ISOR/normen tabel
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
ID | trefwoord | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
---|---|---|---|---|
APO_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
APO_B.01.02 | regels | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
APO_B.01.03 | regels | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Beleid voor (beveiligd) ontwikkelen | Beleid |
APO_B.01.04 | regels | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
APO_B.02.01 | systeem ontwikkelmethodes | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | Systeem ontwikkelmethode | Beleid |
APO_B.02.02 | systeem ontwikkelmethodes | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem ontwikkelmethode | Beleid |
APO_B.02.03 | systeem ontwikkelmethodes | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem ontwikkelmethode | Beleid |
APO_B.02.04 | standaarden/procedures | Standaarden en procedures worden toegepast voor:
| Systeem ontwikkelmethode | Beleid |
APO_B.02.05 | beleid en wet en regelgeving | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| Systeem ontwikkelmethode | Beleid |
APO_B.02.06 | projectmatig | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| Systeem ontwikkelmethode | Beleid |
APO_B.03.01 | informatie | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | Classificatie van Informatie | Beleid |
APO_B.03.02 | informatie | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Classificatie van Informatie | Beleid |
APO_B.03.03 | informatie | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Classificatie van Informatie | Beleid |
APO_B.03.04 | wettelijke eisen, waarde, belang, gevoeligheid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | Classificatie van Informatie | Beleid |
APO_B.04.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | Engineeringprincipes beveiligde systemen | Beleid |
APO_B.04.02 | principes | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| Engineeringprincipes beveiligde systemen | Beleid |
APO_B.04.03 | principes | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. | Engineeringprincipes beveiligde systemen | Beleid |
APO_B.04.04 | principes | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Engineeringprincipes beveiligde systemen | Beleid |
APO_B.05.01 | perspectieven | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| Business Impact Analyse | Beleid |
APO_B.05.02 | scenario's | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Business Impact Analyse | Beleid |
APO_B.05.03 | BIVC-aspecten | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Business Impact Analyse | Beleid |
APO_B.06.01 | privacy en bescherming van persoonsgegevens | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.06.02 | privacy en bescherming van persoonsgegevens | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.06.03 | privacy en bescherming van persoonsgegevens | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.06.04 | privacy en bescherming van persoonsgegevens | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.06.05 | privacy en bescherming van persoonsgegevens | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.06.06 | wet- en regelgeving | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
APO_B.07.01 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.02 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.03 | kwaliteitsmanagement systeem | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.04 | kwaliteitsmanagement systeem | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.05 | kwaliteitsmanagement systeem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.06 | kwaliteitsmanagement systeem | Aan het management worden evaluatie rapportages verstrekt. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.07.07 | kwaliteitsmanagement systeem | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | Kwaliteitsmanagement systeem (KMS) | Beleid |
APO_B.08.01 | programmabroncode en broncode bibliotheken | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Beleid |
APO_B.08.02 | programmabroncode en broncode bibliotheken | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | Toegangsbeveiliging op programmacode | Beleid |
APO_B.09.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Projectorganisatie | Beleid |
APO_B.09.02 | beveiligingsvoorschriften | De beveiligingsfunctionaris geeft o.a. inzicht in:
| Projectorganisatie | Beleid |
APO_C.01.01 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.02 | richtlijnen | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.03 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.04 | richtlijnen | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.05 | richtlijnen | De QA methodiek wordt conform de richtlijnen nageleefd. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.06 | controleactiviteiten en rapportages | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.01.07 | ontwikkelactiviteiten | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
APO_C.02.01 | procesmatig | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versie Management | Control |
APO_C.02.02 | procesmatig | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | Versie Management | Control |
APO_C.02.03 | procesmatig | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versie Management | Control |
APO_C.02.04 | efficiënte wijze | Een versiebeheertool wordt toegepast die onder andere:
| Versie Management | Control |
APO_C.03.01 | procesmatig en procedureel | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement van externe programmacode | Control |
APO_C.03.02 | procesmatig en procedureel | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | Patchmanagement van externe programmacode | Control |
APO_C.03.03 | procesmatig en procedureel | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | Patchmanagement van externe programmacode | Control |
APO_C.03.04 | technische kwetsbaarheden | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement van externe programmacode | Control |
APO_C.03.05 | technische kwetsbaarheden | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement van externe programmacode | Control |
APO_C.03.06 | tijdig | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | Patchmanagement van externe programmacode | Control |
APO_C.04.01 | configuratie-administratie | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | (Software) configuratie management | Control |
APO_C.04.02 | configuratie-administratie | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software) configuratie management | Control |
APO_C.04.03 | configuratie-administratie | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | (Software) configuratie management | Control |
APO_C.05.01 | compliance management proces | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | Compliance management | Control |
APO_C.05.02 | compliance management proces | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance management | Control |
APO_C.06.01 | quality assurance proces | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | Quality assurance | Control |
APO_C.06.02 | quality assurance proces | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| Quality assurance | Control |
APO_C.06.03 | quality assurance proces | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Control |
APO_C.06.04 | quality assurance proces | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | Quality assurance | Control |
APO_C.07.01 | verandering van besturingsplatforms | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Control |
APO_C.08.01 | structuur van de beheersprocessen | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | Control |
APO_C.08.02 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersing van software ontwikkeling(sprojecten) | Control |
APO_C.08.03 | taken, verantwoordelijkheden en bevoegdheden | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | Control |
APO_C.08.04 | taken, verantwoordelijkheden en bevoegdheden | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersing van software ontwikkeling(sprojecten) | Control |
APO_U.01.01 | levenscyclus | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
APO_U.01.02 | levenscyclus | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
APO_U.01.03 | formele procedures | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
APO_U.01.04 | formele procedures | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
APO_U.02.01 | regels | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
APO_U.02.02 | regels | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
APO_U.02.03 | regels | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
APO_U.03.01 | regels | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.02 | regels | (Programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.03 | regels | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.04 | best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.05 | best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.06 | best practices | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.03.07 | best practices | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | Richtlijnen voor programmacode (best practices) | Uitvoering |
APO_U.04.01 | functionele eisen | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | Analyse en specificatie van informatiesystemen | Uitvoering |
APO_U.04.02 | functionele eisen | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | Analyse en specificatie van informatiesystemen | Uitvoering |
APO_U.04.03 | functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | Analyse en specificatie van informatiesystemen | Uitvoering |
APO_U.04.04 | functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | Analyse en specificatie van informatiesystemen | Uitvoering |
APO_U.04.05 | functionele eisen | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | Analyse en specificatie van informatiesystemen | Uitvoering |
APO_U.05.01 | beveiligingseisen | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
APO_U.05.02 | beveiligingseisen | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
APO_U.05.03 | beveiligingseisen | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
APO_U.05.04 | beveiligingseisen | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
APO_U.06.01 | business vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie ontwerp | Uitvoering |
APO_U.06.02 | omgevingsanalyse | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| Applicatie ontwerp | Uitvoering |
APO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | Applicatie ontwerp | Uitvoering |
APO_U.07.01 | invoerfuncties | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.02 | verwerkingsfuncties | Geprogrammeerde controles worden ondersteund. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.03 | verwerkingsfuncties | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.04 | verwerkingsfuncties | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.05 | verwerkingsfuncties | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | Applicatie functionaliteiten | Uitvoering |
APO_U.07.06 | verwerkingsfuncties | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.07 | verwerkingsfuncties | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.08 | verwerkingsfuncties | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatie functionaliteiten | Uitvoering |
APO_U.07.09 | uitvoerfuncties | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | Applicatie functionaliteiten | Uitvoering |
APO_U.08.01 | (industrie) good practice | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Uitvoering |
APO_U.08.02 | (industrie) good practice | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | Applicatiebouw | Uitvoering |
APO_U.08.03 | (industrie) good practice | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | Applicatiebouw | Uitvoering |
APO_U.08.04 | (industrie) good practice | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Uitvoering |
APO_U.08.05 | (industrie) good practice | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | Uitvoering |
APO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Uitvoering |
APO_U.08.07 | juiste skills/tools | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | Uitvoering |
APO_U.09.01 | bedrijfsfunctionaliteiten | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | Testen van systeembeveiliging | Uitvoering |
APO_U.09.02 | beveiligingsfunctionaliteiten | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Testen van systeembeveiliging | Uitvoering |
APO_U.10.01 | acceptatietests | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | Systeem acceptatietests | Uitvoering |
APO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt. | Systeem acceptatietests | Uitvoering |
APO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeem acceptatietests | Uitvoering |
APO_U.10.04 | acceptatietests | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Systeem acceptatietests | Uitvoering |
APO_U.10.05 | acceptatietests | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Systeem acceptatietests | Uitvoering |
APO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Systeem acceptatietests | Uitvoering |
APO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| Systeem acceptatietests | Uitvoering |
APO_U.11.01 | testgegevens | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
| Beschermen van testgegevens | Uitvoering |
APO_U.12.01 | beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.02 | beveiligde ontwikkelomgevingen | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.03 | beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.04 | beveiligde ontwikkelomgevingen | Voor remote werkzaamheden is een werkwijze vastgelegd. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.05 | beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.06 | beveiligde ontwikkelomgevingen | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.07 | beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.08 | beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
APO_U.12.09 | beveiligde ontwikkelomgevingen | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Uitvoering |
APO_U.13.01 | koppelingsrichtlijnen | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | Applicatiekoppelingen | Uitvoering |
APO_U.13.02 | koppelingsrichtlijnen | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppelingen | Uitvoering |
APO_U.13.03 | koppelingsrichtlijnen | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | Applicatiekoppelingen | Uitvoering |
APO_U.13.04 | koppelingsrichtlijnen | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppelingen | Uitvoering |
APO_U.14.01 | logging | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | Logging en monitoring | Uitvoering |
APO_U.14.02 | logging | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | Logging en monitoring | Uitvoering |
APO_U.14.03 | logging | De loggegevens zijn beveiligd. | Logging en monitoring | Uitvoering |
APO_U.14.04 | logging | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring | Uitvoering |
APO_U.14.05 | monitoring | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring | Uitvoering |
APO_U.14.06 | monitoring | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring | Uitvoering |
APO_U.15.01 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| Applicatie architectuur | Uitvoering |
APO_U.15.02 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | Het architectuurdocument wordt actief onderhouden. | Applicatie architectuur | Uitvoering |
APO_U.15.03 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | Applicatie architectuur | Uitvoering |
APO_U.15.04 | samenhang | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie architectuur | Uitvoering |
APO_U.15.05 | samenhang | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | Applicatie architectuur | Uitvoering |
APO_U.15.06 | samenhang | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk. | Applicatie architectuur | Uitvoering |
APO_U.16.01 | faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Uitvoering |
APO_U.16.02 | faciliteiten | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Uitvoering |
APO_U.16.03 | faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Uitvoering |
APO_U.16.04 | faciliteiten | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Uitvoering |
APO_U.16.05 | faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Uitvoering |
CLD_B.01.01 | wettelijke, statutaire en regelgevende eisen | De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten. | Wet- en regelgeving | Beleid |
CVZ_B.01.01 | Beleidsregels | Het beleid of de richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.02 | Beleidsregels | Het beleid of de richtlijnen omschrijven het toepassen van cryptografie voor de bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.03 | Beleidsregels | Het beleid of de richtlijnen omschrijven welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.04 | Procedures | De procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.05 | Procedures | De procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht met elektronische communicatie (zie paragraaf 12.2.1 van de ISO 27002 2017). | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.06 | Procedures | De procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures informatietransport | Beleid |
CVZ_B.01.07 | Beheersmaatregelen | E-mailberichten worden met vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures informatietransport | Beleid |
CVZ_B.02.01 | Overeenkomsten | Overeenkomsten over informatietransport bevatten onder andere de volgende elementen:
| Overeenkomsten over informatietransport | Beleid |
CVZ_B.02.02 | Overeenkomsten | In de overeenkomst behoren alle betrokken partijen expliciet genoemd te zijn. | Overeenkomsten over informatietransport | Beleid |
CVZ_B.03.01 | Cryptografiebeleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | Beleid |
CVZ_B.03.02 | Cryptografiebeleid | Aanvullend bevat het cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Beleid |
CVZ_B.04.01 | Organisatiestructuur | In de organisatiestructuur voor het netwerkbeheer zijn onder andere de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault- en beveiligingsbeheer (security management) | Organisatiestructuur van netwerkbeheer | Beleid |
CVZ_B.04.02 | Organisatiestructuur | De beheer(sings)processen hebben volgens het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie. | Organisatiestructuur van netwerkbeheer | Beleid |
CVZ_B.04.03 | Organisatiestructuur | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur van netwerkbeheer | Beleid |
CVZ_C.01.01 | Naleving | De naleving van het netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd door een audit met tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | Control |
CVZ_C.02.01 | Inrichting | De controlelijst voor een veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Compliance toets netwerkbeveiliging | Control |
CVZ_C.02.02 | Periodiek | Informatiesystemen worden jaarlijks gecontroleerd op de technische naleving van beveiligingsnormen en risico’s op de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Compliance toets netwerkbeveiliging | Control |
CVZ_C.02.03 | Verantwoordelijk | De resultaten worden gerapporteerd aan het verantwoordelijke management. | Compliance toets netwerkbeveiliging | Control |
CVZ_C.03.01 | Robuustheid | De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren robuustheid netwerkbeveiliging | Control |
CVZ_C.04.01 | Onderzoek van gebeurtenissen | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerkgebeurtenissen (monitoring) | Control |
CVZ_C.04.02 | Onderzoek van gebeurtenissen | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerkgebeurtenissen (monitoring) | Control |
CVZ_C.05.01 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheerorganisatie netwerkbeveiliging | Control |
CVZ_C.05.02 | Verantwoordelijkheden | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht, te weten:
| Beheerorganisatie netwerkbeveiliging | Control |
CVZ_U.01.01 | Ontwerp | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.01.02 | Ontwerp | Leidende ontwerpprincipes, zoals ‘defence in depth’ (of anders geformuleerd ‘inbraak betekent geen doorbraak’) worden gehanteerd. Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, back-up van configuratiegegevens en snel beschikbare reservedelen. | Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.01.03 | Ontwerp | Netwerkbeveiliging is gebaseerd op International Telecommunication Union - Telecommunications sector (ITU-T) X.80x (zie de ISO 27001 2017 Annex C). | Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.01.04 | Ontwerp | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.01.05 | Implementatie | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform de ISO 27033-2 2012. | Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.01.06 | Beheer | Netwerken zijn zo opgezet dat ze centraal beheerd kunnen worden. | Richtlijnen netwerkbeveiliging | Uitvoering |
CVZ_U.02.01 | Inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Uitvoering |
CVZ_U.02.02 | Inlogprocedure | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie. | Beveiligde inlogprocedure | Uitvoering |
CVZ_U.02.03 | Inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden waarvoor expliciete inlogmechanismen worden toegepast, zijn:
Voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken.
Voor toepassingen waarbij de ‘standaard’-authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd.
| Beveiligde inlogprocedure | Uitvoering |
CVZ_U.03.01 | Beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.03.02 | Beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.03.03 | Beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.03.04 | Beheerd | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.03.05 | Beheerst | De functies van operationeel netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.03.06 | Beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerk beveiligingsbeheer | Uitvoering |
CVZ_U.04.01 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten | Voor de vertrouwelijkheids- of geheimhoudingsovereenkomsten worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Uitvoering |
CVZ_U.05.01 | Beveiligingsmechanismen | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het Nationaal Bureau Verbindingsveiligheid (NBV) een positief inzetadvies heeft afgegeven. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.02 | Beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.03 | Beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende Open Systems Interconnection (OSI)-lagen:
Voor authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: encryptie.
Voor veilige point to point-verbindingen: encryptie.
| Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.04 | Dienstverleningsniveaus | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.05 | Beheereisen | Het dataverkeer dat de organisatie binnenkomt of uitgaat, wordt bewaakt/geanalyseerd op kwaadaardige elementen middels detectie-voorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.05.06 | Beheereisen | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het Nationaal Cybersecurity Centrum (NCSC) of de sectorale Computer Emergency Response Team (CERT), bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Uitvoering |
CVZ_U.06.01 | Gescheiden (in domeinen) | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Uitvoering |
CVZ_U.06.02 | Gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Uitvoering |
CVZ_U.06.03 | Gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van de informatie tussen netwerkdomeinen wordt beheerst met een gateway (bijvoorbeeld een firewall en een filterende router). | Zonering en filtering | Uitvoering |
CVZ_U.06.04 | Gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als een externe verbinding en wordt beveiligd met de eisen geldend voor externe verbindingen. | Zonering en filtering | Uitvoering |
CVZ_U.07.01 | Passend | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de ‘pas- toe-of-leg-uit’- lijst van het Forum Standaardisatie. | Elektronische berichten | Uitvoering |
CVZ_U.07.02 | Passend | Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas-toe-of-leg-uit-lijst van het Forum Standaardisatie, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Uitvoering |
CVZ_U.07.03 | Passend | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van Public Key Infrastructure (PKI)-Overheid-certificaten. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Uitvoering |
CVZ_U.07.04 | Passend | Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de Advanced Electronic Signatures (AdES) Baseline Profile standaard of de European Telecommunications Standards Institute (ETSI) TS 102 176-1 (en relevante standaarden uit de pas-toe-of-leg-uit lijst van het Forum Standaardisatie). | Elektronische berichten | Uitvoering |
CVZ_U.07.05 | Passend | Voor de beveiliging van het elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Uitvoering |
CVZ_U.08.01 | Openbare netwerken | Met de communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Uitvoering |
CVZ_U.09.01 | Filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument dat de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateway/Firewall | Uitvoering |
CVZ_U.09.02 | Filterfunctie | De filterfunctie van gateways en firewalls zijn instelbaar. | Gateway/Firewall | Uitvoering |
CVZ_U.09.03 | Filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden, indien aanwezig, doorgegeven aan centrale systemen zoals Security Information and Event Management (SIEM). | Gateway/Firewall | Uitvoering |
CVZ_U.09.04 | Toegestaan netwerkverkeer | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateway/Firewall | Uitvoering |
CVZ_U.10.01 | Gescheiden end-to-end connectie | De end-to-end-connectie:
| Virtual Private Networks (VPN) | Uitvoering |
CVZ_U.11.01 | Vertrouwelijkheid | Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen de zender en ontvanger wordt versleuteling toegepast op een of meer van de juiste verbindingslagen (Open Systems Interconnection (OSI)-laag 1 t/m 7). Public Key Infrastructure (PKI) faciliteert deze functie. | Cryptografische Services | Uitvoering |
CVZ_U.11.02 | Integriteit | Voor het waarborgen van de integriteit van de communicatie tussen de zender en ontvanger wordt een digitale ondertekening toegepast. Toepassingsvoorbeelden zijn:
| Cryptografische Services | Uitvoering |
CVZ_U.11.03 | Cryptografische | Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. | Cryptografische Services | Uitvoering |
CVZ_U.11.04 | Beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industrie-standaarden, voor de sterkte, met een voor de toepassing en contextrelevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie-lijst:
| Cryptografische Services | Uitvoering |
CVZ_U.12.01 | Authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en beveiligingslagen altijd toegepast:
| Draadloze toegang | Uitvoering |
CVZ_U.13.01 | Verbindingen | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnecties | Uitvoering |
CVZ_U.13.02 | Bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van het beveiligingsbeleid wordt gelogd. | Netwerkconnecties | Uitvoering |
CVZ_U.14.01 | Authenticatie van netwerknodes | Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerk-device gecontroleerd (Extensible Authentication Protocol - Transport Layer Security (EAP-TLS)). | Netwerkauthenticatie | Uitvoering |
CVZ_U.14.02 | Authenticatie van netwerknodes | Alleen de specifiek voor het netwerk toegestane netwerk-devices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (Institution of Electrical Engineers (IEE) 802.1x). | Netwerkauthenticatie | Uitvoering |
CVZ_U.15.01 | Beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
| Netwerkbeheeractiviteiten | Uitvoering |
CVZ_U.15.02 | Beheerst | Netwerkbeheer omvat het doorvoeren van logische en fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerkbeheeractiviteiten | Uitvoering |
CVZ_U.16.01 | Gemaakt en bewaard | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Uitvoering |
CVZ_U.16.02 | Beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd bijvoorbeeld met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Uitvoering |
CVZ_U.17.01 | Samenhang | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem. | Netwerkbeveiligingsarchitectuur | Uitvoering |
CVZ_U.17.02 | Samenhang | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerkbeveiligingsarchitectuur | Uitvoering |
CVZ_U.17.03 | Samenhang | De netwerktopologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerkbeveiligingsarchitectuur | Uitvoering |
Cloud_B.01.02 | wettelijke, statutaire en regelgevende eisen | De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving | Beleid |
Cloud_B.01.03 | wettelijke, statutaire en regelgevende eisen | De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG. | Wet- en regelgeving | Beleid |
Cloud_B.01.04 | wettelijke, statutaire en regelgevende eisen | De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving | Beleid |
Cloud_B.01.05 | contractuele eisen | Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving | Beleid |
Cloud_B.01.06 | aanpak | De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving | Beleid |
Cloud_B.02.01 | cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Beleid |
Cloud_B.02.02 | cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de CSP:
| Cloudbeveiligingsstrategie | Beleid |
Cloud_B.02.03 | samenhangt | De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Beleid |
Cloud_B.03.01 | bepalingen | De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
| Exit-strategie | Beleid |
Cloud_B.03.02 | condities | De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie | Beleid |
Cloud_B.04.01 | cloudbeveiligingsbeleid | Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
| Clouddienstenbeleid | Beleid |
Cloud_B.05.01 | systeembeschrijving | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Beleid |
Cloud_B.05.02 | jurisdictie | De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | Beleid |
Cloud_B.05.03 | onderzoeksmogelijkheden | De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden. | Transparantie | Beleid |
Cloud_B.05.04 | certificaten | De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten. | Transparantie | Beleid |
Cloud_B.06.01 | verantwoordelijkheden | De verantwoordelijkheden van de CSP zijn onder andere:
| Risicomanagement | Beleid |
Cloud_B.06.02 | verantwoordelijkheden | De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP. | Risicomanagement | Beleid |
Cloud_B.06.03 | risicomanagementproces | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beleid |
Cloud_B.07.01 | IT-functionaliteiten | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteiten | Beleid |
Cloud_B.07.02 | IT-functionaliteiten | Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur. | IT-functionaliteiten | Beleid |
Cloud_B.07.03 | IT-functionaliteiten | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteiten | Beleid |
Cloud_B.07.04 | robuuste en beveiligde systeemketen | De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten. | IT-functionaliteiten | Beleid |
Cloud_B.07.05 | robuuste en beveiligde systeemketen | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteiten | Beleid |
Cloud_B.08.01 | verantwoordelijkheid voor BCM | De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.02 | verantwoordelijkheid voor BCM | De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.03 | verantwoordelijkheid voor BCM | Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.04 | verantwoordelijkheid voor BCM | Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.05 | beleid en procedures | Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.06 | bedrijfscontinuïteitsplanning | De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.07 | verificatie en updaten | De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.08 | verificatie en updaten | Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.08.09 | computercentra | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
Cloud_B.09.01 | beveiligingsaspecten en stadia | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Data en privacy | Beleid |
Cloud_B.09.02 | toegang en privacy | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie. | Data en privacy | Beleid |
Cloud_B.09.03 | classificatie/labelen | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie. | Data en privacy | Beleid |
Cloud_B.09.04 | classificatie/labelen | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Data en privacy | Beleid |
Cloud_B.09.05 | classificatie/labelen | De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten. | Data en privacy | Beleid |
Cloud_B.09.06 | eigenaarschap | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Data en privacy | Beleid |
Cloud_B.09.07 | eigenaarschap | In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Data en privacy | Beleid |
Cloud_B.09.08 | locatie | De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Data en privacy | Beleid |
Cloud_B.10.01 | beveiligingsfunctie | De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
| Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.02 | beveiligingsfunctie | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.03 | organisatorische positie | De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.04 | taken, verantwoordelijkheden en bevoegdheden | De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.05 | taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.06 | functionarissen | De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.07 | rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.10.08 | rapportagelijnen | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie Clouddiensten | Beleid |
Cloud_B.11.01 | raamwerk | Het raamwerk bevat de volgende aspecten:
| Clouddiensten-architectuur | Beleid |
Cloud_B.11.02 | samenhang en afhankelijkheden | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven. | Clouddiensten-architectuur | Beleid |
Cloud_C.01.01 | richtlijnen | De CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie. | Service-managementbeleid en evaluatie richtlijnen | Control |
Cloud_C.01.02 | richtlijnen | De CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. | Service-managementbeleid en evaluatie richtlijnen | Control |
Cloud_C.01.03 | controle-activiteiten en rapportages | De CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
| Service-managementbeleid en evaluatie richtlijnen | Control |
Cloud_C.02.01 | gemonitord en gereviewd | De CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. | Risico-control | Control |
Cloud_C.02.02 | gemonitord en gereviewd | De vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen. | Risico-control | Control |
Cloud_C.02.03 | gemonitord en gereviewd | De CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
| Risico-control | Control |
Cloud_C.02.04 | gemonitord en gereviewd | De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. | Risico-control | Control |
Cloud_C.02.05 | gemonitord en gereviewd | Bij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
| Risico-control | Control |
Cloud_C.03.01 | compliancy | Ten behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Compliance en assurance | Control |
Cloud_C.03.02 | compliancy | De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. | Compliance en assurance | Control |
Cloud_C.03.03 | compliancy | Het compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS). | Compliance en assurance | Control |
Cloud_C.03.04 | assurance | De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten. | Compliance en assurance | Control |
Cloud_C.03.05 | assurance | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Compliance en assurance | Control |
Cloud_C.03.06 | aansluiting | De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten. | Compliance en assurance | Control |
Cloud_C.04.01 | technische kwetsbaarheden | De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.02 | technische kwetsbaarheden | De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.03 | technische kwetsbaarheden | Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.04 | technische kwetsbaarheden | Het tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.05 | technische kwetsbaarheden | Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.06 | technische kwetsbaarheden | Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
| Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.07 | geëvalueerd | De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.04.08 | geëvalueerd | De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. | Technische kwetsbaarhedenbeheer | Control |
Cloud_C.05.01 | gemonitord en gerapporteerd | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast. | Security-monitoring | Control |
Cloud_C.05.02 | gemonitord en gerapporteerd | Het monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
| Security-monitoring | Control |
Cloud_C.05.03 | gemonitord en gerapporteerd | Het monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
| Security-monitoring | Control |
Cloud_C.05.04 | gemonitord en gerapporteerd | De informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd. | Security-monitoring | Control |
Cloud_C.05.05 | gemonitord en gerapporteerd | Aantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages. | Security-monitoring | Control |
Cloud_C.05.06 | gemonitord en gerapporteerd | De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen. | Security-monitoring | Control |
Cloud_C.06.01 | processtructuur | De samenhang van de processen wordt in een processtructuur vastgelegd. | Beheerorganisatie clouddiensten | Control |
Cloud_C.06.02 | taken, verantwoordelijkheden en bevoegdheden | De CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheerorganisatie clouddiensten | Control |
Cloud_C.06.03 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheerorganisatie clouddiensten | Control |
Cloud_U.01.01 | nationale standaarden | De CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen. | Standaarden voor clouddiensten | Uitvoering |
Cloud_U.01.02 | internationale standaarden | De CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
| Standaarden voor clouddiensten | Uitvoering |
Cloud_U.02.01 | risico-analyse | De risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP. | Risico-assessment | Uitvoering |
Cloud_U.02.02 | risico-evaluatie | De geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria. | Risico-assessment | Uitvoering |
Cloud_U.03.01 | redundantie | De overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties. | Bedrijfscontinuïteitsservices | Uitvoering |
Cloud_U.03.02 | continuïteitseisen | De met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen. | Bedrijfscontinuïteitsservices | Uitvoering |
Cloud_U.04.01 | herstelfunctie | De data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld. | Herstelfunctie voor data en clouddiensten | Uitvoering |
Cloud_U.04.02 | herstelfunctie | Het continue proces van herstelbaar beveiligen van data wordt gemonitord. | Herstelfunctie voor data en clouddiensten | Uitvoering |
Cloud_U.04.03 | getest | Het toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC. | Herstelfunctie voor data en clouddiensten | Uitvoering |
Cloud_U.05.01 | cryptografische maatregelen | Gegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd. | Data-protectie | Uitvoering |
Cloud_U.05.02 | cryptografische maatregelen | De binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd. | Data-protectie | Uitvoering |
Cloud_U.06.01 | bewaartermijn | De gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet. | Dataretentie en vernietiging gegevens | Uitvoering |
Cloud_U.06.02 | technologie-onafhankelijk raadpleegbaar | Gegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn. | Dataretentie en vernietiging gegevens | Uitvoering |
Cloud_U.06.03 | onveranderbaar | Gegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd. | Dataretentie en vernietiging gegevens | Uitvoering |
Cloud_U.06.04 | vernietigd | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd. | Dataretentie en vernietiging gegevens | Uitvoering |
Cloud_U.06.05 | vernietigd | Bij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen. | Dataretentie en vernietiging gegevens | Uitvoering |
Cloud_U.07.01 | geïsoleerd | Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt. | Scheiding van data | Uitvoering |
Cloud_U.07.02 | geïsoleerd | Isolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s. | Scheiding van data | Uitvoering |
Cloud_U.07.03 | beheerfuncties | De bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd. | Scheiding van data | Uitvoering |
Cloud_U.08.01 | gescheiden | De CSP realiseert de volgende scheiding van clouddienstverlening:
| Scheiding van dienstverlening | Uitvoering |
Cloud_U.09.01 | beheersmaatregelen | De CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen. | Malware-protectie | Uitvoering |
Cloud_U.09.02 | beheersmaatregelen | De CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware. | Malware-protectie | Uitvoering |
Cloud_U.09.03 | detectie, preventie en herstel | De malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
| Malware-protectie | Uitvoering |
Cloud_U.10.01 | gebruikers | De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
| Toegang tot IT-diensten en data | Uitvoering |
Cloud_U.10.02 | gebruikers | Onder verantwoordelijkheid van de CSP wordt aan beheerders:
| Toegang tot IT-diensten en data | Uitvoering |
Cloud_U.10.03 | gebruikers | Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data. | Toegang tot IT-diensten en data | Uitvoering |
Cloud_U.10.04 | bevoegd | Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. | Toegang tot IT-diensten en data | Uitvoering |
Cloud_U.10.05 | bevoegd | Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept. | Toegang tot IT-diensten en data | Uitvoering |
Cloud_U.11.01 | beleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Crypto-services | Uitvoering |
Cloud_U.11.02 | cryptografische maatregelen | In geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd. | Crypto-services | Uitvoering |
Cloud_U.11.03 | versleuteld | Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie. | Crypto-services | Uitvoering |
Cloud_U.12.01 | netwerkconnecties | In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren. | Koppelvlakken | Uitvoering |
Cloud_U.12.02 | netwerkconnecties | Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt). | Koppelvlakken | Uitvoering |
Cloud_U.12.03 | netwerkconnecties | Beheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC. | Koppelvlakken | Uitvoering |
Cloud_U.12.04 | netwerkconnecties | Dataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen. | Koppelvlakken | Uitvoering |
Cloud_U.12.05 | bewaakt | Het dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Koppelvlakken | Uitvoering |
Cloud_U.12.06 | bewaakt | De CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Koppelvlakken | Uitvoering |
Cloud_U.12.07 | beheerst | Ontdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Koppelvlakken | Uitvoering |
Cloud_U.13.01 | coördinatie | Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s). | Service-orkestratie | Uitvoering |
Cloud_U.13.02 | service-componenten | De functionele samenhang van de service-componenten zijn beschreven. | Service-orkestratie | Uitvoering |
Cloud_U.13.03 | service-componenten | Voor orkestratie van cloudservices is de volgende informatie benodigd:
| Service-orkestratie | Uitvoering |
Cloud_U.14.01 | interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving | Om de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces. | Interoperabiliteit en portabiliteit | Uitvoering |
Cloud_U.14.02 | portabiliteit | Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd. | Interoperabiliteit en portabiliteit | Uitvoering |
Cloud_U.15.01 | gebeurtenissen geregistreerd | Het overtreden van de beleidsregels wordt door CSP en CSC vastgelegd. | Logging en monitoring | Uitvoering |
Cloud_U.15.02 | gebeurtenissen geregistreerd | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Logging en monitoring | Uitvoering |
Cloud_U.15.03 | gebeurtenissen geregistreerd | De CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid. | Logging en monitoring | Uitvoering |
Cloud_U.15.04 | gebeurtenissen geregistreerd | Aan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Logging en monitoring | Uitvoering |
Cloud_U.15.05 | gebeurtenissen geregistreerd | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP. | Logging en monitoring | Uitvoering |
Cloud_U.15.06 | gebeurtenissen geregistreerd | Wijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken). | Logging en monitoring | Uitvoering |
Cloud_U.16.01 | samenhang | De architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
| Clouddiensten-architectuur | Uitvoering |
Cloud_U.17.01 | versleuteld | CSC-data op transport en in rust is versleuteld. | Multi-tenant architectuur | Uitvoering |
Cloud_U.17.02 | gescheiden | Virtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht. | Multi-tenant architectuur | Uitvoering |
Cloud_U.17.03 | gehardende | Virtuele machine-platforms zijn gehardend. | Multi-tenant architectuur | Uitvoering |
HVI_B.01.01 | Huisvesting IV-beleid | De organisatie heeft een huisvesting IV-beleid opgesteld dat:
| Huisvesting IV-beleid | Beleid |
HVI_B.01.02 | Beleidsregels huisvesting IV | Beleidsregels over het huisvesting IV-beleid behandelen eisen die voortkomen uit:
| Huisvesting IV-beleid | Beleid |
HVI_B.01.03 | Beleidsregels huisvesting IV | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting IV, zoals:
| Huisvesting IV-beleid | Beleid |
HVI_B.02.01 | Wettelijke, Statutaire, Regelgevende en Contractuele eisen | De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV. | Wet en regelgeving | Beleid |
HVI_B.02.02 | Wettelijke, Statutaire, Regelgevende en Contractuele eisen | Het huisvesting IV-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Wet en regelgeving | Beleid |
HVI_B.03.01 | Eigenaar | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting IV-bedrijfsmiddel, zijn als eigenaar benoemd. | Eigenaarschap | Beleid |
HVI_B.03.02 | Eigenaar | Het eigenaarschap van een huisvesting IV-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Eigenaarschap | Beleid |
HVI_B.03.03 | Eigenaar | De eigenaar van het huisvesting IV-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | Eigenaarschap | Beleid |
HVI_B.03.04 | Eigenaar | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Eigenaarschap | Beleid |
HVI_B.04.01 | Gangbare standaarden | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Certificering | Beleid |
HVI_B.04.02 | Gangbare standaarden | Huisvesting IV die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificering | Beleid |
HVI_B.05.01 | Kwalitatieve en kwantitatieve eisen | De eisen en specificaties voor huisvesting IV zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Contractmanagement | Beleid |
HVI_B.05.02 | Overeenkomsten | Het verwerven van huisvesting IV vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Contractmanagement | Beleid |
HVI_B.05.03 | Overeenkomsten | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Contractmanagement | Beleid |
HVI_B.05.04 | Overeenkomsten | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures(DAP’s). | Contractmanagement | Beleid |
HVI_B.05.05 | Overeenkomsten | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Contractmanagement | Beleid |
HVI_B.06.01 | Service level agreement | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Service Levelmanagement | Beleid |
HVI_B.06.02 | Service level agreement | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | Service Levelmanagement | Beleid |
HVI_B.06.03 | Service level agreement | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery). | Service Levelmanagement | Beleid |
HVI_B.07.01 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | Interne en Externe bedreigingen | Beleid |
HVI_B.07.02 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Interne en Externe bedreigingen | Beleid |
HVI_B.07.03 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | Interne en Externe bedreigingen | Beleid |
HVI_B.07.04 | Natuurrampen, Kwaadwillige aanvallen en Ongelukken | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | Interne en Externe bedreigingen | Beleid |
HVI_B.08.01 | Bewustzijnsopleiding, –training en Bijscholing | Binnen huisvesting IV nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Training en Awareness | Beleid |
HVI_B.08.02 | Bewustzijnsopleiding, –training en Bijscholing | Aan de medewerkers wordt regelmatig (e-learning)training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Training en Awareness | Beleid |
HVI_B.09.01 | Organisatiestructuur | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting IV een formele positie. | Organisatiestructuur | Beleid |
HVI_B.09.02 | Organisatiestructuur | Voor huisvesting IV is een organisatieschema beschikbaar. | Organisatiestructuur | Beleid |
HVI_B.09.03 | Functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de huisvestingsorganisatie. | Organisatiestructuur | Beleid |
HVI_B.09.04 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet vastgelegd en belegd. | Organisatiestructuur | Beleid |
HVI_C.01.01 | Richtlijnen | De huisvesting IV-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | Controle-richtlijnen huisvesting IV | Control |
HVI_C.01.02 | Richtlijnen | De huisvesting IV-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Controle-richtlijnen huisvesting IV | Control |
HVI_C.01.03 | Richtlijnen | De huisvesting IV-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Controle-richtlijnen huisvesting IV | Control |
HVI_C.01.04 | Richtlijnen | De huisvesting IV-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Controle-richtlijnen huisvesting IV | Control |
HVI_C.01.05 | Richtlijnen | De huisvesting IV-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Controle-richtlijnen huisvesting IV | Control |
HVI_C.02.01 | Onderhoudsplan | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Onderhoudsplan | Control |
HVI_C.02.02 | Onderhoudsbepalingen | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Onderhoudsplan | Control |
HVI_C.03.01 | Procesmatig | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Continuiteitsmanagement | Control |
HVI_C.03.02 | Procesmatig | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | Continuiteitsmanagement | Control |
HVI_C.03.03 | Hersteld en voortgezet | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Continuiteitsmanagement | Control |
HVI_C.03.04 | Hersteld en voortgezet | De herstelprocessen en -procedures voor de huisvesting IV-organisatie zijn gedocumenteerd. | Continuiteitsmanagement | Control |
HVI_C.03.05 | Hersteld en voortgezet | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Continuiteitsmanagement | Control |
HVI_C.03.06 | Hersteld en voortgezet | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Continuiteitsmanagement | Control |
HVI_C.03.07 | Hersteld en voortgezet | De huisvesting IV-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Continuiteitsmanagement | Control |
HVI_C.04.01 | Beheersorganisatie | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie huisvesting IV | Control |
HVI_C.04.02 | Beheersorganisatie | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersorganisatie huisvesting IV | Control |
HVI_C.04.03 | Beheersorganisatie | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersorganisatie huisvesting IV | Control |
HVI_C.04.04 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie huisvesting IV | Control |
HVI_U.01.01 | Richtlijnen | Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. | Richtlijnen gebieden en ruimten | Uitvoering |
HVI_U.01.02 | Richtlijnen | Zonder toezicht wordt niet gewerkt in de beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | Richtlijnen gebieden en ruimten | Uitvoering |
HVI_U.01.03 | Richtlijnen | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. | Richtlijnen gebieden en ruimten | Uitvoering |
HVI_U.01.04 | Richtlijnen | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Richtlijnen gebieden en ruimten | Uitvoering |
HVI_U.01.05 | Richtlijnen | Bezoekers van kritieke faciliteiten:
| Richtlijnen gebieden en ruimten | Uitvoering |
HVI_U.02.01 | Inventaris | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). | Bedrijfsmiddelen-inventaris | Uitvoering |
HVI_U.02.02 | Inventaris | De huisvesting IV-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
| Bedrijfsmiddelen-inventaris | Uitvoering |
HVI_U.02.03 | Inventaris | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. | Bedrijfsmiddelen-inventaris | Uitvoering |
HVI_U.02.04 | Inventaris | De huisvesting IV-organisatie heeft inventarisoverzichten, waarvoor geldt:
| Bedrijfsmiddelen-inventaris | Uitvoering |
HVI_U.03.01 | Beveilingszones | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
| Fysieke zonering | Uitvoering |
HVI_U.03.02 | Beveilingszones | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Fysieke zonering | Uitvoering |
HVI_U.03.03 | Beveilingszones | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Fysieke zonering | Uitvoering |
HVI_U.03.04 | Beveilingszones | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Fysieke zonering | Uitvoering |
HVI_U.03.05 | Beveilingszones | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Fysieke zonering | Uitvoering |
HVI_U.04.01 | Faciliteiten | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. | Beveiligingsfaciliteiten | Uitvoering |
HVI_U.04.02 | Faciliteiten | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Beveiligingsfaciliteiten | Uitvoering |
HVI_U.04.03 | Faciliteiten | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Beveiligingsfaciliteiten | Uitvoering |
HVI_U.04.04 | Faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). | Beveiligingsfaciliteiten | Uitvoering |
HVI_U.05.01 | Nutsvoorzieningen | Nutsvoorzieningen:
| Nutsvoorzieningen | Uitvoering |
HVI_U.05.02 | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Nutsvoorzieningen | Uitvoering |
HVI_U.05.03 | Nutsvoorzieningen | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. | Nutsvoorzieningen | Uitvoering |
HVI_U.05.04 | Nutsvoorzieningen | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Nutsvoorzieningen | Uitvoering |
HVI_U.06.01 | Geplaatst en beschermd | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. | Apparatuur-positionering | Uitvoering |
HVI_U.06.02 | Geplaatst en beschermd | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. | Apparatuur-positionering | Uitvoering |
HVI_U.07.01 | Correcte wijze | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur-onderhoud | Uitvoering |
HVI_U.07.02 | Correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Apparatuur-onderhoud | Uitvoering |
HVI_U.07.03 | Correcte wijze | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Apparatuur-onderhoud | Uitvoering |
HVI_U.07.04 | Correcte wijze | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Apparatuur-onderhoud | Uitvoering |
HVI_U.07.05 | Correcte wijze | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. | Apparatuur-onderhoud | Uitvoering |
HVI_U.07.06 | Correcte wijze | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Apparatuur-onderhoud | Uitvoering |
HVI_U.08.01 | Geverifieerd | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. | Apparatuur-verwijdering | Uitvoering |
HVI_U.08.02 | Verwijdering of betrouwbaar veilig zijn overschreven | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd.
De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data meer op het apparaat aanwezig of toegankelijk is.
Als verwijdering niet mogelijk is, wordt de data vernietigd.
| Apparatuur-verwijdering | Uitvoering |
HVI_U.09.01 | Bedrijfsmiddelen | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. | Bedrijfsmiddelenverwijdering | Uitvoering |
HVI_U.09.02 | Bedrijfsmiddelen | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. | Bedrijfsmiddelenverwijdering | Uitvoering |
HVI_U.09.03 | Bedrijfsmiddelen | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. | Bedrijfsmiddelenverwijdering | Uitvoering |
HVI_U.09.04 | Bedrijfsmiddelen | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Bedrijfsmiddelenverwijdering | Uitvoering |
HVI_U.09.05 | Bedrijfsmiddelen | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. | Bedrijfsmiddelenverwijdering | Uitvoering |
HVI_U.10.01 | Toegangspunten | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. | Laad en los locatie | Uitvoering |
HVI_U.10.02 | Toegangspunten | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. | Laad en los locatie | Uitvoering |
HVI_U.10.03 | Toegangspunten | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Laad en los locatie | Uitvoering |
HVI_U.10.04 | Toegangspunten | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. | Laad en los locatie | Uitvoering |
HVI_U.10.05 | Toegangspunten | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. | Laad en los locatie | Uitvoering |
HVI_U.10.06 | Toegangspunten | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Laad en los locatie | Uitvoering |
HVI_U.10.07 | Toegangspunten | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. | Laad en los locatie | Uitvoering |
HVI_U.11.01 | Voedingskabels | Kabels worden bij voorkeur ondergronds aangelegd. | Bekabeling | Uitvoering |
HVI_U.11.02 | Voedingskabels | Huisvesting IV is ingericht met de volgende best practices:
| Bekabeling | Uitvoering |
HVI_U.11.03 | Voedingskabels | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Bekabeling | Uitvoering |
HVI_U.12.01 | Architectuurvoorschriften | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting IV worden actief onderhouden. | Huisvesting IV-architectuur | Uitvoering |
HVI_U.12.02 | Architectuurvoorschriften | De inrichting van huisvesting IV en bekabelingen zijn gedocumenteerd. | Huisvesting IV-architectuur | Uitvoering |
HVI_U.12.03 | Documentatie | Het document met de inrichting van huisvesting IV en de bekabeling:
| Huisvesting IV-architectuur | Uitvoering |
PRIV_B.01.01.01 | privacybeleid | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.01.02 | privacybeleid | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.01.03 | privacybeleid | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.01.04 | privacybeleid | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.01.05 | privacybeleid | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.01.06 | privacybeleid | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.01 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.02 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.03 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.04 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.05 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.06 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.07 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.08 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.09 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.01.02.10 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
PRIV_B.02.01.01 | verdeling van de taken en verantwoordelijkheden | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Organieke inbedding | Beleid |
PRIV_B.02.01.02 | verdeling van de taken en verantwoordelijkheden | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Organieke inbedding | Beleid |
PRIV_B.02.01.03 | verdeling van de taken en verantwoordelijkheden | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Organieke inbedding | Beleid |
PRIV_B.02.01.04 | verdeling van de taken en verantwoordelijkheden | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Organieke inbedding | Beleid |
PRIV_B.02.02.01 | benodigde middelen | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Organieke inbedding | Beleid |
PRIV_B.02.03.01 | rapporteringslijnen | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Organieke inbedding | Beleid |
PRIV_B.03.01.01 | het beoordelen van de privacyrisico's | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.01.02 | het beoordelen van de privacyrisico's | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.01.03 | het beoordelen van de privacyrisico's | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.01.04 | het beoordelen van de privacyrisico's | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.02.01 | passende maatregelen | De maatregelen bestaan uit technische en organisatorische maatregelen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.02.02 | passende maatregelen | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.02.03 | passende maatregelen | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.02.04 | passende maatregelen | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.03.01 | aantonen | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.03.02 | aantonen | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.03.03 | aantonen | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.03.04 | aantonen | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_B.03.03.05 | aantonen | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
PRIV_C.01.01.01 | evaluatie | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Intern toezicht | Control |
PRIV_C.01.01.02 | evaluatie | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Intern toezicht | Control |
PRIV_C.01.01.03 | evaluatie | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Intern toezicht | Control |
PRIV_C.01.02.01 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Intern toezicht | Control |
PRIV_C.01.02.02 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Intern toezicht | Control |
PRIV_C.01.02.03 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Intern toezicht | Control |
PRIV_C.01.02.04 | rechtmatigheid aangetoond | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Intern toezicht | Control |
PRIV_C.01.02.05 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). | Intern toezicht | Control |
PRIV_C.01.02.06 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Intern toezicht | Control |
PRIV_C.01.02.07 | rechtmatigheid aangetoond | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Intern toezicht | Control |
PRIV_C.01.02.08 | rechtmatigheid aangetoond | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Intern toezicht | Control |
PRIV_C.01.02.09 | rechtmatigheid aangetoond | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Intern toezicht | Control |
PRIV_C.01.02.10 | rechtmatigheid aangetoond | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Intern toezicht | Control |
PRIV_C.02.01.01 | informatie over de verwerking van persoonsgegevens | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.01.02 | informatie over de verwerking van persoonsgegevens | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.01.03 | informatie over de verwerking van persoonsgegevens | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.02.01 | tijdig | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.02.02 | tijdig | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.03.01 | in een passende vorm | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.03.02 | in een passende vorm | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.03.03 | in een passende vorm | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.03.04 | in een passende vorm | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.03.05 | in een passende vorm | De verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.02.04.01 | specifieke uitzonderingsgrond | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Toegang gegevensverwerking voor betrokkenen | Control |
PRIV_C.03.01.01 | meldt een datalek | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Meldplicht Datalekken | Control |
PRIV_C.03.01.02 | meldt een datalek | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Meldplicht Datalekken | Control |
PRIV_C.03.01.03 | meldt een datalek | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Meldplicht Datalekken | Control |
PRIV_C.03.01.04 | meldt een datalek | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Meldplicht Datalekken | Control |
PRIV_C.03.01.05 | meldt een datalek | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldplicht Datalekken | Control |
PRIV_C.03.02.01 | gestelde termijn | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Meldplicht Datalekken | Control |
PRIV_C.03.02.02 | gestelde termijn | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Meldplicht Datalekken | Control |
PRIV_C.03.02.03 | gestelde termijn | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Meldplicht Datalekken | Control |
PRIV_C.03.02.04 | gestelde termijn | De melding aan de betrokkene gebeurt onverwijld. | Meldplicht Datalekken | Control |
PRIV_C.03.03.01 | documenteert de inbreuk | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Control |
PRIV_C.03.03.02 | documenteert de inbreuk | De documentatie stelt de AP in staat de naleving te controleren. | Meldplicht Datalekken | Control |
PRIV_C.03.03.03 | documenteert de inbreuk | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Control |
PRIV_C.03.03.04 | documenteert de inbreuk | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Meldplicht Datalekken | Control |
PRIV_C.03.04.01 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Meldplicht Datalekken | Control |
PRIV_C.03.04.02 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Meldplicht Datalekken | Control |
PRIV_U.01.01.01 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.01.02 | tijdig, welbepaald en uitdrukkelijk omschreven | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.01.03 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.01.04 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.02.01 | doeleinden | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.02.02 | doeleinden | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.02.03 | doeleinden | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.03.01 | rechtvaardiging verdere verwerking | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.03.02 | rechtvaardiging verdere verwerking | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.01 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.02 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.03 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.04 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.05 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.06 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.07 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.08 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.09 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.10 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.04.11 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.05.01 | strafrechtelijke veroordelingen en strafbare feiten | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.05.02 | strafrechtelijke veroordelingen en strafbare feiten | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.05.03 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
PRIV_U.01.05.04 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
PRIV_U.01.05.05 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
PRIV_U.01.06.01 | nationaal identificerend nummer | Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.07.01 | geautomatiseerde besluitvorming | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.07.02 | geautomatiseerde besluitvorming | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.07.03 | geautomatiseerde besluitvorming | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.08.01 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.01.08.02 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Doelbinding gegevensverwerking | Uitvoering |
PRIV_U.02.01.01 | register | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.01.02 | register | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.01.03 | register | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.01.04 | register | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.01.05 | register | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.01.06 | register | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.02.01 | actueel en samenhangend beeld | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.02.02 | actueel en samenhangend beeld | Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.02.03 | actueel en samenhangend beeld | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.02.02.04 | actueel en samenhangend beeld | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Register van verwerkingsactiviteiten | Uitvoering |
PRIV_U.03.01.01 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.01.02 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.01 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.02 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.03 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.04 | gecorrigeerd, gestaakt of overgedragen | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.05 | gecorrigeerd, gestaakt of overgedragen | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.06 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.07 | gecorrigeerd, gestaakt of overgedragen | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.02.08 | gecorrigeerd, gestaakt of overgedragen | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.01 | geïnformeerd | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.02 | geïnformeerd | Kwaliteitsmanagement | ||
PRIV_U.03.03.03 | geïnformeerd | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.04 | geïnformeerd | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.05 | geïnformeerd | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.06 | geïnformeerd | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.03.03.07 | geïnformeerd | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Kwaliteitsmanagement | Uitvoering |
PRIV_U.04.01.01 | technische en organisatorische maatregelen | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.04.01.02 | technische en organisatorische maatregelen | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.04.01.03 | technische en organisatorische maatregelen | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.04.01.04 | technische en organisatorische maatregelen | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering | |
PRIV_U.04.02.02 | een passend beveiligingsniveau | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.04.02.03 | een passend beveiligingsniveau | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
PRIV_U.05.01.01 | tijdig | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.01.02 | tijdig | InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.02.01 | informatie | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.02.02 | informatie | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.02.03 | informatie | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.03.01 | uitzondering | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.04.01 | toestemming | De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.05.04.02 | toestemming | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
PRIV_U.06.01.01 | nodige maatregelen | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.06.01.02 | nodige maatregelen | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.06.02.01 | bewaartermijn | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.06.02.02 | bewaartermijn | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.06.02.03 | bewaartermijn | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.06.02.04 | bewaartermijn | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Bewaren van persoonsgegevens | Uitvoering |
PRIV_U.07.01.01 | onderlinge verantwoordelijkheden | Bij doorgifte aan een andere verantwoordelijke zijn:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.02.01 | afdoende garanties | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.02.02 | afdoende garanties | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.02.03 | afdoende garanties | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.03.01 | vertegenwoordiger | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.03.02 | vertegenwoordiger | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.03.03 | vertegenwoordiger | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.04.01 | uitzonderingsgrond | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.04.02 | uitzonderingsgrond | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.05.01 | adequaatheidsbesluit | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.06.01 | passende waarborgen | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.06.02 | passende waarborgen | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.06.03 | passende waarborgen | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Doorgifte persoonsgegevens | Uitvoering |
PRIV_U.07.07.01 | afwijking voor een specifieke situatie | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Doorgifte persoonsgegevens | Uitvoering |
SERV_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Beleid |
SERV_B.01.02 | regels | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Beleid |
SERV_B.02.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers. | Principes voor inrichten van beveiligde servers | Beleid |
SERV_B.02.02 | principes | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Principes voor inrichten van beveiligde servers | Beleid |
SERV_B.03.01 | architectuurdocument | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
| Serverplatform architectuur | Beleid |
SERV_B.03.02 | architectuurdocument | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen. | Serverplatform architectuur | Beleid |
SERV_C.01.01 | richtlijnen | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.02 | richtlijnen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.03 | richtlijnen | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.01.04 | richtlijnen | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. | Evaluatie richtlijnen servers en besturingssystemen | Control |
SERV_C.02.01 | naleving | Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Control |
SERV_C.02.02 | naleving | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Control |
SERV_C.02.03 | naleving | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Control |
SERV_C.02.04 | naleving | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Control |
SERV_C.03.01 | logbestanden | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
SERV_C.03.02 | logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
SERV_C.04.01 | logbestanden | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Registratie gebeurtenissen | Control |
SERV_C.05.01 | reviewt/analyseert | De verantwoordelijke functionaris analyseert periodiek:
De verantwoordelijke functionaris analyseert periodiek:
| Monitoren van serverplatforms | Control |
SERV_C.05.02 | reviewt/analyseert | De verzamelde loginformatie wordt in samenhang geanalyseerd. | Monitoren van serverplatforms | Control |
SERV_C.05.03 | reviewt/analyseert | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoren van serverplatforms | Control |
SERV_C.05.04 | reviewt/analyseert | De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. | Monitoren van serverplatforms | Control |
SERV_C.05.05 | rapporteren | De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. | Monitoren van serverplatforms | Control |
SERV_C.05.06 | rapporteren | De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. | Monitoren van serverplatforms | Control |
SERV_C.06.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Beheerorganisatie serverplatforms | Control |
SERV_C.06.02 | beveiligingsbeleid | Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
| Beheerorganisatie serverplatforms | Control |
SERV_U.01.01 | bedieningsprocedures | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedures | Uitvoering |
SERV_U.01.02 | bedieningsprocedures | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd. | Bedieningsprocedures | Uitvoering |
SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedures | Uitvoering |
SERV_U.02.01 | standaarden | De documentatie conform de standaarden omvat:
| Standaarden voor configuratie van servers | Uitvoering |
SERV_U.03.01 | preventie | Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden. | Malwareprotectie | Uitvoering |
SERV_U.03.02 | preventie | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie | Uitvoering |
SERV_U.03.03 | preventie | Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt. | Malwareprotectie | Uitvoering |
SERV_U.03.04 | preventie | Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie | Uitvoering |
SERV_U.03.05 | preventie | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use". | Malwareprotectie | Uitvoering |
SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen. | Malwareprotectie | Uitvoering |
SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie | Uitvoering |
SERV_U.03.08 | herstel | Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate. | Malwareprotectie | Uitvoering |
SERV_U.04.01 | technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.02 | technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.03 | technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.04 | technische serverkwetsbaarheden | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.05 | technische serverkwetsbaarheden | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
| Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.06 | technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Beheer van serverkwetsbaarheden | Uitvoering |
SERV_U.05.01 | procesmatig | Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement | Uitvoering |
SERV_U.05.02 | procesmatig | Een technisch mechanisme zorgt voor (semi-) automatische updates. | Patchmanagement | Uitvoering |
SERV_U.05.03 | procesmatig | Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. | Patchmanagement | Uitvoering |
SERV_U.05.04 | procesmatig | Het Patchmanagement proces bevat methoden om:
| Patchmanagement | Uitvoering |
SERV_U.05.05 | procedureel | De patchmanagement procedure is actueel en beschikbaar. | Patchmanagement | Uitvoering |
SERV_U.05.06 | procedureel | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement | Uitvoering |
SERV_U.05.07 | procedureel | De volgende aspecten van een patch worden geregistreerd:
de beschikbare patches;
| Patchmanagement | Uitvoering |
SERV_U.05.08 | richtlijnen | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement | Uitvoering |
SERV_U.05.09 | richtlijnen | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement | Uitvoering |
SERV_U.05.10 | richtlijnen | De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. | Patchmanagement | Uitvoering |
SERV_U.05.11 | richtlijnen | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement | Uitvoering |
SERV_U.06.01 | richtlijnen | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
| Beheer op afstand | Uitvoering |
SERV_U.06.02 | richtlijnen | Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
| Beheer op afstand | Uitvoering |
SERV_U.06.03 | richtlijnen | Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Uitvoering |
SERV_U.06.04 | richtlijnen | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Uitvoering |
SERV_U.06.05 | richtlijnen | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Uitvoering |
SERV_U.07.01 | onderhouden | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
| Onderhoud van servers | Uitvoering |
SERV_U.08.01 | opslagmedia | de server(s):
| Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
SERV_U.08.02 | geverifieerd | Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen van servers | Uitvoering |
SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen van servers | Uitvoering |
SERV_U.09.03 | toegang | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen van servers | Uitvoering |
SERV_U.10.01 | geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
| Serverconfiguratie | Uitvoering |
SERV_U.10.02 | geconfigureerd | De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | Uitvoering |
SERV_U.10.03 | ongeautoriseerd | Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is: | Serverconfiguratie | Uitvoering |
SERV_U.11.01 | fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.02 | hypervisors | Hypervisors worden geconfigureerd om:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.03 | virtuele servers | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.11.04 | virtuele servers | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Beveiliging Virtueel serverplatform | Uitvoering |
SERV_U.12.01 | regels | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list). | Beperking van software-installatie | Uitvoering |
SERV_U.12.02 | regels | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. | Beperking van software-installatie | Uitvoering |
SERV_U.12.03 | regels | Het principe van least-privilege wordt toegepast. | Beperking van software-installatie | Uitvoering |
SERV_U.12.04 | regels | De rechten van beheerders worden verleend op basis van rollen. | Beperking van software-installatie | Uitvoering |
SERV_U.13.01 | gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | Uitvoering |
SERV_U.13.02 | gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | Uitvoering |
TBV_B.01.01 | Toegangsbeveiligingsbeleid | Het toegangvoorzieningsbeleid:
| Toegangsbeveiligingsbeleid | Beleid |
TBV_B.01.02 | Bedrijfseisen | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Toegangsbeveiligingsbeleid | Beleid |
TBV_B.01.03 | Bedrijfseisen | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. | Toegangsbeveiligingsbeleid | Beleid |
TBV_B.01.04 | Informatiebeveiligingseisen | Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes. | Toegangsbeveiligingsbeleid | Beleid |
TBV_B.01.05 | Informatiebeveiligingseisen | Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Toegangsbeveiligingsbeleid | Beleid |
TBV_B.02.01 | Eigenaarschap | Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers). | Eigenaarschap toegangsbeveiligingssysteem | Beleid |
TBV_B.02.02 | Eigenaarschap | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. | Eigenaarschap toegangsbeveiligingssysteem | Beleid |
TBV_B.02.03 | Verantwoordelijkheden voor logische toegangsbeveiligingssystemen | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiligingssysteem | Beleid |
TBV_B.02.04 | Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen | De eigenaar is verantwoordelijk voor:
| Eigenaarschap toegangsbeveiligingssysteem | Beleid |
TBV_B.03.01 | Beveiligingsfunctie | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: Human Resource Management (HRM), Proceseigenaar, Autorisatiebeheerder, Chief Information Security Officer (CISO) en Beveiligingsambtenaar (BVA) als het gaat om de Rijksoverheid. | Beveiligingsfunctie | Beleid |
TBV_B.03.02 | Beveiligingsfunctie | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangsbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangsbeveiligingssysteem. | Beveiligingsfunctie | Beleid |
TBV_B.04.01 | Authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling. | Cryptografie | Beleid |
TBV_B.04.02 | Cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen ten aanzien van:
| Cryptografie | Beleid |
TBV_B.05.01 | Organisatorische positie | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.05.02 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.05.03 | Taken, verantwoordelijkheden en bevoegdheden (TBV) | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in bijvoorbeeld een autorisatiematrix. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.05.04 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.05.05 | Rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.05.06 | Rapportagelijnen | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie Toegangsbeveiliging | Beleid |
TBV_B.06.01 | Technische inrichting | De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
| Toegangsbeveiligingsarchitectuur | Beleid |
TBV_B.06.02 | Toegangsbeveiligingsarchitectuur | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Toegangsbeveiligingsarchitectuur | Beleid |
TBV_C.01.01 | Procedures | De organisatie beschikt over procedures voor het controleren van toegangsbeveiligingssystemen en -registraties (log-data). | Beoordelingsrichtlijnen en procedures | Control |
TBV_C.01.02 | Procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | Beoordelingsrichtlijnen en procedures | Control |
TBV_C.01.03 | Procedures | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals: registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | Beoordelingsrichtlijnen en procedures | Control |
TBV_C.01.04 | Procedures | De procedures schrijven voor dat de resultaten van controle-activiteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | Beoordelingsrichtlijnen en procedures | Control |
TBV_C.02.01 | Toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. | Beoordeling toegangsrechten | Control |
TBV_C.02.02 | Toegangsrechten | Toegangsrechten van gebruikers behoren na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld. | Beoordeling toegangsrechten | Control |
TBV_C.02.03 | Toegangsrechten | Autorisaties voor speciale toegangsrechten behoren frequenter te worden beoordeeld. | Beoordeling toegangsrechten | Control |
TBV_C.02.04 | Toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | Beoordeling toegangsrechten | Control |
TBV_C.02.05 | Toegangsrechten | De opvolging van bevindingen is gedocumenteerd. | Beoordeling toegangsrechten | Control |
TBV_C.02.06 | Beoordelen | Het beoordelen vindt plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. | Beoordeling toegangsrechten | Control |
TBV_C.02.07 | Beoordelen | Een functionaris is verantwoordelijk voor het controleren van de organisatorische- en de technische inrichting van toegangsbeveiliging. | Beoordeling toegangsrechten | Control |
TBV_C.03.01 | Log-bestanden | Een logregel bevat de vereiste gegevens (zoals: de gebeurtenis, herleidbaarheid tot een natuurlijke persoon, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.02 | Log-bestanden | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken van de beveiliging kunnen leiden (zoals: wachtwoorden, inbelnummers enz.). | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.03 | Gebruikersactiviteiten | De informatieverwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC), die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.04 | Bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen de geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.05 | Bewaard | De Security Information and Event Management (SIEM) en/of Security Operations Centre (SOC) hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.06 | Bewaard | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de Algemene Verordening Gegevensbescherming (AVG), een verwerkingsactiviteitenregister bijgehouden. | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.03.07 | Beoordeeld | De log-bestanden worden gedurende een overeengekomen periode bewaard voor toekomstig onderzoek en toegangscontrole. | Gebeurtenissen registreren (logging en monitoring) | Control |
TBV_C.04.01 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. | Beheersorganisatie toegangsbeveiliging | Control |
TBV_C.04.02 | Taken, verantwoordelijkheden en bevoegdheden | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beheersorganisatie toegangsbeveiliging | Control |
TBV_C.04.03 | Functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie toegangsbeveiliging | Control |
TBV_U.01.01 | Formele registratie- en afmeldprocedure | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (vanaf de eerste registratie tot en met de beëindiging). | Registratieprocedure | Uitvoering |
TBV_U.01.02 | Formele registratie- en afmeldprocedure | Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. | Registratieprocedure | Uitvoering |
TBV_U.01.03 | Formele registratie- en afmeldprocedure | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. | Registratieprocedure | Uitvoering |
TBV_U.01.04 | Toegangsrechten | Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes). | Registratieprocedure | Uitvoering |
TBV_U.01.05 | Toegangsrechten | Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen die zij nodig hebben voor de uitoefening van hun taken. | Registratieprocedure | Uitvoering |
TBV_U.02.01 | Gebruikers toegangverleningsprocedure | Er is uitsluitend toegang verleend tot informatiesystemen na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. | Toegangsverleningsprocedure | Uitvoering |
TBV_U.02.02 | Gebruikers toegangverleningsprocedure | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Toegangsverleningsprocedure | Uitvoering |
TBV_U.02.03 | Gebruikers toegangverleningsprocedure | Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten. | Toegangsverleningsprocedure | Uitvoering |
TBV_U.03.01 | Beveiligde inlogprocedure | Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen of op basis van minimaal two-factor authenticatie. | Inlogprocedure | Uitvoering |
TBV_U.03.02 | Beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. | Inlogprocedure | Uitvoering |
TBV_U.03.03 | Beveiligde inlogprocedure | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. | Inlogprocedure | Uitvoering |
TBV_U.04.01 | formeel autorisatieproces | Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. | Autorisatieproces | Uitvoering |
TBV_U.04.02 | Formeel autorisatieproces | Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegde functionaris. | Autorisatieproces | Uitvoering |
TBV_U.04.03 | Formeel autorisatieproces | De activiteiten over het aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. | Autorisatieproces | Uitvoering |
TBV_U.04.04 | Toegangsrechten | Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. | Autorisatieproces | Uitvoering |
TBV_U.04.05 | Toegangsrechten | Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. | Autorisatieproces | Uitvoering |
TBV_U.04.06 | Toegangsrechten | Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. | Autorisatieproces | Uitvoering |
TBV_U.05.01 | Sterke wachtwoorden | Als geen gebruik wordt gemaakt van two-factor authenticatie:
| Wachtwoordbeheer | Uitvoering |
TBV_U.05.02 | Sterke wachtwoorden | In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. | Wachtwoordbeheer | Uitvoering |
TBV_U.06.01 | Toewijzen | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risicoafweging, richtlijnen en procedures. | Speciale toegangsrechtenbeheer | Uitvoering |
TBV_U.06.02 | Speciale toegangsrechten | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). | Speciale toegangsrechtenbeheer | Uitvoering |
TBV_U.06.03 | Beheerst | De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. | Speciale toegangsrechtenbeheer | Uitvoering |
TBV_U.07.01 | Gescheiden | Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Functiescheiding | Uitvoering |
TBV_U.07.02 | Gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. | Functiescheiding | Uitvoering |
TBV_U.07.03 | Taken | Een scheiding is aangebracht tussen beheertaken en (overige) gebruikstaken. | Functiescheiding | Uitvoering |
TBV_U.07.04 | Verantwoordelijkheden | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Functiescheiding | Uitvoering |
TBV_U.07.05 | Onbedoeld | Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen. | Functiescheiding | Uitvoering |
TBV_U.08.01 | Authenticatie-informatie | Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. | Geheime authenticatie-informatie | Uitvoering |
TBV_U.08.02 | Authenticatie-informatie | Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld. | Geheime authenticatie-informatie | Uitvoering |
TBV_U.08.03 | Beheersproces | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. | Geheime authenticatie-informatie | Uitvoering |
TBV_U.08.04 | Beheersproces | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. | Geheime authenticatie-informatie | Uitvoering |
TBV_U.09.01 | InformatieBetekenisvolle gegevens. | Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Autorisatie | Uitvoering |
TBV_U.09.02 | Systeemfuncties | Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. | Autorisatie | Uitvoering |
TBV_U.09.03 | Toegangbeveiligingsbeleid | Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. | Autorisatie | Uitvoering |
TBV_U.09.04 | Toegangbeveiligingsbeleid | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. | Autorisatie | Uitvoering |
TBV_U.10.01 | Autorisatievoorzieningen | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het autorisatiebeheer. | Autorisatievoorzieningen | Uitvoering |
TBV_U.10.02 | Personeelsregistratiesysteem | Alle interne en externe gebruikers worden vóór de toegangsverlening tot de applicatieomgeving opgenomen in het personeelsinformatiesysteem. | Autorisatievoorzieningen | Uitvoering |
TBV_U.10.03 | Autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Autorisatievoorzieningen | Uitvoering |
TBV_U.10.04 | Autorisatiefaciliteiten | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteiten om autorisaties toe te kennen, in te zien en te beheren. | Autorisatievoorzieningen | Uitvoering |
TBV_U.11.01 | Beveiligde gebieden | Toegang tot beveiligingszones (terreinen, gebouwen en ruimten) waar zich resources bevinden, is slechts toegankelijk voor personen die hiervoor geautoriseerd zijn. | Fysieke toegangsbeveiliging | Uitvoering |
TBV_U.11.02 | Passende toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Fysieke toegangsbeveiliging | Uitvoering |
TBV_U.11.03 | Passende toegangsbeveiliging | Medewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. | Fysieke toegangsbeveiliging | Uitvoering |
TBV_U.11.04 | Passende toegangsbeveiliging | Personeel van externe partijen die ondersteunende diensten verlenen, behoort alleen indien noodzakelijk beperkte toegang tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie verwerken te worden verleend; deze toegang behoort te worden goedgekeurd en gemonitord. | Fysieke toegangsbeveiliging | Uitvoering |