ISOR/normen tabel
Uit NORA Online
< ISOR
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
trefwoord uit het principe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv download
Property "Heeft bron" (as page type) with input value "%2B" contains invalid characters or is incomplete and therefore can cause unexpected results during a query or annotation process.
en in uitgebreide versie met alle bestaande eigenschappen.| ID | trefwoord | Stelling | Realiseert bovenliggend principe | Beveiligingsaspect |
|---|---|---|---|---|
| AppO_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
| AppO_B.01.02 | regels | De Handreiking: Grip op Secure Software Development (SSD) is uitgangspunt voor de ontwikkeling van software en systemen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
| AppO_B.01.03 | regels | In het beleid voor beveiligd ontwikkelen zijn de volgende aspecten in overweging genomen:
| Beleid voor (beveiligd) ontwikkelen | Beleid |
| AppO_B.01.04 | regels | Technieken voor beveiligd programmeren worden zowel gebruikt voor nieuwe ontwikkelingen als voor hergebruik van code uit andere bronnen. | Beleid voor (beveiligd) ontwikkelen | Beleid |
| AppO_B.02.01 | systeem ontwikkelmethodes | Een formeel vastgestelde ontwikkelmethodologie wordt toegepast, bijvoorbeeld: Structured System Analyses and Design Method (SSADM) of Scrum (Agile ontwikkeling). | Systeem ontwikkelmethode | Beleid |
| AppO_B.02.02 | systeem ontwikkelmethodes | Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen. | Systeem ontwikkelmethode | Beleid |
| AppO_B.02.03 | systeem ontwikkelmethodes | Adoptie van ontwikkelmethodologie wordt gemonitord. | Systeem ontwikkelmethode | Beleid |
| AppO_B.02.04 | standaarden/procedures | Standaarden en procedures worden toegepast voor:
| Systeem ontwikkelmethode | Beleid |
| AppO_B.02.05 | beleid en wet en regelgeving | De systeemontwikkelmethode ondersteunt de vereisten dat te ontwikkelen applicaties voldoen aan:
| Systeem ontwikkelmethode | Beleid |
| AppO_B.02.06 | projectmatig | Het ontwikkelen van een applicatie wordt projectmatig aangepakt waarbij o.a. aandacht wordt besteed aan:
| Systeem ontwikkelmethode | Beleid |
| AppO_B.03.01 | informatie | De Handreiking: BIO-Dataclassificatie is uitgangspunt voor de ontwikkeling van software en systemen. | Classificatie van Informatie | Beleid |
| AppO_B.03.02 | informatie | In alle informatiesystemen is de informatie door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is. | Classificatie van Informatie | Beleid |
| AppO_B.03.03 | informatie | Bij het ontwikkelen van applicaties is informatie beschermd conform de vereisten uit het classificatieschema. | Classificatie van Informatie | Beleid |
| AppO_B.03.04 | wettelijke eisen, waarde, belang, gevoeligheid | In het classificatieschema wordt rekening gehouden met de verplichtingen uit wet- en regelgevingen(o.a. privacy), organisatorische en technische requirements. | Classificatie van Informatie | Beleid |
| AppO_B.04.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. | Engineeringprincipes beveiligde systemen | Beleid |
| AppO_B.04.02 | principes | Voor het beveiligen van informatiesystemen zijn de volgende principe van belang:
| Engineeringprincipes beveiligde systemen | Beleid |
| AppO_B.04.03 | principes | Beveiliging wordt als een integraal onderdeel van system ontwikkeling behandeld. | Engineeringprincipes beveiligde systemen | Beleid |
| AppO_B.04.04 | principes | Ontwikkelaars zijn getraind om veilige software te ontwikkelen. | Engineeringprincipes beveiligde systemen | Beleid |
| AppO_B.05.01 | perspectieven | Bij de Business Impact Analyse worden o.a. de volgende perspectieven in beschouwing genomen:
| Business Impact Analyse | Beleid |
| AppO_B.05.02 | scenario's | De business impact analyse richt zich op verschillende scenario’s met aandacht voor:
| Business Impact Analyse | Beleid |
| AppO_B.05.03 | BIVC-aspecten | Met de business impact analyse wordt vastgesteld op welke wijze een eventueel compromitteren van de aspecten beschikbaarheid, integriteit, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen- en controleerbaarheid invloed hebben op de financiën van de organisatie in termen van:
| Business Impact Analyse | Beleid |
| AppO_B.06.01 | privacy en bescherming van persoonsgegevens | Om privacy en gegevensbeschermingsmaatregelen vooraf in het ontwerp mee te nemen is een GEB-analyse uitgevoerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.06.02 | privacy en bescherming van persoonsgegevens | Voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten is een procesbeschrijving aanwezig. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.06.03 | privacy en bescherming van persoonsgegevens | Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.06.04 | privacy en bescherming van persoonsgegevens | Privacy by Design en de GEB maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.06.05 | privacy en bescherming van persoonsgegevens | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.06.06 | wet- en regelgeving | Op basis van AVG worden bij het ontwerp/ontwikkelen van applicaties de principes Privacy by design and by default gehanteerd. | Privacy en bescherming van persoonsgegevens (GEB/DPIA analyse) | Beleid |
| AppO_B.07.01 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over een ontwikkel- en onderhoudsbeleid. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.02 | ontwikkel en onderhoudsbeleid | De doelorganisatie beschikt over Quality Assurance (QA) methodiek en Kwaliteit beheersysteem (KMS) methodiek. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.03 | kwaliteitsmanagement systeem | De ontwikkel- & onderhoudsactiviteiten worden in samenhang georganiseerd en geïmplementeerd. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.04 | kwaliteitsmanagement systeem | Er zijn informatie- en communicatieprocessen ingericht. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.05 | kwaliteitsmanagement systeem | Op de ontwikkel- en onderhoudsactiviteiten worden kwaliteitsmetingen en inspecties uitgevoerd | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.06 | kwaliteitsmanagement systeem | Aan het management worden evaluatie rapportages verstrekt. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.07.07 | kwaliteitsmanagement systeem | De processen voor de inrichting van de applicatieontwikkeling en -onderhoud (impact analyse, ontwerp, realisatie testen, beheer) zijn beschreven en maken onderdeel uit van het KMS. | Kwaliteitsmanagement systeem (KMS) | Beleid |
| AppO_B.08.01 | programmabroncode en broncode bibliotheken | Om de toegang tot broncode bibliotheken te beheersen en zo de kans op het corrupt raken van computerprogramma’s te verkleinen worden de volgende richtlijnen in overweging genomen:
| Toegangsbeveiliging op programmacode | Beleid |
| AppO_B.08.02 | programmabroncode en broncode bibliotheken | Als het de bedoeling is dat de programmacode wordt gepubliceerd zijn aanvullende beheersmaatregelen overwogen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening). | Toegangsbeveiliging op programmacode | Beleid |
| AppO_B.09.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Projectorganisatie | Beleid |
| AppO_B.09.02 | beveiligingsvoorschriften | De beveiligingsfunctionaris geeft o.a. inzicht in:
| Projectorganisatie | Beleid |
| AppO_C.01.01 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.02 | richtlijnen | De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.03 | richtlijnen | De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.04 | richtlijnen | De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.05 | richtlijnen | De QA methodiek wordt conform de richtlijnen nageleefd. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.06 | controleactiviteiten en rapportages | De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.01.07 | ontwikkelactiviteiten | Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. | Richtlijnen evaluatie ontwikkelactiviteiten | Control |
| AppO_C.02.01 | procesmatig | Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. | Versie Management | Control |
| AppO_C.02.02 | procesmatig | In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. | Versie Management | Control |
| AppO_C.02.03 | procesmatig | Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. | Versie Management | Control |
| AppO_C.02.04 | efficiënte wijze | Een versiebeheertool wordt toegepast die onder andere:
| Versie Management | Control |
| AppO_C.03.01 | procesmatig en procedureel | Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. | Patchmanagement van externe programmacode | Control |
| AppO_C.03.02 | procesmatig en procedureel | De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. | Patchmanagement van externe programmacode | Control |
| AppO_C.03.03 | procesmatig en procedureel | Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. | Patchmanagement van externe programmacode | Control |
| AppO_C.03.04 | technische kwetsbaarheden | Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. | Patchmanagement van externe programmacode | Control |
| AppO_C.03.05 | technische kwetsbaarheden | Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. | Patchmanagement van externe programmacode | Control |
| AppO_C.03.06 | tijdig | Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. | Patchmanagement van externe programmacode | Control |
| AppO_C.04.01 | configuratie-administratie | Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. | (Software) configuratie management | Control |
| AppO_C.04.02 | configuratie-administratie | De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. | (Software) configuratie management | Control |
| AppO_C.04.03 | configuratie-administratie | Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. | (Software) configuratie management | Control |
| AppO_C.05.01 | compliance management proces | Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. | Compliance management | Control |
| AppO_C.05.02 | compliance management proces | Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
| Compliance management | Control |
| AppO_C.06.01 | quality assurance proces | De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. | Quality assurance | Control |
| AppO_C.06.02 | quality assurance proces | Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
| Quality assurance | Control |
| AppO_C.06.03 | quality assurance proces | De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. | Quality assurance | Control |
| AppO_C.06.04 | quality assurance proces | Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. | Quality assurance | Control |
| AppO_C.07.01 | verandering van besturingsplatforms | Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
| Technische beoordeling van informatiesystemen na wijziging besturingsplatform | Control |
| AppO_C.08.01 | structuur van de beheersprocessen | De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | Control |
| AppO_C.08.02 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersing van software ontwikkeling(sprojecten) | Control |
| AppO_C.08.03 | taken, verantwoordelijkheden en bevoegdheden | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Beheersing van software ontwikkeling(sprojecten) | Control |
| AppO_C.08.04 | taken, verantwoordelijkheden en bevoegdheden | De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheersing van software ontwikkeling(sprojecten) | Control |
| AppO_U.01.01 | levenscyclus | Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks, zoals ITIL, ASL, BiSL, Scrum, SIG en SSD. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
| AppO_U.01.02 | levenscyclus | Het wijzigingsproces voor applicaties is zodanig ingericht dat medewerkers (programmeurs) de juiste autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen krijgen om werkzaamheden te kunnen uitvoeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
| AppO_U.01.03 | formele procedures | Nieuwe systemen en wijzigingen aan bestaande systemen volgen een formeel proces van indienen, prioriteren, besluiten, impactanalyse, vastleggen, specificeren, ontwikkelen, testen, kwaliteitscontrole en implementeren. | Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
| AppO_U.01.04 | formele procedures | Enkele elementen van de procedures voor wijzigingsbeheer zijn:
| Procedures voor wijzigingsbeheer m.b.t. applicaties | Uitvoering |
| AppO_U.02.01 | regels | De organisatie heeft een strikt beleid gedefinieerd ten aanzien van de -software die ontwikkelaars mogen installeren. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
| AppO_U.02.02 | regels | Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
| AppO_U.02.03 | regels | De rechten worden verleend op basis van de rollen van de type gebruikers en ontwikkelaars. | Beperkingen voor de installatie van software(richtlijnen) | Uitvoering |
| AppO_U.03.01 | regels | De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
| Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.02 | regels | (Programma)code wordt aantoonbaar veilig gecreëerd. | Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.03 | regels | (Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
| Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.04 | best practices | Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt. | Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.05 | best practices | Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010. | Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.06 | best practices | Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem. | Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.03.07 | best practices | Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt. | Richtlijnen voor programmacode (best practices) | Uitvoering |
| AppO_U.04.01 | functionele eisen | De functionele eisen van nieuwe informatiesystemen worden geanalyseerd en bepaald op basis van verschillende invalshoeken (zoals stakeholders, business, wet en regelgeving) en vastgelegd in een Functioneel Ontwerp (FO). | Analyse en specificatie van informatiesystemen | Uitvoering |
| AppO_U.04.02 | functionele eisen | Het Functioneel Ontwerp (FO) wordt gereviewd waarna verbeteringen en of aanvullingen op het FO plaatsvinden. | Analyse en specificatie van informatiesystemen | Uitvoering |
| AppO_U.04.03 | functionele eisen | Op basis van een goedgekeurd Functioneel Ontwerp (FO) wordt een Technisch Ontwerp (TO) vervaardigd die ook ter review wordt aangeboden aan de functionaris 'Quality control' en aan de beveiligingsfunctionaris.. | Analyse en specificatie van informatiesystemen | Uitvoering |
| AppO_U.04.04 | functionele eisen | Alle vereisten worden gevalideerd door peer review of prototyping (agile ontwikkelmethode). | Analyse en specificatie van informatiesystemen | Uitvoering |
| AppO_U.04.05 | functionele eisen | Parallel aan het vervaardigen van het FO en TO worden acceptatie-eisen vastgelegd. | Analyse en specificatie van informatiesystemen | Uitvoering |
| AppO_U.05.01 | beveiligingseisen | Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet uitgaande van de BIO een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen. | Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
| AppO_U.05.02 | beveiligingseisen | De Handreikingen: Risicoanalysemethode en Risicomanagement ISO-27005 zijn uitgangspunt voor de ontwikkeling van software en systemen. | Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
| AppO_U.05.03 | beveiligingseisen | Informatiebeveiligingseisen zijn al in het ontwerpstadium afgeleid uit:
| Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
| AppO_U.05.04 | beveiligingseisen | Met betrekking tot informatiesystemen worden, onder andere, de volgende informatiebeveiligingseisen in overweging genomen:
| Analyse en specificatie van informatiebeveiligingseisen | Uitvoering |
| AppO_U.06.01 | business vereisten en reviews | Het ontwerpen van applicaties is gebaseerd op eisen voor verschillende typen informatie, zoals:
| Applicatie ontwerp | Uitvoering |
| AppO_U.06.02 | omgevingsanalyse | Bij het ontwerp van applicaties is informatie verkregen uit verschillende mogelijke connecties met de te ontwerpen applicatie, zoals
| Applicatie ontwerp | Uitvoering |
| AppO_U.06.03 | (specifieke) beveiliging | Het ontwerp is mede gebaseerd op een beveiligingsarchitectuur, waarin aandacht is besteed aan: performance, capaciteit, continuïteit, schaalbaarheid, connectiviteit, comptabiliteit. | Applicatie ontwerp | Uitvoering |
| AppO_U.07.01 | invoerfuncties | Bereikcontroles worden toegepast en gegevens worden gevalideerd. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.02 | verwerkingsfuncties | Geprogrammeerde controles worden ondersteund. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.03 | verwerkingsfuncties | Het uitvoeren van onopzettelijke mutaties wordt tegengegaan. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.04 | verwerkingsfuncties | Voorzieningen voor het genereren van fout- en uitzonderingsrapportage zijn beschikbaar. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.05 | verwerkingsfuncties | Voorzieningen voor het achteraf vaststellen van een betrouwbare verwerking (JVT) zijn beschikbaar (o.a. audit trail). | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.06 | verwerkingsfuncties | Opgeleverde/over te dragen gegevens worden gevalideerd. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.07 | verwerkingsfuncties | Controle op de juistheid, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en tijdigheid van input (ontvangen gegevens) en op de verwerking en output van gegevens (versterkte gegevens) wordt uitgevoerd. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.08 | verwerkingsfuncties | Op basis van vastgestelde en geautoriseerde procedures wordt voorkomen dat gegevens buiten de applicatie om (kunnen) worden benaderd. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.07.09 | uitvoerfuncties | Gegevens worden conform vastgestelde beveiligingsklasse gevalideerd op plausibiliteit, volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld., bedrijfsgevoeligheid. | Applicatie functionaliteiten | Uitvoering |
| AppO_U.08.01 | (industrie) good practice | Gedocumenteerde standaarden en procedures worden beschikbaar gesteld voor het bouwen van programmacode die ook het volgende specificeren:
| Applicatiebouw | Uitvoering |
| AppO_U.08.02 | (industrie) good practice | Veilige methodes worden toegepast om te voorkomen dat veranderingen kunnen worden aangebracht in basis programmacode of in softwarepackages. | Applicatiebouw | Uitvoering |
| AppO_U.08.03 | (industrie) good practice | Voor het creëren van programmacode wordt gebruik gemaakt van good practices (gestructureerde programmering). | Applicatiebouw | Uitvoering |
| AppO_U.08.04 | (industrie) good practice | Het gebruik van onveilig programmatechnieken is niet toegestaan. | Applicatiebouw | Uitvoering |
| AppO_U.08.05 | (industrie) good practice | Programmacode is beschermd tegen ongeautoriseerde wijzigingen. | Applicatiebouw | Uitvoering |
| AppO_U.08.06 | (industrie) good practice | Activiteiten van applicatiebouw worden gereviewd. | Applicatiebouw | Uitvoering |
| AppO_U.08.07 | juiste skills/tools | De ontwikkelaars zijn adequaat opgeleid en zijn in staat om binnen het project de noodzakelijke en in gebruik zijnde tools te hanteren. | Applicatiebouw | Uitvoering |
| AppO_U.09.01 | bedrijfsfunctionaliteiten | Vanuit interne optiek van de organisatie richten bepaalde type functionarissen zich tijdens de ontwikkelactiviteiten en in relatie tot de beveiligingseisen op het testen van functionele requirements (o.a. business rules). | Testen van systeembeveiliging | Uitvoering |
| AppO_U.09.02 | beveiligingsfunctionaliteiten | De functionaliteiten worden na integratie van de ontwikkelde software (nogmaals) specifiek vanuit beveiligingsoptiek getest in de infrastructuur. | Testen van systeembeveiliging | Uitvoering |
| AppO_U.10.01 | acceptatietests | Voor (systeem)acceptatietesten van (informatie)systemen worden gestructureerde testmethodieken gebruikt, welke bij voorkeur geautomatiseerd worden uitgevoerd. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.02 | acceptatietests | Van de resultaten van de testen wordt een verslag gemaakt. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.03 | acceptatietests | Testresultaten worden formeel geëvalueerd en door de betrokken informatiesysteemeigenaar beoordeeld, waarna - na te zijn goedgekeurd - overgegaan wordt naar de volgende fase. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.04 | acceptatietests | (Systeem)acceptatietesten worden uitgevoerd in een representatieve acceptatietest omgeving; deze omgeving is vergelijkbaar met de toekomstige productieomgeving. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.05 | acceptatietests | Voordat tot acceptatie in de productieomgeving wordt overgegaan worden acceptatiecriteria vastgesteld en passende testen uitgevoerd. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.06 | acceptatietests | Tenzij geanonimiseerd worden productiegegevens niet gebruikt als testgegevens. | Systeem acceptatietests | Uitvoering |
| AppO_U.10.07 | acceptatietests | Bij acceptatietest wordt getoetst of het geleverde product overeenkomt met hetgeen is afgesproken. Hierbij is de testfocus o.a. gericht is op:
| Systeem acceptatietests | Uitvoering |
| AppO_U.11.01 | testgegevens | De volgende richtlijnen worden toegepast om operationele gegevens die voor testdoeleinden worden gebruikt te beschermen:
| Beschermen van testgegevens | Uitvoering |
| AppO_U.12.01 | beveiligde ontwikkelomgevingen | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging. Deze afweging heeft zowel de ontwikkelomgeving als ook het te ontwikkelen systeem in scope. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.02 | beveiligde ontwikkelomgevingen | De organisatie heeft logische en/of fysieke scheidingen aangebracht tussen de Ontwikkel-, Test-, Acceptatie- en Productie-omgevingen, elk met een eigen autorisatiestructuur en werkwijze zodat sprake is van een beheerste ontwikkel- en onderhoudsproces. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.03 | beveiligde ontwikkelomgevingen | De taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen in de Ontwikkel, Test, Acceptatie en Productie omgevingen worden uitgevoerd conform onderkende rollen. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.04 | beveiligde ontwikkelomgevingen | Voor remote werkzaamheden is een werkwijze vastgelegd. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.05 | beveiligde ontwikkelomgevingen | Ontwikkelaars hebben geen toegang tot de Productie-omgeving. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.06 | beveiligde ontwikkelomgevingen | T.a.v. het kopiëren/verplaatsen van configuratie items tussen de omgevingen gelden overdrachtsprocedures. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.07 | beveiligde ontwikkelomgevingen | De overdracht van Ontwikkel- naar de Test-omgeving vindt, in overeenstemming met het implementatieplan, gecontroleerd plaats. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.08 | beveiligde ontwikkelomgevingen | De overdracht van de Test- naar de Acceptatieomgeving vindt procedureel door daartoe geautoriseerde personen plaats. | Beveiligde ontwikkel- (en test) omgeving | Uitvoering |
| AppO_U.12.09 | beveiligde ontwikkelomgevingen | De overdracht (van de Acceptatie-) naar de Productie-omgeving vindt procedureel plaats door daartoe geautoriseerde personen. | Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging | Uitvoering |
| AppO_U.13.01 | koppelingsrichtlijnen | Koppelingen tussen applicaties worden uitgevoerd volgens vastgestelde procedures en richtlijnen. | Applicatiekoppelingen | Uitvoering |
| AppO_U.13.02 | koppelingsrichtlijnen | Van het type koppelingen is een overzicht aanwezig. | Applicatiekoppelingen | Uitvoering |
| AppO_U.13.03 | koppelingsrichtlijnen | Koppelingen worden uitgevoerd o.b.v. geautoriseerde opdrachten. | Applicatiekoppelingen | Uitvoering |
| AppO_U.13.04 | koppelingsrichtlijnen | De uitgevoerde koppelingen worden geregistreerd. | Applicatiekoppelingen | Uitvoering |
| AppO_U.14.01 | logging | Welke ongeoorloofde en onjuiste activiteiten gelogd moeten worden is vastgelegd. | Logging en monitoring | Uitvoering |
| AppO_U.14.02 | logging | InformatieBetekenisvolle gegevens. ten aanzien van autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen(s) wordt vastgelegd. | Logging en monitoring | Uitvoering |
| AppO_U.14.03 | logging | De loggegevens zijn beveiligd. | Logging en monitoring | Uitvoering |
| AppO_U.14.04 | logging | De locatie van de vastlegging van de loggegevens is vastgesteld. | Logging en monitoring | Uitvoering |
| AppO_U.14.05 | monitoring | De applicatie geeft signalen aan beveiligingsfunctionarissen dat loggegevens periodiek geëvalueerd en geanalyseerd moeten worden. | Logging en monitoring | Uitvoering |
| AppO_U.14.06 | monitoring | De frequentie (wanneer) van monitoring en het rapporteren hierover (aan wie wat) is vastgelegd. | Logging en monitoring | Uitvoering |
| AppO_U.15.01 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De architect heeft een actueel document van het te ontwikkelen informatie systeem opgesteld. Het document:
| Applicatie architectuur | Uitvoering |
| AppO_U.15.02 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | Het architectuurdocument wordt actief onderhouden. | Applicatie architectuur | Uitvoering |
| AppO_U.15.03 | applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. | De voorschriften en de methoden en technieken ten aanzien van applicatie architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. worden toegepast. | Applicatie architectuur | Uitvoering |
| AppO_U.15.04 | samenhang | Tussen in- en uitstroom van gegevens en de inhoud van de gegevensberichten bestaat een aantoonbare samenhang. | Applicatie architectuur | Uitvoering |
| AppO_U.15.05 | samenhang | Het is aantoonbaar dat de onderliggende infrastructuur componenten beveiligd zijn op basis van security baselines (o.a. uitschakeling van overbodige functionaliteiten). | Applicatie architectuur | Uitvoering |
| AppO_U.15.06 | samenhang | De relatie tussen de persoonsgegevens die gebruikt worden binnen de applicatie en de persoonsgegevens van interne en externe ontvangers van de door de applicatie opgeleverde gegevens is inzichtelijk. | Applicatie architectuur | Uitvoering |
| AppO_U.16.01 | faciliteiten | Het tool ondersteunt alle fasen van het ontwikkelproces ten behoeve van het documenteren van analyses, specificaties, programmatuur, testen en rapportages. | Tooling ontwikkelmethode | Uitvoering |
| AppO_U.16.02 | faciliteiten | Het tool biedt bepaalde frameworks ten behoeve van het structureren van de ontwikkelfasen en het bewaken van afhankelijkheden. | Tooling ontwikkelmethode | Uitvoering |
| AppO_U.16.03 | faciliteiten | Het tool beschikt over faciliteiten voor versie- en releasebeheer. | Tooling ontwikkelmethode | Uitvoering |
| AppO_U.16.04 | faciliteiten | Het tool beschikt over faciliteiten voor:
| Tooling ontwikkelmethode | Uitvoering |
| AppO_U.16.05 | faciliteiten | Het tool beschikt over faciliteiten voor de koppelingen met externe bronnen. | Tooling ontwikkelmethode | Uitvoering |
| Cloud_B.01.01 | wettelijke, statutaire en regelgevende eisen | De CSP informeert de CSC welke wet- en regelgeving van toepassing is op de clouddiensten. | Wet- en regelgeving | Beleid |
| Cloud_B.01.02 | wettelijke, statutaire en regelgevende eisen | De CSP identificeert haar eigen relevante wettelijke eisen (zoals AVG-eisen en encryptie-toepassing) om persoonsgegevens te kunnen beschermen. | Wet- en regelgeving | Beleid |
| Cloud_B.01.03 | wettelijke, statutaire en regelgevende eisen | De voor CSC van toepassing zijnde vereisten die voortvloeien uit wet- en regelgeving zijn geïdentificeerd, vooral waar het gaat om geografische gedistribueerde verwerkingen, opslag en communicatie waarvoor verschillende wetgeving bestaat, zoals maatregelen die voortvloeien uit de AVG. | Wet- en regelgeving | Beleid |
| Cloud_B.01.04 | wettelijke, statutaire en regelgevende eisen | De CSP voorziet de CSC zekerheid (evidence based compliance rapportage) over (het voldoen aan) de van toepassing zijnde wettelijke eisen en contractuele vereisten. | Wet- en regelgeving | Beleid |
| Cloud_B.01.05 | contractuele eisen | Voor de clouddiensten zijn, om aan de wettelijke en contractuele eisen te kunnen voldoen, specifieke maatregelen getroffen en verantwoordelijkheden benoemd. | Wet- en regelgeving | Beleid |
| Cloud_B.01.06 | aanpak | De CSP heeft, om aan de eisen van de CSC te kunnen voldoen, alle wet- en regelgeving die op haar van toepassing is op de clouddienstverlening vastgesteld. | Wet- en regelgeving | Beleid |
| Cloud_B.02.01 | cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de CSP geeft aan op welke wijze zij de bedrijfsdoelstellingen van CSC('s) ondersteunt door onder andere te beschrijven:
| Cloudbeveiligingsstrategie | Beleid |
| Cloud_B.02.02 | cloudbeveiligingsstrategie | De cloudbeveiligingsstrategie van de CSP:
| Cloudbeveiligingsstrategie | Beleid |
| Cloud_B.02.03 | samenhangt | De samenhang van beveiligingsmaatregelen van de CSP ondersteunt het behalen van de bedrijfsdoelen van de CSC. Hierin wordt aangegeven:
| Cloudbeveiligingsstrategie | Beleid |
| Cloud_B.03.01 | bepalingen | De CSC legt in de overeenkomst een aantal bepalingen aangaande exit-regeling vast, zoals:
| Exit-strategie | Beleid |
| Cloud_B.03.02 | condities | De CSC kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:
| Exit-strategie | Beleid |
| Cloud_B.04.01 | cloudbeveiligingsbeleid | Het cloudbeveiligingsbeleid bevat zowel organisatorisch als technische georiënteerde maatregelen, zoals:
| Clouddienstenbeleid | Beleid |
| Cloud_B.05.01 | systeembeschrijving | De systeembeschrijving bevat de volgende aspecten:
| Transparantie | Beleid |
| Cloud_B.05.02 | jurisdictie | De SLA of systeembeschrijving voorziet in een specificatie van jurisdictie ten aanzien van data opslag, verwerking en back-up-locatie, ook als deze (of delen hiervan) uitbesteed is aan subcontractors. | Transparantie | Beleid |
| Cloud_B.05.03 | onderzoeksmogelijkheden | De SLA of systeembeschrijving voorziet in een specificatie voor publicatie-vereisten en onderzoeksmogelijkheden. | Transparantie | Beleid |
| Cloud_B.05.04 | certificaten | De SLA of systeembeschrijving voorziet in specificatie met betrekking tot het beschikbaar zijn van valide certificaten. | Transparantie | Beleid |
| Cloud_B.06.01 | verantwoordelijkheden | De verantwoordelijkheden van de CSP zijn onder andere:
| Risicomanagement | Beleid |
| Cloud_B.06.02 | verantwoordelijkheden | De organisatie van het risicomanagementproces is goedgekeurd door managers van de CSP. | Risicomanagement | Beleid |
| Cloud_B.06.03 | risicomanagementproces | Het risicomanagementproces is systematisch beschreven met aandacht voor beleid, procedures en richtlijnen voor activiteiten ten aanzien van: communiceren, adviseren, vaststellen van de context van onderzoeken, behandelen, monitoren, reviewen, vastleggen en rapporteren van risico’s. | Risicomanagement | Beleid |
| Cloud_B.07.01 | IT-functionaliteiten | Voor de beveiliging van IT-functionaliteiten (verwerking, opslag, transport en opvraag van informatie) zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | IT-functionaliteiten | Beleid |
| Cloud_B.07.02 | IT-functionaliteiten | Technische beveiligingsmaatregelen, in de vorm van sterke toegangsbeveiliging, encryptie en data-analyse methoden, zijn getroffen tegen bescherming van infrastructuur. | IT-functionaliteiten | Beleid |
| Cloud_B.07.03 | IT-functionaliteiten | De IT-infrastructuur wordt, om veilige clouddiensten te kunnen verlenen, continue bewaakt en beheerst ter bescherming tegen bedreigingen. | IT-functionaliteiten | Beleid |
| Cloud_B.07.04 | robuuste en beveiligde systeemketen | De infrastructuur wordt ingericht op basis van betrouwbare hardware- en software-componenten. | IT-functionaliteiten | Beleid |
| Cloud_B.07.05 | robuuste en beveiligde systeemketen | Er zijn gedocumenteerde standaarden en procedures om geavanceerde cyberaanvallen het hoofd te bieden. | IT-functionaliteiten | Beleid |
| Cloud_B.08.01 | verantwoordelijkheid voor BCM | De CSP heeft een proceseigenaar voor het BCM-proces benoemd en hem verantwoordelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor het vormgeven van BCM en compliancy met het uitgestippeld beleid. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.02 | verantwoordelijkheid voor BCM | De verantwoordelijke voor BCM stelt zeker, dat adequate resources beschikbaar zijn voor het uitvoeren van een effectief BCM-proces. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.03 | verantwoordelijkheid voor BCM | Het management van de CSP committeert zich aan de vastgestelde BCM-vereisten. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.04 | verantwoordelijkheid voor BCM | Het BCM- en BIA-beleid (beleid voor Business Impact Analyses) is vastgesteld en gecommuniceerd. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.05 | beleid en procedures | Beleid en procedures voor het vaststellen van impact van storingen van cloudservices zijn gedocumenteerd en gecommuniceerd, waarbij aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.06 | bedrijfscontinuïteitsplanning | De CSP beschikt over een gedocumenteerd raamwerk voor het plannen van bedrijfscontinuïteit, waarin onder andere aandacht wordt besteed aan:
| Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.07 | verificatie en updaten | De business impact analyses en continuïteitsplannen worden geverifieerd, geactualiseerd en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.08 | verificatie en updaten | Bij het testen wordt aandacht besteed aan de beïnvloeding van de CSC’s (tenants) en derde partijen. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.08.09 | computercentra | De voorzieningen van de computercentra zijn veilig gesteld en worden gemonitord (bewaakt), onderhouden en regelmatig getest. | Bedrijfscontinuïteitsmanagement | Beleid |
| Cloud_B.09.01 | beveiligingsaspecten en stadia | Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. | Data en privacy | Beleid |
| Cloud_B.09.02 | toegang en privacy | Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, DPIA, sterke toegangsbeveiliging en encryptie. | Data en privacy | Beleid |
| Cloud_B.09.03 | classificatie/labelen | Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op datatype, waarde, gevoeligheid en kritische gehalte voor de organisatie. | Data en privacy | Beleid |
| Cloud_B.09.04 | classificatie/labelen | Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. | Data en privacy | Beleid |
| Cloud_B.09.05 | classificatie/labelen | De CSP past een uniforme classificatie toe voor informatie en middelen, die relevant zijn voor de ontwikkeling en aanbieden van clouddiensten. | Data en privacy | Beleid |
| Cloud_B.09.06 | eigenaarschap | Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. | Data en privacy | Beleid |
| Cloud_B.09.07 | eigenaarschap | In de overeenkomst tussen CSP en CSC is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. | Data en privacy | Beleid |
| Cloud_B.09.08 | locatie | De CSP specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. | Data en privacy | Beleid |
| Cloud_B.10.01 | beveiligingsfunctie | De beveiligingsfunctie, die geleid wordt door een CSO, ondersteunt de CSP voor het bewerkstelligen en promoten van cloudbeveiligingsbeleid door:
| Beveiligingsorganisatie | Beleid |
| Cloud_B.10.02 | beveiligingsfunctie | De beveiligingsfunctie voorziet in proactieve ondersteuning van:
| Beveiligingsorganisatie | Beleid |
| Cloud_B.10.03 | organisatorische positie | De CSP heeft de informatiebeveiligingsorganisatie een formele positie binnen de gehele organisatie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. NB Dit een voorstel van de WGR en SGR. | Beveiligingsorganisatie | Beleid |
| Cloud_B.10.04 | taken, verantwoordelijkheden en bevoegdheden | De CSP heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. beschreven en toegewezen aan specifieke functionarissen. NB Deze tekst is een specifieke overheidsmaatregel uit de BIO. | Beveiligingsorganisatie | Beleid |
| Cloud_B.10.05 | taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie | Beleid |
| Cloud_B.10.06 | functionarissen | De belangrijkste functionarissen (stakeholders) voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie | Beleid |
| Cloud_B.10.07 | rapportagelijnen | De verantwoordings- en rapportagelijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie | Beleid |
| Cloud_B.10.08 | rapportagelijnen | Het type, de frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie | Beleid |
| Cloud_B.11.01 | raamwerk | Het raamwerk bevat de volgende aspecten:
| Clouddiensten-architectuur | Beleid |
| Cloud_B.11.02 | samenhang en afhankelijkheden | De onderlinge samenhang tussen IT-functionaliteiten die bij het aanbieden, gebruiken en onderhouden van clouddiensten zijn betrokken, zijn benoemd en beschreven. | Clouddiensten-architectuur | Beleid |
| Cloud_C.01.01 | richtlijnen | De CSP beschikt voor de clouddiensten over richtlijnen voor de inrichting van de service-management-organisatie. | Service-managementbeleid en evaluatie richtlijnen | Control |
| Cloud_C.01.02 | richtlijnen | De CSP heeft relevante beheerprocessen beschreven en effectief ingericht conform een vastgestelde cyclus, waaronder: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. | Service-managementbeleid en evaluatie richtlijnen | Control |
| Cloud_C.01.03 | controle-activiteiten en rapportages | De CSP beschikt ten aanzien van clouddiensten over richtlijnen voor het:
| Service-managementbeleid en evaluatie richtlijnen | Control |
| Cloud_C.02.01 | gemonitord en gereviewd | De CSP verifieert regelmatig de criteria die gebruikt worden om de risico te meten en om vast te stellen of ze steeds consistent zijn met organisatiedoelstellingen, de strategie, het beleid en/of de context van de organisatie steeds in beschouwing worden genomen. | Risico-control | Control |
| Cloud_C.02.02 | gemonitord en gereviewd | De vastgesteld risico’s worden in relatie met de factoren: waarde van de assets, dreigingen, zwakheden, kans op voorkomen en impact, te worden gemonitord en geëvalueerd, om een complete risico beeld te behouden en tijdig veranderingen vast te (kunnen) stellen. | Risico-control | Control |
| Cloud_C.02.03 | gemonitord en gereviewd | De CSP zal, met betrekking tot het monitoren van risico, zich continu richten op:
| Risico-control | Control |
| Cloud_C.02.04 | gemonitord en gereviewd | De CSP voert regelmatig de monitoringsactiviteiten uit en mitigeert de vastgestelde risico’s. | Risico-control | Control |
| Cloud_C.02.05 | gemonitord en gereviewd | Bij het monitoring en reviewen worden onder andere de volgende elementen geadresseerd:
| Risico-control | Control |
| Cloud_C.03.01 | compliancy | Ten behoeve van de governance van de clouddienstverlening aan de CSC heeft de CSP een compliance-proces ingericht, op basis waarvan de continue compliance op wet- en regelgeving en het overeengekomen cloudbeveiligingsbeleid vorm wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Compliance en assurance | Control |
| Cloud_C.03.02 | compliancy | De CSP registreert de regulier uitgebrachte prestatie-, beveiligings- en compliance-rapportages in een administratie. | Compliance en assurance | Control |
| Cloud_C.03.03 | compliancy | Het compliance-proces is bij voorkeur aangesloten op een Information Security Management System (ISMS). | Compliance en assurance | Control |
| Cloud_C.03.04 | assurance | De CSP laat jaarlijks door een derde partij een onderzoek (audit) uitvoeren op de inrichting en beheersing van de gecontacteerde clouddiensten. | Compliance en assurance | Control |
| Cloud_C.03.05 | assurance | Bij de assessment wordt door de derde partij zowel de cloud-omgeving als de administratie betrokken. | Compliance en assurance | Control |
| Cloud_C.03.06 | aansluiting | De CSP zorgt ervoor dat de uitkomsten uit de jaarlijkse assurance-rapportage (TPM), de uitkomsten van de periodieke servicerapportages, en de uitkomsten uit de continue compliance op het cloudbeveiligingsbeleid op elkaar aansluiten. | Compliance en assurance | Control |
| Cloud_C.04.01 | technische kwetsbaarheden | De CSP stelt de CSC informatie beschikbaar over het beheer van de technische kwetsbaarheden die de clouddiensten kunnen beïnvloeden. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.02 | technische kwetsbaarheden | De CSP heeft de rollen en verantwoordelijkheden in relatie tot het beheersen van technische kwetsbaarheden, waaronder coördineren, monitoren, beoordelen van risico’s en mitigeren van kwetsbaarheden, gedefinieerd en vastgesteld. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.03 | technische kwetsbaarheden | Als de kans op misbruik en de verwachte schade beiden hoog zijn (NCSC classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.04 | technische kwetsbaarheden | Het tijdspad, waarbinnen gereageerd moet worden op de aankondigingen van potentieel relevante kwetsbaarheden, is gedefinieerd. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.05 | technische kwetsbaarheden | Periodiek worden penetratietests op de ICT-componenten uitgevoerd om zwakheden te identificeren. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.06 | technische kwetsbaarheden | Technische zwakheden kunnen worden verholpen door het tijdig uitvoeren van patchmanagement, wat inhoud:
| Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.07 | geëvalueerd | De evaluaties van de technische kwetsbaarheden worden geregistreerd en gerapporteerd. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.04.08 | geëvalueerd | De evaluatierapportages bevatten verbeteringsvoorstellen en worden gecommuniceerd met de verantwoordelijken/eigenaren van de ICT-componenten waarin kwetsbaarheden en zwakheden gevonden zijn. | Technische kwetsbaarhedenbeheer | Control |
| Cloud_C.05.01 | gemonitord en gerapporteerd | Richtlijnen en afspraken voor het monitoren en rapporteren over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van de cloud-omgeving zijn vastgesteld en worden toegepast. | Security-monitoring | Control |
| Cloud_C.05.02 | gemonitord en gerapporteerd | Het monitoren en rapporteren over de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is gerelateerd aan:
| Security-monitoring | Control |
| Cloud_C.05.03 | gemonitord en gerapporteerd | Het monitoren van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. en rapportages vindt plaats op basis van:
| Security-monitoring | Control |
| Cloud_C.05.04 | gemonitord en gerapporteerd | De informatiebeveiligingsrapportages worden in samenhang met rapportages uit andere beheerdisciplines (compliance en assurance management, en vulnerability management) geanalyseerd. | Security-monitoring | Control |
| Cloud_C.05.05 | gemonitord en gerapporteerd | Aantoonbaar wordt opvolging gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de verbeteringsvoorstellen uit de analyse-rapportages. | Security-monitoring | Control |
| Cloud_C.05.06 | gemonitord en gerapporteerd | De beveiligingsplannen worden periodiek geactualiseerd en toegewezen aan hiervoor verantwoordelijke functionarissen. | Security-monitoring | Control |
| Cloud_C.06.01 | processtructuur | De samenhang van de processen wordt in een processtructuur vastgelegd. | Beheerorganisatie clouddiensten | Control |
| Cloud_C.06.02 | taken, verantwoordelijkheden en bevoegdheden | De CSP heeft de taken en verantwoordelijkheden voor de uitvoering van de beheer(s)werkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Beheerorganisatie clouddiensten | Control |
| Cloud_C.06.03 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de onderlinge relaties zijn met een organisatieschema inzichtelijk gemaakt. | Beheerorganisatie clouddiensten | Control |
| Cloud_U.01.01 | nationale standaarden | De CSP maakt haar dienstverlening transparant, zodat de CSC aantoonbaar aan de voor haar verplichte BIO en Pas-toe-of-leg-uit standaarden kan voldoen. | Standaarden voor clouddiensten | Uitvoering |
| Cloud_U.01.02 | internationale standaarden | De CSP treft beveiligingsmaatregelen op basis van internationale standaarden, zoals:
| Standaarden voor clouddiensten | Uitvoering |
| Cloud_U.02.01 | risico-analyse | De risico’s ten aanzien van de middelen die binnen de scope van clouddiensten ressorteren, worden geïdentificeerd, op waarde geschat (gekwantificeerd of gekwalificeerd) en beschreven op basis van risico-evaluatiecriteria en -doelstellingen van de CSP. | Risico-assessment | Uitvoering |
| Cloud_U.02.02 | risico-evaluatie | De geïdentificeerde risico’s worden geëvalueerd op basis van risico-acceptatiecriteria. | Risico-assessment | Uitvoering |
| Cloud_U.03.01 | redundantie | De overeengekomen continuïteit wordt gewaarborgd door middel van voldoende logische of fysieke meervoudig uitgevoerde systeemfuncties. | Bedrijfscontinuïteitsservices | Uitvoering |
| Cloud_U.03.02 | continuïteitseisen | De met de CSC-organisatie overeengekomen continuïteitseisen voor cloudservices wordt gewaarborgd door middel van specifieke in de systeemarchitectuur beschreven maatregelen. | Bedrijfscontinuïteitsservices | Uitvoering |
| Cloud_U.04.01 | herstelfunctie | De data en clouddiensten worden in geval van calamiteiten binnen de overeengekomen periode en maximale dataverlies hersteld en aan de CSC beschikbaar gesteld. | Herstelfunctie voor data en clouddiensten | Uitvoering |
| Cloud_U.04.02 | herstelfunctie | Het continue proces van herstelbaar beveiligen van data wordt gemonitord. | Herstelfunctie voor data en clouddiensten | Uitvoering |
| Cloud_U.04.03 | getest | Het toereikend functioneren van de herstelfuncties wordt periodiek getest door gekwalificeerd personeel en de resultaten daarvan worden gedeeld met de CSC. | Herstelfunctie voor data en clouddiensten | Uitvoering |
| Cloud_U.05.01 | cryptografische maatregelen | Gegevenstransport wordt ‘state of the art’ beveiligd met cryptografie (conform forum standaardisatie) en waarbij het sleutelbeheer zo mogelijk door de CSC zelf wordt uitgevoerd. | Data-protectie | Uitvoering |
| Cloud_U.05.02 | cryptografische maatregelen | De binnen de clouddienst opgeslagen gegevens worden ‘state of the art’ beveiligd met encryptie en met een tenminste voor het doel toereikende sleutellengte, waarbij het sleutelbeheer zo mogelijk niet als clouddienst wordt afgenomen en door de CSC zelf wordt uitgevoerd. | Data-protectie | Uitvoering |
| Cloud_U.06.01 | bewaartermijn | De gegarandeerde en met de CSP overeengekomen opslagduur is contractueel vastgelegd en voldoet aan de Archiefwet. | Dataretentie en vernietiging gegevens | Uitvoering |
| Cloud_U.06.02 | technologie-onafhankelijk raadpleegbaar | Gegevens zijn onafhankelijk van de door de CSP toegepaste technologie raadpleegbaar gedurende de gehele bewaartermijn. | Dataretentie en vernietiging gegevens | Uitvoering |
| Cloud_U.06.03 | onveranderbaar | Gegevens worden zo mogelijk gearchiveerd met behulp van WORM (Write Once Read Many) technologie, waarmee de integriteit van de data wordt gegarandeerd. | Dataretentie en vernietiging gegevens | Uitvoering |
| Cloud_U.06.04 | vernietigd | Voorafgaand aan het voor onderhoudsdoeleinden wijzigen van opslagmedia, wordt de data van de CSC, inclusief de back-up van gegevens en metadata, veilig gewist of vernietigd. | Dataretentie en vernietiging gegevens | Uitvoering |
| Cloud_U.06.05 | vernietigd | Bij het beëindigen van de contractrelatie wordt de data van de CSC, inclusief de back-up van gegevens en de metadata veilig gewist, om te voorkomen dat de CSC-gegevens naderhand door de CSP kunnen worden hersteld, bijvoorbeeld met forensische hulpmiddelen. | Dataretentie en vernietiging gegevens | Uitvoering |
| Cloud_U.07.01 | geïsoleerd | Permanente isolatie van gegevens wordt gerealiseerd binnen een multi-tenant architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en patches en aanpassingen van applicaties en infrastructuur worden op een gecontroleerde wijze gerealiseerd voor alle clouddiensten die de CSC afneemt. | Scheiding van data | Uitvoering |
| Cloud_U.07.02 | geïsoleerd | Isolatie van de CSC-gegevens wordt gegarandeerd door deze onder alle bedrijfsomstandigheden minimaal logisch te scheiden van de data van andere CSC’s. | Scheiding van data | Uitvoering |
| Cloud_U.07.03 | beheerfuncties | De bevoegdheden voor het inzien of wijzigen van CSC-data en/of van encryptiesleutels door beheerfuncties en beheerders worden gecontroleerd verleend en het gebruik van deze rechten wordt gelogd. | Scheiding van data | Uitvoering |
| Cloud_U.08.01 | gescheiden | De CSP realiseert de volgende scheiding van clouddienstverlening:
| Scheiding van dienstverlening | Uitvoering |
| Cloud_U.09.01 | beheersmaatregelen | De CSP specificeert, als onderdeel van de overeenkomst, welke maatregelen (voor onder andere malware-protectie) op welke positie in de informatieketen van CSC en CSP moeten worden genomen. | Malware-protectie | Uitvoering |
| Cloud_U.09.02 | beheersmaatregelen | De CSP heeft de voor ontwikkeling en exploitatie van clouddiensten gebruikte IT-systemen en netwerkperimeters waarvoor zij verantwoordelijk is, uitgerust met tools ter bescherming en verwijdering van malware. | Malware-protectie | Uitvoering |
| Cloud_U.09.03 | detectie, preventie en herstel | De malware-bescherming wordt op verschillende omgevingen uitgevoerd, zoals op mailservers, (desktop)computers en bij de toegang tot het netwerk van de organisatie. De scan op malware omvat onder andere:
| Malware-protectie | Uitvoering |
| Cloud_U.10.01 | gebruikers | De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
| Toegang tot IT-diensten en data | Uitvoering |
| Cloud_U.10.02 | gebruikers | Onder verantwoordelijkheid van de CSP wordt aan beheerders:
| Toegang tot IT-diensten en data | Uitvoering |
| Cloud_U.10.03 | gebruikers | Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data. | Toegang tot IT-diensten en data | Uitvoering |
| Cloud_U.10.04 | bevoegd | Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. | Toegang tot IT-diensten en data | Uitvoering |
| Cloud_U.10.05 | bevoegd | Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept. | Toegang tot IT-diensten en data | Uitvoering |
| Cloud_U.11.01 | beleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Crypto-services | Uitvoering |
| Cloud_U.11.02 | cryptografische maatregelen | In geval van PKI-overheidscertificaten worden de PKI-overheidseisen gehanteerd ten aanzien van het sleutelbeheer. In overige situaties worden de ISO 11770 standaard voor het beheer van cryptografische sleutels gehanteerd. | Crypto-services | Uitvoering |
| Cloud_U.11.03 | versleuteld | Gevoelige data (op transport en in rust) is altijd versleuteld, waarbij private-key’s in beheer zijn bij de CSC. Het gebruik van een private-sleutel door de CSP is gebaseerd op een gecontroleerde procedure en moet gezamenlijk worden overeengekomen met de CSC-organisatie. | Crypto-services | Uitvoering |
| Cloud_U.12.01 | netwerkconnecties | In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (zoals DDoS-aanvallen en Distributed Denial of Service attacks) te signaleren en hierop te reageren. | Koppelvlakken | Uitvoering |
| Cloud_U.12.02 | netwerkconnecties | Fysieke en gevirtualiseerde netwerkcomponenten zijn zodanig ontworpen en geconfigureerd, dat netwerkconnecties tussen vertrouwde en onvertrouwde netwerken worden beperkt en gemonitord (bewaakt). | Koppelvlakken | Uitvoering |
| Cloud_U.12.03 | netwerkconnecties | Beheeractiviteiten van de CSP zijn strikt gescheiden van de data CSC. | Koppelvlakken | Uitvoering |
| Cloud_U.12.04 | netwerkconnecties | Dataverkeer voor CSC’s zijn in gezamenlijk gebruikte netwerkomgevingen gescheiden volgens een gedocumenteerd concept voor de op netwerkniveau (logische) segmentatie van CSC’s, om zo de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van de verzonden gegevens te garanderen. | Koppelvlakken | Uitvoering |
| Cloud_U.12.05 | bewaakt | Het dataverkeer dat de CSP binnenkomt of uitgaat wordt, in relatie tot de aard van de te beschermen gegevens/informatiesystemen, bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen. | Koppelvlakken | Uitvoering |
| Cloud_U.12.06 | bewaakt | De CSP heeft Intrusion Detection Prevention (IDP) en Intrusion Detection System (IDS) geïntegreerd in een alles omvattend SIEM, zodat beveiligingsgebeurtenissen en onbekende apparatuur vanuit de benodigde technische maatregelen worden opgemerkt en correctieve maatregelen kunnen worden genomen. | Koppelvlakken | Uitvoering |
| Cloud_U.12.07 | beheerst | Ontdekte nieuwe dreigingen worden, rekening houdend met geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT en bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Koppelvlakken | Uitvoering |
| Cloud_U.13.01 | coördinatie | Cloud-orkestratietechnologie functioneert met heterogene systemen en mogelijk wereldwijde cloud-implementatie (op verschillende geografische locaties en met verschillende CSP’s). | Service-orkestratie | Uitvoering |
| Cloud_U.13.02 | service-componenten | De functionele samenhang van de service-componenten zijn beschreven. | Service-orkestratie | Uitvoering |
| Cloud_U.13.03 | service-componenten | Voor orkestratie van cloudservices is de volgende informatie benodigd:
| Service-orkestratie | Uitvoering |
| Cloud_U.14.01 | interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving | Om de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving van cloudservices te garanderen, zijn gegevens beschikbaar conform erkende industrie-standaarden en gedocumenteerde invoer- en uitvoerinterfaces. | Interoperabiliteit en portabiliteit | Uitvoering |
| Cloud_U.14.02 | portabiliteit | Om de portabiliteit van de data te garanderen, maakt de CSP gebruik van beveiligde netwerkprotocollen voor de import en export van data en waarmee de integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen wordt gegarandeerd. | Interoperabiliteit en portabiliteit | Uitvoering |
| Cloud_U.15.01 | gebeurtenissen geregistreerd | Het overtreden van de beleidsregels wordt door CSP en CSC vastgelegd. | Logging en monitoring | Uitvoering |
| Cloud_U.15.02 | gebeurtenissen geregistreerd | De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. | Logging en monitoring | Uitvoering |
| Cloud_U.15.03 | gebeurtenissen geregistreerd | De CSP hanteert een lijst van alle activa die kritisch zijn in termen van logging en monitoring en beoordeelt deze lijst regelmatig op correctheid. | Logging en monitoring | Uitvoering |
| Cloud_U.15.04 | gebeurtenissen geregistreerd | Aan logboeken en bewaking worden strenge eisen gesteld; voor de kritieke componenten zijn geavanceerde beveiligingen voor logboeken en bewaking gedefinieerd. | Logging en monitoring | Uitvoering |
| Cloud_U.15.05 | gebeurtenissen geregistreerd | De toegang tot en het beheer van de loggings- en monitoringsfunctionaliteit is beperkt tot geselecteerde en geautoriseerde medewerkers van de CSP. | Logging en monitoring | Uitvoering |
| Cloud_U.15.06 | gebeurtenissen geregistreerd | Wijzigingen in de logging en monitoring worden gecontroleerd door onafhankelijke en geautoriseerde medewerkers (logregels mogen nooit worden gewijzigd; deze zijn immers bedoeld om als bewijslast te kunnen gebruiken). | Logging en monitoring | Uitvoering |
| Cloud_U.16.01 | samenhang | De architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. specificeert ten minste het volgende:
| Clouddiensten-architectuur | Uitvoering |
| Cloud_U.17.01 | versleuteld | CSC-data op transport en in rust is versleuteld. | Multi-tenant architectuur | Uitvoering |
| Cloud_U.17.02 | gescheiden | Virtuele machine-platforms voor CSC’s met speciale/verhoogde beveiligingsvereisten zijn gescheiden ingericht. | Multi-tenant architectuur | Uitvoering |
| Cloud_U.17.03 | gehardende | Virtuele machine-platforms zijn gehardend. | Multi-tenant architectuur | Uitvoering |
| CommVZ_B.01.1 | beleidsregels | Beleid of richtlijnen omschrijven het aanvaardbaar gebruik van communicatiefaciliteiten. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.2 | beleidsregels | Beleid of richtlijnen omschrijven het toepassen van cryptografie voor bescherming van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, integriteit en authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van informatie. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.3 | beleidsregels | Beleid of richtlijnen omschrijven het welk type verkeer niet over draadloze netwerken verstuurd mag worden. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.4 | procedures | Procedures beschrijven het beveiligen van informatie tegen onderscheppen, kopiëren, wijziging, foutieve routering en vernietiging. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.5 | procedures | Procedures beschrijven het opsporen van en beschermen tegen malware die kan worden overgebracht middels elektronische communicatie (zie 12.2.1). | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.6 | procedures | Procedures beschrijven het beschermen van als bijlage gecommuniceerde gevoelige informatie. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.01.7 | beheersmaatregelen | E-mail berichten worden conform vastgelegde procedures en richtlijnen veilig en geautomatiseerd doorgestuurd. | Beleid en procedures informatietransport | Beleid |
| CommVZ_B.02.1 | overeenkomsten | Overeenkomsten over informatietransport bevatten o.a. de volgende elementen:
| Overeenkomsten over informatietransport | Beleid |
| CommVZ_B.02.2 | overeenkomsten | In de overeenkomst behoren alle betrokken partijen expliciet genoemd zijn. | Overeenkomsten over informatietransport | Beleid |
| CommVZ_B.03.1 | cryptografiebeleid | In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:
| Cryptografiebeleid voor communicatie | Beleid |
| CommVZ_B.03.2 | cryptografiebeleid | Aanvullend bevat cryptografiebeleid voor communicatieservices het volgende:
| Cryptografiebeleid voor communicatie | Beleid |
| CommVZ_B.04.1 | organisatiestructuur | In de organisatiestructuur voor netwerkbeheer zijn o.a. de volgende beheersingsprocessen benoemd: configuratie-, performance-, fault-, en beveiligingsbeheer (securitymanagement). | Organisatiestructuur van netwerkbeheer | Beleid |
| CommVZ_B.04.2 | organisatiestructuur | De beheer(sing)processen hebben in overeenstemming met het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. een formele positie binnen de gehele organisatie. | Organisatiestructuur van netwerkbeheer | Beleid |
| CommVZ_B.04.3 | organisatiestructuur | De taken en verantwoordelijkheden van de verantwoordelijke functionarissen voor deze processen zijn duidelijk gedefinieerd. | Organisatiestructuur van netwerkbeheer | Beleid |
| CommVZ_C.01.1 | naleving | De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
| Naleving richtlijnen netwerkbeheer en evaluaties | Control |
| CommVZ_C.02.1 | periodiek | Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. | Netwerk security compliancy checking | Control |
| CommVZ_C.02.2 | inrichting | De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
| Netwerk security compliancy checking | Control |
| CommVZ_C.02.3 | verantwoordelijk | Resultaten worden gerapporteerd aan het verantwoordelijke management. | Netwerk security compliancy checking | Control |
| CommVZ_C.03.1 | robuustheid | De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
| Evalueren netwerkbeveiliging | Control |
| CommVZ_C.04.1 | onderzoek van gebeurtenissen | Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
| Evalueren netwerk monitoring | Control |
| CommVZ_C.04.2 | onderzoek van gebeurtenissen | Continue bewaking via monitoring legt de volgende informatie vast:
| Evalueren netwerk monitoring | Control |
| CommVZ_C.05.1 | Verantwoordelijkheden | De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. | Beheerorganisatie netwerkbeveiliging | Control |
| CommVZ_C.05.2 | Verantwoordelijkheden | Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
| Beheerorganisatie netwerkbeveiliging | Control |
| CommVZ_U.01.1 | ontwerp | De voorbereiding van veilige netwerkontwerpen omvat tenminste de volgende stappen:
| Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.01.2 | ontwerp | Leidende ontwerpprincipes, zoals "defence in depth", worden gehanteerd of anders geformuleerd: "inbraak betekent geen doorbraak". | Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.01.3 | ontwerp | Robuustheid (resilience) van het ontwerp bepaalt de beschikbaarheid van netwerken, zoals door het toepassen van redundancy, backup van configuratiegegevens en snel beschikbare reservedelen. | Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.01.4 | ontwerp | Netwerkbeveiliging is gebaseerd op ITU-T X.80x (zie ISO27001 annex C). | Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.01.5 | implementatie | Netwerkontwerpen zijn gestructureerd gedocumenteerd in actuele overzichten. | Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.01.6 | beheer | De implementatie van netwerkbeveiliging is gebaseerd op het netwerkontwerp zoals hierboven is bedoeld en is in richtlijnen samengevat conform ISO27033, hoofdstuk 8. | Richtlijnen netwerkbeveiliging | Uitvoering |
| CommVZ_U.02.1 | inlogprocedure | Voor het verlenen van toegang tot het netwerk door externe leveranciers wordt vooraf een risicoafweging gemaakt. Op basis van deze risicoafweging wordt bepaalt onder welke voorwaarden de leveranciers toegang krijgen en uit een registratie blijkt hoe de rechten zijn toegekend. | Beveiligde inlogprocedure | Uitvoering |
| CommVZ_U.02.2 | inlogprocedure | Als vanuit een niet-vertrouwde zones toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal 2-factor authenticatie. | Beveiligde inlogprocedure | Uitvoering |
| CommVZ_U.02.3 | inlogprocedure | Toegang tot netwerken is beperkt tot geautoriseerde gebruikers (en geautoriseerde applicaties). Drie gebieden, waarvoor expliciete inlogmechanismen worden toegepast zijn:
| Beveiligde inlogprocedure | Uitvoering |
| CommVZ_U.03.1 | beheerd | Voor het beheer van netwerkapparatuur zijn verantwoordelijkheden en procedures vastgesteld. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.03.2 | beheerd | Netwerken worden geregistreerd en gemonitord conform vastgelegde procedures en richtlijnen. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.03.3 | beheerd | Beheeractiviteiten worden nauwgezet gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatie verwerkende infrastructuur worden toegepast. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.03.4 | beheerd | Ter bescherming tot netwerkdiensten en/of - voor zover noodzakelijk - van -toepassingen zijn voor het beperken van de toegang procedures opgesteld. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.03.5 | beheerst | De functies van operationele netwerkbeheer en overige computerbewerkingen zijn gescheiden. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.03.6 | beheerst | Systemen worden voorafgaand aan de toegang tot het netwerk geauthentiseerd. | Netwerk beveiligingsbeheer | Uitvoering |
| CommVZ_U.04.1 | vertrouwelijkheids- of geheimhoudingsovereenkomsten | Ten aanzien van vertrouwelijkheids- of geheimhoudingsovereenkomsten, worden de volgende elementen in overweging genomen:
| Vertrouwelijkheids- of geheimhoudingsovereenkomst | Uitvoering |
| CommVZ_U.05.1 | beheereisen | Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt en geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectie-oplossingen), zoals het Nationaal Detectie Netwerk of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen. | Beveiliging netwerkdiensten | Uitvoering |
| CommVZ_U.05.2 | dienstverleningsniveaus | Bij ontdekte nieuwe dreigingen vanuit de analyse op kwaadaardige elementen worden deze, rekening houdend met de geldende juridische kaders, gedeeld binnen de overheid, waaronder met het NCSC of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing). | Beveiliging netwerkdiensten | Uitvoering |
| CommVZ_U.05.3 | beveiligingsmechanismen | Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied, wordt gebruik gemaakt van encryptie middelen waarvoor het NBV een positief inzet advies heeft afgegeven. | Elementen ter overweging bij vertrouwelijkheids- of geheimhoudingsovereenkomsten | Uitvoering |
| CommVZ_U.05.4 | dienstverleningsniveaus | Het dienstverleningsniveau wordt afgestemd op de volgende eisen:
| Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen | Uitvoering |
| CommVZ_U.05.5 | beveiligingsmechanismen | De noodzakelijke beveiligingsmechanismen in de vorm van technische beveiligingsfuncties, zoals segmentatie, detectie en protectie, monitoring en versleuteling van het dataverkeer zijn vastgelegd in een overeenkomst. | Beveiliging netwerkdiensten | Uitvoering |
| CommVZ_U.05.6 | beveiligingsmechanismen | Beveiligingsmechanismen voor communicatie worden voorzien op de volgende OSI lagen:
| Beveiliging netwerkdiensten | Uitvoering |
| CommVZ_U.06.01 | gescheiden (in domeinen) | Het netwerk is in (logische of fysieke) domeinen (of zones) opgedeeld op grond van risico's voor onderlinge negatieve beïnvloeding van informatiesystemen binnen een domein en het beoogde betrouwbaarheidsniveau. | Zonering en filtering | Uitvoering |
| CommVZ_U.06.02 | gescheiden (in domeinen) | Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau. | Zonering en filtering | Uitvoering |
| CommVZ_U.06.03 | gescheiden (in domeinen) | Perimeters van netwerkzones worden nauwkeurig gedefinieerd en de gecontroleerde doorgang van informatie tussen netwerkdomeinen wordt beheerst door middel van een gateway (bijv. een firewall, een filterende router). | Zonering en filtering | Uitvoering |
| CommVZ_U.06.04 | gescheiden (in domeinen) | Draadloze toegang tot gevoelige domeinen wordt behandeld als externe verbinding en wordt beveiligd op basis van eisen geldend voor externe verbindingen. | Zonering en filtering | Uitvoering |
| CommVZ_U.07.1 | passend | Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren van de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. | Elektronische berichten | Uitvoering |
| CommVZ_U.07.2 | passend | Voor veilige berichtenuitwisseling met basisregistraties wordt conform de Pas-Toe-of-Leg-Uit lijst, gebruik gemaakt van de actuele versie van Digikoppeling. | Elektronische berichten | Uitvoering |
| CommVZ_U.07.3 | passend | Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten. Gevoelige gegevens zijn o.a. digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen. | Elektronische berichten | Uitvoering |
| CommVZ_U.07.4 | passend | Voor het garanderen van de zekerheid van elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of de ETSI TS 102 176-1 en relevante standaarden uit de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie). | Elektronische berichten | Uitvoering |
| CommVZ_U.07.5 | passend | Voor de beveiliging van elektronische berichtenverkeer worden passende maatregelen getroffen, zoals:
| Elektronische berichten | Uitvoering |
| CommVZ_U.08.1 | openbare netwerken | Met communicerende partijen worden afspraken gemaakt over:
| Toepassingen via openbare netwerken | Uitvoering |
| CommVZ_U.09.1 | filterfunctie | Voor elke gateway of firewall bestaat een actueel configuratiedocument, die de complete configuratie en de functionele eisen van de gateway of firewall beschrijft. | Gateway/Firewall | Uitvoering |
| CommVZ_U.09.2 | filterfunctie | De filterfunctie van gateways en firewalls is instelbaar. | Gateway/Firewall | Uitvoering |
| CommVZ_U.09.3 | filterfunctie | Gebeurtenissen worden vastgelegd in auditlogs en worden - indien aanwezig - doorgegeven aan centrale systemen zoals SIEM. | Gateway/Firewall | Uitvoering |
| CommVZ_U.09.4 | toegestaan netwerkverkeer | Uitsluitend toegestaan netwerkverkeer wordt doorgelaten. | Gateway/Firewall | Uitvoering |
| CommVZ_U.10.1 | gescheiden end-to-end connectie | De end-to-end connectie:
| Virtual Private Networks (VPN) | Uitvoering |
| CommVZ_U.11.1 | vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen | Voor het waarborgen van de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van communicatie tussen zender en ontvanger wordt versleuteling toegepast op één of meer van de juiste verbindingslagen (OSI laag 1 t/m 7); Public Key Infrastructuur (PKI) faciliteert deze functie. | Cryptografische Services | Uitvoering |
| CommVZ_U.11.2 | integriteit | Voor het waarborgen van de integriteit van communicatie tussen zender en ontvanger wordt digitale ondertekening toegepast; toepassingsvoorbeelden zijn:
| Cryptografische Services | Uitvoering |
| CommVZ_U.11.3 | integriteit | Cryptografische beheersmaatregelen sluiten expliciet aan bij de standaarden op de Pas-Toe-of-Leg-Uit lijst van het Forum Standaardisatie. | Cryptografische Services | Uitvoering |
| CommVZ_U.11.4 | cryptografische beheersmaatregelen | Cryptografische algoritmen voldoen aan de hoogst mogelijke industriestandaarden, voor de sterkte, met een voor de toepassing en context relevante sleutellengte en algoritme, zoals uit de Forum Standaardisatie lijst:
| Cryptografische Services | Uitvoering |
| CommVZ_U.12.1 | authenticatie, autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen en versleuteling | Omdat draadloze netwerken altijd en overal fysiek benaderbaar zijn, worden de volgende algemene maatregelen en ‘beveiligingslagen’ altijd toegepast:
| Wireless Access | Uitvoering |
| CommVZ_U.13.1 | verbindingen | Voor de beheersing van netwerken worden de volgende minimumeisen toegepast:
| Netwerkconnecties | Uitvoering |
| CommVZ_U.13.2 | bewaakt | Netwerken worden bewaakt op het beoogd gebruik en overtreding van securitybeleid wordt gelogd. | Netwerkconnecties | Uitvoering |
| CommVZ_U.14.1 | authenticatie van netwerknodes | Alvorens logisch toegang te verkrijgen tot een netwerk, wordt de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een aangesloten netwerkdevice gecontroleerd (EAP-TLS). | Netwerkauthenticatie | Uitvoering |
| CommVZ_U.14.2 | authenticatie van netwerknodes | Alleen de specifiek voor het netwerk toegestane netwerkdevices worden logisch gekoppeld met de in het netwerk aanwezige clients en informatiesystemen (IEE 802.1x). | Netwerkauthenticatie | Uitvoering |
| CommVZ_U.15.1 | beheerd | Netwerkbeveiligingsbeheer omvat activiteiten, methoden, procedures en gereedschappen voor administratie, onderhoud en veilig beschikbaar stellen van netwerkverbindingen. In het bijzonder geldt daarbij:
| Netwerk beheeractiviteiten | Uitvoering |
| CommVZ_U.15.2 | beheerst | Netwerkbeheer omvat het doorvoeren van logische én fysieke wijzigingen in netwerken, zoals patching van netwerkbekabeling in netwerkverdeelkasten. | Netwerk beheeractiviteiten | Uitvoering |
| CommVZ_U.16.1 | geregistreerd en bewaard | Overtredingen van het actuele netwerkbeleid (afwijkingen van de baseline) worden geregistreerd en vastgelegd in auditlogs. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Uitvoering |
| CommVZ_U.16.2 | beoordeeld | Het beoordelen van overtredingen wordt geautomatiseerd uitgevoerd b.v. met SIEM of functioneel gelijkwaardige systemen en beoordeeld door deskundigen. | Vastleggen en monitoring van netwerkgebeurtenissen (events) | Uitvoering |
| CommVZ_U.17.1 | samenhang | De beveiligingsarchitectuur staat niet op zichzelf, maar is verweven met de architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. van het te beveiligen systeem. | Netwerk beveiligingsarchitectuur | Uitvoering |
| CommVZ_U.17.2 | samenhang | De beveiligingsarchitectuur is gelaagd, zoals:
| Netwerk beveiligingsarchitectuur | Uitvoering |
| CommVZ_U.17.3 | samenhang | De netwerk topologie is in kaart gebracht en wordt continu actueel gehouden. | Netwerk beveiligingsarchitectuur | Uitvoering |
| Huisv_B.01.01 | huisvesting-IV beleid | De organisatie heeft een Huisvestingsbeleid opgesteld en dit beleid:
| Huisvesting informatievoorziening Beleid | Beleid |
| Huisv_B.01.02 | beleidsregels | Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
| Huisvesting informatievoorziening Beleid | Beleid |
| Huisv_B.01.03 | beleidsregels | Beleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting-IV, zoals:
| Huisvesting informatievoorziening Beleid | Beleid |
| Huisv_B.02.01 | wettelijke, statutaire, regelgevende en contractuele eisen | De verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV. | Wet en regelgeving | Beleid |
| Huisv_B.02.02 | wettelijke, statutaire, regelgevende en contractuele eisen | Het Huisvesting-IV beleid waarover de Huisvesting-IV organisatie en de klant overeenstemming hebben bereikt is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Wet en regelgeving | Beleid |
| Huisv_B.03.01 | eigenaar | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel, zijn als eigenaar benoemd. | Eigenaarschap | Beleid |
| Huisv_B.03.02 | eigenaar | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel. | Eigenaarschap | Beleid |
| Huisv_B.03.03 | eigenaar | De eigenaar van het bedrijfsmiddel is gedurende de gehele levenscyclus verantwoordelijk voor het juiste beheer van het bedrijfsmiddel. | Eigenaarschap | Beleid |
| Huisv_B.03.04 | eigenaar | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Eigenaarschap | Beleid |
| Huisv_B.04.01 | gangbare standaarden | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Certificering | Beleid |
| Huisv_B.04.02 | gangbare standaarden | De Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
| Certificering | Beleid |
| Huisv_B.05.01 | kwalitatieve en kwantitatieve eisen | De eisen en specificaties voor de Huisvesting-IV voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Contractmanagement | Beleid |
| Huisv_B.05.02 | overeenkomsten | Het verwerven van Huisvesting-IV voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak. | Contractmanagement | Beleid |
| Huisv_B.05.03 | overeenkomsten | De bij SLA’s en DAP’s betrokken rollen Contractmanagement en Servicelevel Management zijn vastgelegd. | Contractmanagement | Beleid |
| Huisv_B.05.04 | overeenkomsten | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s. | Contractmanagement | Beleid |
| Huisv_B.05.05 | overeenkomsten | De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd. | Contractmanagement | Beleid |
| Huisv_B.06.01 | service level agreement | De Huisvesting-IV organisatie heeft de te leveren services, met bijbehorende service niveaus beschreven. | Service Levelmanagement | Beleid |
| Huisv_B.06.02 | service level agreement | De dienstenniveaus zijn in lijn met het Huisvesting-IV beveiligingsbeleid. | Service Levelmanagement | Beleid |
| Huisv_B.06.03 | service level agreement | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery). | Service Levelmanagement | Beleid |
| Huisv_B.07.01 | natuurrampen, ongelukken en kwaadwillige aanvallen | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn. | Interne en Externe bedreigingen | Beleid |
| Huisv_B.07.02 | natuurrampen, ongelukken en kwaadwillige aanvallen | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Interne en Externe bedreigingen | Beleid |
| Huisv_B.07.03 | natuurrampen, ongelukken en kwaadwillige aanvallen | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen veroorzaakt door de natuur en menselijk toedoen. | Interne en Externe bedreigingen | Beleid |
| Huisv_B.07.04 | natuurrampen, ongelukken en kwaadwillige aanvallen | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd, de keuring wordt uitgevoerd door de Brandweer of door een hiertoe erkend keuringsinstituut. | Interne en Externe bedreigingen | Beleid |
| Huisv_B.08.01 | bewustzijnsopleiding, –training en bijscholing | Binnen de Huisvesting-IV nemen alle medewerkers regelmatig deel aan beveiliging awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshops hierover. | Training en Awareness | Beleid |
| Huisv_B.08.02 | bewustzijnsopleiding, –training en bijscholing | Aan de medewerkers wordt regelmatig e-learning training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrum beveiliging d.m.v. brochures en nieuwsletters. | Training en Awareness | Beleid |
| Huisv_B.09.01 | organisatiestructuur | Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting-IV een formele positie. | Organisatiestructuur | Beleid |
| Huisv_B.09.02 | organisatiestructuur | Voor Huisvesting-IV is een organisatieschema beschikbaar. | Organisatiestructuur | Beleid |
| Huisv_B.09.03 | functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie. | Organisatiestructuur | Beleid |
| Huisv_B.09.04 | taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd. | Organisatiestructuur | Beleid |
| Huisv_C.01.01 | richtlijnen | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen. | Controle richtlijn | Control |
| Huisv_C.01.02 | richtlijnen | De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | Controle richtlijn | Control |
| Huisv_C.01.03 | richtlijnen | De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Controle richtlijn | Control |
| Huisv_C.01.04 | richtlijnen | De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie. | Controle richtlijn | Control |
| Huisv_C.01.05 | richtlijnen | De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd. | Controle richtlijn | Control |
| Huisv_C.02.01 | onderhoudsplan | De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan. | Onderhoudsplan | Control |
| Huisv_C.02.02 | onderhoudsbepalingen | Voor kwetsbare voorzieningen (binnen én buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Onderhoudsplan | Control |
| Huisv_C.03.01 | procesmatig | Het Business Continuity Management System (BCMS) is beschreven, goedgekeurd door het management en:
| Continuiteitsmanagement | Control |
| Huisv_C.03.02 | procesmatig | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | Continuiteitsmanagement | Control |
| Huisv_C.03.03 | hersteld en voortgezet | Een continuïteitsplan is opgesteld met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage t.a.v. continuïteit. | Continuiteitsmanagement | Control |
| Huisv_C.03.04 | hersteld en voortgezet | De herstelprocessen en -procedures voor de Huisvesting-IV organisatir zijn gedocumenteerd. | Continuiteitsmanagement | Control |
| Huisv_C.03.05 | hersteld en voortgezet | Er is gezorgd voor afdoende uitwijkfaciliteiten, zodat bij calamiteiten de services (dienstverlening) binnen de daartoe gestelde termijn voortgezet kan worden. | Continuiteitsmanagement | Control |
| Huisv_C.03.06 | hersteld en voortgezet | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Continuiteitsmanagement | Control |
| Huisv_C.03.07 | hersteld en voortgezet | De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van de uitwijkvoorzieningen. | Continuiteitsmanagement | Control |
| Huisv_C.04.01 | processtructuur | De samenhang van de processen wordt door middel van een processtructuur vastgelegd. | Huisvesting-IV beheersingsorganisatie | Control |
| Huisv_C.04.02 | beheersingsorganisatie | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Huisvesting-IV beheersingsorganisatie | Control |
| Huisv_C.04.03 | beheersingsorganisatie | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Huisvesting-IV beheersingsorganisatie | Control |
| Huisv_C.04.04 | beheersingsorganisatie | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Huisvesting-IV beheersingsorganisatie | Control |
| Huisv_U.01.01 | richtlijnen | Personeel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied. | Richtlijnen gebieden en ruimten | Uitvoering |
| Huisv_U.01.02 | richtlijnen | Zonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | Richtlijnen gebieden en ruimten | Uitvoering |
| Huisv_U.01.03 | richtlijnen | Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. | Richtlijnen gebieden en ruimten | Uitvoering |
| Huisv_U.01.04 | richtlijnen | Tenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Richtlijnen gebieden en ruimten | Uitvoering |
| Huisv_U.01.05 | richtlijnen | Bezoekers van kritieke faciliteiten:
| Richtlijnen gebieden en ruimten | Uitvoering |
| Huisv_U.02.01 | inventaris | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie 8.2). | Bedrijfsmiddelen inventaris | Uitvoering |
| Huisv_U.02.02 | inventaris | De Huisvesting-IV organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting-IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, * de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
| Bedrijfsmiddelen inventaris | Uitvoering |
| Huisv_U.02.03 | inventaris | De inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel en consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten. | Bedrijfsmiddelen inventaris | Uitvoering |
| Huisv_U.02.04 | inventaris | De Huisvesting-IV organisatie heeft inventarisoverzichten:
| Bedrijfsmiddelen inventaris | Uitvoering |
| Huisv_U.03.01 | beveilingszones | Voor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:
| Fysieke zonering | Uitvoering |
| Huisv_U.03.02 | beveilingszones | Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Fysieke zonering | Uitvoering |
| Huisv_U.03.03 | beveilingszones | Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Fysieke zonering | Uitvoering |
| Huisv_U.03.04 | beveilingszones | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Fysieke zonering | Uitvoering |
| Huisv_U.03.05 | beveilingszones | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Fysieke zonering | Uitvoering |
| Huisv_U.04.01 | faciliteiten | Belangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn. | Beveiligingsfaciliteiten ruimten | Uitvoering |
| Huisv_U.04.02 | faciliteiten | Faciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie activiteiten van buitenaf zichtbaar en/of hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Beveiligingsfaciliteiten ruimten | Uitvoering |
| Huisv_U.04.03 | faciliteiten | Adresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Beveiligingsfaciliteiten ruimten | Uitvoering |
| Huisv_U.04.04 | faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). | Beveiligingsfaciliteiten ruimten | Uitvoering |
| Huisv_U.05.01 | nutsvoorzieningen | Nutsvoorzieningen:
| Nutsvoorzieningen | Uitvoering |
| Huisv_U.05.02 | nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Nutsvoorzieningen | Uitvoering |
| Huisv_U.05.03 | nutsvoorzieningen | Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas en eventuele andere voorzieningen kunnen worden uitgeschakeld. | Nutsvoorzieningen | Uitvoering |
| Huisv_U.05.04 | nutsvoorzieningen | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Nutsvoorzieningen | Uitvoering |
| Huisv_U.06.01 | gepositioneerd en beschermd | Apparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevens. | Apparatuur positionering | Uitvoering |
| Huisv_U.06.02 | gepositioneerd en beschermd | Apparatuur wordt beschermd tegen bedreiging (zoals overspanning, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische Straling) van buitenaf. | Apparatuur positionering | Uitvoering |
| Huisv_U.07.01 | correcte wijze | Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.07.02 | correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.07.03 | correcte wijze | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.07.04 | correcte wijze | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.07.05 | correcte wijze | Aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.07.06 | correcte wijze | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Onderhoud Apparatuur | Uitvoering |
| Huisv_U.08.01 | geverifieerd | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat. | Apparatuur verwijdering | Uitvoering |
| Huisv_U.08.02 | verwijderd | Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
| Apparatuur verwijdering | Uitvoering |
| Huisv_U.09.01 | bedrijfsmiddelen | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt; onderdeel van deze procedure is een formeel toestemmingstraject. | Bedrijfsmiddelen verwijdering | Uitvoering |
| Huisv_U.09.02 | bedrijfsmiddelen | Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd. | Bedrijfsmiddelen verwijdering | Uitvoering |
| Huisv_U.09.03 | bedrijfsmiddelen | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht. | Bedrijfsmiddelen verwijdering | Uitvoering |
| Huisv_U.09.04 | bedrijfsmiddelen | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Bedrijfsmiddelen verwijdering | Uitvoering |
| Huisv_U.09.05 | bedrijfsmiddelen | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd. | Bedrijfsmiddelen verwijdering | Uitvoering |
| Huisv_U.10.01 | toegangspunten | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). | Laad en los locatie | Uitvoering |
| Huisv_U.10.02 | toegangspunten | De toegang vanaf buiten het gebouw tot de 'laad en los' locatie(s) is beperkt tot geïdentificeerd en bevoegd personeel. | Laad en los locatie | Uitvoering |
| Huisv_U.10.03 | toegangspunten | De laad- en los- locatie zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Laad en los locatie | Uitvoering |
| Huisv_U.10.04 | toegangspunten | De buitendeuren van de 'laad- en los' locatie(s) zijn beveiligd (gesloten) als de binnendeuren open zijn. | Laad en los locatie | Uitvoering |
| Huisv_U.10.05 | toegangspunten | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. | Laad en los locatie | Uitvoering |
| Huisv_U.10.06 | toegangspunten | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Laad en los locatie | Uitvoering |
| Huisv_U.10.07 | toegangspunten | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport; elke ontdekte vervalsing wordt direct aan het beveiligingspersoneel gemeld. | Laad en los locatie | Uitvoering |
| Huisv_U.11.01 | voedingskabels | Kabels worden bij voorkeur ondergronds aangelegd. | Bekabeling | Uitvoering |
| Huisv_U.11.02 | voedingskabels | De Huisvesting-IV is ingericht op basis van de volgende “Best Practices”:
| Bekabeling | Uitvoering |
| Huisv_U.11.03 | voedingskabels | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Bekabeling | Uitvoering |
| Huisv_U.12.01 | architectuurvoorschriften | De aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden. | Huisvesting-IV architectuur | Uitvoering |
| Huisv_U.12.02 | architectuurvoorschriften | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. | Huisvesting-IV architectuur | Uitvoering |
| Huisv_U.12.03 | documentatie | Het document:
| Huisvesting-IV architectuur | Uitvoering |
| PRIV_B.01.01.01 | privacybeleid | Het beleid geeft duidelijkheid over hoe de verantwoordelijken hun verantwoordelijkheid voor de naleving van de beginselen en de rechtsgrondslagen invullen en dit kunnen aantonen ("verantwoordingsplicht")AVG Art. 5 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.01.02 | privacybeleid | Het privacybeleid is tot stand gekomen langs een cyclisch proces dat voldoet aan een gestandaardiseerd patroon met daarin de elementen: voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.01.03 | privacybeleid | Het topmanagement van de organisatie heeft het privacybeleid vastgelegd, bekrachtigd en gecommuniceerd binnen de organisatie, met daarin de visie op privacybescherming en richtlijnen voor het - in overeenstemming met de wet - rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.01.04 | privacybeleid | De organisatie heeft vastgesteld en vastgelegd welke wet- en regelgevingen gelden. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.01.05 | privacybeleid | In het beleid is vastgelegd en bekrachtigd op welke wijze invulling wordt gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat aan de eisen van de sectorspecifieke wetgeving. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.01.06 | privacybeleid | In het beleid is vastgelegd of een gedragscode wordt gehanteerd waarin de uitvoering van de AVG nader wordt geconcretiseerd voor de eigen organisatie of branche, en met welke frequentie deze gedragscode en de naleving ervan worden gecontroleerd en geëvalueerd door de verantwoordelijke en - indien aangesteld - de Functionaris voor Gegevensbescherming (FG)AVG Art. 25 en Art. 64 lid 2. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.01 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat verantwoordelijken vooraf aantoonbaar maatregelen hebben genomen door het conform PRIV_U.03: Kwaliteitsmanagement toepassen van Privacy by Design, het uitvoeren van DPIA's en het gebruik van standaard instellingen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.02 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat persoonsgegevens, conform PRIV_U.01: Doelbinding gegevensverwerking, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de gegevens niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.03 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.01: Doelbinding gegevensverwerking, de verwerking toereikend, ter zake dienend en beperkt is tot "minimale gegevensverwerking"; tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.04 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor zij worden verwerkt, onverwijld te wissen of te rectificeren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.05 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals pseudonimisering van persoonsgegevens, zodat duidelijk is hoe een veilige verwerking wordt gewaarborgd en hoe de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.06 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens en PRIV_C.02: Toegang gegevensverwerking voor betrokkenen, de persoonsgegevens op een wijze worden verwerkt die voor het publiek en de betrokkene transparant is en het de betrokkene mogelijk maakt zijn rechten uit te oefenen. Hierbij is specifiek aandacht voor de bescherming van kinderen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.07 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform U.06, persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt en in welke vorm de opslag moet plaatsvinden zodanig dat na deze periode de betrokkenen niet langer zijn te identificeren. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.08 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conformPRIV_U.07: Doorgifte persoonsgegevens, persoonsgegevens slechts worden doorgegeven wanneer formeel afdoende garanties zijn vastgelegd, zodat aangetoond kan worden dat ook bij de doorgifte aan de AVG wordt voldaan en dat aangegeven kan worden wat in verwerkersovereenkomsten en samenwerkingsovereenkomsten moet worden vastgelegd. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.09 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt hoe verantwoordelijken, conform PRIV_C.01: Intern toezicht, aantonen dat - gedurende en na de verwerking - de verwerking ten aanzien van de betrokkene behoorlijk is en hoe dit door middel van het bijhouden van een register, conform PRIV_U.02: Register van verwerkingsactiviteiten, en een dossier kan worden aangetoond. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.01.02.10 | wettelijke beginselen | Beschreven is hoe gewaarborgd wordt dat, conform PRIV_C.03: Meldplicht Datalekken, bij een inbreuk in verband met persoonsgegevens (datalek of 'personal data breach') de betrokkenen en de AP worden geïnformeerd als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen. | Privacy Beleid geeft duidelijkheid en sturing | Beleid |
| PRIV_B.02.01.01 | verdeling van de taken en verantwoordelijkheden | De eindverantwoordelijke voor een gegevensverwerking is degene die het doel en de middelen van de gegevensverwerking heeft vastgesteld; het is te allen tijde duidelijk wie deze verantwoordelijke is. | Organieke inbedding | Beleid |
| PRIV_B.02.01.02 | verdeling van de taken en verantwoordelijkheden | De verwerkingsverantwoordelijke en de verwerker hebben (de beschikking over) een Functionaris voor de Gegevensbescherming, als ten minste één van de volgende situaties aan de orde is:
| Organieke inbedding | Beleid |
| PRIV_B.02.01.03 | verdeling van de taken en verantwoordelijkheden | Bij elke uitvoering van een gegevensverwerking door een verwerker zijn de taken en afspraken om de rechtmatigheid van de gegevensverwerking te garanderen schriftelijk vastgesteld en vastgelegd in een overeenkomst. | Organieke inbedding | Beleid |
| PRIV_B.02.01.04 | verdeling van de taken en verantwoordelijkheden | De taken, verantwoordelijkheden en bevoegdheden zijn duidelijk belegd in een TVB-matrix (Taken, Verantwoordelijkheden, Bevoegdheden) waarbij ook de onderlinge relaties tussen de verschillende verantwoordelijken en verwerkers inzichtelijk zijn gemaakt. | Organieke inbedding | Beleid |
| PRIV_B.02.02.01 | benodigde middelen | Gekoppeld aan het privacybeleid voorziet de organisatie voldoende en aantoonbaar in de benodigde middelen voor de uitvoering ervan. | Organieke inbedding | Beleid |
| PRIV_B.02.03.01 | rapporteringslijnen | De rapportage- en verantwoordingslijnen tussen de betrokken verantwoordelijken, verwerkers en - indien aangesteld - de FG zijn vastgesteld en vastgelegd. | Organieke inbedding | Beleid |
| PRIV_B.03.01.01 | het beoordelen van de privacyrisico's | Wanneer waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen bestaat, in het bijzonder wanneer gelet op de aard, de omvang, de context en de doeleinden nieuwe technologieën worden gebruik, wordt voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd AVG art. 35 lid 1. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.01.02 | het beoordelen van de privacyrisico's | Wanneer een Functionaris voor de Gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies in. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.01.03 | het beoordelen van de privacyrisico's | Ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhoudt, verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de gewijzigde verwerking overeenkomstig de gegevensbeschermingseffect beoordeling (DPIA) wordt uitgevoerdAVG Art. 35 lid 11.. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.01.04 | het beoordelen van de privacyrisico's | Wanneer uit een DPIA blijkt dat de verwerking een hoog risico kan opleveren (als de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken), dan raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de AP hieroverAVG Art. 36.. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.02.01 | passende maatregelen | De maatregelen bestaan uit technische en organisatorische maatregelen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.02.02 | passende maatregelen | Passende maatregelen zijn genomen door bij het ontwerp de principes van gegevensbescherming te hanteren (privacy by design) en door het hanteren van standaardinstellingen (privacy by default)AVG Art. 25. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.02.03 | passende maatregelen | De maatregelen zijn blijvend passend door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.02.04 | passende maatregelen | De resultaten van de DPIA worden gebruikt om de organisatie (beter) bewust te maken van het van belang om aan privacy te doen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.03.01 | aantonen | Van alle verwerkingen waarop een DPIA is uitgevoerd is een DPIA-rapportage beschikbaar, waardoor bekend is welke risico's bestaan en welke maatregelen genomen (moeten) worden. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.03.02 | aantonen | Een procesbeschrijving is aanwezig voor het uitvoeren van DPIA's en voor het opvolgen van de uitkomsten. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.03.03 | aantonen | De risicomanagement aanpak wordt aantoonbaar toegepast, bijvoorbeeld door in de vorm van een plan van aanpak aantoonbaar opvolging te geven aan de aanbevelingen/verbetervoorstellen uit de DPIA's. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.03.04 | aantonen | Een tot standaard verheven DPIA toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_B.03.03.05 | aantonen | Privacy by Design en de DPIA maken onderdeel uit van een tot standaard verheven risicomanagement aanpak. | Risicomanagement, Privacy by Design en de DPIA | Beleid |
| PRIV_C.01.01.01 | evaluatie | De verantwoordelijke en - indien aangesteld - de Functionaris voor gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. | Intern toezicht | Control |
| PRIV_C.01.01.02 | evaluatie | Als blijkt dat niet voldaan wordt aan de eisen van de AVG, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. | Intern toezicht | Control |
| PRIV_C.01.01.03 | evaluatie | Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. | Intern toezicht | Control |
| PRIV_C.01.02.01 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt. | Intern toezicht | Control |
| PRIV_C.01.02.02 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). | Intern toezicht | Control |
| PRIV_C.01.02.03 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.01: Doelbinding, de verwerking ten aanzien van de betrokkene rechtmatig is. | Intern toezicht | Control |
| PRIV_C.01.02.04 | rechtmatigheid aangetoond | Bij het aantonen van de rechtmatigheid wordt gebruik gemaakt van de overeenkomsten voor de doorgiften zoals beschreven in PRIV_U.07: Doorgifte persoonsgegevens. | Intern toezicht | Control |
| PRIV_C.01.02.05 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.04: Beveiligen van de verwerking van persoonsgegevens, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). | Intern toezicht | Control |
| PRIV_C.01.02.06 | rechtmatigheid aangetoond | Aangetoond is dat, conform PRIV_U.03: Kwaliteitsmanagement, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. | Intern toezicht | Control |
| PRIV_C.01.02.07 | rechtmatigheid aangetoond | Aangetoond is dat de wijze van verwerken ten aanzien van de betrokkene 'behoorlijk' is, conform B.03: Risicomanagement, Privacy by Design en de DPIA. | Intern toezicht | Control |
| PRIV_C.01.02.08 | rechtmatigheid aangetoond | Aangetoond is dat de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is, conform PRIV_U.05: ISOR:Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens, PRIV_U.02: Register van verwerkingsactiviteiten en PRIV_C.02 Toegang gegevensverwerking voor betrokkenen. | Intern toezicht | Control |
| PRIV_C.01.02.09 | rechtmatigheid aangetoond | De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG Art. 5 lid 2. | Intern toezicht | Control |
| PRIV_C.01.02.10 | rechtmatigheid aangetoond | Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register (PRIV_U.02: Register van verwerkingsactiviteiten). | Intern toezicht | Control |
| PRIV_C.02.01.01 | informatie over de verwerking van persoonsgegevens | De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerken van hem betreffende persoonsgegevens. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.01.02 | informatie over de verwerking van persoonsgegevens | De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG Art. 15:
| Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.01.03 | informatie over de verwerking van persoonsgegevens | De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG Art. 14 lid 4. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.02.01 | tijdig | De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG Art. 12 lid 3 en 4, tenzij:
| Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.02.02 | tijdig | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
| Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.03.01 | in een passende vorm | De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG Art. 12 lid 1. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG Art. 12 lid 7. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.03.02 | in een passende vorm | De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.03.03 | in een passende vorm | Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.03.04 | in een passende vorm | Het verstrekken van de informatie en de communicatie zijn kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn. Als de verzoeken buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, dan mag de verwerkingsverantwoordelijke ofwel:
| Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.03.05 | in een passende vorm | De verantwoordelijke beschikt over gegevens ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevens worden niet behouden, verkregen of verwerkt als er geen doeleinden zijn (overeenkomstig PRIV_U.01: Doelbinding gegevensverwerking) om nog persoonsgegevens van betrokkene te verwerkenAVG Art. 11. Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.02.04.01 | specifieke uitzonderingsgrond | De verantwoordelijke verstrekt geen informatie als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG Art. 23. | Toegang gegevensverwerking voor betrokkenen | Control |
| PRIV_C.03.01.01 | meldt een datalek | Een datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is. | Meldplicht Datalekken | Control |
| PRIV_C.03.01.02 | meldt een datalek | De melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
| Meldplicht Datalekken | Control |
| PRIV_C.03.01.03 | meldt een datalek | Een datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02). | Meldplicht Datalekken | Control |
| PRIV_C.03.01.04 | meldt een datalek | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
| Meldplicht Datalekken | Control |
| PRIV_C.03.01.05 | meldt een datalek | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldplicht Datalekken | Control |
| PRIV_C.03.02.01 | gestelde termijn | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Meldplicht Datalekken | Control |
| PRIV_C.03.02.02 | gestelde termijn | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Meldplicht Datalekken | Control |
| PRIV_C.03.02.03 | gestelde termijn | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Meldplicht Datalekken | Control |
| PRIV_C.03.02.04 | gestelde termijn | De melding aan de betrokkene gebeurt onverwijld. | Meldplicht Datalekken | Control |
| PRIV_C.03.03.01 | documenteert de inbreuk | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Control |
| PRIV_C.03.03.02 | documenteert de inbreuk | De documentatie stelt de AP in staat de naleving te controleren. | Meldplicht Datalekken | Control |
| PRIV_C.03.03.03 | documenteert de inbreuk | De documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Meldplicht Datalekken | Control |
| PRIV_C.03.03.04 | documenteert de inbreuk | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87. | Meldplicht Datalekken | Control |
| PRIV_C.03.04.01 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Meldplicht Datalekken | Control |
| PRIV_C.03.04.02 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Meldplicht Datalekken | Control |
| PRIV_U.01.01.01 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensverwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG Art. 5 lid 1 en overweging 50. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.01.02 | tijdig, welbepaald en uitdrukkelijk omschreven | Van alle gegevens zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG Art. 5 lid 1b. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.01.03 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevens noodzakelijk zijn voor het doel en bij verdere verwerking of de verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verstrektAVG Art. 6 lid 4. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.01.04 | tijdig, welbepaald en uitdrukkelijk omschreven | Het doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.02.01 | doeleinden | De persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel dataminimalisatie genoemd). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.02.02 | doeleinden | De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG Art. 6 lid 1:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.02.03 | doeleinden | Persoonsgegevens moeten ten opzichte van de betrokkene behoorlijk en transparant worden verwerktAVG Art. 5.
Hiertoe moet/moeten:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.03.01 | rechtvaardiging verdere verwerking | De verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is alleen mogelijk wanneer:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.03.02 | rechtvaardiging verdere verwerking | Wanneer de verwerkingsverantwoordelijke zich een verdere verwerking voorneemt dan moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie PRIV_U.05: Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.01 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleindenUAVG Art. 22. UAVG art. 22 lid 2a is de invulling van AVG Art. 9 lid 2a. Hierbij is nagegaan of in het Unierecht of lidstatelijk is bepaald of betrokkene het verbod mag opheffen. Voorbeeld BSN: in Nederland kan een persoon niet zelf alsnog toestemming geven voor de verwerking van het BSN bij het ontbreken van een wettelijke grondslag. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.02 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedtAVG Art. 9 lid 2b. Tevens geldt hierbij dat het verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk isUAVG Art 30 lid 1 voor:
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4. NB: bij algemene maatregel van bestuur kunnen nadere regels worden gesteld (UAVG Art 30 lid 6). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.03 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te gevenUAVG art. 22 lid 2b ; AVG Art. 9 lid 2c. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.04 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking verricht wordt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrektUAVG Art. 22 lid 2c (ofwel: AVG Art. 9 lid 2d). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.05 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaaktUAVG Art. 22 lid 2d (ofwel: AVG Art. 9 lid 2e). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.06 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheidUAVG Art. 22 lid 2e (ofwel: AVG Art. 9 lid 2f). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.07 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.08 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van gegevens over gezondheid vindt niet plaats, tenzij de verwerking geschiedt doorUAVG Art. 30 lid 2:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.09 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van zorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerkerAVG Art. 9 lid 2h).
Hierbij worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verwerkingsverantwoordelijke persoonlijk gegevens verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die bevoegd zijn tot verwerking daarvanUAVG Art. 30 lid 4.
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.10 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking plaatsvindt vanuit het algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheimAVG Art. 9 lid 2i). | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.04.11 | rechtvaardiging bijzondere categorieën persoonsgegevens | De verwerking van bijzondere categorieën van persoonsgegevens vindt niet plaats, tenzij de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig AVG art. 89, lid 1, waarbijAVG Art. 9 lid 2j ; UAVG Art.24:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.05.01 | strafrechtelijke veroordelingen en strafbare feiten | Persoonsgegevens van strafrechtelijke aard mogen worden verwerktUAVG Art. 32. indien:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.05.02 | strafrechtelijke veroordelingen en strafbare feiten | Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen worden verwerktUAVG Art. 33. indien:
of:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.05.03 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
| PRIV_U.01.05.04 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
| PRIV_U.01.05.05 | strafrechtelijke veroordelingen en strafbare feiten | Doelbinding gegevensverwerking | Uitvoering | |
| PRIV_U.01.06.01 | nationaal identificerend nummer | Het bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaaldUAVG Art. 46:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.07.01 | geautomatiseerde besluitvorming | Een betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluitAVG Art. 22 lid 1:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.07.02 | geautomatiseerde besluitvorming | Indien geautomatiseerde besluitvorming plaatsvindt heeft de verwerkingsverantwoordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten AVG Art. 22 lid 2. Indien de verwerkingsverantwoordelijke geen bestuursorgaan is, dan zijn passende maatregelen in ieder geval getroffen indien het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, zijn geborgdUAVG Art. 40. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.07.03 | geautomatiseerde besluitvorming | Indien geautomatiseerde besluitvorming plaatsvindt, waarbij bijzondere categorieën persoonsgegevens worden gebruikt, dan zijn daarbij passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene getroffenAVG Art. 22 lid 3. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.08.01 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | De verwerking van bijzondere categorieën persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats voor zover deze aan de vereisen uit /04.11 voldoenUAVG Art. 24 ; AVG Art. 9 lid 2j. | Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.01.08.02 | wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang | Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maatregelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen doorAVG Art. 5 lid 1e:
| Doelbinding gegevensverwerking | Uitvoering |
| PRIV_U.02.01.01 | register | Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.01.02 | register | Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.01.03 | register | De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.01.04 | register | Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
| Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.01.05 | register | Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.01.06 | register | Het register hoeft niet te worden bijgehouden indien:
| Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.02.01 | actueel en samenhangend beeld | De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.02.02 | actueel en samenhangend beeld | Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.02.03 | actueel en samenhangend beeld | De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
| Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.02.02.04 | actueel en samenhangend beeld | Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register. | Register van verwerkingsactiviteiten | Uitvoering |
| PRIV_U.03.01.01 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke heeft de nodige maatregelen getroffen om de juistheid en nauwkeurigheid van persoonsgegevens te waarborgen.. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.01.02 | juistheid en nauwkeurigheid | De verwerkingsverantwoordelijke voert periodiek controles uit op de juiste werking van de getroffen maatregelen en brengt hierover rapportages uit aan het hogere management. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.01 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onjuiste persoonsgegevens gerectificeerdAVG Art. 16 lid 1. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.02 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene worden onvolledige persoonsgegevens vervolledigd (met inachtneming van de doeleinden van de verwerking), onder meer op basis van een aanvullende verklaring van betrokkeneAVG Art. 16 lid 1. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.03 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van de betrokkene worden de hem betreffende persoonsgegevens gewist wanneer een van de volgende gevallen van toepassing isAVG Art. 17 lid 1:
| Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.04 | gecorrigeerd, gestaakt of overgedragen | Bij bezwaar van betrokkene wordt de verwerking gestaakt, tenzij er dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvorderingAVG Art. 21 lid 1. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.05 | gecorrigeerd, gestaakt of overgedragen | Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen, dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissenAVG Art. 17 lid 2. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.06 | gecorrigeerd, gestaakt of overgedragen | Op verzoek van betrokkene wordt de verwerking beperkt, indien:
| Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.07 | gecorrigeerd, gestaakt of overgedragen | De betrokkene heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrektAVG Art. 20, als de verwerking berust op:
en geldt niet als:
| Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.02.08 | gecorrigeerd, gestaakt of overgedragen | De betrokkene kan de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere laten overdragen indien PRIV_U.03.02.07: Recht op ongehinderde overdracht van gegevens' geldt en dit technisch mogelijk is. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.01 | geïnformeerd | De verwerkingsverantwoordelijke stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie, gegevenswissing of verwerkingsbeperking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoektAVG Art. 19. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.02 | geïnformeerd | Kwaliteitsmanagement | ||
| PRIV_U.03.03.03 | geïnformeerd | De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het correctieverzoek informatie over het gevolg dat aan het verzoek is gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.04 | geïnformeerd | Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt; tenzij de betrokkene anderszins verzoektAVG Art. 12 lid 3. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.05 | geïnformeerd | De verwerkingsverantwoordelijke reageert schriftelijk of met andere middelen; indien passend met elektronische middelen. Als de betrokkene daarom verzoekt kan de informatie, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is, mondeling worden meegedeeldAVG Art. 12 lid 1. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.06 | geïnformeerd | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 12 lid 4. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.03.03.07 | geïnformeerd | Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheid om een klacht in te dienen bij de AP en beroep bij de rechter in te stellenAVG Art. 11 en 12; zie ook AVG overweging 57. | Kwaliteitsmanagement | Uitvoering |
| PRIV_U.04.01.01 | technische en organisatorische maatregelen | De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de toegang beperkt is tot diegenen die toegang moeten hebben voor het uitvoeren van hun functie of taken of tot diegenen die daartoe wettelijk zijn gehoudenAVG Art. 32 lid 3. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.04.01.02 | technische en organisatorische maatregelen | Persoonsgegevens zijn fysiek beveiligd tegen diefstal en ongewenste toegang:
| Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.04.01.03 | technische en organisatorische maatregelen | Persoonsgegevens zijn organisatorisch beveiligd door middel van maatregelen voor de inrichting van de organisatie, welke zijn opgenomen in een informatiebeveiligingsplan. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.04.01.04 | technische en organisatorische maatregelen | De maatregelen waarborgen een passend beveiligingsniveau en bevatten onder meerAVG Art. 32; dit is 'het informatiebeveiligingsartikel': | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.04.02.01 | De technische, organisatorische en fysieke beveiligingsmaatregelen bieden voor alle verwerkingen van persoonsgegevens een passend beschermingsniveau en dit kan worden aangetoond. De maatregelen zijn daartoe proportioneel en subsidiair. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering | |
| PRIV_U.04.02.02 | een passend beveiligingsniveau | De beveiligingsmaatregelen zijn gebaseerd op een analyse van het verwerkingsrisico (risicoanalyse). Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met verwerkingsrisico's als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatigAVG Art. 32 lid 2. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.04.02.03 | een passend beveiligingsniveau | Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurde certificering kan worden gebruikt om aan te tonen dat de maatregelen passend zijn. | Beveiligen van de verwerking van persoonsgegevens | Uitvoering |
| PRIV_U.05.01.01 | tijdig | De toestemming van de betrokkene wordt verkregen voorafgaand aan de verwerkingAVG Art. 6 lid 1, het doorgeven aan derden en het verder verwerkenAVG Art. 14 lid 3. Dit geldt voor persoonsgegevens die via betrokkenen of anderen worden of zijn verkregen. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.01.02 | tijdig | InformatieBetekenisvolle gegevens. over de niet van betrokkene verkregen persoonsgegevens wordt binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens aan betrokkene verstrektAVG Art. 14 lid 3. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.02.01 | informatie | Het verzoek om toestemming wordt in een begrijpelijke en gemakkelijk toegankelijke vorm opgesteld, in duidelijke en eenvoudige taal zodanig dat precies duidelijk is waarvoor betrokkene toestemming geeft en zodanig dat een duidelijk onderscheid kan worden gemaakt van andere aangelegenheden waarvoor eventueel ook toestemming wordt gevraagdAVG Art. 7 lid 2. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.02.02 | informatie | Wanneer persoonsgegevens bij de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 13:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.02.03 | informatie | Wanneer persoonsgegevens bij een ander dan de betrokkene worden verzameld, ontvangt de betrokkene de volgende informatieAVG Art. 7:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.03.01 | uitzondering | De verplichting tot het verstrekken van informatie geldt niet, indien:
| Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.04.01 | toestemming | De toestemming moet door de betrokkene vrijelijk gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat kunnen worden. Bij de beoordeling of dit vrijelijk gebeurt, is gekeken of de verwerking noodzakelijk is voor de uitvoering van een met de betrokkene overeengekomen overeenkomstAVG Art. 14 lid 4. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.05.04.02 | toestemming | Bij aanbieden van een dienst aan een kind en het kind is jonger dan 16 jaar, dan is de toestemming of machtiging tot toestemming verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagtAVG Art. 8. | Informatieverstrekking aan betrokkene bij verzameling persoonsgegevens | Uitvoering |
| PRIV_U.06.01.01 | nodige maatregelen | Als de bewaartermijnen verlopen, zijn de gegevens verwijderd, vernietigd of geanonimiseerd. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.06.01.02 | nodige maatregelen | De verantwoordelijke bepaalt na elke verwerking van persoonsgegevens of er nog redenen zijn om de betreffende persoonsgegevens te bewaren. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.06.02.01 | bewaartermijn | Van alle persoonsgegevens is de bewaartermijn vastgesteld en bekrachtigd. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.06.02.02 | bewaartermijn | De bewaartermijn is de maximale periode waarin de persoonsgegevens noodzakelijk worden bewaard om het doel van de verwerking te bereiken of niet langer dan de termijn die verankerd is in sectorspecifieke wetgevingAVG Art. 5 lid 1e. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.06.02.03 | bewaartermijn | Als in sectorspecifieke wetgeving een bewaartermijn is vastgelegd voor specifieke persoonsgegevens, dan geldt die bewaartermijn. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.06.02.04 | bewaartermijn | Wanneer persoonsgegevens voor langere perioden worden opgeslagen, dan worden ze louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden verwerktAVG art. 5 lid 1e en zijn voor de rechten en vrijheden van de betrokkene ("opslagbeperking") passende waarborgen getroffen in overeenstemming met de AVGAVG art. 89 lid 1. | Bewaren van persoonsgegevens | Uitvoering |
| PRIV_U.07.01.01 | onderlinge verantwoordelijkheden | Bij doorgifte aan een andere verantwoordelijke zijn:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.02.01 | afdoende garanties | De verwerking door een verwerker is in een overeenkomst of andere rechtshandeling vastgelegdAVG Art. 28 lid 2, met daarin:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.02.02 | afdoende garanties | In de overeenkomst of andere rechtshandeling met de verwerker is bepaald dat:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.02.03 | afdoende garanties | De overeenkomst of de rechtshandeling is in schriftelijke vorm, waaronder elektronische vorm, opgesteld. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.03.01 | vertegenwoordiger | Als een verwerkingsverantwoordelijke of verwerker niet in de EU is gevestigd, dan is door de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de EU aangewezen, tenzij:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.03.02 | vertegenwoordiger | De verwerking door een verwerker vindt alleen plaats als een verwerkingsverantwoordelijke afdoende garanties heeft over het toepassen van passende technische en organisatorische maatregelen bieden, (zie PRIV_B.03: Risicomanagement, Privacy by Design en de DPIA), door de verwerker. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.03.03 | vertegenwoordiger | Een verwerker laat een verwerking pas door een andere verwerker uitvoeren als voorafgaand een specifieke of algemene schriftelijke toestemming is van de verwerkingsverantwoordelijkeAVG Art. 28 lid 1. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.04.01 | uitzonderingsgrond | De verwerking vindt niet plaats als er een rechterlijke uitspraak of een besluit van een administratieve autoriteit is van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken en waarbij dit niet erkend of afdwingbaar is gemaakt dat dit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde landen en de EU of een lidstaatAVG Art. 48. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.04.02 | uitzonderingsgrond | De doorgifte kan worden beperkt als in de wet- en regelgeving of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.05.01 | adequaatheidsbesluit | Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land, of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgdAVG Art. 45. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.06.01 | passende waarborgen | Wanneer door de Europese commissie geen adequaatheidsbesluit is genomen, dan zijn passende waarborgen geboden doordat erAVG Art. 46:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.06.02 | passende waarborgen | Als bindende bedrijfsvoorschriften worden gebruikt om passende waarborgen te bieden, dan:
| Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.06.03 | passende waarborgen | Wanneer de verwerking niet had mogen plaatsvinden, dan wordt door de verwerkings¬verantwoordelijke de doorgifte beëindigd en de AP en de betrokkenen hierover geïnformeerdAVG art. 49.. | Doorgifte persoonsgegevens | Uitvoering |
| PRIV_U.07.07.01 | afwijking voor een specifieke situatie | De doorgifte mag ook plaatsvinden alsAVG Art. 49:
| Doorgifte persoonsgegevens | Uitvoering |
| SERV_B.01.01 | regels | De gangbare principes rondom Security by design zijn uitgangspunt voor het onderhouden van servers. | Beleid voor beveiligde inrichting en onderhoud | Beleid |
| SERV_B.01.02 | regels | In het beleid voor beveiligd inrichten en onderhouden zijn de volgende aspecten in overweging genomen:
| Beleid voor beveiligde inrichting en onderhoud | Beleid |
| SERV_B.02.01 | principes | De gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers. | Principes voor inrichten van beveiligde servers | Beleid |
| SERV_B.02.02 | principes | Voor het beveiligd inrichten van servers zijn de volgende beveiligingsprincipes van belang:
| Principes voor inrichten van beveiligde servers | Beleid |
| SERV_B.03.01 | architectuurdocument | Van het in te richten serverplatform is een actueel architectuurdocument opgesteld; het document:
| Serverplatform architectuur | Beleid |
| SERV_B.03.02 | architectuurdocument | In het architectuurdocument is vastgelegd welke uitgangspunten, principes, beveiligingsvoorschriften, eisen en overwegingen gelden voor het inrichten van servers platformen. | Serverplatform architectuur | Beleid |
| SERV_C.01.01 | richtlijnen | De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. | Evaluatie richtlijnen servers en besturingssystemen | Control |
| SERV_C.01.02 | richtlijnen | De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. | Evaluatie richtlijnen servers en besturingssystemen | Control |
| SERV_C.01.03 | richtlijnen | De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. | Evaluatie richtlijnen servers en besturingssystemen | Control |
| SERV_C.01.04 | richtlijnen | De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. | Evaluatie richtlijnen servers en besturingssystemen | Control |
| SERV_C.02.01 | naleving | Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. | Beoordeling technische serveromgeving | Control |
| SERV_C.02.02 | naleving | Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. | Beoordeling technische serveromgeving | Control |
| SERV_C.02.03 | naleving | De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. | Beoordeling technische serveromgeving | Control |
| SERV_C.02.04 | naleving | Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. | Beoordeling technische serveromgeving | Control |
| SERV_C.03.01 | logbestanden | De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
| SERV_C.03.02 | logbestanden | Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. | Beheerderactiviteiten vastgelegd in logbestanden | Control |
| SERV_C.04.01 | logbestanden | Logbestanden van gebeurtenissen bevatten, voor zover relevant:
| Registratie gebeurtenissen | Control |
| SERV_C.05.01 | reviewt/analyseert | De verantwoordelijke functionaris analyseert periodiek:
De verantwoordelijke functionaris analyseert periodiek:
| Monitoren van serverplatforms | Control |
| SERV_C.05.02 | reviewt/analyseert | De verzamelde loginformatie wordt in samenhang geanalyseerd. | Monitoren van serverplatforms | Control |
| SERV_C.05.03 | reviewt/analyseert | Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. | Monitoren van serverplatforms | Control |
| SERV_C.05.04 | reviewt/analyseert | De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. | Monitoren van serverplatforms | Control |
| SERV_C.05.05 | rapporteren | De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. | Monitoren van serverplatforms | Control |
| SERV_C.05.06 | rapporteren | De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. | Monitoren van serverplatforms | Control |
| SERV_C.06.01 | beveiligingsfunctionaris | De beveiligingsfunctionaris zorgt o.a. voor:
| Beheerorganisatie serverplatforms | Control |
| SERV_C.06.02 | beveiligingsbeleid | Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
| Beheerorganisatie serverplatforms | Control |
| SERV_U.01.01 | bedieningsprocedures | Voor bedieningsactiviteiten die samenhangen met informatieverwerking en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, zijn gedocumenteerde procedures opgesteld. | Bedieningsprocedures | Uitvoering |
| SERV_U.01.02 | bedieningsprocedures | Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door hoger management goedgekeurd. | Bedieningsprocedures | Uitvoering |
| SERV_U.01.03 | bedieningsprocedures | In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:
| Bedieningsprocedures | Uitvoering |
| SERV_U.02.01 | standaarden | De documentatie conform de standaarden omvat:
| Standaarden voor configuratie van servers | Uitvoering |
| SERV_U.03.01 | preventie | Een formeel beleid wordt toegepast waarin het gebruik van ongeautoriseerde gebruik van software is verboden. | Malwareprotectie | Uitvoering |
| SERV_U.03.02 | preventie | Procedures zijn beschreven en verantwoordelijkheden benoemd voor de bescherming tegen malware. | Malwareprotectie | Uitvoering |
| SERV_U.03.03 | preventie | Severs zijn voorzien van (up-to-date) software die malware opspoort en daartegen beschermt. | Malwareprotectie | Uitvoering |
| SERV_U.03.04 | preventie | Gebruikers zijn voorgelicht over de risico's ten aanzien van surfgedrag en het klikken op onbekende links. | Malwareprotectie | Uitvoering |
| SERV_U.03.05 | preventie | Het downloaden van bestanden is beheerst en beperkt op basis van een risicoanalyse en van het principe "need-of-use". | Malwareprotectie | Uitvoering |
| SERV_U.03.06 | detectie | Servers en hiervoor gebruikte media worden als voorzorgsmaatregel routinematig gescand op malware. De uitgevoerde scan omvat alle bestanden die op de server zijn opgeslagen. | Malwareprotectie | Uitvoering |
| SERV_U.03.07 | detectie | De malware scan wordt op alle omgevingen uitgevoerd. | Malwareprotectie | Uitvoering |
| SERV_U.03.08 | herstel | Software die malware opspoort en bijbehorende herstelsoftware zijn geïnstalleerd en worden regelmatig geüpdate. | Malwareprotectie | Uitvoering |
| SERV_U.04.01 | technische serverkwetsbaarheden | Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidwaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen. | Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.02 | technische serverkwetsbaarheden | Voor een doeltreffende kwetsbaarhedenanalyse van serverplatform en servers is informatie aanwezig over beschikbaarheid van:
| Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.03 | technische serverkwetsbaarheden | Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen, zijn:
| Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.04 | technische serverkwetsbaarheden | Met betrekking tot de technische kwetsbaarheden zijn voor een doeltreffend beheerproces, de activiteiten afgestemd op het incident. | Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.05 | technische serverkwetsbaarheden | Het proces Kwetsbaarhedenbeheer wordt uitgevoerd ten behoeve van:
| Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.06 | technische serverkwetsbaarheden | Technische kwetsbaarheden worden via de processen 'Patch management en of Wijzigingsbeheer' hersteld. | Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.04.07 | geëvalueerd | Het kwetsbaarheden beheerproces wordt regelmatig gemonitord en geëvalueerd. | Beheer van serverkwetsbaarheden | Uitvoering |
| SERV_U.05.01 | procesmatig | Het patchmanagement proces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. | Patchmanagement | Uitvoering |
| SERV_U.05.02 | procesmatig | Een technisch mechanisme zorgt voor (semi-) automatische updates. | Patchmanagement | Uitvoering |
| SERV_U.05.03 | procesmatig | Configuratiebeheer geeft het inzicht op basis waarvan de servers worden gepatcht. | Patchmanagement | Uitvoering |
| SERV_U.05.04 | procesmatig | Het Patchmanagement proces bevat methoden om:
| Patchmanagement | Uitvoering |
| SERV_U.05.05 | procedureel | De patchmanagement procedure is actueel en beschikbaar. | Patchmanagement | Uitvoering |
| SERV_U.05.06 | procedureel | De rollen en verantwoordelijkheden voor patchmanagement zijn vastgesteld. | Patchmanagement | Uitvoering |
| SERV_U.05.07 | procedureel | De volgende aspecten van een patch worden geregistreerd:
de beschikbare patches;
| Patchmanagement | Uitvoering |
| SERV_U.05.08 | richtlijnen | Ter ondersteuning van de patchactiviteiten is op het juiste (organisatorische) niveau een opgestelde patchrichtlijn vastgesteld en geaccordeerd. | Patchmanagement | Uitvoering |
| SERV_U.05.09 | richtlijnen | Alleen beschikbare patches van een legitieme (geautoriseerde) bron mogen worden geïmplementeerd. | Patchmanagement | Uitvoering |
| SERV_U.05.10 | richtlijnen | De risico's die verbonden zijn aan het installeren van de patch worden beoordeeld (de risico's die worden gevormd door de kwetsbaarheid worden vergeleken met risico's als gevolg van het installeren van de patch. | Patchmanagement | Uitvoering |
| SERV_U.05.11 | richtlijnen | Wanneer voor een gepubliceerde technische kwetsbaarheid geen patch beschikbaar is, worden andere beheersmaatregelen overwogen, zoals:
| Patchmanagement | Uitvoering |
| SERV_U.06.01 | richtlijnen | Toegang tot kritieke systemen voor beheer op afstand door externe personen wordt beheerd door middel van:
| Beheer op afstand | Uitvoering |
| SERV_U.06.02 | richtlijnen | Het op afstand onderhouden van servers wordt strikt beheerd door middel van:
| Beheer op afstand | Uitvoering |
| SERV_U.06.03 | richtlijnen | Het serverplatform is zodanig ingericht, dat deze op afstand kan worden geconfigureerd en beheerd en dat automatisch kan worden gecontroleerd of vooraf gedefinieerde parameters en drempelwaarden worden aangetast of overschreden. | Beheer op afstand | Uitvoering |
| SERV_U.06.04 | richtlijnen | Handmatige interventie wordt niet toegepast, tenzij geautoriseerd en gedocumenteerd. | Beheer op afstand | Uitvoering |
| SERV_U.06.05 | richtlijnen | Alle externe toegang tot servers vindt versleuteld plaats. | Beheer op afstand | Uitvoering |
| SERV_U.07.01 | onderhouden | Het onderhoud van servers wordt uitgevoerd op basis van richtlijnen die invulling geven aan de volgende eisen:
| Onderhoud van servers | Uitvoering |
| SERV_U.08.01 | opslagmedia | de server(s):
| Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
| SERV_U.08.02 | geverifieerd | Voorafgaand aan verwijdering of hergebruik wordt gecontroleerd of de server opslagmedia bevat en of de informatie is vernietigd. | Veilig verwijderen of hergebruiken van serverapparatuur | Uitvoering |
| SERV_U.09.01 | functies | Servers zijn zodanig geconfigureerd dat onderstaande functies zijn verwijderd of uitgeschakeld:
| Hardenen van servers | Uitvoering |
| SERV_U.09.02 | functies | Servers zijn zodanig geconfigureerd dat gebruik van onderstaande functies wordt beperkt:
| Hardenen van servers | Uitvoering |
| SERV_U.09.03 | toegang | Servers worden beschermd tegen ongeoorloofde toegang doordat:
| Hardenen van servers | Uitvoering |
| SERV_U.10.01 | geconfigureerd | De Servers zijn geconfigureerd in overeenstemming met gedocumenteerde standaarden/procedures en welke betrekking hebben op:
| Serverconfiguratie | Uitvoering |
| SERV_U.10.02 | geconfigureerd | De servers zijn geconfigureerd in overeenstemming met een gestandaardiseerde en vooraf bepaald serverimage. | Serverconfiguratie | Uitvoering |
| SERV_U.10.03 | ongeautoriseerd | Toegang tot server parameterinstellingen en krachtige beheerinstrumenten is: | Serverconfiguratie | Uitvoering |
| SERV_U.11.01 | fysieke servers | Fysieke servers worden gebruikt om virtuele servers te hosten en worden beschermd tegen:
| Beveiliging Virtueel serverplatform | Uitvoering |
| SERV_U.11.02 | hypervisors | Hypervisors worden geconfigureerd om:
| Beveiliging Virtueel serverplatform | Uitvoering |
| SERV_U.11.03 | virtuele servers | Virtuele servers worden ingezet, geconfigureerd en onderhouden conform standaarden en procedures, die de bescherming omvat van:
| Beveiliging Virtueel serverplatform | Uitvoering |
| SERV_U.11.04 | virtuele servers | Virtuele servers worden beschermd met standaard beveiligingsmechanismen op hypervisors, waaronder:
| Beveiliging Virtueel serverplatform | Uitvoering |
| SERV_U.12.01 | regels | Gebruikers (beheerders) kunnen op hun werkomgeving niets zelf installeren, anders dan via de ICT-leverancier wordt aangeboden of wordt toegestaan (white-list). | Beperking van software-installatie | Uitvoering |
| SERV_U.12.02 | regels | De organisatie past een strikt beleid toe ten aanzien van het installeren en gebruiken van software. | Beperking van software-installatie | Uitvoering |
| SERV_U.12.03 | regels | Het principe van least-privilege wordt toegepast. | Beperking van software-installatie | Uitvoering |
| SERV_U.12.04 | regels | De rechten van beheerders worden verleend op basis van rollen. | Beperking van software-installatie | Uitvoering |
| SERV_U.13.01 | gedocumenteerd | De systemen zijn met een standaard referentietijd voor gebruik geconfigureerd, zodanig dat gebruik gemaakt wordt van een consistente en vertrouwde datum- en tijdbron en dat gebeurtenislogboeken nauwkeurige tijdstempels gebruiken. | Kloksynchronisatie | Uitvoering |
| SERV_U.13.02 | gesynchroniseerd | De interne en externe eisen voor weergave, synchronisatie en nauwkeurigheid van tijd en de aanpak van de organisatie om een referentietijd op basis van externe bron(nen) te verkrijgen en hoe de interne klokken betrouwbaar te synchroniseren zijn gedocumenteerd. | Kloksynchronisatie | Uitvoering |
| TVZ_B.01.01 | toegangbeveiligingbeleid | Het toegangvoorzieningsbeleid:
| Toegangsbeveiligingsbeleid | Beleid |
| TVZ_B.01.02 | bedrijfseisen | Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. | Toegangsbeveiligingsbeleid | Beleid |
| TVZ_B.01.03 | bedrijfseisen | Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisatie. | Toegangsbeveiligingsbeleid | Beleid |
| TVZ_B.01.04 | toegangbeveiligingbeleid | Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes. | Toegangsbeveiligingsbeleid | Beleid |
| TVZ_B.01.05 | informatiebeveiligingseisen | Autorisatiebeheer is procesmatig ingericht (zoals aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). | Toegangsbeveiligingsbeleid | Beleid |
| TVZ_B.02.01 | eigenaarschap | Het eigenaarschap van bedrijfsmiddelen is toegekend aan specifieke functionarissen (bijvoorbeeld business manager). | Eigenaarschap bedrijfsmiddelen | Beleid |
| TVZ_B.02.02 | eigenaarschap | De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem. | Eigenaarschap bedrijfsmiddelen | Beleid |
| TVZ_B.02.03 | verantwoordelijkheden voor logische bedrijfsmiddelen | De eigenaar is verantwoordelijk voor:
| Eigenaarschap bedrijfsmiddelen | Beleid |
| TVZ_B.02.04 | verantwoordelijkheden voor fysieke bedrijfsmiddelen | De eigenaar is verantwoordelijk voor:
| Eigenaarschap bedrijfsmiddelen | Beleid |
| TVZ_B.03.01 | beveiligingsfunctie | De rollen binnen de beveiligingsfunctie moeten zijn benoemd en de taken en verantwoordelijkheden vastgelegd, zoals: HRM, proceseigenaar, autorisatiebeheerder, CISO en beveiligingsambtenaar (BVA). | Beveiligingsfunctie | Beleid |
| TVZ_B.03.02 | beveiligingsfunctie | De functionarissen binnen de beveiligingsfunctie moeten periodiek het toegangbeveiligingssysteem (laten) evalueren inclusief de implicatie van business initiatieven voor het toegangbeveiligingssysteem. | Beveiligingsfunctie | Beleid |
| TVZ_B.04.01 | authenticatie-informatie | Authenticatie-informatie wordt beschermd door middel van versleuteling. | Cryptografie | Beleid |
| TVZ_B.04.02 | cryptografische beheersmaatregelen | Het cryptografiebeleid stelt eisen ten aanzien van:
| Cryptografie | Beleid |
| TVZ_B.05.01 | organisatorische positie | De beveiligingsorganisatie heeft een formele positie binnen de gehele organisatie. | Beveiligingsorganisatie | Beleid |
| TVZ_B.05.02 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beveiligingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beveiligingsorganisatie | Beleid |
| TVZ_B.05.03 | taken verantwoordelijkheden en bevoegdheden | De organisatie heeft de verantwoordelijkheden voor het definiëren, coördineren en evalueren van de beveiligingsorganisatie beschreven en toegewezen aan specifieke functionarissen. | Beveiligingsorganisatie | Beleid |
| TVZ_B.05.04 | taken verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beveiligingsorganisatie | Beleid |
| TVZ_B.05.05 | rapportagelijnen | De verantwoordings- en rapporteringslijnen tussen de betrokken functionarissen zijn vastgesteld. | Beveiligingsorganisatie | Beleid |
| TVZ_B.05.06 | rapportagelijnen | De frequentie en de eisen voor de inhoudelijke rapportages zijn vastgesteld. | Beveiligingsorganisatie | Beleid |
| TVZ_B.06.01 | technische inrichting | De technische inrichting van de toegangsbeveiliging is op basis van de organisatorische eisen vormgegeven aangaande:
| Toegangsbeveiligingsarchitectuur | Beleid |
| TVZ_B.06.02 | toegangbeveiligingsarchitectuur | De inrichting van het identiteits- en toegangsbeheer is vastgelegd in een toegangbeveiligingsarchitectuur. | Toegangsbeveiligingsarchitectuur | Beleid |
| TVZ_C.01.01 | procedures | De organisatie beschikt over procedures voor het controleren van toegangbeveiligingssystemen en registraties (log-data). | Beoordelingsrichtlijnen en procedures | Control |
| TVZ_C.01.02 | procedures | De organisatie beschikt over een beschrijving van de relevante controleprocessen. | Beoordelingsrichtlijnen en procedures | Control |
| TVZ_C.01.03 | procedures | De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht, zoals registratie, statusmeting, bewaking (monitoring), analyse, rapportage en evaluatie. | Beoordelingsrichtlijnen en procedures | Control |
| TVZ_C.01.04 | procedures | De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moeten worden om de juiste acties te laten initiëren. | Beoordelingsrichtlijnen en procedures | Control |
| TVZ_C.02.01 | toegangsrechten | Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.02 | toegangsrechten | Toegangsrechten van gebruikers worden na wijzigingen en functieveranderingen beoordeeld. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.03 | toegangsrechten | Autorisaties voor speciale toegangsrechten worden frequenter beoordeeld. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.04 | toegangsrechten | De beoordelingsrapportage bevat verbetervoorstellen en wordt gecommuniceerd met de verantwoordelijken/eigenaren van de systemen waarin kwetsbaarheden en zwakheden zijn gevonden. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.05 | log-bestanden | De opvolging van bevindingen is gedocumenteerd. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.06 | beoordelen | Het beoordelen vind plaats op basis van een formeel proces, zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. | Beoordeling toegangsrechten | Control |
| TVZ_C.02.07 | beoordelen | Een functionaris is verantwoordelijke voor het controleren van de organisatorische en de technische inrichting van toegangsbeveiliging. | Beoordeling toegangsrechten | Control |
| TVZ_C.03.01 | log-bestanden | Een log-regel bevat de vereiste gegevens (zoals: afleidbaarheid naar natuurlijke persoon, de gebeurtenis, identiteit van het werkstation of de locatie, handelingen, datum en tijdstip). | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.02 | log-bestanden | Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers enz.). | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.03 | gebruikersactiviteiten | De informatie verwerkende omgeving wordt door detectievoorzieningen bewaakt met behulp van een SIEM en/of SOC, die wordt ingezet op basis van een risico-inschatting en van de aard van de te beschermen gegevens en informatiesystemen zodat aanvallen kunnen worden gedetecteerd. | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.04 | bewaard | Nieuw ontdekte dreigingen (aanvallen) worden binnen geldende juridische kaders gedeeld binnen de overheid door (geautomatiseerde) threat-intelligence-sharing mechanismen. | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.05 | bewaard | De SIEM en/of SOC hebben heldere regels over wanneer een incident aan het verantwoordelijke management moet worden gerapporteerd. | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.06 | bewaard | Bij het verwerken van persoonsgegevens wordt, conform het gestelde in de AVG, een verwerkingsactiviteitenregister bijgehouden. | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.03.07 | beoordeeld | De logbestanden worden gedurende een overeengekomen periode bewaard ten behoeve van toekomstig onderzoek en toegangscontrole. | Gebeurtenissen registreren (logging en monitoring) | Control |
| TVZ_C.04.01 | processtructuur | De samenhang van de processen wordt door middel van een processtructuur vastgelegd. | Beheersorganisatie toegangsbeveiliging | Control |
| TVZ_C.04.02 | functionarissen | De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. | Beheersorganisatie toegangsbeveiliging | Control |
| TVZ_C.04.03 | taken verantwoordelijkheden en bevoegdheden | De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. | Beheersorganisatie toegangsbeveiliging | Control |
| TVZ_U.01.01 | formele registratie en afmeldprocedure | Er is een sluitende formele registratie- en afmeldprocedure voor alle gebruikers (van eerste registratie tot en met de beëindiging). | Registratieprocedure | Uitvoering |
| TVZ_U.01.02 | Formele registratie en afmeldprocedure | Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. | Registratieprocedure | Uitvoering |
| TVZ_U.01.03 | formele registratie en afmeldprocedure | De aanvraag van autorisaties op het gebruik van informatiesystemen en de toegewezen autorisatieniveaus worden gecontroleerd. | Registratieprocedure | Uitvoering |
| TVZ_U.01.04 | toegangsrechten | Gebruikers worden op basis van juiste functierollen (en autorisatieprofielen) geautoriseerd voor het gebruik van applicaties (need-to-know en need-to-have principes). | Registratieprocedure | Uitvoering |
| TVZ_U.01.05 | toegangsrechten | Een bevoegdhedenmatrix is beschikbaar, op basis waarvan gebruikers slechts die object- en/of systeemprivileges toegekend krijgen, die zij nodig hebben voor de uitoefening van hun taken. | Registratieprocedure | Uitvoering |
| TVZ_U.02.01 | gebruikers toegangverleningsprocedure | Toegang tot informatiesystemen wordt uitsluitend verleend na autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen door een bevoegde functionaris. | Toegangsverleningsprocedure | Uitvoering |
| TVZ_U.02.02 | gebruikers toegangverleningsprocedure | Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Toegangsverleningsprocedure | Uitvoering |
| TVZ_U.02.03 | gebruikers toegangverleningsprocedure | Een actueel mandaatregister is aanwezig, waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten dan wel van functieprofielen. | Toegangsverleningsprocedure | Uitvoering |
| TVZ_U.03.01 | beveiligde inlogprocedure | Als vanuit een niet-vertrouwde zone toegang wordt verleend naar een vertrouwde zone, dan gebeurt dit minimaal op basis van 2-factor authenticatie. | Inlogprocedures | Uitvoering |
| TVZ_U.03.02 | beveiligde inlogprocedure | Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. | Inlogprocedures | Uitvoering |
| TVZ_U.03.03 | beveiligde inlogprocedure | De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een wijzigingsvoorstel (call) blijkt hoe de rechten zijn toegekend. | Inlogprocedures | Uitvoering |
| TVZ_U.04.01 | formeel autorisatieproces | Er is een formeel proces voor het aanvragen, verwerken, intrekken (of aanpassen), verwijderen en archiveren van autorisaties. | Autorisatieproces | Uitvoering |
| TVZ_U.04.02 | formeel autorisatieproces | Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een hiertoe bevoegde functionaris. | Autorisatieproces | Uitvoering |
| TVZ_U.04.03 | formeel autorisatieproces | De activiteiten met betrekking tot het aanvragen, verwerken en afmelden van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. | Autorisatieproces | Uitvoering |
| TVZ_U.04.04 | toegangsrechten | Bij beëindigen van het dienstverband worden de toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken. | Autorisatieproces | Uitvoering |
| TVZ_U.04.05 | toegangsrechten | Wijzigingen in het dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. | Autorisatieproces | Uitvoering |
| TVZ_U.04.06 | toegangsrechten | Toegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt, afhankelijk van risicofactoren. | Autorisatieproces | Uitvoering |
| TVZ_U.05.01 | sterke wachtwoorden | Als geen gebruik wordt gemaakt van 2-factor authenticatie, dan:
| Wachtwoordbeheer | Uitvoering |
| TVZ_U.05.02 | sterke wachtwoorden | In situaties waar geen 2-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd. | Wachtwoordbeheer | Uitvoering |
| TVZ_U.06.01 | toewijzen | Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico-afweging, richtlijnen en procedures. | Speciale toegangsrechtenbeheer | Uitvoering |
| TVZ_U.06.02 | speciale toegangsrechten | Gebruikers hebben toegang tot speciale toegangsrechten voor zover dat voor de uitoefening van hun taak noodzakelijk is (need-to-know en need-to-use). | Speciale toegangsrechtenbeheer | Uitvoering |
| TVZ_U.06.03 | beheerst | Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld. | Speciale toegangsrechtenbeheer | Uitvoering |
| TVZ_U.07.01 | gescheiden | Op basis van risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. | Functiescheiding | Uitvoering |
| TVZ_U.07.02 | gescheiden | Rollen, taken en verantwoordelijkheden zijn vastgesteld conform gewenste functiescheidingen. | Functiescheiding | Uitvoering |
| TVZ_U.07.03 | taken | Een scheiding is aangebracht tussen beheertaken en overige (gebruiks-)taken. | Functiescheiding | Uitvoering |
| TVZ_U.07.04 | verantwoordelijkheden | Verantwoordelijkheden voor beheer en wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig zijn toegewezen aan één specifieke (beheerders)rol. | Functiescheiding | Uitvoering |
| TVZ_U.07.05 | onbedoeld | Maatregelen zijn getroffen waarmee onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen wordt waargenomen en/of wordt voorkomen. | Functiescheiding | Uitvoering |
| TVZ_U.08.01 | authenticatie-informatie | Elke gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem wordt geïdentificeerd op basis van een identificatiecode. | Geheime authenticatie-informatie | Uitvoering |
| TVZ_U.08.02 | authenticatie-informatie | Bij uitgifte van authenticatiemiddelen worden minimaal de identiteit en het feit dat de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem recht heeft op het authenticatiemiddel vastgesteld. | Geheime authenticatie-informatie | Uitvoering |
| TVZ_U.08.03 | beheersproces | Een onderdeel van de arbeidsvoorwaarden is een verplichte verklaring van gebruikers waarin zij verklaren persoonlijke geheime authenticatie-informatie geheim te houden. | Geheime authenticatie-informatie | Uitvoering |
| TVZ_U.08.04 | beheersproces | Geheime authenticatie-informatie is uniek toegekend aan een persoon en voldoet aan een specifieke (niet gemakkelijk te raden) samenstelling van tekens. | Geheime authenticatie-informatie | Uitvoering |
| TVZ_U.09.01 | informatie | Gebruikers kunnen alleen die informatie inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. | Autorisatie | Uitvoering |
| TVZ_U.09.02 | systeemfuncties | Beheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen. | Autorisatie | Uitvoering |
| TVZ_U.09.03 | toegangbeveiligingsbeleid | Het toegangsbeveiligingsbeleid geeft onder andere aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. | Autorisatie | Uitvoering |
| TVZ_U.09.04 | toegangbeveiligingsbeleid | Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. | Autorisatie | Uitvoering |
| TVZ_U.10.01 | autorisatievoorzieningen | Door een verantwoordelijke is formeel vastgesteld welke ondersteunende middelen worden ingezet binnen het proces autorisatiebeheer. | Autorisatievoorzieningen | Uitvoering |
| TVZ_U.10.02 | personeelsregistratiesysteem | Alle interne en externe gebruikers worden vóór de toegang tot de applicatie-omgeving opgenomen in het personeelsinformatiesysteem. | Autorisatievoorzieningen | Uitvoering |
| TVZ_U.10.03 | autorisatiebeheer systeem | Alle natuurlijke personen die gebruik maken van applicaties worden geregistreerd. | Autorisatievoorzieningen | Uitvoering |
| TVZ_U.10.04 | autorisatiefaciliteiten | Iedere applicatie die valt onder het autorisatiebeheerproces heeft functionaliteit om autorisaties toe te kennen, in te zien en te beheren. | Autorisatievoorzieningen | Uitvoering |
| TVZ_U.11.01 | beveiligde gebieden | Toegang tot beveiligingszones of gebouwen waar zich resources bevinden, is slechts toegankelijk voor personen die hiertoe geautoriseerd zijn. | Fysieke toegangsbeveiliging | Uitvoering |
| TVZ_U.11.02 | passende toegangsbeveiliging | Aankomst- en vertrektijden van bezoekers worden geregistreerd. | Fysieke toegangsbeveiliging | Uitvoering |
| TVZ_U.11.03 | passende toegangsbeveiliging | Medewerkers, contractanten en externen dragen zichtbare identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. | Fysieke toegangsbeveiliging | Uitvoering |
| TVZ_U.11.04 | passende toegangsbeveiliging | Aan personeel van externe partijen die ondersteunende diensten verlenen, wordt - voor zover noodzakelijk - alleen beperkte toegang verleend tot beveiligde gebieden of faciliteiten die vertrouwelijke informatie bevatten. Deze toegang moet worden goedgekeurd en bewaakt. | Fysieke toegangsbeveiliging | Uitvoering |
Property "Heeft bron" (as page type) with input value "%2B" contains invalid characters or is incomplete and therefore can cause unexpected results during a query or annotation process.
