ISOR/normen tabel

Uit NORA Online
Ga naar: navigatie, zoeken

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit ISOR, met het unieke ID, het
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
Property "Heeft bron" (as page type) with input value "%2B" contains invalid characters or is incomplete and therefore can cause unexpected results during a query or annotation process.
en in uitgebreide versie met alle bestaande eigenschappen.
IDtrefwoordStellingRealiseert bovenliggend principeBeveiligingsaspect
AppO_B.01.01regelsDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenBeleid
AppO_B.01.02regelsDe Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen.Beleid voor (beveiligd) ontwikkelenBeleid
AppO_B.01.03regelsIn het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
  1. beveiliging van de ontwikkelomgeving;
    1. richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;
    2. beveiliging in de softwareontwikkelmethodologie;
  2. beveiligde coderingsrichtlijnen voor elke programmeertaal die wordt gebruikt;
  3. beveiligingseisen in de ontwikkelfase;
  4. beveiligingscontrolepunten binnen de mijlpalen van het project;
  5. beveiliging van de versiecontrole;
  6. vereiste kennis over toepassingsbeveiliging;
  7. het vermogen van de ontwikkelaar om kwetsbaarheden te vermijden, te vinden en te repareren.
Beleid voor (beveiligd) ontwikkelenBeleid
AppO_B.01.04regelsTechnieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen.Beleid voor (beveiligd) ontwikkelenBeleid
AppO_B.02.01systeem ontwikkelmethodesEen formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling).Systeem ontwikkelmethodeBeleid
AppO_B.02.02systeem ontwikkelmethodesSoftwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen.Systeem ontwikkelmethodeBeleid
AppO_B.02.03systeem ontwikkelmethodesAdoptie van ontwikkelmethodologie wordt gemonitord.Systeem ontwikkelmethodeBeleid
AppO_B.02.04standaarden/proceduresStandaarden en procedures worden toegepast voor:
  • het specificeren van requirements;
  • het ontwikkelen, bouwen en testen;
  • de overdracht van ontwikkelde applicatie naar de productie omgeving;
  • de training van software ontwikkelaars.
Systeem ontwikkelmethodeBeleid
AppO_B.02.05beleid en wet en regelgevingDe systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
  • de eisen uit wet en regelgeving incl. privacy;
  • de contactuele eisen;
  • het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. van de organisatie;
  • de specifieke beveiligingseisen vanuit business;
  • het classificatiemodel van de organisatie.
  • Systeem ontwikkelmethodeBeleid
    AppO_B.02.06projectmatigHet ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
  • het melden van de start van het project bij de verantwoordelijke voor de beveveiligingsfunctie;
  • het gebruik van een classificatiemodel;
  • het toepassen van assessment voor BIVC;
  • het creëren van een risico register;
  • het creëren van projectmanagement office file;
  • het registreren van belangrijke details in een business applicatie register.
  • Systeem ontwikkelmethodeBeleid
    AppO_B.03.01informatieDe Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen.Classificatie van InformatieBeleid
    AppO_B.03.02informatieIn alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.Classificatie van InformatieBeleid
    AppO_B.03.03informatieBij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema.Classificatie van InformatieBeleid
    AppO_B.03.04wettelijke eisen, waarde, belang, gevoeligheidIn het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements.Classificatie van InformatieBeleid
    AppO_B.04.01principesDe gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.Engineeringprincipes beveiligde systemenBeleid
    AppO_B.04.02principesVoor het beveiligen van informatiesystemen zijn de volgende principe van belang:
  • defense in depth (beveiliging op verschillende lagen);
  • secure by default;
  • default deny;
  • fail secure;
  • wantrouwen van input van externe applicaties;
  • secure in deployment; en
  • bruikbaarheid en beheersbaarheid.
  • Engineeringprincipes beveiligde systemenBeleid
    AppO_B.04.03principesBeveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld.Engineeringprincipes beveiligde systemenBeleid
    AppO_B.04.04principesOntwikkelaars zijn getraind om veilige software te ontwikkelen.Engineeringprincipes beveiligde systemenBeleid
    AppO_B.05.01perspectievenBij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
  • de relevante stakeholders (business owners en business- en IT specialisten);
  • de scope van het risk assessment;
  • het profiel van de ‘doelomgeving’;
  • de aanvaardbaarheid van risico’s in de doelomgeving
  • Business Impact AnalyseBeleid
    AppO_B.05.02scenario'sDe business impact analyse richt zich op verschillende scenario’s met aandacht voor:
  • de hoeveelheid mensen die nadelig beïnvloed worden;
  • de hoeveelheid systemen die out-of-running kan raken;
  • een realistische analyse en een analyse van worst-case situaties.
  • Business Impact AnalyseBeleid
    AppO_B.05.03BIVC-aspectenMet de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
  • verlies van orders en contracten en klanten;
  • verlies van tastbare assets;
  • onvoorziene kosten;
  • verlies van management control;
  • concurrentie;
  • late leveringen;
  • verlies van productiviteit;
  • compliance; en
  • reputatie.
  • Business Impact AnalyseBeleid
    AppO_B.06.01privacy en bescherming van persoonsgegevensOm privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.06.02privacy en bescherming van persoonsgegevensVoor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.06.03privacy en bescherming van persoonsgegevensEen tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.06.04privacy en bescherming van persoonsgegevensPrivacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.06.05privacy en bescherming van persoonsgegevensDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.06.06wet- en regelgevingOp basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd.Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse)Beleid
    AppO_B.07.01ontwikkel en onderhoudsbeleidDe doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.02ontwikkel en onderhoudsbeleidDe doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.03kwaliteitsmanagement systeemDe ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.04kwaliteitsmanagement systeemEr zijn informatie- en communicatieprocessen ingericht.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.05kwaliteitsmanagement systeemOp de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerdKwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.06kwaliteitsmanagement systeemAan het management worden evaluatie rapportages verstrekt.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.07.07kwaliteitsmanagement systeemDe processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS.Kwaliteitsmanagement systeem (KMS)Beleid
    AppO_B.08.01programmabroncode en broncode bibliothekenOm de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
    1. de broncode bibliotheken worden niet in operationele systemen opgeslagen;
    2. de programmacode en de broncode bibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;
    3. ondersteunend personeel heeft geen onbeperkte toegang tot broncode bibliotheken;
    4. het updaten van programmacode en samenhangende items en het verstrekken van programmacode aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatiebewijs;
    5. programma-uitdraaien worden in een beveiligde omgeving bewaard;
    6. van elke toegang tot broncode bibliotheken wordt een registratie bijgehouden in een auditlogbestand;
    7. onderhoud en het kopiëren van programmacode in bibliotheken zijn aan strikte procedures voor wijzigingsbeheer onderworpen.
    Toegangsbeveiliging op programmacodeBeleid
    AppO_B.08.02programmabroncode en broncode bibliothekenAls het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening).Toegangsbeveiliging op programmacodeBeleid
    AppO_B.09.01beveiligingsfunctionarisDe beveiligingsfunctionaris zorgt o.a. voor:
    • de actualisatie van beveiligingsbeleid;
    • afstemming van het beveiligingsbeleid met de afgesloten overeenkomsten met o.a. de ketenpartijen;
    • de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    • de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    • de bespreking van beveiligingsissues met ketenpartijen.
    ProjectorganisatieBeleid
    AppO_B.09.02beveiligingsvoorschriftenDe beveiligingsfunctionaris geeft o.a. inzicht in:
  • het beheer en integratie van ontwikkel- en onderhoud voorschriften (procedureel en technisch);
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen informatiesystemen.
  • ProjectorganisatieBeleid
    AppO_C.01.01richtlijnenDe projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.02richtlijnenDe projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.03richtlijnenDe projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.04richtlijnenDe projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.05richtlijnenDe QA methodiek wordt conform de richtlijnen nageleefd.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.06controleactiviteiten en rapportagesDe projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.01.07ontwikkelactiviteitenPeriodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn.Richtlijnen evaluatie ontwikkelactiviteitenControl
    AppO_C.02.01procesmatigHet versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris.Versie ManagementControl
    AppO_C.02.02procesmatigIn het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd.Versie ManagementControl
    AppO_C.02.03procesmatigHet versiebeheerproces wordt ondersteund met procedures en werkinstructies.Versie ManagementControl
    AppO_C.02.04efficiënte wijzeEen versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
  • Versie ManagementControl
    AppO_C.03.01procesmatig en procedureelHet patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars.Patchmanagement van externe programmacodeControl
    AppO_C.03.02procesmatig en procedureelDe ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement.Patchmanagement van externe programmacodeControl
    AppO_C.03.03procesmatig en procedureelHet al dan niet uitvoeren van de patches voor programmacode is geregistreerd.Patchmanagement van externe programmacodeControl
    AppO_C.03.04technische kwetsbaarhedenHet beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching.Patchmanagement van externe programmacodeControl
    AppO_C.03.05technische kwetsbaarhedenBij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld.Patchmanagement van externe programmacodeControl
    AppO_C.03.06tijdigUpdates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd.Patchmanagement van externe programmacodeControl
    AppO_C.04.01configuratie-administratieSoftware configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd.(Software) configuratie managementControl
    AppO_C.04.02configuratie-administratieDe configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel.(Software) configuratie managementControl
    AppO_C.04.03configuratie-administratieWijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB.(Software) configuratie managementControl
    AppO_C.05.01compliance management procesHet compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management.Compliance managementControl
    AppO_C.05.02compliance management procesTen behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden., architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
  • Compliance managementControl
    AppO_C.06.01quality assurance procesDe projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek.Quality assuranceControl
    AppO_C.06.02quality assurance procesConform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
  • Quality assuranceControl
    AppO_C.06.03quality assurance procesDe resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren.Quality assuranceControl
    AppO_C.06.04quality assurance procesAfspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd.Quality assuranceControl
    AppO_C.07.01verandering van besturingsplatformsBij veranderingen van besturingssystemen wordt onder andere het volgende getest:
    1. de toepassingscontrole procedures;
    2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
    3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheid van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
    4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
    Technische beoordeling van informatiesystemen na wijziging besturingsplatformControl
    AppO_C.08.01structuur van de beheersprocessenDe samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd.Beheersing van software ontwikkeling(sprojecten)Control
    AppO_C.08.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt.Beheersing van software ontwikkeling(sprojecten)Control
    AppO_C.08.03taken, verantwoordelijkheden en bevoegdhedenDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Beheersing van software ontwikkeling(sprojecten)Control
    AppO_C.08.04taken, verantwoordelijkheden en bevoegdhedenDe projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersing van software ontwikkeling(sprojecten)Control
    AppO_U.01.01levenscyclusVoor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD.Procedures voor wijzigingsbeheer m.b.t. applicatiesUitvoering
    AppO_U.01.02levenscyclusHet wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren.Procedures voor wijzigingsbeheer m.b.t. applicatiesUitvoering
    AppO_U.01.03formele proceduresNieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren.Procedures voor wijzigingsbeheer m.b.t. applicatiesUitvoering
    AppO_U.01.04formele proceduresEnkele elementen van de procedures voor wijzigingsbeheer zijn:
  • alle wijzigingsverzoeken (RFC’s) verlopen volgens een formele wijzigingsprocedure (ter voorkoming van ongeautoriseerde wijzigingsaanvragen).
  • het generieke wijzigingsproces heeft aansluiting met functioneel beheer.
  • wijzigingen worden doorgevoerd door bevoegde medewerkers.
  • van elk wijzigingsverzoek wordt de impact op de geboden functionaliteit beoordeeld.
  • uitvoering en bewaking van de verantwoordelijkheden/taken zijn juist belegd.
  • aanvragers van wijzigingen worden periodiek geïnformeerd over de status van hun wijzigingsverzoek.
  • Procedures voor wijzigingsbeheer m.b.t. applicatiesUitvoering
    AppO_U.02.01regelsDe organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren.Beperkingen voor de installatie van software(richtlijnen)Uitvoering
    AppO_U.02.02regelsHet toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'.Beperkingen voor de installatie van software(richtlijnen)Uitvoering
    AppO_U.02.03regelsDe rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars.Beperkingen voor de installatie van software(richtlijnen)Uitvoering
    AppO_U.03.01regelsDe programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
    • gebruikte tools;
    • gebruikte licenties;
    • versiebeheer;
    • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
    Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.02regels(Programma)code wordt aantoonbaar veilig gecreëerd.Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.03regels(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
  • Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.04best practicesOver het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.05best practicesVoor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.06best practicesOntwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.03.07best practicesHet gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.Richtlijnen voor programmacode (best practices)Uitvoering
    AppO_U.04.01functionele eisenDe functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO).Analyse en specificatie van informatiesystemenUitvoering
    AppO_U.04.02functionele eisenHet Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden.Analyse en specificatie van informatiesystemenUitvoering
    AppO_U.04.03functionele eisenOp basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris..Analyse en specificatie van informatiesystemenUitvoering
    AppO_U.04.04functionele eisenAlle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode).Analyse en specificatie van informatiesystemenUitvoering
    AppO_U.04.05functionele eisenParallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd.Analyse en specificatie van informatiesystemenUitvoering
    AppO_U.05.01beveiligingseisenBij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen.Analyse en specificatie van informatiebeveiligingseisenUitvoering
    AppO_U.05.02beveiligingseisenDe Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen.Analyse en specificatie van informatiebeveiligingseisenUitvoering
    AppO_U.05.03beveiligingseisenInformatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
  • beleidsregels, wet en regelgeving;
  • context- en kwetsbaarheidanalyse van de te ondersteunen bedrijfsprocessen;
  • afspraken met en afhankelijkheden van ketenpartijen.
  • Analyse en specificatie van informatiebeveiligingseisenUitvoering
    AppO_U.05.04beveiligingseisenMet betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
  • authenticatie eisen van gebruikers;
  • toegangsbeveiligingseisen;
  • eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen;
  • eisen afgeleid uit bedrijfsprocessen;
  • eisen gerelateerd aan interfaces voor het registreren en monitoren van systemen.
  • Analyse en specificatie van informatiebeveiligingseisenUitvoering
    AppO_U.06.01business vereisten en reviewsHet ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
  • gebruikerseisen, beveiligingseisen en kwaliteitseisen;
  • business vereisten, (o.a. nut, noodzaak en kosten);
  • eisen welke voortvloeien uit risico assessments, dreigingsanalyse en prioritering ervan, en technische beveiligingsreviews (en de prioritering daarvan);
  • eisen welke voortvloeien uit BIA en PIA (GEB) analyses.
  • Applicatie ontwerpUitvoering
    AppO_U.06.02omgevingsanalyseBij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
  • mogelijke invoerbronnen voor data en connecties met andere applicaties(componenten);
  • connecties tussen modules binnen applicatie en connecties met andere applicaties;
  • gebruik van opslagmechanisme voor informatie, toegang tot databases en ander type storage;
  • uitvoer van informatie naar andere applicaties en beveiliging hiervan;
  • mogelijke transmissie van data tussen applicaties.
  • Applicatie ontwerpUitvoering
    AppO_U.06.03(specifieke) beveiligingHet ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit.Applicatie ontwerpUitvoering
    AppO_U.07.01invoerfunctiesBereikcontroles worden toegepast en gegevens worden gevalideerd.Applicatie functionaliteitenUitvoering
    AppO_U.07.02verwerkingsfunctiesGeprogrammeerde controles worden ondersteund.Applicatie functionaliteitenUitvoering
    AppO_U.07.03verwerkingsfunctiesHet uitvoeren van onopzettelijke mutaties wordt tegengegaan.Applicatie functionaliteitenUitvoering
    AppO_U.07.04verwerkingsfunctiesVoorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar.Applicatie functionaliteitenUitvoering
    AppO_U.07.05verwerkingsfunctiesVoorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail).Applicatie functionaliteitenUitvoering
    AppO_U.07.06verwerkingsfunctiesOpgeleverde/over te dragen gegevens worden gevalideerd.Applicatie functionaliteitenUitvoering
    AppO_U.07.07verwerkingsfunctiesControle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd.Applicatie functionaliteitenUitvoering
    AppO_U.07.08verwerkingsfunctiesOp basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd.Applicatie functionaliteitenUitvoering
    AppO_U.07.09uitvoerfunctiesGegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid.Applicatie functionaliteitenUitvoering
    AppO_U.08.01(industrie) good practiceGedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
  • dat een goedgekeurde methode voor applicatiebouw wordt gehanteerd;
  • dat mechanismen worden gebruikt op basis waarvan zekerheid wordt verkregen dat de applicatie voldoet aan good practices voor applicatiebouw (methode voor het ontwikkelen van veilige programmacode).
  • ApplicatiebouwUitvoering
    AppO_U.08.02(industrie) good practiceVeilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages.ApplicatiebouwUitvoering
    AppO_U.08.03(industrie) good practiceVoor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering).ApplicatiebouwUitvoering
    AppO_U.08.04(industrie) good practiceHet gebruik van onveilig programmatechnieken is niet toegestaan.ApplicatiebouwUitvoering
    AppO_U.08.05(industrie) good practiceProgrammacode is beschermd tegen ongeautoriseerde wijzigingen.ApplicatiebouwUitvoering
    AppO_U.08.06(industrie) good practiceActiviteiten van applicatiebouw worden gereviewd.ApplicatiebouwUitvoering
    AppO_U.08.07juiste skills/toolsDe ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren.ApplicatiebouwUitvoering
    AppO_U.09.01bedrijfsfunctionaliteitenVanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules).Testen van systeembeveiligingUitvoering
    AppO_U.09.02beveiligingsfunctionaliteitenDe functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur.Testen van systeembeveiligingUitvoering
    AppO_U.10.01acceptatietestsVoor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd.Systeem acceptatietestsUitvoering
    AppO_U.10.02acceptatietestsVan de resultaten van de testen wordt een verslag gemaakt.Systeem acceptatietestsUitvoering
    AppO_U.10.03acceptatietestsTestresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase.Systeem acceptatietestsUitvoering
    AppO_U.10.04acceptatietests(Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving.Systeem acceptatietestsUitvoering
    AppO_U.10.05acceptatietestsVoordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd.Systeem acceptatietestsUitvoering
    AppO_U.10.06acceptatietestsTenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens.Systeem acceptatietestsUitvoering
    AppO_U.10.07acceptatietestsBij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
  • het testen van de functionele requirements.
  • het testen van de business rules voor de betrokken bedrijfsprocessen.
  • de beveiligingseisen die verband houden met betrokken bedrijfsprocessen.
  • Systeem acceptatietestsUitvoering
    AppO_U.11.01testgegevensDe volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
  • de toegangsbeveiligingsprocedures die gelden voor besturingssystemen gelden ook voor testsystemen;
  • voor elke keer dat besturingsinformatie naar een testomgeving wordt gekopieerd, wordt een afzonderlijke autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verkregen;
  • besturingsinformatie wordt onmiddellijk na voltooiing van het testen uit een testomgeving verwijderd;
  • van het kopiëren en gebruiken van besturingsinformatie wordt verslaglegging bijgehouden om in een audittraject te voorzien.
  • Beschermen van testgegevensUitvoering
    AppO_U.12.01beveiligde ontwikkelomgevingenUitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.02beveiligde ontwikkelomgevingenDe organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.03beveiligde ontwikkelomgevingenDe taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.04beveiligde ontwikkelomgevingenVoor remote werkzaamheden is een werkwijze vastgelegd.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.05beveiligde ontwikkelomgevingenOntwikkelaars hebben geen toegang tot de Productie-omgeving.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.06beveiligde ontwikkelomgevingenT.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.07beveiligde ontwikkelomgevingenDe overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.08beveiligde ontwikkelomgevingenDe overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats.Beveiligde ontwikkel- (en test) omgevingUitvoering
    AppO_U.12.09beveiligde ontwikkelomgevingenDe overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen.Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafwegingUitvoering
    AppO_U.13.01koppelingsrichtlijnenKoppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen.ApplicatiekoppelingenUitvoering
    AppO_U.13.02koppelingsrichtlijnenVan het type koppelingen is een overzicht aanwezig.ApplicatiekoppelingenUitvoering
    AppO_U.13.03koppelingsrichtlijnenKoppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten.ApplicatiekoppelingenUitvoering
    AppO_U.13.04koppelingsrichtlijnenDe uitgevoerde koppelingen worden geregistreerd.ApplicatiekoppelingenUitvoering
    AppO_U.14.01loggingWelke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd.Logging en monitoringUitvoering
    AppO_U.14.02loggingInformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd.Logging en monitoringUitvoering
    AppO_U.14.03loggingDe loggegevens zijn beveiligd.Logging en monitoringUitvoering
    AppO_U.14.04loggingDe locatie van de vastlegging van de loggegevens is vastgesteld.Logging en monitoringUitvoering
    AppO_U.14.05monitoringDe applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden.Logging en monitoringUitvoering
    AppO_U.14.06monitoringDe frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd.Logging en monitoringUitvoering
    AppO_U.15.01applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Applicatie architectuurUitvoering
    AppO_U.15.02applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.Het architectuurdocument wordt actief onderhouden.Applicatie architectuurUitvoering
    AppO_U.15.03applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast.Applicatie architectuurUitvoering
    AppO_U.15.04samenhangTussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang.Applicatie architectuurUitvoering
    AppO_U.15.05samenhangHet is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten).Applicatie architectuurUitvoering
    AppO_U.15.06samenhangDe relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk.Applicatie architectuurUitvoering
    AppO_U.16.01faciliteitenHet tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages.Tooling ontwikkelmethodeUitvoering
    AppO_U.16.02faciliteitenHet tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden.Tooling ontwikkelmethodeUitvoering
    AppO_U.16.03faciliteitenHet tool beschikt over faciliteiten voor versie- en releasebeheer.Tooling ontwikkelmethodeUitvoering
    AppO_U.16.04faciliteitenHet tool beschikt over faciliteiten voor:
  • het registreren van eisen en wensen;
  • het afhandelen van fouten;
  • het beveiligen van registraties (programmacode);
  • het continu integreren van componenten;
  • het kunnen switchen tussen de fasen: specificeren, ontwikkelen en testen.
  • Tooling ontwikkelmethodeUitvoering
    AppO_U.16.05faciliteitenHet tool beschikt over faciliteiten voor de koppelingen met externe bronnen.Tooling ontwikkelmethodeUitvoering
    Cloud_B.01.01wettelijke, statutaire en regelgevende eisenDe CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten.Wet- en regelgevingBeleid
    Cloud_B.01.02wettelijke, statutaire en regelgevende eisenDe CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen.Wet- en regelgevingBeleid
    Cloud_B.01.03wettelijke, statutaire en regelgevende eisenDe voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG.Wet- en regelgevingBeleid
    Cloud_B.01.04wettelijke, statutaire en regelgevende eisenDe CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten.Wet- en regelgevingBeleid
    Cloud_B.01.05contractuele eisenVoor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd.Wet- en regelgevingBeleid
    Cloud_B.01.06aanpakDe CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld.Wet- en regelgevingBeleid
    Cloud_B.02.01cloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
  • een evenwichtige set van beveiligingsmaatregelen, waarin aandacht wordt besteed aan risicomanagement;
  • hoe (functioneel) cloudbeveiliging de weerbaarheid tegen high-impact incidenten met een hoge impact bewerkstelligt.
  • CloudbeveiligingsstrategieBeleid
    Cloud_B.02.02cloudbeveiligingsstrategieDe cloudbeveiligingsstrategie van de CSP:
  • geeft onder andere aan hoe zij de CSC’s tegen bedreigingen beschermt;
  • besteedt aandacht aan de huidige beveiligingscontext van de CSP, inclusief vaardigheden (skills), capaciteiten (capabilities) en informatie beveiligingsfunctie.
  • CloudbeveiligingsstrategieBeleid
    Cloud_B.02.03samenhangtDe samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
  • in welke mate de cloudbeveiligingsstrategie van de CSP in lijn is met de organisatiebrede doelstellingen van de CSC;
  • hoe de cloudbeveiligingsgovernance van de CSC wordt ondersteund door het management van de CSP;
  • dat de clouddiensten gedocumenteerd zijn en regelmatig worden gereviewd.
  • CloudbeveiligingsstrategieBeleid
    Cloud_B.03.01bepalingenDe CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
  • de exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de CSC (zie condities);
  • de overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd;
  • de opzegtermijn geeft voldoende tijd om te kunnen migreren;
  • data en configuratiegegevens (indien relevant) mogen pas na succesvolle migratie verwijderd worden;
  • door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd;
  • de exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
  • Exit-strategieBeleid
    Cloud_B.03.02conditiesDe CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
  • de contracten:
    • niet beschikbaarheid zijn van afgesproken performance;
    • eenzijdige wijziging door de CSP van het SLA;
    • prijsverhoging.
  • de geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of performance;
    • gebrekkige support en/of ondersteuning.
  • clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • end-of life van de clouddienst(en);
    • achterwege blijvende features.
  • Exit-strategieBeleid
    Cloud_B.04.01cloudbeveiligingsbeleidHet cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
  • Organische georiënteerde maatregelen:
    • informatiebeveiligingsvereisten die van toepassing zijn bij het ontwerp en de implementatie van de cloudservices;
    • communicatie met CSC in relatie tot en tijdens wijzigingen;
    • communicatie van beveiligingsinbreuken en het delen van informatie;
    • richtlijnen voor de ondersteuning van (forensische) onderzoeken;
    • compliancy maatregelen ten aanzien van wet- en regelgeving.
  • Technisch georiënteerde maatregelen:
    • multi-tenancy en isolatie van CSC;
    • toegangsprocedures e.g., sterke authenticatie voor toegang tot de cloudservices;
    • toegang tot en protectie van data van de CSC;
    • lifecycle-management van CSC-accounts;
    • risico’s gerelateerd aan niet geautoriseerde insiders;
    • virtualisatie beveiliging;
    • beveiligingsarchitectuur en -maatregelen voor het beschermen van data, applicaties en infrastructuur.
  • ClouddienstenbeleidBeleid
    Cloud_B.05.01systeembeschrijvingDe systeembeschrijving bevat de volgende aspecten:
  • type en scope van de clouddiensten weergegeven op basis van Service Level Agreements;
  • principes, procedures en maatregelen om ontwikkeling en operationalisering weer te geven;
  • beschrijving van de infrastructuurcomponenten die deel uitmaken van het ontwikkelen en operationaliseren van de clouddiensten;
  • hoe met beveiligingsincidenten wordt omgegaan;
  • rollen en verantwoordelijkheden van de CSP en CSC, inclusief de verplichting om samen te werken;
  • (welke) onderdelen van de clouddiensten en/of functies toegekend of uitbesteed zijn aan sub-contracten.
  • TransparantieBeleid
    Cloud_B.05.02jurisdictieDe SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors.TransparantieBeleid
    Cloud_B.05.03onderzoeksmogelijkhedenDe SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden.TransparantieBeleid
    Cloud_B.05.04certificatenDe SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten.TransparantieBeleid
    Cloud_B.06.01verantwoordelijkhedenDe verantwoordelijkheden van de CSP zijn onder andere:
  • het ontwikkelen van het informatiebeveiligingsrisicomanagementproces dat toespitst is op de omgeving van de CSP;
  • het identificeren van analyses van de stakeholders;
  • het definiëren van de rollen en verantwoordelijkheden van zowel interne als externe partijen;
  • het vaststellen van de vereiste relaties tussen de eigen organisatie en stakeholders, alsook de relatie met de hoog niveau risicomanagementfunctie en met relevante projecten of activiteiten.
  • RisicomanagementBeleid
    Cloud_B.06.02verantwoordelijkhedenDe organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP.RisicomanagementBeleid
    Cloud_B.06.03risicomanagementprocesHet risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s.RisicomanagementBeleid
    Cloud_B.07.01IT-functionaliteitenVoor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.IT-functionaliteitenBeleid
    Cloud_B.07.02IT-functionaliteitenTechnische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur.IT-functionaliteitenBeleid
    Cloud_B.07.03IT-functionaliteitenDe IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen.IT-functionaliteitenBeleid
    Cloud_B.07.04robuuste en beveiligde systeemketenDe infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten.IT-functionaliteitenBeleid
    Cloud_B.07.05robuuste en beveiligde systeemketenEr zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden.IT-functionaliteitenBeleid
    Cloud_B.08.01verantwoordelijkheid voor BCMDe CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.02verantwoordelijkheid voor BCMDe verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.03verantwoordelijkheid voor BCMHet management van de CSP committeert zich aan de vastgestelde BCM-vereisten.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.04verantwoordelijkheid voor BCMHet BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.05beleid en proceduresBeleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
  • beschikbaarheid van data en functionaliteit in relatie tot vendor lock-in en transitie naar andere CSP of exit-strategie (voor de mogelijke op risicoanalyse gebaseerde scenario’s);
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van kritische producten en services;
  • identificaties van afhankelijkheden, processen, en business partners en derde partijen;
  • consequenties van verstoringen;
  • schattingen van vereiste resources voor herstel.
  • BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.06bedrijfscontinuïteitsplanningDe CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
  • definiëring van de scope waarbij rekening wordt gehouden met de afhankelijkheden;
  • toegankelijkheidHoudt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is. van deze plannen voor verantwoordelijke functionarissen;
  • toewijzen van een verantwoordelijke voor review, update en goedkeuring;
  • definiëren van communicatiekanalen;
  • herstelprocedures;
  • methode voor het implementeren van het BCM-plan;
  • continu verbeteringsproces van het BCM-plan;
  • relaties met beveiligingsincidenten.
  • BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.07verificatie en updatenDe business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.08verificatie en updatenBij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.08.09computercentraDe voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest.BedrijfscontinuïteitsmanagementBeleid
    Cloud_B.09.01beveiligingsaspecten en stadiaVoor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.Data en privacyBeleid
    Cloud_B.09.02toegang en privacyTer bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie.Data en privacyBeleid
    Cloud_B.09.03classificatie/labelenAan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie.Data en privacyBeleid
    Cloud_B.09.04classificatie/labelenData gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.Data en privacyBeleid
    Cloud_B.09.05classificatie/labelenDe CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten.Data en privacyBeleid
    Cloud_B.09.06eigenaarschapHet eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.Data en privacyBeleid
    Cloud_B.09.07eigenaarschapIn de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.Data en privacyBeleid
    Cloud_B.09.08locatieDe CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.Data en privacyBeleid
    Cloud_B.10.01beveiligingsfunctieDe beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
  • het ontwikkelen en onderhouden van beveiligingsstrategie en -beleid;
  • het ontwikkelen van beveiligingsstandaarden, procedures en richtlijnen;
  • het definiëren van een set beveiligingsdiensten;
  • het coördineren van beveiliging door de gehele organisatie;
  • het monitoren van de effectiviteit van de clouddienstreglementen;
  • het bieden van overzicht van en het doen van onderzoeken naar beveiligingsdiensten.
  • BeveiligingsorganisatieBeleid
    Cloud_B.10.02beveiligingsfunctieDe beveiligingsfunctie voorziet in proactieve ondersteuning van:
  • cloudrisico-assessment-activiteiten;
  • classificeren van informatie en systemen;
  • gebruik van encryptie;
  • beveiliging van gerelateerde projecten;
  • ontwikkelen van bedrijfscontinuïteitsprogramma en beveiligingsaudits.
  • BeveiligingsorganisatieBeleid
    Cloud_B.10.03organisatorische positieDe CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR.BeveiligingsorganisatieBeleid
    Cloud_B.10.04taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO.BeveiligingsorganisatieBeleid
    Cloud_B.10.05taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.BeveiligingsorganisatieBeleid
    Cloud_B.10.06functionarissenDe belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.BeveiligingsorganisatieBeleid
    Cloud_B.10.07rapportagelijnenDe verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld.BeveiligingsorganisatieBeleid
    Cloud_B.10.08rapportagelijnenHet type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.BeveiligingsorganisatieBeleid
    Cloud_B.11.01raamwerkHet raamwerk bevat de volgende aspecten:
    • beveiligingsbeleid CSP op basis van principes, wet- en regelgeving;
    • functioneel; type en scope van de clouddiensten;
    • zoneringsmodel voor scheiding tussen CSC’s;
    • trust framework (afspraken en maatregelen ter bevordering van vertrouwens relatie);
    • SLA’s en valide certificaten;
    • risicomanagement.
    Clouddiensten-architectuurBeleid
    Cloud_B.11.02samenhang en afhankelijkhedenDe onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven.Clouddiensten-architectuurBeleid
    Cloud_C.01.01richtlijnenDe CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie.Service-managementbeleid en evaluatie richtlijnenControl
    Cloud_C.01.02richtlijnenDe CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie.Service-managementbeleid en evaluatie richtlijnenControl
    Cloud_C.01.03controle-activiteiten en rapportagesDe CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
  • uitvoeren van controle-activiteiten, waaronder penetratietests en kwetsbaarheid testen;
  • evalueren van en rapporteren over de performance, conformance en leveringsprestaties.
  • Service-managementbeleid en evaluatie richtlijnenControl
    Cloud_C.02.01gemonitord en gereviewdDe CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen.Risico-controlControl
    Cloud_C.02.02gemonitord en gereviewdDe vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen.Risico-controlControl
    Cloud_C.02.03gemonitord en gereviewdDe CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
  • nieuwe assets die deel behoren uit te maken van de scope van risico-assessment;
  • veranderingen in de waarde van assets;
  • de mogelijkheid dat nieuwe of toegenomen zwakheden kunnen leiden tot dreigingen;
  • de mogelijkheid dat eerder vastgestelde zwakheden aan nieuwe dreigingen blootstaan;
  • toegenomen impact of consequenties van de beoordeelde risico’s en zwakheden resulterend in een onacceptabel risiconiveau;
  • informatiebeveiligingsincidenten.
  • Risico-controlControl
    Cloud_C.02.04gemonitord en gereviewdDe CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s.Risico-controlControl
    Cloud_C.02.05gemonitord en gereviewdBij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
  • wet- en regelgeving en organisatorische/technische context;
  • risico-assessmentaanpak;
  • waarde assets en categorieën;
  • risico-evaluatie-criteria;
  • risico-acceptatie-criteria.
  • Risico-controlControl
    Cloud_C.03.01compliancyTen behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Compliance en assuranceControl
    Cloud_C.03.02compliancyDe CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie.Compliance en assuranceControl
    Cloud_C.03.03compliancyHet compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS).Compliance en assuranceControl
    Cloud_C.03.04assuranceDe CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten.Compliance en assuranceControl
    Cloud_C.03.05assuranceBij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken.Compliance en assuranceControl
    Cloud_C.03.06aansluitingDe CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten.Compliance en assuranceControl
    Cloud_C.04.01technische kwetsbaarhedenDe CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.02technische kwetsbaarhedenDe CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.03technische kwetsbaarhedenAls de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.04technische kwetsbaarhedenHet tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.05technische kwetsbaarhedenPeriodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.06technische kwetsbaarhedenTechnische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
  • het identificeren, registreren en verwerven van patches;
  •  de besluitvorming rond het inzetten van patches;
  • het testen van patches;
  • het uitvoeren van patches;
  • het registreren van doorgevoerde patches.
  • Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.07geëvalueerdDe evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd.Technische kwetsbaarhedenbeheerControl
    Cloud_C.04.08geëvalueerdDe evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn.Technische kwetsbaarhedenbeheerControl
    Cloud_C.05.01gemonitord en gerapporteerdRichtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast.Security-monitoringControl
    Cloud_C.05.02gemonitord en gerapporteerdHet monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
  • de geformuleerde strategische en bedrijfsdoelen;
  • de risico’s die het bereiken van de strategische doelen kunnen beïnvloeden;
  • de beveiligingsincidenten, zoals cybersecurity-aanvallen.
  • Security-monitoringControl
    Cloud_C.05.03gemonitord en gerapporteerdHet monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
  • het verzamelen van informatie uit interne en externe bronnen;
  • inzicht op basis van verzamelde informatie uit de combinatie van Key Performance Indicatoren (KPI) en Key Risk Indicatoren (KRI).
  • Security-monitoringControl
    Cloud_C.05.04gemonitord en gerapporteerdDe informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd.Security-monitoringControl
    Cloud_C.05.05gemonitord en gerapporteerdAantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages.Security-monitoringControl
    Cloud_C.05.06gemonitord en gerapporteerdDe beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen.Security-monitoringControl
    Cloud_C.06.01processtructuurDe samenhang van de processen wordt in een processtructuur vastgelegd.Beheerorganisatie clouddienstenControl
    Cloud_C.06.02taken, verantwoordelijkheden en bevoegdhedenDe CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheerorganisatie clouddienstenControl
    Cloud_C.06.03functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt.Beheerorganisatie clouddienstenControl
    Cloud_U.01.01nationale standaardenDe CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen.Standaarden voor clouddienstenUitvoering
    Cloud_U.01.02internationale standaardenDe CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
  • NEN-ISO/IEC 27017: Code of practice for cloud services;
  • ITU-T FG Cloud TR 1.0 2012; Part 5 Cloud Security;
  • NEN-ISO/IEC 17788: Overview and vocabulary;
  • NEN-ISO/IEC 17789: Reference architecture;
  • NEN-ISO/IEC 27018 Personally indentifiable information (PII) in public clouds;
  • NEN-ISO/IEC 19941: Interoperability and portability;
  • NEN-ISO/IEC 19944: Cloud services and devices;
  • NIST Definition of Cloud Computing, SP800-145.pdf, September 2011;
  • BSI.
  • Standaarden voor clouddienstenUitvoering
    Cloud_U.02.01risico-analyseDe risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP.Risico-assessmentUitvoering
    Cloud_U.02.02risico-evaluatieDe geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria.Risico-assessmentUitvoering
    Cloud_U.03.01redundantieDe overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties.BedrijfscontinuïteitsservicesUitvoering
    Cloud_U.03.02continuïteitseisenDe met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen.BedrijfscontinuïteitsservicesUitvoering
    Cloud_U.04.01herstelfunctieDe data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld.Herstelfunctie voor data en clouddienstenUitvoering
    Cloud_U.04.02herstelfunctieHet continue proces van herstelbaar beveiligen van data wordt gemonitord.Herstelfunctie voor data en clouddienstenUitvoering
    Cloud_U.04.03getestHet toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC.Herstelfunctie voor data en clouddienstenUitvoering
    Cloud_U.05.01cryptografische maatregelenGegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd.Data-protectieUitvoering
    Cloud_U.05.02cryptografische maatregelenDe binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd.Data-protectieUitvoering
    Cloud_U.06.01bewaartermijnDe gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet.Dataretentie en vernietiging gegevensUitvoering
    Cloud_U.06.02technologie-onafhankelijk raadpleegbaarGegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn.Dataretentie en vernietiging gegevensUitvoering
    Cloud_U.06.03onveranderbaarGegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd.Dataretentie en vernietiging gegevensUitvoering
    Cloud_U.06.04vernietigdVoorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd.Dataretentie en vernietiging gegevensUitvoering
    Cloud_U.06.05vernietigdBij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen.Dataretentie en vernietiging gegevensUitvoering
    Cloud_U.07.01geïsoleerdPermanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt.Scheiding van dataUitvoering
    Cloud_U.07.02geïsoleerdIsolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s.Scheiding van dataUitvoering
    Cloud_U.07.03beheerfunctiesDe bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd.Scheiding van dataUitvoering
    Cloud_U.08.01gescheidenDe CSP realiseert de volgende scheiding van clouddienstverlening:
  • onderlinge scheiding van de CSC’s in een multi-tenant omgeving;
  • scheiding tussen de afgenomen cloud-service en de interne informatievoorziening van de CSP;
  • de CSP maakt het mogelijk om de beoogde scheiding van clouddiensten te verifiëren.
  • Scheiding van dienstverleningUitvoering
    Cloud_U.09.01beheersmaatregelenDe CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen.Malware-protectieUitvoering
    Cloud_U.09.02beheersmaatregelenDe CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware.Malware-protectieUitvoering
    Cloud_U.09.03detectie, preventie en herstelDe malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
    1. alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, nog vóór het gebruik;
    2. alle bijlagen en downloads nog vóór het gebruik;
    3. virtual machines;
    4. netwerkverkeer.
    Malware-protectieUitvoering
    Cloud_U.10.01gebruikersDe CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
    • technische maatregelen voorkomen dat gebruikers en beheerders, toegang hebben tot services, IT-diensten en data buiten datgene wat formeel is toegestaan;
    • gebruikers met nood-toegangsrechten (in geval van calamiteiten, wanneer acties niet door bevoegde beheerders kunnen worden uitgevoerd) is gedocumenteerd, door het management geaccordeerd en wordt uitgevoerd op basis van functiescheiding. Nood-toegang is geactiveerd zolang als nodig is voor de corresponderende taak/taken.
    Toegang tot IT-diensten en dataUitvoering
    Cloud_U.10.02gebruikersOnder verantwoordelijkheid van de CSP wordt aan beheerders:
  • toegang tot data wordt verleend op basis van het ‘Least Privilege’ principe;
  • toegang tot data wordt verleend op basis van ‘need-to-know’ principe;
  • toegang verleend op basis van multi-factor authenticatie;
  • toegang verleend tot data en applicatieve functies via technische maatregelen.
  • Toegang tot IT-diensten en dataUitvoering
    Cloud_U.10.03gebruikersAlleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data.Toegang tot IT-diensten en dataUitvoering
    Cloud_U.10.04bevoegdOnder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures.Toegang tot IT-diensten en dataUitvoering
    Cloud_U.10.05bevoegdToegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept.Toegang tot IT-diensten en dataUitvoering
    Cloud_U.11.01beleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
    1. wanneer cryptografie ingezet wordt;
    2. wie verantwoordelijk is voor de implementatie van cryptologie ;
    3. wie verantwoordelijk is voor het sleutelbeheer;
    4. welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
    5. de wijze waarop het beschermingsniveau vastgesteld wordt;
    6. het onderling vaststellen van het beleid voor communicatie tussen organisaties.
    Crypto-servicesUitvoering
    Cloud_U.11.02cryptografische maatregelenIn geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd.Crypto-servicesUitvoering
    Cloud_U.11.03versleuteldGevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie.Crypto-servicesUitvoering
    Cloud_U.12.01netwerkconnectiesIn koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren.KoppelvlakkenUitvoering
    Cloud_U.12.02netwerkconnectiesFysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt).KoppelvlakkenUitvoering
    Cloud_U.12.03netwerkconnectiesBeheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC.KoppelvlakkenUitvoering
    Cloud_U.12.04netwerkconnectiesDataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen.KoppelvlakkenUitvoering
    Cloud_U.12.05bewaaktHet dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen.KoppelvlakkenUitvoering
    Cloud_U.12.06bewaaktDe CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen.KoppelvlakkenUitvoering
    Cloud_U.12.07beheerstOntdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).KoppelvlakkenUitvoering
    Cloud_U.13.01coördinatieCloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s).Service-orkestratieUitvoering
    Cloud_U.13.02service-componentenDe functionele samenhang van de service-componenten zijn beschreven.Service-orkestratieUitvoering
    Cloud_U.13.03service-componentenVoor orkestratie van cloudservices is de volgende informatie benodigd:
    • de CSC-identiteit;
    • de bedrijfsrelatie van de CSC binnen het cloudnetwerk;
    • het IP-adres van de CSC.
    Service-orkestratieUitvoering
    Cloud_U.14.01interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgevingOm de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces.Interoperabiliteit en portabiliteitUitvoering
    Cloud_U.14.02portabiliteitOm de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd.Interoperabiliteit en portabiliteitUitvoering
    Cloud_U.15.01gebeurtenissen geregistreerdHet overtreden van de beleidsregels wordt door CSP en CSC vastgelegd.Logging en monitoringUitvoering
    Cloud_U.15.02gebeurtenissen geregistreerdDe SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.Logging en monitoringUitvoering
    Cloud_U.15.03gebeurtenissen geregistreerdDe CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid.Logging en monitoringUitvoering
    Cloud_U.15.04gebeurtenissen geregistreerdAan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd.Logging en monitoringUitvoering
    Cloud_U.15.05gebeurtenissen geregistreerdDe toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP.Logging en monitoringUitvoering
    Cloud_U.15.06gebeurtenissen geregistreerdWijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken).Logging en monitoringUitvoering
    Cloud_U.16.01samenhangDe architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
  • IT-services in relatie met functionaliteit voor bedrijfsprocessen;
  • het vertrouwensniveau van de beveiliging van de clouddiensten;
  • beschrijving van de infrastructuur en de netwerk- en systeemcomponenten die worden gebruikt voor de ontwikkeling en de werking van de cloudservice(s);
  • rollen en verantwoordelijkheden van de CSP en de CSC, inclusief de plichten om samen te werken en de bijbehorende controles bij de CSC;
  • IT-functies die door de CSP zijn toegewezen of uitbesteed aan onderaannemers.
  • Clouddiensten-architectuurUitvoering
    Cloud_U.17.01versleuteldCSC-data op transport en in rust is versleuteld.Multi-tenant architectuurUitvoering
    Cloud_U.17.02gescheidenVirtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht.Multi-tenant architectuurUitvoering
    Cloud_U.17.03gehardendeVirtuele machine-platforms zijn gehardend.Multi-tenant architectuurUitvoering
    CommVZ_B.01.1beleidsregelsBeleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten.Beleid en procedures informatietransportBeleid
    CommVZ_B.01.2beleidsregelsBeleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie.Beleid en procedures informatietransportBeleid
    CommVZ_B.01.3beleidsregelsBeleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden.Beleid en procedures informatietransportBeleid
    CommVZ_B.01.4proceduresProcedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging.Beleid en procedures informatietransportBeleid
    CommVZ_B.01.5proceduresProcedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1).Beleid en procedures informatietransportBeleid
    CommVZ_B.01.6proceduresProcedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie.Beleid en procedures informatietransportBeleid
    CommVZ_B.01.7beheersmaatregelenE-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd.Beleid en procedures informatietransportBeleid
    CommVZ_B.02.1overeenkomstenOvereenkomsten over informatietransport bevatten o.a. de volgende elementen:
    1. directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
    2. procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.;
    3. speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, zoals cryptografie;
    4. het handhaven van een bewakingsketen voor informatie tijdens verzending;
    5. acceptabele niveaus van toegangsbeveiliging.
    Overeenkomsten over informatietransportBeleid
    CommVZ_B.02.2overeenkomstenIn de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn.Overeenkomsten over informatietransportBeleid
    CommVZ_B.03.1cryptografiebeleidIn het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
  • wanneer cryptografie ingezet wordt;
  • wie verantwoordelijk is voor de implementatie van cryptografie;
  • wie verantwoordelijk is voor het sleutelbeheer;
  • welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast;
  • de wijze waarop het beschermingsniveau wordt vastgesteld;
  • het onderling vaststellen van het beleid bij inter-organisatie communicatie.
  • Cryptografiebeleid voor communicatieBeleid
    CommVZ_B.03.2cryptografiebeleidAanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
  • welk type gegevens moet voor welke communicatievorm worden versleuteld;
  • welk type gegevens elektronisch worden ondertekend;
  • aan welke standaarden de cryptografische toepassingen dienen te voldoen;
  • in hoeverre backwards compatibility voor algoritmen en protocollen t.b.v. netwerken mag worden toegepast.
  • Cryptografiebeleid voor communicatieBeleid
    CommVZ_B.04.1organisatiestructuurIn de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement).Organisatiestructuur van netwerkbeheerBeleid
    CommVZ_B.04.2organisatiestructuurDe beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie.Organisatiestructuur van netwerkbeheerBeleid
    CommVZ_B.04.3organisatiestructuurDe taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd.Organisatiestructuur van netwerkbeheerBeleid
    CommVZ_C.01.1nalevingDe naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
    • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
    • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatie mechanismen;
    • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
    • actuele beleidsregels voor netwerkbeveiliging;
    • aanwijzingen voor hardening van netwerkcomponenten;
    • verifieerbare auditlog oplossing.
    Naleving richtlijnen netwerkbeheer en evaluatiesControl
    CommVZ_C.02.1periodiekInformatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten.Netwerk security compliancy checkingControl
    CommVZ_C.02.2inrichtingDe checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
  • Netwerk security compliancy checkingControl
    CommVZ_C.02.3verantwoordelijkResultaten worden gerapporteerd aan het verantwoordelijke management.Netwerk security compliancy checkingControl
    CommVZ_C.03.1robuustheidDe teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
  • Evalueren netwerkbeveiligingControl
    CommVZ_C.04.1onderzoek van gebeurtenissenZeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
  • Evalueren netwerk monitoringControl
    CommVZ_C.04.2onderzoek van gebeurtenissenContinue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
  • Evalueren netwerk monitoringControl
    CommVZ_C.05.1VerantwoordelijkhedenDe communicatievoorzieningen worden geïdentificeerd en gedefinieerd.Beheerorganisatie netwerkbeveiligingControl
    CommVZ_C.05.2VerantwoordelijkhedenBeheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
  • Beheerorganisatie netwerkbeveiligingControl
    CommVZ_U.01.1ontwerpDe voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
    1. identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de middelen (assets);
    2. inventarisatie van de functionele eisen;
    3. beoordeling van de functionele eisen in de context van het beoogd gebruik;
    4. evaluatie van bekende toepassingsmogelijkheden en hun beperkingen;
    5. evaluatie van bestaande ontwerpen en implementaties.
    Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.01.2ontwerpLeidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak".Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.01.3ontwerpRobuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen.Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.01.4ontwerpNetwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C).Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.01.5implementatieNetwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten.Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.01.6beheerDe implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8.Richtlijnen netwerkbeveiligingUitvoering
    CommVZ_U.02.1inlogprocedureVoor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend.Beveiligde inlogprocedureUitvoering
    CommVZ_U.02.2inlogprocedureAls vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatie.Beveiligde inlogprocedureUitvoering
    CommVZ_U.02.3inlogprocedureToegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
  • remote LogIn, voor gebruikers die van buiten inloggen op de door de organisatie beheerde bedrijfsnetwerken;
  • versterkte authenticatie, voor toepassingen waarbij de ‘standaard’ authenticatie van gebruikers (en applicaties) kan worden gecompromitteerd;
  • Single SignOn (SSO), voor situaties, waarbij netwerken worden geacht authenticatiechecks uit te voeren voor verschillende toepassingen.
  • Beveiligde inlogprocedureUitvoering
    CommVZ_U.03.1beheerdVoor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.03.2beheerdNetwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.03.3beheerdBeheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.03.4beheerdTer bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.03.5beheerstDe functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.03.6beheerstSystemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd.Netwerk beveiligingsbeheerUitvoering
    CommVZ_U.04.1vertrouwelijkheids- of geheimhoudingsovereenkomstenTen aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
  • de looptijd van een overeenkomst;
  • de benodigde acties bij beëindiging;
  • de acties van ondertekenaars bij onbevoegde openbaarmaking van informatie;
  • hoe eigendom van vertrouwelijke informatie zich verhoudt tot de bescherming;
  • het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • de voorwaarden voor het teruggeven of vernietigen van informatie na beëindiging;
  • de acties in geval van schending van de overeenkomst;
  • de privacyregelgeving (UAVG en AVG/GDPR).
  • Vertrouwelijkheids- of geheimhoudingsovereenkomstUitvoering
    CommVZ_U.05.1beheereisenHet dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.Beveiliging netwerkdienstenUitvoering
    CommVZ_U.05.2dienstverleningsniveausBij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).Beveiliging netwerkdienstenUitvoering
    CommVZ_U.05.3beveiligingsmechanismenBij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven.Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomstenUitvoering
    CommVZ_U.05.4dienstverleningsniveausHet dienstverleningsniveau wordt afgestemd op de volgende eisen:
    • vereiste performance en beschikbaarheid van het netwerk;
    • toegestane verbindingstypen;
    • toegestane netwerkprotocollen;
    • toegepaste applicaties op de te leveren netwerkservices;
    • beoogde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.- en ontwerpprincipes.
    Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementenUitvoering
    CommVZ_U.05.5beveiligingsmechanismenDe noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst.Beveiliging netwerkdienstenUitvoering
    CommVZ_U.05.6beveiligingsmechanismenBeveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
  • applicatie niveau; ten behoeve van authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject., integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.: Encryptie;
  • transport niveau; ten behoeve van veilige point to point verbindingen: Encryptie;
  • netwerk niveau; ten behoeve van veilige communicatie tussen devices, encryptie, firewalls en netwerk verbindingen: VPN.
  • Beveiliging netwerkdienstenUitvoering
    CommVZ_U.06.01gescheiden (in domeinen)Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau.Zonering en filteringUitvoering
    CommVZ_U.06.02gescheiden (in domeinen)Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.Zonering en filteringUitvoering
    CommVZ_U.06.03gescheiden (in domeinen)Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerst door middel van een gateway (bijv. een firewall, een filterende router).Zonering en filteringUitvoering
    CommVZ_U.06.04gescheiden (in domeinen)Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen.Zonering en filteringUitvoering
    CommVZ_U.07.1passendVoor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Elektronische berichtenUitvoering
    CommVZ_U.07.2passendVoor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling.Elektronische berichtenUitvoering
    CommVZ_U.07.3passendBij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevens zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.Elektronische berichtenUitvoering
    CommVZ_U.07.4passendVoor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie).Elektronische berichtenUitvoering
    CommVZ_U.07.5passendVoor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
  • berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema van de organisatie;
  • correcte adressering en transport van het bericht waarborgen;
  • herstelbaarheid van onderbroken communicatie en beschikbaarheid van de dienst;
  • wettelijke bepalingen zoals eisen voor elektronische handtekeningen;
  • toestemming verkrijgen van het verantwoordelijk management en gegevenseigenaren, voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
  • 2-factor authenticatie voor toegang vanuit openbaar toegankelijke netwerken.
  • Elektronische berichtenUitvoering
    CommVZ_U.08.1openbare netwerkenMet communicerende partijen worden afspraken gemaakt over:
  • wederzijdse authenticatie;
  • bevoegdheden voor gebruik van de dienst;
  • integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van transacties, belangrijke documenten en onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst;
  • passende verificatie voor de controle van de transactie.
  • Toepassingen via openbare netwerkenUitvoering
    CommVZ_U.09.1filterfunctieVoor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft.Gateway/FirewallUitvoering
    CommVZ_U.09.2filterfunctieDe filterfunctie van gateways en firewalls is instelbaar.Gateway/FirewallUitvoering
    CommVZ_U.09.3filterfunctieGebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM.Gateway/FirewallUitvoering
    CommVZ_U.09.4toegestaan netwerkverkeerUitsluitend toegestaan netwerkverkeer wordt doorgelaten.Gateway/FirewallUitvoering
    CommVZ_U.10.1gescheiden end-to-end connectieDe end-to-end connectie:
  • wordt gecreëerd door scheiding van adresseringsruimte en routeringen tussen VPN’s over het onderliggende netwerk;
  • geeft garanties, dat de interne structuur van het onderliggende netwerk niet zichtbaar is voor andere netwerken;
  • biedt bescherming tegen Denial of Service attacks en ongeautoriseerde toegang;
  • biedt bescherming tegen label-spoofing (het mogelijk injecteren van foute labels).
  • Virtual Private Networks (VPN)Uitvoering
    CommVZ_U.11.1vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personenVoor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie.Cryptografische ServicesUitvoering
    CommVZ_U.11.2integriteitVoor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
  • communicatieprotocollen, die de ontvangst onweerlegbaar maken;
  • applicatieprotocollen, die de signatuur van de zender gebruiken voor onweerlegbaarheidBegrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen. van ontvangst en de integriteit van de ontvangen data.
  • Cryptografische ServicesUitvoering
    CommVZ_U.11.3integriteitCryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie.Cryptografische ServicesUitvoering
    CommVZ_U.11.4cryptografische beheersmaatregelenCryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
  • Advanced Encryption Standard (AES);
  • sleutellengte 128 bit voor “lichte” en 192 of 256 bits voor “zware” toepassingen.
  • Cryptografische ServicesUitvoering
    CommVZ_U.12.1authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleutelingOmdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
  • netwerk toegangscontrole (IEEE 802.1x) én apparaat authenticatie (EAP-TLS) beschermt netwerken tegen aansluiting van ongeautoriseerde gebruikers.
  • integriteitcontrolemechanismen voorkomen Man-in the-Middle attacks;
  • encryptie op netwerkniveau; het sterkst mogelijke algoritme/protocol wordt standaard toegepast, met backwards compatibility mogelijkheden voor ondersteuning van oudere of minder sterke protocollen;
  • autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen van mobiele clients, b.v. via MAC adresfiltering;
  • toegangscontrole van eindgebruikers, b.v. via RBAC;
  • niet toegestane typen netwerkverkeer worden geblokkeerd;
  • niet benodigde functies zijn altijd uitgeschakeld (Hardening);
  • bekende kwetsbaarheden in de systeemsoftware worden doorlopend opgelost (patching & patchmanagement).
  • Wireless AccessUitvoering
    CommVZ_U.13.1verbindingenVoor de beheersing van netwerken worden de volgende minimumeisen toegepast:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van alle soorten van netwerkverbindingen die worden gebruikt;
  • actuele lijst van toegestane en gebruikte protocollen;
  • actuele lijst van gebruikte netwerktoepassingen;
  • continu onderzoek naar beveiligingsrisico’s voor netwerken;
  • actuele netwerktopologie en daarvoor geldende beveiligingseisen.
  • NetwerkconnectiesUitvoering
    CommVZ_U.13.2bewaaktNetwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd.NetwerkconnectiesUitvoering
    CommVZ_U.14.1authenticatie van netwerknodesAlvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS).NetwerkauthenticatieUitvoering
    CommVZ_U.14.2authenticatie van netwerknodesAlleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x).NetwerkauthenticatieUitvoering
    CommVZ_U.15.1beheerdNetwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
  • administratie:
    • het continue actualiseren van de netwerktopologie;
    • het beheersen en ‘huishouden’ van netwerkresources en de wijze waarop die beschikbaar zijn gesteld.
  • beschikbaarheidsbeheer;
    • het zorgdragen dat netwerkfaciliteiten constant beschikbaar zijn en dat het netwerk wordt gemonitord, opdat onderbrekingen zo vroeg mogelijk worden ontdekt en te verholpen.
  • incident management:
    • het zorgdragen dat op alle incidenten en bevindingen actie wordt ondernomen, met rapportage.
  • technische kwetsbaarheden management:
    • het verzamelen en uitvoeren van securityupgrades, zoals het aanbrengen patches tegen kwetsbaarheden in firmware of netwerk-Operating Software (OS) en het nemen van preventieve maatregelen voor fysieke kwetsbaarheden, zoals ongeautoriseerde toegang tot netwerkbekabeling;
    • het verhelpen van fysieke kwetsbaarheden in het netwerk, zoals bescherming tegen ongeautoriseerde (fysieke) toegang van netwerksegmenten.
  • Netwerk beheeractiviteitenUitvoering
    CommVZ_U.15.2beheerstNetwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten.Netwerk beheeractiviteitenUitvoering
    CommVZ_U.16.1geregistreerd en bewaardOvertredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs.Vastleggen en monitoring van netwerkgebeurtenissen (events)Uitvoering
    CommVZ_U.16.2beoordeeldHet beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen.Vastleggen en monitoring van netwerkgebeurtenissen (events)Uitvoering
    CommVZ_U.17.1samenhangDe beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem.Netwerk beveiligingsarchitectuurUitvoering
    CommVZ_U.17.2samenhangDe beveiligingsarchitectuur is gelaagd, zoals:
  • NORANederlandse Overheid Referentie Architectuur Beveiliging Metamodel;
  • SABSA®.
  • Netwerk beveiligingsarchitectuurUitvoering
    CommVZ_U.17.3samenhangDe netwerk topologie is in kaart gebracht en wordt continu actueel gehouden.Netwerk beveiligingsarchitectuurUitvoering
    Huisv_B.01.01huisvesting-IV beleidDe organisatie heeft een Huisvestingsbeleid opgesteld en dit beleid:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en uitzonderingen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
  • Huisvesting informatievoorziening BeleidBeleid
    Huisv_B.01.02beleidsregelsBeleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • de bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Huisvesting informatievoorziening BeleidBeleid
    Huisv_B.01.03beleidsregelsBeleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Huisvesting informatievoorziening BeleidBeleid
    Huisv_B.02.01wettelijke, statutaire, regelgevende en contractuele eisenDe verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV.Wet en regelgevingBeleid
    Huisv_B.02.02wettelijke, statutaire, regelgevende en contractuele eisenHet Huisvesting-IV beleid waarover de Huisvesting-IV organisatie en de klant overeenstemming hebben bereikt is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Wet en regelgevingBeleid
    Huisv_B.03.01eigenaarPersonen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel, zijn als eigenaar benoemd.EigenaarschapBeleid
    Huisv_B.03.02eigenaarHet eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.EigenaarschapBeleid
    Huisv_B.03.03eigenaarDe eigenaar van het bedrijfsmiddel is gedurende de gehele levenscyclus verantwoordelijk voor het juiste beheer van het bedrijfsmiddel.EigenaarschapBeleid
    Huisv_B.03.04eigenaarDe eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek worden beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • EigenaarschapBeleid
    Huisv_B.04.01gangbare standaardenDe gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.CertificeringBeleid
    Huisv_B.04.02gangbare standaardenDe Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • CertificeringBeleid
    Huisv_B.05.01kwalitatieve en kwantitatieve eisenDe eisen en specificaties voor de Huisvesting-IV voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.ContractmanagementBeleid
    Huisv_B.05.02overeenkomstenHet verwerven van Huisvesting-IV voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.ContractmanagementBeleid
    Huisv_B.05.03overeenkomstenDe bij SLA’s en DAP’s betrokken rollen Contractmanagement en Servicelevel Management zijn vastgelegd.ContractmanagementBeleid
    Huisv_B.05.04overeenkomstenAfspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.ContractmanagementBeleid
    Huisv_B.05.05overeenkomstenDe levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.ContractmanagementBeleid
    Huisv_B.06.01service level agreementDe Huisvesting-IV organisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Service LevelmanagementBeleid
    Huisv_B.06.02service level agreementDe dienstenniveaus zijn in lijn met het Huisvesting-IV beveiligingsbeleid.Service LevelmanagementBeleid
    Huisv_B.06.03service level agreementDe dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).Service LevelmanagementBeleid
    Huisv_B.07.01natuurrampen, ongelukken en kwaadwillige aanvallenDe organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.Interne en Externe bedreigingenBeleid
    Huisv_B.07.02natuurrampen, ongelukken en kwaadwillige aanvallenTegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Interne en Externe bedreigingenBeleid
    Huisv_B.07.03natuurrampen, ongelukken en kwaadwillige aanvallenBij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen veroorzaakt door de natuur en menselijk toedoen.Interne en Externe bedreigingenBeleid
    Huisv_B.07.04natuurrampen, ongelukken en kwaadwillige aanvallenDe aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd, de keuring wordt uitgevoerd door de Brandweer of door een hiertoe erkend keuringsinstituut.Interne en Externe bedreigingenBeleid
    Huisv_B.08.01bewustzijnsopleiding, –training en bijscholingBinnen de Huisvesting-IV nemen alle medewerkers regelmatig deel aan beveiliging awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshops hierover.Training en AwarenessBeleid
    Huisv_B.08.02bewustzijnsopleiding, –training en bijscholingAan de medewerkers wordt regelmatig e-learning training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Training en AwarenessBeleid
    Huisv_B.09.01organisatiestructuurBinnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting-IV een formele positie.OrganisatiestructuurBeleid
    Huisv_B.09.02organisatiestructuurVoor Huisvesting-IV is een organisatieschema beschikbaar.OrganisatiestructuurBeleid
    Huisv_B.09.03functionarissenHet organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.OrganisatiestructuurBeleid
    Huisv_B.09.04taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.OrganisatiestructuurBeleid
    Huisv_C.01.01richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen.Controle richtlijnControl
    Huisv_C.01.02richtlijnenDe Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Controle richtlijnControl
    Huisv_C.01.03richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Controle richtlijnControl
    Huisv_C.01.04richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie.Controle richtlijnControl
    Huisv_C.01.05richtlijnenDe Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd.Controle richtlijnControl
    Huisv_C.02.01onderhoudsplanDe verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan.OnderhoudsplanControl
    Huisv_C.02.02onderhoudsbepalingenVoor kwetsbare voorzieningen (binnen én buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.OnderhoudsplanControl
    Huisv_C.03.01procesmatigHet Business Continuity Management System (BCMS) is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
  • ContinuiteitsmanagementControl
    Huisv_C.03.02procesmatigDe beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.ContinuiteitsmanagementControl
    Huisv_C.03.03hersteld en voortgezetEen continuïteitsplan is opgesteld met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage t.a.v. continuïteit.ContinuiteitsmanagementControl
    Huisv_C.03.04hersteld en voortgezetDe herstelprocessen en -procedures voor de Huisvesting-IV organisatir zijn gedocumenteerd.ContinuiteitsmanagementControl
    Huisv_C.03.05hersteld en voortgezetEr is gezorgd voor afdoende uitwijkfaciliteiten, zodat bij calamiteiten de services (dienstverlening) binnen de daartoe gestelde termijn voortgezet kan worden.ContinuiteitsmanagementControl
    Huisv_C.03.06hersteld en voortgezetGebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest.ContinuiteitsmanagementControl
    Huisv_C.03.07hersteld en voortgezetDe Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van de uitwijkvoorzieningen.ContinuiteitsmanagementControl
    Huisv_C.04.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.Huisvesting-IV beheersingsorganisatieControl
    Huisv_C.04.02beheersingsorganisatieDe belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Huisvesting-IV beheersingsorganisatieControl
    Huisv_C.04.03beheersingsorganisatieDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Huisvesting-IV beheersingsorganisatieControl
    Huisv_C.04.04beheersingsorganisatieDe organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Huisvesting-IV beheersingsorganisatieControl
    Huisv_U.01.01richtlijnenPersoneel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Richtlijnen gebieden en ruimtenUitvoering
    Huisv_U.01.02richtlijnenZonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.Richtlijnen gebieden en ruimtenUitvoering
    Huisv_U.01.03richtlijnenLeegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Richtlijnen gebieden en ruimtenUitvoering
    Huisv_U.01.04richtlijnenTenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Richtlijnen gebieden en ruimtenUitvoering
    Huisv_U.01.05richtlijnenBezoekers van kritieke faciliteiten:
  • krijgen slechts toegang voor vastgestelde doeleinden;
  • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
  • wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
  • dragen verplicht een badge;
  • worden gemonitord bij aankomst en vertrek;
  • worden continu aan toezicht onderworpen.
  • Richtlijnen gebieden en ruimtenUitvoering
    Huisv_U.02.01inventarisVoor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie 8.2).Bedrijfsmiddelen inventarisUitvoering
    Huisv_U.02.02inventarisDe Huisvesting-IV organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting-IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, * de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Bedrijfsmiddelen inventarisUitvoering
    Huisv_U.02.03inventarisDe inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel en consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Bedrijfsmiddelen inventarisUitvoering
    Huisv_U.02.04inventarisDe Huisvesting-IV organisatie heeft inventarisoverzichten:
  • inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Bedrijfsmiddelen inventarisUitvoering
    Huisv_U.03.01beveilingszonesVoor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:
  • het Kader Rijkstoegangsbeleid (2010);
  • het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  • het Beveiligingsvoorschrift Rijk (BVR 2013).
  • Fysieke zoneringUitvoering
    Huisv_U.03.02beveilingszonesBeveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Fysieke zoneringUitvoering
    Huisv_U.03.03beveilingszonesInformatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Fysieke zoneringUitvoering
    Huisv_U.03.04beveilingszonesAlle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen.Fysieke zoneringUitvoering
    Huisv_U.03.05beveilingszonesElke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd.Fysieke zoneringUitvoering
    Huisv_U.04.01faciliteitenBelangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn.Beveiligingsfaciliteiten ruimtenUitvoering
    Huisv_U.04.02faciliteitenFaciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie activiteiten van buitenaf zichtbaar en/of hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Beveiligingsfaciliteiten ruimtenUitvoering
    Huisv_U.04.03faciliteitenAdresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.Beveiligingsfaciliteiten ruimtenUitvoering
    Huisv_U.04.04faciliteitenSleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).Beveiligingsfaciliteiten ruimtenUitvoering
    Huisv_U.05.01nutsvoorzieningenNutsvoorzieningen:
  • zijn in overeenstemming met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • worden regelmatig onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
  • worden regelmatig geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zijn zo nodig voorzien van een alarmsysteem om disfunctioneren op te sporen;
  • beschikken voor zover nodig over meervoudige voeding, elk met een verschillende fysieke route.
  • NutsvoorzieningenUitvoering
    Huisv_U.05.02nutsvoorzieningenNoodverlichting en (nood)communicatiemiddelen zijn aanwezig.NutsvoorzieningenUitvoering
    Huisv_U.05.03nutsvoorzieningenNabij nooduitgangen of ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas en eventuele andere voorzieningen kunnen worden uitgeschakeld.NutsvoorzieningenUitvoering
    Huisv_U.05.04nutsvoorzieningenVoor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder.NutsvoorzieningenUitvoering
    Huisv_U.06.01gepositioneerd en beschermdApparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevens.Apparatuur positioneringUitvoering
    Huisv_U.06.02gepositioneerd en beschermdApparatuur wordt beschermd tegen bedreiging (zoals overspanning, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische Straling) van buitenaf.Apparatuur positioneringUitvoering
    Huisv_U.07.01correcte wijzeApparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Onderhoud ApparatuurUitvoering
    Huisv_U.07.02correcte wijzeReparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel.Onderhoud ApparatuurUitvoering
    Huisv_U.07.03correcte wijzeReparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is.Onderhoud ApparatuurUitvoering
    Huisv_U.07.04correcte wijzeVan alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.Onderhoud ApparatuurUitvoering
    Huisv_U.07.05correcte wijzeAan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan.Onderhoud ApparatuurUitvoering
    Huisv_U.07.06correcte wijzeVoordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert.Onderhoud ApparatuurUitvoering
    Huisv_U.08.01geverifieerdVoorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat.Apparatuur verwijderingUitvoering
    Huisv_U.08.02verwijderdHet verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data op het apparaat aanwezig of toegankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer; het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
  • NB: Dit zijn criteria uit BIR versie 1.0.
    Apparatuur verwijderingUitvoering
    Huisv_U.09.01bedrijfsmiddelenIn het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt; onderdeel van deze procedure is een formeel toestemmingstraject.Bedrijfsmiddelen verwijderingUitvoering
    Huisv_U.09.02bedrijfsmiddelenMedewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd.Bedrijfsmiddelen verwijderingUitvoering
    Huisv_U.09.03bedrijfsmiddelenAan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht.Bedrijfsmiddelen verwijderingUitvoering
    Huisv_U.09.04bedrijfsmiddelenVoor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Bedrijfsmiddelen verwijderingUitvoering
    Huisv_U.09.05bedrijfsmiddelenDe identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd.Bedrijfsmiddelen verwijderingUitvoering
    Huisv_U.10.01toegangspuntenEr is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R).Laad en los locatieUitvoering
    Huisv_U.10.02toegangspuntenDe toegang vanaf buiten het gebouw tot de 'laad en los' locatie(s) is beperkt tot geïdentificeerd en bevoegd personeel.Laad en los locatieUitvoering
    Huisv_U.10.03toegangspuntenDe laad- en los- locatie zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Laad en los locatieUitvoering
    Huisv_U.10.04toegangspuntenDe buitendeuren van de 'laad- en los' locatie(s) zijn beveiligd (gesloten) als de binnendeuren open zijn.Laad en los locatieUitvoering
    Huisv_U.10.05toegangspuntenInkomende materialen worden bij binnenkomst op de locatie geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer.Laad en los locatieUitvoering
    Huisv_U.10.06toegangspuntenInkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden.Laad en los locatieUitvoering
    Huisv_U.10.07toegangspuntenInkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport; elke ontdekte vervalsing wordt direct aan het beveiligingspersoneel gemeld.Laad en los locatieUitvoering
    Huisv_U.11.01voedingskabelsKabels worden bij voorkeur ondergronds aangelegd.BekabelingUitvoering
    Huisv_U.11.02voedingskabelsDe Huisvesting-IV is ingericht op basis van de volgende “Best Practices”:
    • TIA-942 (Telecommunication Infrastructure Standard for Data Centers);
    • NEN-EN 50600 (Information technology - Data centre facilities and infrastructures);
    • NPR5313:2014 (Computer rooms and data centres).
    BekabelingUitvoering
    Huisv_U.11.03voedingskabelsVoedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.BekabelingUitvoering
    Huisv_U.12.01architectuurvoorschriftenDe aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden.Huisvesting-IV architectuurUitvoering
    Huisv_U.12.02architectuurvoorschriftenDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd.Huisvesting-IV architectuurUitvoering
    Huisv_U.12.03documentatieHet document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Huisvesting-IV architectuurUitvoering
    PRIV_B.01.01.01privacybeleidHet beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.01.02privacybeleidHet privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.01.03privacybeleidHet topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.01.04privacybeleidDe organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.01.05privacybeleidIn het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.01.06privacybeleidIn het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.01wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.02wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.03wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.04wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.05wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.06wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.07wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.08wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.09wettelijke beginselenBeschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.01.02.10wettelijke beginselenBeschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen.Privacy Beleid geeft duidelijkheid en sturingBeleid
    PRIV_B.02.01.01verdeling van de taken en verantwoordelijkhedenDe eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is.Organieke inbeddingBeleid
    PRIV_B.02.01.02verdeling van de taken en verantwoordelijkhedenDe verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:


    Het betreft een overheidsinstantie of overheidsorgaan: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
    Een stelselmatige observatie op grote schaal is vereist: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regel-matige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
    De gegevens betreffen bijzondere categorieën persoonsgegevens, strafrechtelijke veroordelingen of strafbare feiten: de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens, conform U.01/04 of AVG Art. 9, en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, conform U.01/05 of AVG Art. 10 (zie PRIV_U.01: Doelbinding gegevensverwerking).

    In overige situaties kunnen of moeten, indien wettelijk verplicht, de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een FG hebben aangewezen.
    Organieke inbeddingBeleid
    PRIV_B.02.01.03verdeling van de taken en verantwoordelijkhedenBij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst.Organieke inbeddingBeleid
    PRIV_B.02.01.04verdeling van de taken en verantwoordelijkhedenDe taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt.Organieke inbeddingBeleid
    PRIV_B.02.02.01benodigde middelenGekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan.Organieke inbeddingBeleid
    PRIV_B.02.03.01rapporteringslijnenDe rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd.Organieke inbeddingBeleid
    PRIV_B.03.01.01het beoordelen van de privacyrisico'sWanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.01.02het beoordelen van de privacyrisico'sWanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.01.03het beoordelen van de privacyrisico'sTen minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11..Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.01.04het beoordelen van de privacyrisico'sWanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36..Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.02.01passende maatregelenDe maatregelen bestaan uit technische en organisatorische maatregelen.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.02.02passende maatregelenPassende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.02.03passende maatregelenDe maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's)Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.02.04passende maatregelenDe resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.03.01aantonenVan alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.03.02aantonenEen procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.03.03aantonenDe risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.03.04aantonenEen tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_B.03.03.05aantonenPrivacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak.Risicomanagement, Privacy by Design en de DPIABeleid
    PRIV_C.01.01.01evaluatieDe verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd.Intern toezichtControl
    PRIV_C.01.01.02evaluatieAls blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management.Intern toezichtControl
    PRIV_C.01.01.03evaluatieEr is een planning van activiteiten in het kader van het beoordelen van de compliancy.Intern toezichtControl
    PRIV_C.01.02.01rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt.Intern toezichtControl
    PRIV_C.01.02.02rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).Intern toezichtControl
    PRIV_C.01.02.03rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is.Intern toezichtControl
    PRIV_C.01.02.04rechtmatigheid aangetoondBij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens.Intern toezichtControl
    PRIV_C.01.02.05rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen).Intern toezichtControl
    PRIV_C.01.02.06rechtmatigheid aangetoondAangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.Intern toezichtControl
    PRIV_C.01.02.07rechtmatigheid aangetoondAangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA.Intern toezichtControl
    PRIV_C.01.02.08rechtmatigheid aangetoondAangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen.Intern toezichtControl
    PRIV_C.01.02.09rechtmatigheid aangetoondDe verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2.Intern toezichtControl
    PRIV_C.01.02.10rechtmatigheid aangetoondBij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten).Intern toezichtControl
    PRIV_C.02.01.01informatie over de verwerking van persoonsgegevensDe betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.01.02informatie over de verwerking van persoonsgegevensDe inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
    1. De verwerkingsdoeleinden;
    2. De betrokken categorieën persoonsgegevens;
    3. De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
    4. Indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
    5. Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
    6. Dat de betrokkene het recht heeft klacht in te dienen bij de AP;
    7. Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
    8. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
    9. Bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
    10. Op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
    Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.01.03informatie over de verwerking van persoonsgegevensDe inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.02.01tijdigDe informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
    • De complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
    • De informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
    • De betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
    Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.02.02tijdigWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • Is de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • Is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
  • Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.03.01in een passende vormDe communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.03.02in een passende vormDe informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.03.03in een passende vormOp verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.03.04in een passende vormHet verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
    1. Een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
    2. Weigeren gevolg te geven aan het verzoek.
    Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.03.05in een passende vormDe verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.02.04.01specifieke uitzonderingsgrondDe verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23.Toegang gegevensverwerking voor betrokkenenControl
    PRIV_C.03.01.01meldt een datalekEen datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.Meldplicht DatalekkenControl
    PRIV_C.03.01.02meldt een datalekDe melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
  • De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Meldplicht DatalekkenControl
    PRIV_C.03.01.03meldt een datalekEen datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).Meldplicht DatalekkenControl
    PRIV_C.03.01.04meldt een datalekIn de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • Meldplicht DatalekkenControl
    PRIV_C.03.01.05meldt een datalekDe melding aan de betrokkene is in duidelijke en eenvoudige taal.Meldplicht DatalekkenControl
    PRIV_C.03.02.01gestelde termijnEen verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.Meldplicht DatalekkenControl
    PRIV_C.03.02.02gestelde termijnDe melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.Meldplicht DatalekkenControl
    PRIV_C.03.02.03gestelde termijnAls de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.Meldplicht DatalekkenControl
    PRIV_C.03.02.04gestelde termijnDe melding aan de betrokkene gebeurt onverwijld.Meldplicht DatalekkenControl
    PRIV_C.03.03.01documenteert de inbreukDe verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht DatalekkenControl
    PRIV_C.03.03.02documenteert de inbreukDe documentatie stelt de AP in staat de naleving te controleren.Meldplicht DatalekkenControl
    PRIV_C.03.03.03documenteert de inbreukDe documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Meldplicht DatalekkenControl
    PRIV_C.03.03.04documenteert de inbreukHet feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87.Meldplicht DatalekkenControl
    PRIV_C.03.04.01uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95.
  • Meldplicht DatalekkenControl
    PRIV_C.03.04.02uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
    • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
    • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
    • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
    • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
    • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
    • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
    • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
    Meldplicht DatalekkenControl
    PRIV_U.01.01.01tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.01.02tijdig, welbepaald en uitdrukkelijk omschrevenVan alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.01.03tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.01.04tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.02.01doeleindenDe persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd).Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.02.02doeleindenDe verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
    1. De betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
    2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    4. De verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Deze rechtsgrond moet zijn vastgesteld bij het Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing isAVG Art. 6 lid 3;
    6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit onderdeel (punt 6) geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.02.03doeleindenPersoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.

    Hiertoe moet/moeten:

    1. De gegevensverwerking transparant te zijn (PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens).
    2. De gegevens juist te zijn en zo nodig te worden bijgewerkt (PRIV_U.03: Kwaliteitsmanagement).
    3. De gegevens passend te worden beveiligd (PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens).
    4. De gegevens niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (PRIV_U.06: Bewaren van persoonsgegevens).
    Nota Bene: De AVG is niet van toepassing op de persoonsgegevens van overleden personen AVG overweging 27.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.03.01rechtvaardiging verdere verwerkingDe verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
    1. De verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG Art. 6 lid 4:
      1. Ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
      2. Het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
      3. De aard van de persoonsgegevens, met name of bijzondere categorieën persoonsgegevens worden verwerktAVG Art. 9 en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG Art. 10;
      4. De mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
      5. Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
    2. De verdere verwerking plaatsvindt op basis van de toestemming van betrokkene. Of:
    3. Wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.03.02rechtvaardiging verdere verwerkingWanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.01rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a.
    Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen.
    Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.02rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b.

    Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:

    • Een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of
    • De reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.



    NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6).
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.03rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.04rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d).Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.05rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e).Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.06rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f).Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.07rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
    1. Nationaalrechtelijke algemene uitzonderingenUAVG Art. 23:
      1. De verwerking is noodzakelijk ter voldoening aan een volkenrechtelijke verplichting;
      2. De gegevens worden verwerkt door de Autoriteit persoonsgegevens of een ombudsman als bedoeld in Art. 9:17 van de Algemene wet bestuursrecht (AWB), en voor zover de verwerking noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken, onder voorwaarde dat bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; of
      3. De verwerking is noodzakelijk in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
    2. Uitzonderingen inzake verwerking van persoonsgegevens waaruit ras of etnische afkomst blijktUAVG Art. 25:
      1. Verwerking met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene, en slechts voor zover de verwerking voor dat doel onvermijdelijk is; of
      2. Verwerking met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen, verband houdende met de grond ras of etnische afkomst, op te heffen of te verminderen, en slechts voor zover:
        1. De verwerking voor dat doel noodzakelijk is;
        2. De gegevens betrekking hebben op het geboorteland van de betrokkene, diens ouders of diens grootouders, dan wel op andere, bij wet vastgestelde criteria op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een bepaalde etnische of culturele minderheidsgroep behoort; en
        3. De betrokkene tegen de verwerking geen schriftelijk bezwaar heeft gemaakt.
    3. De verwerking van persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functiesUAVG Art. 26:
      1. de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
    4. De verwerking van persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken voor geestelijke verzorgingUAVG Art. 27:
      1. De verwerking geschiedt door andere instellingen dan de instellingen, bedoeld in artikel 22, tweede lid, onderdeel c, en voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
      2. Hierbij worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
    5. De verwerking van genetische gegevensUAVG Art. 28:
      1. De verwerking vindt plaats met betrekking tot de betrokkene bij wie de desbetreffende gegevens zijn verkregen.
      2. Hierbij is het verbod om genetische gegevens te verwerken uitsluitend niet van toepassing, indien:
        1. De betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat; en
        2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Deze toestemming is niet vereist, indien het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt.
    6. De verwerking van biometrische gegevensUAVG Art. 29:
      1. de verwerking vindt plaats ten behoeve van de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
    Voor al deze verwerkingen is bepaald dat de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.08rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
    1. Scholen, voor zover de verwerking met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
    2. Een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming, de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet, of de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover de verwerking noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken; of:
    3. Onze Minister en Onze Minister van Justitie en Veiligheid voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is.
    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.09rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).



    De verwerking geschiedt doorUAVG Art. 30 lid 3) :

    1. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk. Hierbij geldt dat het verbod om andere bijzondere categorieën persoonsgegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is in aanvulling op deze verwerking met het oog op een goede behandeling of verzorging van de betrokkeneUAVG Art. 30 lid 5 ; of
    2. Verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
      1. De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
      2. De uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

    Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.

    Als voorwaarde en waarborg geldt:

    1. de gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of
    2. door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehoudenAVG Art. 9 lid 3.
      Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld UAVG Art 30 lid 6.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.10rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i).Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.04.11rechtvaardiging bijzondere categorieën persoonsgegevensDe verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
  • Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
  • Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
  • De definitie van 'wetenschappelijk of historisch onderzoek' is te vinden in AVG overweging 159.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.05.01strafrechtelijke veroordelingen en strafbare feitenPersoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
    1. De betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
    2. De verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon, indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
    3. De verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
    4. De verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.05.02strafrechtelijke veroordelingen en strafbare feitenPersoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
    • De verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens (WPG) of de Wet justitiële en strafvorderlijke gegevens (WJSG);
    • De verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
    1. De verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
    2. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

    of:

    • De verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, bedoeld in de UAVG Art. 30, derde lid, aanhef en onderdeel a, met het oog op een goede behandeling of verzorging van de betrokkene;
    • Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:
    1. Ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. Ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
    • Persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke mogen uitsluitend worden verwerkt, indien dit geschiedt overeenkomstig de regels die zijn vastgesteld in overeenstemming met de procedures in de Wet op de ondernemingsraden voor zover het persoonsgegevens van strafrechtelijke aard over personeel in dienst van de verwerkingsverantwoordelijke betreft;
    • Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt, indien:
    1. Door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (WPBR);
    2. Door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. Door een verwerkingsverantwoordelijke die hiervoor van de AP een vergunning heeft verkregen.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.05.03strafrechtelijke veroordelingen en strafbare feitenDe verwerking van de gegevens over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.05.04strafrechtelijke veroordelingen en strafbare feitenHet verbod om persoonsgegevens te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerktUitvoeringswet AVG art. 31 lid 3..Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.05.05strafrechtelijke veroordelingen en strafbare feitenDe verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.06.01nationaal identificerend nummerHet bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
    • Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak (dus met een specifieke wettelijke grondslag) gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
    • Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.
    • De (anno 2019) in de maak zijnde wet Digitale overheid (voorheen: Wet generieke digitale infrastructuur - GDI) maakt het noodzakelijk dat er ook voor private partijen een wettelijke grondslag komt voor het verwerken van het BSN in het kader van authenticatieMvt bij de GDI pag. 15.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.07.01geautomatiseerde besluitvormingEen betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
    1. Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
    2. Is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
    3. Berust op de uitdrukkelijke toestemming van de betrokkene.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.07.02geautomatiseerde besluitvormingIndien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2.
    Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.07.03geautomatiseerde besluitvormingIndien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.08.01wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j.Doelbinding gegevensverwerkingUitvoering
    PRIV_U.01.08.02wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangVerwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
    • Minimale gegevensverwerking te garanderen;
    • Ervoor te zorgen dat de betrokkene niet meer geïdentificeerd kan worden, bijvoorbeeld door middel van pseudonimisering of anonimisering.
    Doelbinding gegevensverwerkingUitvoering
    PRIV_U.02.01.01registerElke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.01.02registerHet register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
    1. De naam en de contactgegevens van:
      1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
      2. In voorkomend geval:
        1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
        2. Van de Functionaris voor Gegevensbescherming;
    2. De verwerkingsdoeleinden;
    3. Een beschrijving van de categorieën van betrokkenen;
    4. Een beschrijving van de categorieën persoonsgegevens;
    5. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
    6. Bij doorgiften aan een derde land of een internationale organisatie:
      1. De doorgifte van verstrekte persoonsgegevens;
      2. De vermelding van dat derde land of die internationale organisatie;
      3. De documenten inzake de passende waarborgen;
    7. De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk);
    8. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
    Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.01.03registerDe verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.01.04registerHet register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
  • De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor gegevensbescherming;
  • De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens
    2. De vermelding van dat derde land of die internationale organisatie
    3. De documenten inzake de passende waarborgen;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
  • Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.01.05registerHet register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.01.06registerHet register hoeft niet te worden bijgehouden indien:
  • De onderneming of organisaties minder dan 250 personen in dienst heeft,
  • Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  • De verwerking incidenteel is, en:
  • Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
  • Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.02.01actueel en samenhangend beeldDe registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.02.02actueel en samenhangend beeldOp verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.02.03actueel en samenhangend beeldDe onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
  • De bedrijfsprocessen;
  • Organisaties en organisatieonderdelen;
  • De verwerkingen;
  • De locaties waar persoonsgegevens worden opgeslagen;
  • De gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • De systemen.
  • Register van verwerkingsactiviteitenUitvoering
    PRIV_U.02.02.04actueel en samenhangend beeldBij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.Register van verwerkingsactiviteitenUitvoering
    PRIV_U.03.01.01juistheid en nauwkeurigheidDe verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen..KwaliteitsmanagementUitvoering
    PRIV_U.03.01.02juistheid en nauwkeurigheidDe verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management.KwaliteitsmanagementUitvoering
    PRIV_U.03.02.01gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1.KwaliteitsmanagementUitvoering
    PRIV_U.03.02.02gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1.KwaliteitsmanagementUitvoering
    PRIV_U.03.02.03gecorrigeerd, gestaakt of overgedragenOp verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
  • De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • De betrokkene trekt de toestemming waarop de verwerking berust in en er is geen andere rechtsgrond voor de verwerking;
  • De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking.
  • De persoonsgegevens zijn onrechtmatig verwerkt;
  • De persoonsgegevens moeten worden gewist om te voldoen aan een in het wettelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • De persoonsgegevens van kinderen jonger dan 16 jaar zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.
  • KwaliteitsmanagementUitvoering
    PRIV_U.03.02.04gecorrigeerd, gestaakt of overgedragenBij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1.KwaliteitsmanagementUitvoering
    PRIV_U.03.02.05gecorrigeerd, gestaakt of overgedragenWanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2.KwaliteitsmanagementUitvoering
    PRIV_U.03.02.06gecorrigeerd, gestaakt of overgedragenOp verzoek van betrokkene wordt de verwerking beperkt, indien:
  • De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
  • De verwerking onrechtmatig en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
  • De verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of:
  • De betrokkene bezwaar heeft gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
  • KwaliteitsmanagementUitvoering
    PRIV_U.03.02.07gecorrigeerd, gestaakt of overgedragenDe betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
  • Toestemming van betrokkene, of:
  • Een overeenkomst waarbij de betrokkene partij is of de verwerking via geautomatiseerde procedés wordt verricht;
  • en geldt niet als:

    1. De verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
    2. Het afbreuk doet aan de rechten en vrijheden van anderen.
    KwaliteitsmanagementUitvoering
    PRIV_U.03.02.08gecorrigeerd, gestaakt of overgedragenDe betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.01geïnformeerdDe verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.02geïnformeerdDe verwerkingsverantwoordelijke informeert op verzoek van de betrokkene aan wie hij de mededeling van correctie heeft gedaan.Kwaliteitsmanagement
    PRIV_U.03.03.03geïnformeerdDe verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.04geïnformeerdWanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.05geïnformeerdDe verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.06geïnformeerdWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4.KwaliteitsmanagementUitvoering
    PRIV_U.03.03.07geïnformeerdWanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57.KwaliteitsmanagementUitvoering
    PRIV_U.04.01.01technische en organisatorische maatregelenDe verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3.Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.01.02technische en organisatorische maatregelenPersoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
  • Als persoonsgegevens op fysieke wijze bestaan, zijn deze ook fysiek beschermd.
  • De wijze van verzameling van gegevens is niet privacygevoelig.
  • Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.01.03technische en organisatorische maatregelenPersoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan.Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.01.04technische en organisatorische maatregelenDe maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel':
  • De pseudonimisering en versleuteling van persoonsgegevens;
  • Het vermogen om op permanente basis de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  • Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.02.01De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair.Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.02.02een passend beveiligingsniveauDe beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2.Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.04.02.03een passend beveiligingsniveauHet aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn.Beveiligen van de verwerking van persoonsgegevensUitvoering
    PRIV_U.05.01.01tijdigDe toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.01.02tijdigInformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.02.01informatieHet verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.02.02informatieWanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
  • De identiteit en contactgegevens van de verantwoordelijke en, in voorkomend geval, zijn of haar vertegenwoordiger;
  • In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden en ook de rechtsgrond van de gegevensverwerking;
  • De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind isAVG Art. 6.1f;
  • In voorkomend geval de ontvangers of categorieën van ontvangers van persoonsgegevens;
  • In voorkomend geval dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of internationale organisatie of een adequaatheidsbesluit van de commissie bestaat, welke de passende waarborgen zijn en hoe deze kunnen worden ingezien;
  • De periode dat de gegevens worden opgeslagen of de criteria ter bepaling van die termijn;
  • Dat de betrokkene recht heeft op inzage, rectificatie of wissing of beperking van de hem betreffende verwerking en het recht heeft bezwaar tegen de verwerking te maken en dat de betrokkene het recht heeft op gegevensoverdraagbaarheid;
  • Dat de betrokkene zijn toestemming te allen tijde kan intrekken (voor zover de verwerking is gebaseerd op de rechtsgrond toestemming);
  • Dat de betrokkene een klacht mag indienen bij de AP;
  • Of de verstrekking een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten;
  • Of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn als deze de gegevens niet verstrekt;
  • Of geautomatiseerde besluitvorming en/of profilering bestaat en in die gevallen nuttige informatie over de onderliggende logica alsmede het belang en de verwachte gevolgen voor de betrokkene;
  • InformatieBetekenisvolle gegevens. over het andere doel, wanneer een verwerking gaat plaatsvinden voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld.
  • Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.02.03informatieWanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  • In voorkomend geval de contactgegevens van de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
  • De betrokken categorieën persoonsgegevens;
  • In voorkomend geval de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • Als persoonsgegevens aan een ontvanger in een derde land of aan een internationale organisatie wordt doorgegeven, wordt informatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat over hoe een kopie kan worden verkregen over de waarborgen of voorschriften of waar ze kunnen worden geraadpleegd;
  • De periode gedurende welke de persoonsgegevens zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
  • Indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;
  • Dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  • Wanneer verwerking is gebaseerd is op toestemming van betrokkene, heeft de betrokkene het recht de toestemming te allen tijde in te trekken. Dit doet geen afbreuk aan de rechtmatigheid van de verwerking op basis van de toestemming van vóór de intrekking;
  • Dat de betrokkene het recht heeft een klacht in te dienen bij een AP;
  • De bron waar de persoonsgegevens vandaan komen en in voorkomend geval of zij afkomstig zijn van openbare bronnen;
  • Het bestaan van geautomatiseerde besluitvorming (inclusief profilering) inclusief de informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.03.01uitzonderingDe verplichting tot het verstrekken van informatie geldt niet, indien:
  • De betrokkene reeds over de informatie beschikt;
  • Het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
  • De verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te worden of ernstig in het gedrang dreigt te brengen; in dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
  • Het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of:
  • De persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, waaronder een statutaire geheimhoudingsplicht;
  • Wanneer de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldt;
  • Het de verwerking betreft van persoonsgegevens die deel uitmaken van archiefbescheiden en die op grond van de Archiefwet niet voor vernietiging in aanmerking komen en zijn overgebracht naar een archiefbewaarplaats. Zie Mvt UAVG, toelichting bij art. 41.
  • Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.04.01toestemmingDe toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.05.04.02toestemmingBij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8.Informatieverstrekking aan betrokkene bij verzameling persoonsgegevensUitvoering
    PRIV_U.06.01.01nodige maatregelenAls de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd.Bewaren van persoonsgegevensUitvoering
    PRIV_U.06.01.02nodige maatregelenDe verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren.Bewaren van persoonsgegevensUitvoering
    PRIV_U.06.02.01bewaartermijnVan alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd.Bewaren van persoonsgegevensUitvoering
    PRIV_U.06.02.02bewaartermijnDe bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e.Bewaren van persoonsgegevensUitvoering
    PRIV_U.06.02.03bewaartermijnAls in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn.Bewaren van persoonsgegevensUitvoering
    PRIV_U.06.02.04bewaartermijnWanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1.Bewaren van persoonsgegevensUitvoering
    PRIV_U.07.01.01onderlinge verantwoordelijkhedenBij doorgifte aan een andere verantwoordelijke zijn:
  • De respectieve verantwoordelijkheden duidelijk, zodat door alle partijen aan de AVG-verplichtingen voldaan kan worden, met name met betrekking totAVG Art. 26 lid 1:
    1. De uitoefening van de rechten van de betrokkene, conform PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, en:
    2. Het informeren van de betrokkenen bij ontvangst van de persoonsgegevens, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens
  • De regeling met de respectieve verantwoordelijkheden aan de betrokkene beschikbaar gesteldAVG Art. 26 lid 3.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.02.01afdoende garantiesDe verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
  • Het onderwerp en de duur van de verwerking.
  • De aard en het doel van de verwerking waarvoor de persoonsgegevens worden verstrekt, inclusief:
    1. Welke persoonsgegevens worden verstrekt aan de verwerker;
    2. Hoe dataminimalisatie is toegepast;
  • Het soort persoonsgegevens, inclusief de classificatie van de persoonsgegevens;
  • De categorieën van betrokkenen, en:
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.02.02afdoende garantiesIn de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
  • De persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften;
  • De gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen zijn gebonden;
  • De beveiliging van de verwerking is geborgd, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, inclusief:
    1. Welke medewerkers van de verwerker toegang tot de persoonsgegevens nodig hebben.
    2. Welke procedure wordt gevolgd in geval van een datalek.
    3. In welke landen de persoonsgegevens worden opgeslagen.
  • De vereisten aan de verwerkers gelden ook als vereisten voor het in dienst nemen van een andere verwerker.
  • Passende technische en organisatorische maatregelen zijn genomen als betrokkene zijn rechten doet gelden, inclusief:
    1. Hoe de betrokkene wordt geïnformeerd over het uitbesteden van de persoonsgegevens aan de verwerker;
    2. Het contact dat de verwerker mag hebben met de betrokkenen.
  • De verwerkingsverantwoordelijke bijstand wordt verleend om te voldoen aan zijn verplichtingen ten aanzien van het borgen de van beveiliging van de verwerking.
  • Na afloop van de verwerkingsdiensten, naar gelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens worden wist of deze aan hem terugbezorgd worden en bestaande kopieën worden verwijderd, conform PRIV_U.06: Bewaren van persoonsgegevens.
  • De verwerker alle informatie aan de verwerkingsverantwoordelijke ter beschikking stelt en bijdraagt ten behoeve van audits en om aan te kunnen tonen dat hij aan zijn verplichtingen voldoet, waaronder inspecties.
  • De verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stelt als naar zijn mening een instructie inbreuk oplevert op de AVG of op andere wet- en regelgeving inzake gegevensbescherming.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.02.03afdoende garantiesDe overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.03.01vertegenwoordigerAls een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
  • Sprake is van een incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën persoonsgegevens betreft, of:
  • Bij de verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
  • Het een verwerking door een overheidsinstantie of overheidsorgaan betreft.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.03.02vertegenwoordigerDe verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.03.03vertegenwoordigerEen verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.04.01uitzonderingsgrondDe verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.04.02uitzonderingsgrondDe doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.05.01adequaatheidsbesluitDoorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45.Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.06.01passende waarborgenWanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
  • Een juridisch bindend en afdwingbaar instrument is tussen overheidsinstanties of -organen;
  • Door de AP goedgekeurde bindende bedrijfsvoorschriften zijn;
  • standaardbepalingen zijn inzake gegevensbescherming die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn vastgesteld ;
  • Standaardbepalingen zijn inzake gegevensbescherming die door een AP zijn vastgesteld en die in de door de Europese Commissie bedoelde onderzoeksprocedure zijn goedgekeurd ;
  • Een goedgekeurde gedragscode is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen, waaronder waarborgen voor de rechten van de betrokkenen;
  • Een goedgekeurd certificeringmechanisme is, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, of:
  • Door de AP passende waarborgen zijn, waarbij er met name:
    1. Contractbepalingen zijn tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of:
    2. Bepalingen zijn opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.06.02passende waarborgenAls bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
  • Zijn die juridisch bindend of van toepassing en worden deze gehandhaafd door alle betrokken leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen; met inbegrip van hun werknemers;
  • Kunnen betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens, en:
  • Zijn de hier beknopt weergegeven elementen vastgelegd zie voor de volledige weergave AVG Art. 47 lid 1:
    1. De structuur en de contactgegevens;
    2. De toepassing van de algemene beginselen inzake gegevensbescherming;
    3. De rechten van betrokkenen;
    4. De aanvaarding van aansprakelijkheid voor alle inbreuken;
    5. De wijze waarop informatie wordt verschaft over de bindende bedrijfsvoorschriften;
    6. De taken van elke Functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op:
    7. De naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen,
      1. Opleiding, en:
      2. De behandeling van klachten;
  • De klachtenprocedures;
  • De bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;
  • De procedures om die veranderingen in de regels te melden, te registreren en aan de AP te melden;
  • De procedure voor samenwerking met de AP;
  • De procedures om eventuele wettelijke voorschriften aan de AP te melden, en:
  • De passende opleiding inzake gegevensbescherming voor personeel.
  • Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.06.03passende waarborgenWanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49..Doorgifte persoonsgegevensUitvoering
    PRIV_U.07.07.01afwijking voor een specifieke situatieDe doorgifte mag ook plaatsvinden alsAVG Art. 49:
  • De betrokkene uitdrukkelijk heeft ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, tenzij dit door een overheidsinstantie ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst, tenzij dit door een overheidsinstanties ten behoeve van een openbare bevoegdheid wordt verricht;
  • De doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang, dat is erkend bij de wet- en regelgeving;
  • De doorgifte noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • De doorgifte noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, als de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
  • De doorgifte verricht is vanuit een register dat volgens het Wettelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in het wettelijk recht vastgestelde voorwaarden voor raadpleging;
  • De doorgifte aan derde landen of internationale organisaties is gebaseerd op internationale overeenkomsten die door de lidstaten zijn gesloten vóór 24 mei 2016 en die overeenkomsten in overeenstemming zijn met het vóór die datum toepasselijke Unierecht en nog niet is gewijzigd, vervangen of ingetrokkenAVG Art. 96.
  • Doorgifte persoonsgegevensUitvoering
    SERV_B.01.01regelsDe gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers.Beleid voor beveiligde inrichting en onderhoudBeleid
    SERV_B.01.02regelsIn het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
  • het toepassen van richtlijnen/standaarden voor configuratie van servers en operating systemen;
  • het gebruik van hardeningsrichtlijnen;
  • het toepassen van standaard images;
  • het beperken van toegang tot krachtige faciliteiten en host parameter settings;
  • het beschermen tegen ongeautoriseerde toegang.
  • Beleid voor beveiligde inrichting en onderhoudBeleid
    SERV_B.02.01principesDe gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers.Principes voor inrichten van beveiligde serversBeleid
    SERV_B.02.02principesVoor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
    • defense in depth (beveiliging op verschillende lagen);
    • secure by default;
    • least privilege (minimale toegangsniveau);
    • fail secure, waarbij informatie in geval van een systeemfout niet toegankelijk is voor onbevoegde personen en niet kan worden gemanipuleerd of gewijzigd;
    • eenduidige naamgevingconventie;
    • minimalisatie van Single points of failure.
    Principes voor inrichten van beveiligde serversBeleid
    SERV_B.03.01architectuurdocumentVan het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd;
  • wordt actief onderhouden.
  • Serverplatform architectuurBeleid
    SERV_B.03.02architectuurdocumentIn het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen.Serverplatform architectuurBeleid
    SERV_C.01.01richtlijnenDe organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.02richtlijnenDe organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.03richtlijnenDe organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.01.04richtlijnenDe organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd.Evaluatie richtlijnen servers en besturingssystemenControl
    SERV_C.02.01nalevingTechnische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist.Beoordeling technische serveromgevingControl
    SERV_C.02.02nalevingPeriodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd.Beoordeling technische serveromgevingControl
    SERV_C.02.03nalevingDe uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar.Beoordeling technische serveromgevingControl
    SERV_C.02.04nalevingBeoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management.Beoordeling technische serveromgevingControl
    SERV_C.03.01logbestandenDe logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd.Beheerderactiviteiten vastgelegd in logbestandenControl
    SERV_C.03.02logbestandenSpeciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten.Beheerderactiviteiten vastgelegd in logbestandenControl
    SERV_C.04.01logbestandenLogbestanden van gebeurtenissen bevatten, voor zover relevant:
    1. gebruikersidentificaties;
    2. systeemactiviteiten;
    3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
    4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
    5. systeemconfiguratie veranderingen;
    6. gebruik van speciale bevoegdheden;
    7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
    8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
    9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
    Registratie gebeurtenissenControl
    SERV_C.05.01reviewt/analyseertDe verantwoordelijke functionaris analyseert periodiek:

    De verantwoordelijke functionaris analyseert periodiek:

    • de gelogde gebruikers-, activiteiten gegevens ten aanzien van servers en serverplatforms;
    • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
    • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
    NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
    Monitoren van serverplatformsControl
    SERV_C.05.02reviewt/analyseertDe verzamelde loginformatie wordt in samenhang geanalyseerd.Monitoren van serverplatformsControl
    SERV_C.05.03reviewt/analyseertPeriodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd.Monitoren van serverplatformsControl
    SERV_C.05.04reviewt/analyseertDe rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd.Monitoren van serverplatformsControl
    SERV_C.05.05rapporterenDe analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management.Monitoren van serverplatformsControl
    SERV_C.05.06rapporterenDe eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan.Monitoren van serverplatformsControl
    SERV_C.06.01beveiligingsfunctionarisDe beveiligingsfunctionaris zorgt o.a. voor:
    1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
    2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
    3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
    4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
    5. de bespreking van beveiligingsissues met ketenpartijen;
    6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
    Beheerorganisatie serverplatformsControl
    SERV_C.06.02beveiligingsbeleidHet beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  • specifieke beveiligings- en architectuurvoorschriften;
  • afhankelijkheden tussen servercomponenten;
  • de inrichting, het onderhoud en het beheer van de servers.
  • Beheerorganisatie serverplatformsControl
    SERV_U.01.01bedieningsproceduresVoor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld.BedieningsproceduresUitvoering
    SERV_U.01.02bedieningsproceduresWijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd.BedieningsproceduresUitvoering
    SERV_U.01.03bedieningsproceduresIn de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
  • de installatie en configuratie van systemen;
  • de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;
  • de back-up;
  • de eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen;
  • de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen;
  • de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;
  • het beheer van audit- en systeemlog bestandinformatie;
  • de procedures voor het monitoren van activiteiten.
  • BedieningsproceduresUitvoering
    SERV_U.02.01standaardenDe documentatie conform de standaarden omvat:
  • het bieden van gestandaardiseerde firmware-configuraties;
  • het gebruik van gestandaardiseerde en vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden van leverancier- en andere beveiligingsparameters;
  • het uitschakelen of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en host-parameter instellingen (bijvoorbeeld Windows 'Register-editor');
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer praktijken.
  • Standaarden voor configuratie van serversUitvoering
    SERV_U.03.01preventieEen formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden.MalwareprotectieUitvoering
    SERV_U.03.02preventieProcedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware.MalwareprotectieUitvoering
    SERV_U.03.03preventieSevers zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt.MalwareprotectieUitvoering
    SERV_U.03.04preventieGebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links.MalwareprotectieUitvoering
    SERV_U.03.05preventieHet downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use".MalwareprotectieUitvoering
    SERV_U.03.06detectieServers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen.MalwareprotectieUitvoering
    SERV_U.03.07detectieDe malware scan wordt op alle omgevingen uitgevoerd.MalwareprotectieUitvoering
    SERV_U.03.08herstelSoftware die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate.MalwareprotectieUitvoering
    SERV_U.04.01technische serverkwetsbaarhedenAls de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.02technische serverkwetsbaarhedenVoor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
    • (onderlinge)afhankelijkheden;
    • software t.a.v. versienummers, toepassingsstatus;
    • verantwoordelijken voor de software.
    Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.03technische serverkwetsbaarhedenOm een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
  • de rollen en verantwoordelijkheden in samenhang met beheer van technische kwetsbaarheden vastgesteld;
  • de middelen om technische kwetsbaarheden te bepalen vastgesteld.
  • Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.04technische serverkwetsbaarhedenMet betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.05technische serverkwetsbaarhedenHet proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van bekende technische kwetsbaarheden;
  • high-level inzicht in de kwetsbaarheden in de technische infrastructuur van de organisatie;
  • relevantie, gericht op de mate waarin het serverplatform en de servers kunnen worden blootgesteld aan bedreigingen;
  • prioriteit geven aan herstel van onderkende kwetsbaarheden.
  • Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.06technische serverkwetsbaarhedenTechnische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.04.07geëvalueerdHet kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd.Beheer van serverkwetsbaarhedenUitvoering
    SERV_U.05.01procesmatigHet patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris.PatchmanagementUitvoering
    SERV_U.05.02procesmatigEen technisch mechanisme zorgt voor (semi-) automatische updates.PatchmanagementUitvoering
    SERV_U.05.03procesmatigConfiguratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht.PatchmanagementUitvoering
    SERV_U.05.04procesmatigHet Patchmanagement proces bevat methoden om:
    1. patches te testen en te evalueren voordat ze worden geïnstalleerd;
    2. patches te implementeren op servers die niet toegankelijk zijn via het bedrijfsnetwerk;
    3. om te gaan met de mislukte of niet uitgevoerde patches;
    4. te rapporteren over de status van het implementeren van patches;
    5. acties te bepalen, ingeval een technische kwetsbaarheid niet met een patch kan worden hersteld, of een beschikbare patch niet kan worden aangebracht.
    PatchmanagementUitvoering
    SERV_U.05.05procedureelDe patchmanagement procedure is actueel en beschikbaar.PatchmanagementUitvoering
    SERV_U.05.06procedureelDe rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld.PatchmanagementUitvoering
    SERV_U.05.07procedureelDe volgende aspecten van een patch worden geregistreerd:
    de beschikbare patches;
    
    • hun relevantie voor de systemen / bestanden;
    • het besluit tot wel/niet uitvoeren;
    • de testdatum en het resultaat van de patchtest;
    • de datum van implementatie; en
    • het patchresultaat.
    PatchmanagementUitvoering
    SERV_U.05.08richtlijnenTer ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd.PatchmanagementUitvoering
    SERV_U.05.09richtlijnenAlleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd.PatchmanagementUitvoering
    SERV_U.05.10richtlijnenDe risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch.PatchmanagementUitvoering
    SERV_U.05.11richtlijnenWanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
  • het uitschakelen van functionaliteiten en/of diensten;
  • het aanpassen of toevoegen van toegangsbeveiligingsmaatregelen, bijv. firewalls, rond de grenzen van netwerken;
  • het vaker monitoren om de werkelijke aanvallen op te sporen;
  • het kweken van bewustzijn omtrent de kwetsbaarheid.
  • PatchmanagementUitvoering
    SERV_U.06.01richtlijnenToegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
    1. het definiëren en overeenkomen van de doelstellingen en reikwijdte van de geplande werkzaamheden;
    2. het autoriseren van individuele sessies;
    3. het beperken van toegangsrechten (binnen doelstellingen en reikwijdte);
    4. het loggen van alle ondernomen activiteiten;
    5. het gebruiken van unieke authenticatie referenties voor elke implementatie;
    6. het toewijzen van toegangsreferenties aan individuen in plaats van gedeeld;
    7. het intrekken van toegangsrechten en het wijzigen van wachtwoorden onmiddellijk nadat het overeengekomen onderhoud is voltooid;
    8. het uitvoeren van een onafhankelijke beoordeling van onderhoudsactiviteiten op afstand.
    Beheer op afstandUitvoering
    SERV_U.06.02richtlijnenHet op afstand onderhouden van servers wordt strikt beheerd door middel van:
  • het verifiëren van de bron van de verbinding op afstand;
  • het bepalen van de toestemming voordat toegang wordt verleend voor de connectiviteit;
  • het beperken van het aantal gelijktijdige externe verbindingen;
  • het bewaken van activiteiten gedurende de gehele duur van de verbinding;
  • het uitschakelen van de verbinding zodra de geautoriseerde activiteit voltooid is.
  • Beheer op afstandUitvoering
    SERV_U.06.03richtlijnenHet serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden.Beheer op afstandUitvoering
    SERV_U.06.04richtlijnenHandmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd.Beheer op afstandUitvoering
    SERV_U.06.05richtlijnenAlle externe toegang tot servers vindt versleuteld plaats.Beheer op afstandUitvoering
    SERV_U.07.01onderhoudenHet onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
  • onderhoud wordt uitgevoerd in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten;
  • alleen bevoegd onderhoudspersoneel voert reparaties en onderhoudsbeurten uit;
  • van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden;
  • voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;
  • voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.
  • Onderhoud van serversUitvoering
    SERV_U.08.01opslagmediade server(s):
  • wordt informatie welke niet meer benodigd is, vernietigd door middel van het verwijderen of overschrijven gebruikmakend van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen;
  • worden opslagmedia die niet meer benodigd zijn en die vertrouwelijke of door auteursrecht beschermde informatie bevatten fysiek vernietigd.
  • Veilig verwijderen of hergebruiken van serverapparatuurUitvoering
    SERV_U.08.02geverifieerdVoorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd.Veilig verwijderen of hergebruiken van serverapparatuurUitvoering
    SERV_U.09.01functiesServers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
  • niet-essentiële en overbodige (redundant) services;
  • het kunnen uitvoeren van gevoelige transacties en scripts;
  • krachtige beheerhulpmiddelen;
  • het “run” commando” en “commandprocessors”;
  • de “auto-run”-functie.
  • Hardenen van serversUitvoering
    SERV_U.09.02functiesServers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
  • communicatiediensten die inherent vatbaar zijn voor misbruik;
  • communicatieprotocollen die gevoelig zijn voor misbruik.
  • Hardenen van serversUitvoering
    SERV_U.09.03toegangServers worden beschermd tegen ongeoorloofde toegang doordat:
  • onnodige of onveilige gebruikersaccounts zijn verwijderd;
  • belangrijke beveiliging gerelateerde parameters juist zijn ingesteld;
  • time-out faciliteiten worden gebruikt, die:
    1. automatisch na een vooraf bepaalde periode van inactiviteit sessies sluiten en een blanco scherm tonen op de beheerschermen;
    2. vereisen dat opnieuw wordt ingelogd voordat een beheerscherm zich herstelt.
  • Hardenen van serversUitvoering
    SERV_U.10.01geconfigureerdDe Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
  • het inrichten van standaard firmware-configuraties;
  • het gebruik van gestandaardiseerde vooraf bepaalde server-images voor het bouwen/configureren van servers;
  • het wijzigen van de standaardwaarden en andere beveiligingsparameters van de leverancier(s);
  • het verwijderen, uitschakelen en/of beperken van onnodige functies en services;
  • het beperken van de toegang tot krachtige beheerhulpmiddelen en hostparameter instellingen;
  • het beschermen tegen ongeoorloofde toegang;
  • het uitvoeren van standaard beveiligingsbeheer.
  • ServerconfiguratieUitvoering
    SERV_U.10.02geconfigureerdDe servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage.ServerconfiguratieUitvoering
    SERV_U.10.03ongeautoriseerdToegang tot server parameterinstellingen en krachtige beheerinstrumenten is:
    • beperkt tot een gelimiteerd aantal geautoriseerde personen;
    • beperkt tot specifiek omschreven situaties;
    • gekoppeld aan specifieke en gespecificeerde autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.
    ServerconfiguratieUitvoering
    SERV_U.11.01fysieke serversFysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
  • onbeheerde en ad hoc inzet van virtuele servers (zonder juiste procedure aanvraag, creëren en schonen);
  • overbelasting van resources (CPU, geheugen en harde schijf) door het stellen van een limiet voor het aanmaken van het aantal virtuele servers op een fysieke host server.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.02hypervisorsHypervisors worden geconfigureerd om:
  • virtuele servers onderling (logisch) te scheiden op basis van vertrouwelijkheidseisen en om te voorkomen dat informatie wordt uitgewisseld tussen discrete omgevingen;
  • de communicatie tussen virtuele servers te coderen;
  • de toegang te beperken tot een beperkt aantal geautoriseerde personen;
  • de rollen van hypervisor administrators te scheiden.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.03virtuele serversVirtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
  • fysieke servers, die worden gebruikt voor het hosten van virtuele servers;
  • hypervisors, die zijn geassocieerd met virtuele servers;
  • virtuele servers die op een fysieke server worden uitgevoerd.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.11.04virtuele serversVirtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
  • het toepassen van standaard beveiligingsrichtlijnen ten aanzien van fysieke en logische toegang;
  • het hardenen van de fysieke en virtuele servers;
  • wijzigingsbeheer, malwareprotectie;
  • het toepassen van monitoring en van netwerk gebaseerde beveiliging.
  • Beveiliging Virtueel serverplatformUitvoering
    SERV_U.12.01regelsGebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list).Beperking van software-installatieUitvoering
    SERV_U.12.02regelsDe organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software.Beperking van software-installatieUitvoering
    SERV_U.12.03regelsHet principe van least-privilege wordt toegepast.Beperking van software-installatieUitvoering
    SERV_U.12.04regelsDe rechten van beheerders worden verleend op basis van rollen.Beperking van software-installatieUitvoering
    SERV_U.13.01gedocumenteerdDe systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken.KloksynchronisatieUitvoering
    SERV_U.13.02gesynchroniseerdDe interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd.KloksynchronisatieUitvoering
    TVZ_B.01.01toegangbeveiligingbeleidHet toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beleid;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
  • ToegangsbeveiligingsbeleidBeleid
    TVZ_B.01.02bedrijfseisenBij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.ToegangsbeveiligingsbeleidBeleid
    TVZ_B.01.03bedrijfseisenEr zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisatie.ToegangsbeveiligingsbeleidBeleid
    TVZ_B.01.04toegangbeveiligingbeleidInformatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.ToegangsbeveiligingsbeleidBeleid
    TVZ_B.01.05informatiebeveiligingseisenAutorisatiebeheer is procesmatig ingericht (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).ToegangsbeveiligingsbeleidBeleid
    TVZ_B.02.01eigenaarschapHet eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager).Eigenaarschap bedrijfsmiddelenBeleid
    TVZ_B.02.02eigenaarschapDe eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.Eigenaarschap bedrijfsmiddelenBeleid
    TVZ_B.02.03verantwoordelijkheden voor logische bedrijfsmiddelenDe eigenaar is verantwoordelijk voor:
  • het beveiligd inrichten van het toegangsbeveiliging systeem;
  • het onderhouden en het evalueren van het toegangbeveiligingssysteem het identificeren van risico’s ten aanzien van toegangsbeveiliging systeem op basis van InformatieBetekenisvolle gegevens. life-cycle;
  • het ondersteunen van beveiliging reviews.
  • Eigenaarschap bedrijfsmiddelenBeleid
    TVZ_B.02.04verantwoordelijkheden voor fysieke bedrijfsmiddelenDe eigenaar is verantwoordelijk voor:
  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop op basis van bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.
  • Eigenaarschap bedrijfsmiddelenBeleid
    TVZ_B.03.01beveiligingsfunctieDe rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, proceseigenaar, autorisatiebeheerder, CISO en beveiligingsambtenaar (BVA).BeveiligingsfunctieBeleid
    TVZ_B.03.02beveiligingsfunctieDe functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem.BeveiligingsfunctieBeleid
    TVZ_B.04.01authenticatie-informatieAuthenticatie-informatie wordt beschermd door middel van versleuteling.CryptografieBeleid
    TVZ_B.04.02cryptografische beheersmaatregelenHet cryptografiebeleid stelt eisen ten aanzien van:
  • de verantwoordelijkheid voor de implementatie en sleutelbeheer;
  • het bewaren van geheime authenticatie-informatie tijdens verwerking, transport en opslag;
  • de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
  • CryptografieBeleid
    TVZ_B.05.01organisatorische positieDe beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie.BeveiligingsorganisatieBeleid
    TVZ_B.05.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.BeveiligingsorganisatieBeleid
    TVZ_B.05.03taken verantwoordelijkheden en bevoegdhedenDe organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen.BeveiligingsorganisatieBeleid
    TVZ_B.05.04taken verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix.BeveiligingsorganisatieBeleid
    TVZ_B.05.05rapportagelijnenDe verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld.BeveiligingsorganisatieBeleid
    TVZ_B.05.06rapportagelijnenDe frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld.BeveiligingsorganisatieBeleid
    TVZ_B.06.01technische inrichtingDe technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
  • de uniformiteit en flexibiliteit van authenticatie-mechanismen;
  • de rechten voor beheeraccounts;
  • de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatie-mechanismen om voldoende sterke wachtwoorden af te dwingen;
  • autorisatiemechanismen, waarbij gebruikers alleen toegang krijgen tot diensten (functies) waarvoor ze specifiek bevoegd zijn.
  • ToegangsbeveiligingsarchitectuurBeleid
    TVZ_B.06.02toegangbeveiligingsarchitectuurDe inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur.ToegangsbeveiligingsarchitectuurBeleid
    TVZ_C.01.01proceduresDe organisatie beschikt over procedures voor het controleren van toegangbeveiligingssystemen en registraties (log-data).Beoordelingsrichtlijnen en proceduresControl
    TVZ_C.01.02proceduresDe organisatie beschikt over een beschrijving van de relevante controleprocessen.Beoordelingsrichtlijnen en proceduresControl
    TVZ_C.01.03proceduresDe procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie.Beoordelingsrichtlijnen en proceduresControl
    TVZ_C.01.04proceduresDe procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren.Beoordelingsrichtlijnen en proceduresControl
    TVZ_C.02.01toegangsrechtenAlle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.Beoordeling toegangsrechtenControl
    TVZ_C.02.02toegangsrechtenToegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld.Beoordeling toegangsrechtenControl
    TVZ_C.02.03toegangsrechtenAutorisaties voor speciale toegangsrechten worden frequenter beoordeeld.Beoordeling toegangsrechtenControl
    TVZ_C.02.04toegangsrechtenDe beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden.Beoordeling toegangsrechtenControl
    TVZ_C.02.05log-bestandenDe opvolging van bevindingen is gedocumenteerd.Beoordeling toegangsrechtenControl
    TVZ_C.02.06beoordelenHet beoordelen vind plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen.Beoordeling toegangsrechtenControl
    TVZ_C.02.07beoordelenEen functionaris is verantwoordelijke voor het controleren van de organisatorische en de technische inrichting van toegangsbeveiliging.Beoordeling toegangsrechtenControl
    TVZ_C.03.01log-bestandenEen log-regel bevat de vereiste gegevens (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip).Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.02log-bestandenEen logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers enz.).Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.03gebruikersactiviteitenDe informatie verwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een SIEM en/of SOC, die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd.Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.04bewaardNieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen.Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.05bewaardDe SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd.Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.06bewaardBij het verwerken van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteitenregister bijgehouden.Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.03.07beoordeeldDe logbestanden worden gedurende een overeengekomen periode bewaard ten behoeve van toekomstig onderzoek en toegangscontrole.Gebeurtenissen registreren (logging en monitoring)Control
    TVZ_C.04.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.Beheersorganisatie toegangsbeveiligingControl
    TVZ_C.04.02functionarissenDe belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Beheersorganisatie toegangsbeveiligingControl
    TVZ_C.04.03taken verantwoordelijkheden en bevoegdhedenDe taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix.Beheersorganisatie toegangsbeveiligingControl
    TVZ_U.01.01formele registratie en afmeldprocedureEr is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging).RegistratieprocedureUitvoering
    TVZ_U.01.02Formele registratie en afmeldprocedureHet gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.RegistratieprocedureUitvoering
    TVZ_U.01.03formele registratie en afmeldprocedureDe aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd.RegistratieprocedureUitvoering
    TVZ_U.01.04toegangsrechtenGebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes).RegistratieprocedureUitvoering
    TVZ_U.01.05toegangsrechtenEen bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken.RegistratieprocedureUitvoering
    TVZ_U.02.01gebruikers toegangverleningsprocedureToegang tot informatiesystemen wordt uitsluitend verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris.ToegangsverleningsprocedureUitvoering
    TVZ_U.02.02gebruikers toegangverleningsprocedureOp basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.ToegangsverleningsprocedureUitvoering
    TVZ_U.02.03gebruikers toegangverleningsprocedureEen actueel mandaatregister is aanwezig, waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel van functieprofielen.ToegangsverleningsprocedureUitvoering
    TVZ_U.03.01beveiligde inlogprocedureAls vanuit een niet-vertrouwde zone toegang wordt verleend naar een vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor authenticatie.InlogproceduresUitvoering
    TVZ_U.03.02beveiligde inlogprocedureVoor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt.InlogproceduresUitvoering
    TVZ_U.03.03beveiligde inlogprocedureDe risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend.InlogproceduresUitvoering
    TVZ_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerken, intrekken (of aanpassen), verwijderen en archiveren van autorisaties.AutorisatieprocesUitvoering
    TVZ_U.04.02formeel autorisatieprocesHet verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een hiertoe bevoegde functionaris.AutorisatieprocesUitvoering
    TVZ_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot het aanvragen, verwerken en afmelden van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.AutorisatieprocesUitvoering
    TVZ_U.04.04toegangsrechtenBij beëindigen van het dienstverband worden de toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken.AutorisatieprocesUitvoering
    TVZ_U.04.05toegangsrechtenWijzigingen in het dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.AutorisatieprocesUitvoering
    TVZ_U.04.06toegangsrechtenToegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt, afhankelijk van risicofactoren.AutorisatieprocesUitvoering
    TVZ_U.05.01sterke wachtwoordenAls geen gebruik wordt gemaakt van 2-factor authenticatie, dan:
  • is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
  • vervalt de complexiteitseis vanaf een wachtwoordlengte van 20 posities;
  • is het aantal inlogpogingen maximaal 10;
  • is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen vastgelegd.
  • WachtwoordbeheerUitvoering
    TVZ_U.05.02sterke wachtwoordenIn situaties waar geen 2-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.WachtwoordbeheerUitvoering
    TVZ_U.06.01toewijzenHet toewijzen van speciale toegangsrechten vindt plaats op basis van risico-afweging, richtlijnen en procedures.Speciale toegangsrechtenbeheerUitvoering
    TVZ_U.06.02speciale toegangsrechtenGebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use).Speciale toegangsrechtenbeheerUitvoering
    TVZ_U.06.03beheerstUitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.Speciale toegangsrechtenbeheerUitvoering
    TVZ_U.07.01gescheidenOp basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.FunctiescheidingUitvoering
    TVZ_U.07.02gescheidenRollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen.FunctiescheidingUitvoering
    TVZ_U.07.03takenEen scheiding is aangebracht tussen beheertaken en overige (gebruiks-)taken.FunctiescheidingUitvoering
    TVZ_U.07.04verantwoordelijkhedenVerantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol.FunctiescheidingUitvoering
    TVZ_U.07.05onbedoeldMaatregelen zijn getroffen waarmee onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen wordt waargenomen en/of wordt voorkomen.FunctiescheidingUitvoering
    TVZ_U.08.01authenticatie-informatieElke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode.Geheime authenticatie-informatieUitvoering
    TVZ_U.08.02authenticatie-informatieBij uitgifte van authenticatiemiddelen worden minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld.Geheime authenticatie-informatieUitvoering
    TVZ_U.08.03beheersprocesEen onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden.Geheime authenticatie-informatieUitvoering
    TVZ_U.08.04beheersprocesGeheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens.Geheime authenticatie-informatieUitvoering
    TVZ_U.09.01informatieGebruikers kunnen alleen die informatie inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.AutorisatieUitvoering
    TVZ_U.09.02systeemfunctiesBeheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.AutorisatieUitvoering
    TVZ_U.09.03toegangbeveiligingsbeleidHet toegangsbeveiligingsbeleid geeft onder andere aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.AutorisatieUitvoering
    TVZ_U.09.04toegangbeveiligingsbeleidToegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie.AutorisatieUitvoering
    TVZ_U.10.01autorisatievoorzieningenDoor een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het proces autorisatiebeheer.AutorisatievoorzieningenUitvoering
    TVZ_U.10.02personeelsregistratiesysteemAlle interne en externe gebruikers worden vóór de toegang tot de applicatie-omgeving opgenomen in het personeelsinformatiesysteem.AutorisatievoorzieningenUitvoering
    TVZ_U.10.03autorisatiebeheer systeemAlle natuurlijke personen die gebruik maken van applicaties worden geregistreerd.AutorisatievoorzieningenUitvoering
    TVZ_U.10.04autorisatiefaciliteitenIedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren.AutorisatievoorzieningenUitvoering
    TVZ_U.11.01beveiligde gebiedenToegang tot beveiligingszones of gebouwen waar zich resources bevinden, is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn.Fysieke toegangsbeveiligingUitvoering
    TVZ_U.11.02passende toegangsbeveiligingAankomst- en vertrektijden van bezoekers worden geregistreerd.Fysieke toegangsbeveiligingUitvoering
    TVZ_U.11.03passende toegangsbeveiligingMedewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..Fysieke toegangsbeveiligingUitvoering
    TVZ_U.11.04passende toegangsbeveiligingAan personeel van externe partijen die ondersteunende diensten verlenen, wordt - voor zover noodzakelijk - alleen beperkte toegang verleend tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie bevatten. Deze toegang moet worden goedgekeurd en bewaakt.Fysieke toegangsbeveiligingUitvoering
    Property "Heeft bron" (as page type) with input value "%2B" contains invalid characters or is incomplete and therefore can cause unexpected results during a query or annotation process.