

en geldt niet als:

1. De verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
2. Het afbreuk doet aan de rechten en vrijheden van anderen.

1. gebruikersidentificaties;
2. systeemactiviteiten;
3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
5. systeemconfiguratie veranderingen;
6. gebruik van speciale bevoegdheden;
7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.

• (onderlinge)afhankelijkheden;
• software t.a.v. versienummers, toepassingsstatus;
• verantwoordelijken voor de software.

de beschikbare patches;

• hun relevantie voor de systemen / bestanden;
• het besluit tot wel/niet uitvoeren;
• de testdatum en het resultaat van de patchtest;
• de datum van implementatie; en
• het patchresultaat.

• beperkt tot een gelimiteerd aantal geautoriseerde personen;
• beperkt tot specifiek omschreven situaties;
• gekoppeld aan specifieke en gespecificeerde autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.