Data en privacy

BIO Thema Middleware is een nieuwe BIO Thema-uitwerking. Versie 1.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd. De ontsluiting in de Information Security Object Respository (ISOR) zal eind 2023 plaatsvinden.

Beveiligingsprincipe
ID:	MDW_B.03
Versie:	1.3
Status:	Actueel
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Gedrag

Objectdefinitie

Beleid voor de verwerking van data in middlewaretoepassingen.

Objecttoelichting

Integratiefuncties van middleware maken het mogelijk om berichten uit brondata samen te stellen en deze berichten met verschillende doelsystemen binnen de eigen organisatie of met andere organisaties uit te wisselen. Daarbij kunnen berichten door middlewarefuncties worden geaggregeerd en getransformeerd tot nieuwe data, bijvoorbeeld als input voor basisregistraties. Het is van belang dat organisaties zich bewust zijn van deze mogelijkheden voor dataverwerking en daar beleid over formaliseren. Als brondata persoonsgebonden informatie bevat, dan is speciale aandacht voor privacy (waaronder de AVG-bepalingen) noodzakelijk.

Criterium

Er behoort ter bescherming van bedrijfs- en persoonlijke data, beleid te zijn geformuleerd voor verwerking van data, tenminste voor: de vertrouwelijkheid en versleuteling van data, voor transformatie en aggregatie, voor toegang en privacy, classificatie en labelen en bescherming tegen verlies van gegevens.

Doelstelling

Het formaliseren van de wijze waarop middleware de bedrijfs- en persoonsgebonden data mag verwerken.

Risico

Ontbrekend of onvoldoende beleid voor de verwerking van bedrijfs- en persoonsgegevens binnen middlewaretoepassingen kan ertoe leiden dat data ongecontroleerd wordt geaggregeerd, getransformeerd of uitgewisseld, waardoor privacy-risico’s onvoldoende worden onderkend en de organisatie niet voldoet aan wettelijke verplichtingen en maatschappelijke verwachtingen ten aanzien van gegevensbescherming.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Gedrag.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ITU-T Part 5 2012 8.5

Onderliggende normen

ID	Conformiteitsindicator	Stelling
MDW_B.03.01	Versleuteling	In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt: Wanneer cryptografie ingezet wordt. Wie verantwoordelijk is voor de implementatie. Wie verantwoordelijk is voor het sleutelbeheer. Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast. De wijze waarop het beschermingsniveau vastgesteld wordt. Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.
MDW_B.03.02	Transformatie en aggregatie	Middlewarefuncties mogen uitsluitend, toegestane en geformaliseerde bewerkingen uitvoeren op bedrijfs- en persoonsgebonden data.
MDW_B.03.03	Privacy	Ter bescherming van data en van privacy zijn beveiligingsmaatregelen getroffen, in de vorm van een data-analyse, PIA, sterke toegangsbeveiliging en encryptie.
MDW_B.03.04	Bescherming tegen verlies	Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Er moet speciale aandacht zijn voor het beschermen van de back-up tegen ransomware-aanvallen en genomen maatregelen om de integriteit van de back-up te behouden.
MDW_B.03.05	Bescherming tegen verlies	Opslagsystemen zijn opgenomen in een disaster recovery- en de bedrijfscontinuïteitsplanning.