Privacy en bescherming persoonsgegevens clouddiensten
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes | ||||||||||||||||||
Objectdefinitie
Privacy betreft de persoonlijke vrijheid, het recht om alleen gelaten te worden. Bescherming persoonsgegevens betreft het proces van de bescherming van deze gegevens.
Objecttoelichting
De data waar dreigingen en privacybeschermende regels aan gerelateerd zijn. Zowel data- als privacybescherming moeten voldoen aan door de wettelijke en door de Cloud Service Consumer (CSC) gestelde eisen aan de beveiliging. Data en privacy omvat de inventarisatie en classificatie van gegevens volgens een specifiek labelingsbeleid. Databescherming vindt plaats in drie toestanden van data: in rust, in verwerking en op transport. Data in apparaten kan worden beheerst door te richten op drie momenten: verwijdering, vervoer en verplaatsing. Data kan gerelateerd worden aan bedrijfsgegevens en persoonsgegevens. Ter bescherming van persoonsgegevens worden de noodzakelijke maatregelen getroffen. Beveiliging van data kan vanuit verschillende aspecten worden benaderd. In de afbeelding 'Data in verschillende bedrijfstoestanden' worden de voornaamste aspecten benoemd.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Beleid;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Focus Group on Cloud Computing Technical Report Part 5 - Cloud security 8.5
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| CLD_B.09.01 | Beveiligingsaspecten en stadia |
Voor de opslag, de verwerking en het transport van data zijn beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen getroffen. |
| CLD_B.09.02 | Toegang en privacy |
Ter bescherming van data en privacy zijn beveiligingsmaatregelen getroffen, in de vorm van data-analyse, Data Privacy Impact Assessment (DPIA), sterke toegangsbeveiliging en encryptie. |
| CLD_B.09.03 | Classificatie/labelen |
Aan data en middelen waarin/waarop zich data bevindt, wordt door de verwerkingsverantwoordelijke een classificatie toegekend gebaseerd op het datatype, de waarde, de gevoeligheid en het kritische gehalte voor de organisatie. |
| CLD_B.09.04 | Classificatie/labelen |
Data gerelateerd aan e-commerce en verstuurd via publieke netwerken is adequaat geclassificeerd en beschermd tegen fraude, ongeautoriseerde toegang en aantasten/corrumperen van data. |
| CLD_B.09.05 | Classificatie/labelen |
De Cloud Service Provider (CSP) past een uniforme classificatie toe voor informatie en middelen die relevant is voor de ontwikkeling en het aanbieden van clouddiensten. |
| CLD_B.09.06 | Eigenaarschap |
Het eigenaarschap van de middelen die deel uitmaken van de clouddiensten is vastgesteld. |
| CLD_B.09.07 | Eigenaarschap |
In de overeenkomst tussen de Cloud Service Provider (CSP) en de Cloud Service Consumer (CSC) is bij het beëindigen van de clouddienst het eigenaarschap vastgelegd rond het gebruik, het retourneren en het verwijderen van data (data objects) en de fysieke middelen die data bevatten. |
| CLD_B.09.08 | Locatie |
De Cloud Service Provider (CSP) specificeert en documenteert op welke locatie (in welk land) de data worden opgeslagen. |