Privacy en bescherming persoonsgegevens clouddiensten

Uit NORA Online
ISOR:Data en privacy
Ga naar: navigatie, zoeken
Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Privacy betreft de persoonlijke vrijheid, het recht om alleen gelaten te worden. Bescherming persoonsgegevens betreft het proces van de bescherming van deze gegevens.

Objecttoelichting

De data waar dreigingen en privacybeschermende regels aan gerelateerd zijn. Zowel data- als privacybescherming moeten voldoen aan door de wettelijke en door de Cloud Service Consumer (CSC) gestelde eisen aan de beveiliging. Data en privacy omvat de inventarisatie en classificatie van gegevens volgens een specifiek labelingsbeleid. Databescherming vindt plaats in drie toestanden van data: in rust, in verwerking en op transport. Data in apparaten kan worden beheerst door te richten op drie momenten: verwijdering, vervoer en verplaatsing. Data kan gerelateerd worden aan bedrijfsgegevens en persoonsgegevens. Ter bescherming van persoonsgegevens worden de noodzakelijke maatregelen getroffen. Beveiliging van data kan vanuit verschillende aspecten worden benaderd. In de afbeelding 'Data in verschillende bedrijfstoestanden' worden de voornaamste aspecten benoemd.


”Thema Clouddiensten - Data in verschillende bedrijfstoestanden”
Data in verschillende bedrijfstoestanden


Criterium

De Cloud Service Provider (CSP) behoort, ter bescherming van bedrijfs- en persoonlijke data, beveiligingsmaatregelen te hebben getroffen vanuit verschillende dimensies: beveiligingsaspecten en stadia, toegang en privacy, classificatie/labelen, eigenaarschap en locatie.

Doelstelling

Het verkrijgen van een gedegen set aan beveiligingsmaatregelen.

Risico

De bedrijfs- en persoonlijke data wordt onderbeveiligd.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Focus Group on Cloud Computing Technical Report Part 5 - Cloud security 8.5

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_B.09.01 Beveiligingsaspecten en stadia

Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen.

CLD_B.09.02 Toegang en privacy

Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie.

CLD_B.09.03 Classificatie/labelen

Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie.

CLD_B.09.04 Classificatie/labelen

Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data.

CLD_B.09.05 Classificatie/labelen

De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten.

CLD_B.09.06 Eigenaarschap

Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld.

CLD_B.09.07 Eigenaarschap

In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten.

CLD_B.09.08 Locatie

De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen.