Privacy Control

Uit NORA Online
ISOR:Privacy Control
Ga naar: navigatie, zoeken
Deze informatie is onderdeel van [[{{{Heeft ouder}}}]].

Meer lezen

De Privacy Baseline,
Alle normenkaders
Beveiligingsaspecten
Invalshoeken
ISOR

In dit onderdeel van De Privacy Baseline zijn richtlijnen opgenomen voor de specifieke beheeraspecten van de gegevensverwerking, ook wel het Control- of Beheerdomein genoemd. Dit houdt onder meer in dat een adequate technische- en organisatorische maatregelen moeten zijn ingericht, om de beheerprocessen vorm te geven.


Risico

Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.

Doelstelling

De doelstelling van de laag algemene control (beheersing) is er voor te zorgen en/of vast te stellen dat maatregelen ter waarborging van de privacy afdoende zijn ingericht.

Principes uit de {{{Heeft ouder}}} binnen dit aspect

ID principe Criterium
AppO_C.01 Richtlijnen evaluatie ontwikkelactiviteiten De projectorganisatie behoort richtlijnen voor de controleactiviteiten en rapportages te hebben geformuleerd gericht op de evaluaties van ontwikkel activiteiten, zoals requirements, specificaties en programmacode.
AppO_C.02 Versie Management De projectorganisatie behoort in het systeem ontwikkeltraject versiebeheer op procesmatige en op efficiënte wijze ingericht te hebben.
AppO_C.03 Patchmanagement van externe programmacode Patchmanagement behoort procesmatig en procedureel zodanig uitgevoerd te worden, dat van de gebruikte code tijdig vanuit externe bibliotheken informatie wordt ingewonnen over technische kwetsbaarheden, zodat tijdig de laatste (beveiligings)patches kunnen worden geïnstalleerd.
AppO_C.04 (Software) configuratie management De inrichting van het configuratiebeheer behoort waarborgen te bieden dat de vastgelegde gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd van de software configuratie-items (SCI’s) in de configuratie-administratie (CMDB) juist en volledig zijn en blijven.
AppO_C.05 Compliance management De projectorganisatie behoort een compliance management proces, ingericht te hebben, op basis waarvan zij de implicaties uit wet en regelgeving en verplichtingen voortvloeiend uit overeenkomsten en beleid kan vaststellen.
AppO_C.06 Quality assurance De projectorganisatie behoort een Quality Assurance proces (QA) te hebben ingericht, op basis waarvan zij de betrouwbare werking van het ontwikkel en onderhoudproces voor de applicatieontwikkeling kan vaststellen.
AppO_C.07 Technische beoordeling van informatiesystemen na wijziging besturingsplatform Bij veranderingen van/in besturingsplatforms behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact ontstaan op de activiteiten of de beveiliging van de organisatie.
AppO_C.08 Beheersing van software ontwikkeling(sprojecten) De project verantwoordelijke behoort voor de softwareontwikkelprojecten een beheersorganisatie te hebben ingericht waarin de structuur van de beheersprocessen, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
CommVZ_C.01 Naleving richtlijnen netwerkbeheer en evaluaties Richtlijnen voor de naleving van het netwerkbeveiligingsbeleid behoren periodiek getoetst en geëvalueerd te worden.
CommVZ_C.02 Netwerk security compliancy checking De naleving van een, conform het beveiligingsbeleid, veilige inrichting van netwerk(diensten), behoort periodiek gecontroleerd te worden en de resultaten behoren gerapporteerd te worden aan het verantwoordelijk management (Compliancy checks).
CommVZ_C.03 Evalueren netwerkbeveiliging De robuustheid van de beveiligingsmaatregelen en de naleving van het netwerkbeveiligingsbeleid behoren periodiek getest en aangetoond te worden.
CommVZ_C.04 Evalueren netwerk monitoring Toereikende logging en monitoring behoort te zijn ingericht, om detectie, vastlegging en onderzoek mogelijk te maken van gebeurtenissen, die mogelijk van invloed op, of relevant kunnen zijn voor, de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
CommVZ_C.05 Beheerorganisatie netwerkbeveiliging Alle verantwoordelijkheden bij informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. behoren te worden gedefinieerd en toegewezen.
Huisv_C.01 Controle richtlijn Bedrijfsmiddelen worden periodiek gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen worden tijdig aan het management gerapporteerd.
Huisv_C.02 Onderhoudsplan Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03 Continuiteitsmanagement Continuïteitsmanagement is procesmatig voor de gehele organisatie ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.06 Huisvesting-IV Monitoring bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.07 Huisvesting-IV Beheersingsorganisatie De stakeholder van de huisvesting van de Rekencentra heeft een beheersingsorganisatie ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.08 Huisvesting-IV Beheersingsarchitectuur Deze norm is nog in ontwikkeling.
LTV_C.01 Toegangsbeveiliging beoordelingsprocedure Er moeten procedures te zijn vastgesteld om het gebruik van toegangbeveiligingsvoorzieningen te controleren.
LTV_C.02 Beoordeling toegangsrechten Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
LTV_C.03 Gebeurtenissen registreren 'Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
LTV_C.04 Toegangsbeveiliging beheers(ings)organisatie De eigenaar van het toegangbeveiligingssysteem en toegangsmiddelen moet een beheersingsorganisatie ingericht hebben waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
PRIV_C.01 Intern toezicht Door of namens de verwerkingsverantwoordelijke vindt evaluatie plaats van de gegevensverwerkingen en is de rechtmatigheid aangetoond.
PRIV_C.02. Toegang gegevensverwerking voor betrokkenen De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit tijdig en in een passende vorm, zodat de betrokkene zijn rechten kan uitoefenenAVG art. 12., tenzij er een specifieke uitzonderingsgrond geldt.
PRIV_C.03 Meldplicht Datalekken De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.
SERV_C.01 Evaluatie richtlijnen servers en besturingssystemen Er behoren richtlijnen te worden vastgesteld om de implementatie en beveiliging van servers en besturingssystemen te controleren waarbij de bevindingen tijdig aan het management worden gerapporteerd.
SERV_C.02 Beoordeling technische serveromgeving Technische serveromgevingen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor serverplatforms.
SERV_C.03 Beheerderactiviteiten vastgelegd in logbestanden Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.
SERV_C.04 Registratie gebeurtenissen Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
SERV_C.05 Monitoren van servers en serverplatforms De organisatie reviewt/analyseert regelmatig de logbestanden om onjuist gebruik en verdachte activiteiten aan servers en besturingssystemen vast te stellen en bevindingen aan het management te rapporteren.
SERV_C.06 Beheerorganisatie servers en serverplatforms Binnen de beheerorganisatie is een beveiligingsfunctionaris benoemd die de organisatie ondersteunt in de vorm van het bewaken van beveiligingsbeleid en die inzicht verschaft in de inrichting van de servers en het serverplatform.

Normen uit de {{{Heeft ouder}}} binnen dit aspect

ID Stelling Norm
AppO_C.01.01 De projectorganisatie beschikt over controlerichtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voortvloeien: zoals requirement analyse en specificatie van software. Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
AppO_C.01.02 De projectorganisatie beschikt over evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code welke is opgeleverd tijdens de ontwikkelfasen: requirement analyse, specificatie en programmacode. Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
AppO_C.01.03 De projectorganisatie beschikt over controlerichtlijnen die binnen de relevante beheerprocessen (Versiebeheer, Quality Control en Quality Assurance) worden toegepast voor het evalueren van de ontwikkel activiteiten. Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
AppO_C.01.04 De projectorganisatie heeft de beschikking over een kwaliteitshandboek waarin procedures zijn opgenomen voor het toepassen van Quality Control (QC) en Quality Assurance (QA) methodiek en reviewrichtlijnen voor de ontwikkelde producten. Het kwaliteitshandboek bevat procedures voor QC- en QA-methodiek en reviewrichtlijnen
AppO_C.01.05 De QA methodiek wordt conform de richtlijnen nageleefd. De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
AppO_C.01.06 De projectorganisatie voert controleactiviteiten uit over de ontwikkelactiviteiten en beheerprocessen gerelateerd aan het ontwikkelproces en stelt hierover rapportages op. Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
AppO_C.01.07 Periodiek worden het applicatieontwikkeling proces, de testcycli en de kwaliteit van de programmacode beoordeeld conform de opgestelde richtlijn. Het applicatieontwikkelproces - de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
AppO_C.02.01 Het versiebeheerproces is beschreven, vastgesteld door het management en toegekend aan een verantwoordelijke functionaris. Versiemanagement is beschreven - vastgesteld en toegekend aan een verantwoordelijke functionaris
AppO_C.02.02 In het versiebeheerproces is vastgelegd welke applicatie objecten in het ondersteunend tool, zoals Functioneel Ontwerp (FO) en Technisch Ontwerp (TO) en resultaten van sprints bij Agile ontwikkeling, worden vastgelegd. Versiemanagement beschrijft welke applicatieobjecten in het ondersteunend tool worden vastgelegd
AppO_C.02.03 Het versiebeheerproces wordt ondersteund met procedures en werkinstructies. Versiemanagement wordt ondersteund met procedures en werkinstructies
AppO_C.02.04 Een versiebeheertool wordt toegepast die onder andere:
  • het vastleggen van versies van ontwikkelproducten ondersteunt;
  • het vastleggen van versies van programmacode ondersteunt;
  • het vastleggen van versies voorkomend in verschillende omgevingen (zoals OTAP) ondersteunt;
  • toegangsmogelijkheden voor verschillende rollen ondersteunt.
Ondersteuning vanuit het toegepaste versiebeheertool
AppO_C.03.01 Het patchmanagement proces en de noodzakelijke patchmanagement zijn beschreven, vastgesteld door het management en bekendgemaakt aan de ontwikkelaars. Patchmanagement en noodzakelijke -procedures zijn beschreven vastgesteld en bekendgemaakt
AppO_C.03.02 De ontwikkelaars zijn bekend met hun formeel vastgelegde verantwoordelijkheden wat betreft patchmanagement. Ontwikkelaars zijn wat betreft patchmanagement bekend met hun formeel vastgelegde verantwoordelijkheden
AppO_C.03.03 Het al dan niet uitvoeren van de patches voor programmacode is geregistreerd. Het al dan niet uitvoeren van de verworven patches voor programmacode is geregistreerd
AppO_C.03.04 Het beheer van technische kwetsbaarheden in code uit externe bibliotheken omvat minimaal een risicoanalyse van de kwetsbaarheden en eventueel penetratietests en patching. Het beheer van technische kwetsbaarheden in code uit externe bibliotheken
AppO_C.03.05 Bij het ontwikkelen van code installeert de ontwikkelaar - tenzij risicoanalyses anders uitwijzen - alle noodzakelijke patches en fixes die door fabrikanten beschikbaar worden gesteld. Installeren van alle noodzakelijke door de leveranciers beschikbaar gestelde patches en fixes
AppO_C.03.06 Updates/patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is worden zo spoedig mogelijk doorgevoerd. Updates en patches voor kwetsbaarheden waarvan de kans op misbruik en ontstane schade hoog is
AppO_C.04.01 Software configuratiecomponenten worden conform procedures en met behulp van hulpmiddelen vastgelegd. Software configuratiescomponenten worden conform procedures vastgelegd
AppO_C.04.02 De configuratie-administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel. De configuratie administratie is alleen toegankelijk voor hiertoe geautoriseerd personeel
AppO_C.04.03 Wijzigingen in software configuratie-items worden volgens een gestandaardiseerd proces vastgelegd in de CMDB. Wijzigingen in softwareconfiguratie items conform gestandaardiseerd proces vastgelegd in de CMDB
AppO_C.05.01 Het compliance management proces, bestaande uit de subprocessen planning, evaluatie, rapportering en correctie/implementatie, is gedocumenteerd en vastgesteld door het management. Het compliance management proces is gedocumenteerd en vastgesteld
AppO_C.05.02 Ten behoeve van het compliance proces hebben de desbetreffende stakeholders de noodzakelijke eisen uit de verschillende bronnen samengevat en vastgelegd. Hierbij is aandacht geschonken aan:
  • wet- en regelgeving (AVG, Computer Criminaliteit en Encryptie) die invloed hebben op het ontwikkelen van applicaties;
  • het vertalen van wet- en regelgeving en overeengekomen informatiebeveiligingsbeleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden tot concrete maatregelen binnen het ontwikkelproces;
  • het rapporteren van de evaluatie van compliance checks op wet en regelgeving en overeengekomen beleid, architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en standaarden die beschikbaar zijn gesteld aan het management;
  • het vastleggen van de verplichtingen m.b.t. security compliance in een autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen matrix.
De noodzakelijke eisen voor het compliance proces samengevat en vastgelegd
AppO_C.06.01 De projectorganisatie beschikt over een QA methodiek voor de ontwikkelde softwareproducten en ziet toe op de naleving van deze QA methodiek. De Quality Assurancemethodiek voor de ontwikkelde software producten wordt nageleefd
AppO_C.06.02 Conform de QA methodiek is een QA proces ingericht voor het uitvoeren van QA activiteiten gedurende alle fasen van de ontwikkel cyclus waarbij aandacht wordt besteed aan:
  • het evalueren van de requirement analyse, het ontwerp, de bouw, het testen en het opleveren van software;
  • het evalueren of de beveiligingcontrols (beleid, methoden, geprogrammeerde mechanismen t.b.v. BIVC) en zoals overeengekomen tijdens risico assessment zijn ontwikkeld, adequaat functioneren;
  • het vaststellen of de ontwikkelmethodologie is opgevolgd.
Gedurende alle fasen van het ontwikkelcyclus worden Quality Assurance activiteiten uitgevoerd
AppO_C.06.03 De resultaten uit de QA-onderzoeken worden geapporteerd aan de verantwoordelijken die verbetermaatregelen initiëren. Rapportage van de resultaten uit QA-onderzoeken aan verbetermaatregelen initiërende verantwoordelijken
AppO_C.06.04 Afspraken en resultaten m.b.t. toetsing zijn beknopt en SMART vastgelegd. Toetsingsafspraken en resultaten zijn beknopt en SMART vastgelegd
AppO_C.07.01 Bij veranderingen van besturingssystemen wordt onder andere het volgende getest:
  1. de toepassingscontrole procedures;
  2. het vaststellen of de veranderingen aan het besturingssysteem een permanente karakter hebben;
  3. het vaststellen of de veranderingen invloed hebben op de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van de functionaliteiten van de applicatie en/of invloed hebben op de beveiliging van de applicatie;
  4. het vaststellen dat de juiste veranderingen plaatsvinden aan de bedrijfscontinuïteitsplannen.
Testen bij verandering van besturingssystemen
AppO_C.08.01 De samenhang van de beheersprocessen wordt door middel van een processtructuur vastgelegd. De samenhang van de beheerprocessen wordt door middel van een processtructuur vastgelegd
AppO_C.08.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de onderlinge relaties zijn door middel van een organisatieschema inzichtelijk gemaakt. De belangrijkste functionarissen en hun onderlinge relaties zijn inzichtelijk
AppO_C.08.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden zijn aan een specifieke functionaris toegewezen en vastgelegd
AppO_C.08.04 De projectorganisatie heeft de taken en verantwoordelijkheden voor het uitvoeren van de evaluatie- en beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. De taken verantwoordelijkheden en bevoegdheden voor evaluatie- en beheerwerkzaamheden zijn beschreven
CommVZ_C.01.1 De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd op basis van een audit van tenminste de volgende elementen:
  • netwerk topologie / ontwerp, op basis van principes als “defence in depth”en “inbraak betekent geen doorbraak”;
  • identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mechanismen;
  • autorisatiemechanismen en actuele administratie van uitgegeven rechten;
  • actuele beleidsregels voor netwerkbeveiliging;
  • aanwijzingen voor hardening van netwerkcomponenten;
  • verifieerbare auditlog oplossing.
De naleving van netwerkbeveiligingsbeleid wordt periodiek getoetst en geëvalueerd
CommVZ_C.02.1 Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarhedenanalyses of penetratietesten. Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van normen en risico’s
CommVZ_C.02.2 De checklist voor veilige inrichting van netwerk(diensten) is samengesteld vanuit:
  • actueel beveiligingsbeleid;
  • gerelateerde Security Operation documentatie;
  • specifieke beveiligingsarchitectuur voor netwerk en communicatie(diensten);
  • beleid voor toegang tot Security gateway services;
  • bedrijfscontinuïteitsplannen;
  • relevante beveiligingscondities voor netwerkverbindingen.
Checklist voor veilige inrichting van netwerk(diensten)
CommVZ_C.02.3 Resultaten worden gerapporteerd aan het verantwoordelijke management. Resultaten worden gerapporteerd aan het verantwoordelijke management
CommVZ_C.03.1 De teststrategie voor netwerkbeveiliging is vastgelegd, geactualiseerd en bevat tenminste de volgende onderzoekselementen:
  • robuustheid van het ontwerp, op basis van principes als “defence in depth” en “inbraak betekent geen doorbraak”;
  • sterkte van IAA mechanismen en de relevantie van uitgegeven rechten;
  • juiste implementatie van beleidsregels voor netwerkbeveiliging;
  • verificatie van de hardening van netwerkcomponenten;
  • verificatie van de auditlog oplossing;
  • bruikbaarheid en functionele doelmatigheid van beveiligingsmaatregelen;
  • informatie over gebeurtenissen en incidenten, gerapporteerd door service personeel en eindgebruikers.
De teststrategie voor netwerkbeveiliging is vastgelegd en geactualiseerd
CommVZ_C.04.1 Zeer belangrijke onderdelen van netwerkbeveiliging zijn het:
  • via auditlogging en continue monitoring en gekoppeld aan detectie registreren van gebeurtenissen;
  • onderzoek uit te voeren én vervolgens
  • snel te reageren.
Zeer belangrijke onderdelen van netwerkbeveiliging
CommVZ_C.04.2 Continue bewaking via monitoring legt de volgende informatie vast:
  • audit logs vanuit de netwerkcomponenten firewalls, router, servers etc;
  • analyse-informatie vanuit Intrusion Detection Systemen (IDS);
  • resultaten vanuit netwerkscanning activiteiten.
Continue bewaking via monitoring
CommVZ_C.05.1 De communicatievoorzieningen worden geïdentificeerd en gedefinieerd. De communicatievoorzieningen worden geïdentificeerd en gedefinieerd
CommVZ_C.05.2 Beheerderstaken vereisen in sommige gevallen vergaande bevoegdheden, met risico’s voor de doelorganisatie. Het beleggen van de juiste verantwoordelijkheden en toezien op het beoogde gebruik daarvan vergt extra aandacht:
  • de entiteit, die verantwoordelijk is voor de communicatievoorzieningen worden bepaald en de taken en details, vanuit de verantwoordelijkheid zijn actueel, vastgelegd en bekend;
  • de rollen en (speciale) bevoegdheden van netwerkbeheerders zijn gedefinieerd en gedocumenteerd;
  • de netwerkbeheerders zijn en blijven goed opgeleid en competent voor de uitvoering van hun taken;
  • de coördinatie en overzicht van informatiebeveiligingsaspecten van dienstverleners is geïdentificeerd gedocumenteerd en wordt continu gemonitord.
Beheerderstaken vereisen bevoegdheden met risico’s voor de doelorganisatie
Huisv_C.01.01 De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen. De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Huisv_C.01.02 De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Huisv_C.01.03 De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Huisv_C.01.04 De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-RC-organisatie. Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Huisv_C.01.05 De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd. Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02.01 De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan. Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.02.02 Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03.01 Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Huisv_C.03.02 De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Huisv_C.03.03 Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit. Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.03.04 De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd. De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Huisv_C.03.05 Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. Realisatie van afdoende uitwijkfaciliteiten
Huisv_C.03.06 Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest. Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Huisv_C.03.07 De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen. Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.07.01 De samenhang van de processen wordt door middel van een processtructuur vastgelegd. De samenhang van de processen wordt door middel van een processtructuur vastgelegd
Huisv_C.07.02 De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Huisv_C.07.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Huisv_C.07.04 De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
LTV_C.01.01 De organisatie beschikt over een beschrijving van de relevante controleprocessen. De organisatie beschikt over een beschrijving van de relevante controleprocessen
LTV_C.01.02 De procedures hebben betrekking op controleprocessen die conform een vastgestelde cyclus zijn ingericht. Bijvoorbeeld: registratie, statusmeting, monitoring, analyse, rapportage en evaluatie. De procedures hebben betrekking op conform vastgestelde cyclus ingerichte controleprocessen
LTV_C.01.03 De procedures schrijven voor dat de resultaten van controleactiviteiten aan het management gerapporteerd moet worden om de juiste acties te laten initiëren. Rapportage van controle-resultaten aan het management ter initiatie van de juiste acties
LTV_C.02.01 Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld
LTV_C.02.02 Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld. Toegangsrechten van gebruikers worden na wijzigingen of functieveranderingen beoordeeld
LTV_C.02.03 Autorisaties voor speciale toegangsrechten worden vaker beoordeeld. Autorisaties voor speciale toegangsrechten worden vaker beoordeeld
LTV_C.02.04 De beoordelingsrapportage bevat verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Beoordelingsrapportage bevat vermeldimg van systemen met kwetsbaarheden en zwakheden
LTV_C.02.05 De opvolging van bevindingen is gedocumenteerd. De opvolging van bevindingen is gedocumenteerd
LTV_C.02.06 Het beoordelen vind plaats op basis van een formeelproces. (Zoals: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen). Het beoordelen vind plaats op basis van een formeelproces
LTV_C.02.07 Een functionaris aangestels als verantwoordelijke voor het controleren van organisatorische en de technische inrichting van toegangbeveiliging. Beleggen van de verantwoordelijkheid voor de controle van de inrichting van toegangbeveiliging
LTV_C.02.08 De taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het controleproces zijn vastgelegd. Taken en verantwoordelijkheden van bij controleproces betrokken functionarissen zijn vastgelegd
LTV_C.03.01 Een logregel bevat minimaal:
  • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
  • de gebeurtenis;
  • waar mogelijk de identiteit van het werkstation of de locatie;
  • het object waarop de handeling werd uitgevoerd;
  • het resultaat van de handeling;
  • de datum en het tijdstip van de gebeurtenis.
Eisen aan de autorisatie-logregels
LTV_C.03.02 Een logregel bevat in geen geval gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd die de beveiliging kunnen doorbreken (zoals wachtwoorden, inbelnummers, enz.). Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken
LTV_C.03.03 De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, die worden ingezet op basis van een risico-inschatting en de aard van de te beschermen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. De informatie verwerkende omgeving wordt gemonitord door een SIEM en/of SOC
LTV_C.03.04 Bij ontdekte nieuwe dreigingen (aanvallen) worden deze binnen geldende juridische kaders gedeeld binnen de overheid middels (geautomatiseerde) threat intelligence sharing mechanismen. Nieuwe dreigingen worden binnen geldende juridische kaders gedeeld
LTV_C.03.05 De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management. De SIEM en/of SOC hebben heldere regels over incidentrapportage aan verantwoordelijk management
LTV_C.03.06 Bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens wordt, zoals gesteld vanuit het AVG, een verwerkingsactiviteitenregister bijgehouden. Bij het verwerken van persoonsgegevens wordt een verwerkingsactiviteitenregister bijgehouden
LTV_C.03.07 De logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De logbestanden worden gedurende een overeengekomen periode bewaard
LTV_C.04.02 De belangrijkste functionarissen (stakeholders) voor de beheerorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Belangrijkste functionarissen voor beheerorganisatie zijn benoemd en de relaties zijn inzichtelijk
LTV_C.04.03 De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. De verantwoordelijkheden voor de beheersprocessen zijn toegewezen en vastgelegd
LTV_C.04.04 De taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden zijn beschreven en de bijbehorende bevoegdheden zijn vastgelegd in een autorisatiematrix. De taken en verantwoordelijkheden zijn beschreven en bijbehorende bevoegdheden zijn vastgelegd
PRIV_C.01.01.01 De verantwoordelijke en - indien aangesteld - de Functionaris voor de Gegevensbescherming controleert of de gegevensverwerkingen voldoen aan de wettelijke verplichtingen. Hiertoe worden periodiek compliancy assessments uitgevoerd en de resultaten geregistreerd. Evaluatie- controle op het voldoen aan wettelijke verplichtingen
PRIV_C.01.01.02 Als blijkt dat toch niet voldaan wordt aan de eisen van de Avg, dan rapporteert de verantwoordelijke over de te nemen maatregelen om de privacyschending te beëindigen. De evaluatierapportages worden beschikbaar gesteld aan het management. Evaluatie- rapportage bij niet voldoen
PRIV_C.01.01.03 Er is een planning van activiteiten in het kader van het beoordelen van de compliancy. Evaluatie- planning en compliancy
PRIV_C.01.02.01 Aangetoond is dat, conform U.01 §2.2.1, de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.). Rechtmatigheid aangetoond- welbepaalde- uitdrukkelijk omschreven en gerechtvaardigde doeleinden
PRIV_C.01.02.02 Aangetoond is dat, conform U.01 §2.2.1, de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). Rechtmatigheid aangetoond- toereikende verwerking
PRIV_C.01.02.03 Aangetoond is dat, conform U.01 §2.2.1, de verwerking ten aanzien van de betrokkene rechtmatig is (rechtmatigheid). Rechtmatigheid aangetoond- rechtmatige verwerking
PRIV_C.01.02.04 Bij het aantonen van de rechtmatigheid (/02.03) wordt gebruik gemaakt van de overeenkomsten voor de doorgiften (conform U.07 §2.2.7. Rechtmatigheid aangetoond- gebruik van overeenkomsten voor doorgifte
PRIV_C.01.02.05 Aangetoond is dat, conform U.04, passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt, dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen). Rechtmatigheid aangetoond- passende en gewaarborgde beveiliging
PRIV_C.01.02.06 Aangetoond is dat, conform U.03 §2.2.3, de persoonsgegevens juist zijn en zo nodig worden geactualiseerd en waarbij alle redelijke maatregelen moeten zijn genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid). Rechtmatigheid aangetoond- juiste en actuele gegevens
PRIV_C.01.02.07 Aangetoond is dat, conform B.03 §2.1.3, de wijze van verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. ten aanzien van de betrokkene behoorlijk is (behoorlijkheid). Rechtmatigheid aangetoond- behoorlijke verwerking
PRIV_C.01.02.08 Aangetoond is dat, conform U.05 §2.2.5 en C.02 en §2.3.2, de persoonsgegevens op een wijze worden verwerkt die voor de betrokkene transparant is (transparantieInzicht in de werkwijze die de overheid hanteert.). Rechtmatigheid aangetoond- transparante verwerking
PRIV_C.01.02.09 De verwerkingsverantwoordelijke toont compliancy aan door middel van een dossier (al dan niet door een Functionaris voor de Gegevensbescherming bijgehouden)AVG art. 5 lid 2.. Rechtmatigheid aangetoond- compliancy
PRIV_C.01.02.10 Bij het aantonen van het compliant en het compleet zijn van het dossier wordt gebruik gemaakt van het register conform U.02 §2.2.2. Rechtmatigheid aangetoond- gebruik van gegevensregister
PRIV_C.02.01.01 De betrokkene krijgt op verzoek uitsluitsel over het al dan niet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van hem betreffende persoonsgegevens. Informatie over de verwerking van persoonsgegevens aan betrokkene
PRIV_C.02.01.02 De inzage over de verwerkte persoonsgegevens bevat de volgende informatieAVG art. 15.:
  1. de verwerkingsdoeleinden;
  2. de betrokken categorieën van persoonsgegevens;
  3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  4. indien mogelijk: de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of, als dat niet mogelijk is, de criteria om die termijn te bepalen;
  5. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat zijn persoonsgegevens te rectificeren of te wissen of de verwerking van de hem betreffende persoonsgegevens te beperken, alsmede het recht tegen die verwerking bezwaar te maken;
  6. dat de betrokkene het recht heeft klacht in te dienen bij de AP;
  7. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  8. het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, inclusief nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  9. bij doorgifte aan een derde land of een internationale organisatie en op verzoek van betrokkene de informatie over van de passende waarborgen;
  10. op verzoek van betrokkene een kopie van de persoonsgegevens die worden verwerkt.
Informatie over de verwerking van persoonsgegevens- inhoudelijkheid
PRIV_C.02.01.03 De inzage doet geen afbreuk aan de rechten en vrijheden van anderenAVG art. 14 lid 4.. Informatie over de verwerking van persoonsgegevens- evt. afbreuk aan rechten cq. vrijheden van anderen
PRIV_C.02.02.01 De informatie is onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek verstrektAVG art. 12 lid 3 en 4., tenzij:
  • de complexiteit van de verzoeken en van het aantal verzoeken verlenging nodig maakt, en:
  • de informatie binnen een termijn van nog eens twee maanden worden verstrekt, en:
  • de betrokkene binnen één maand na ontvangst van het verzoek in kennis wordt gesteld van een dergelijke verlenging.
Tijdige verstrekking op verzoek van betrokkene
PRIV_C.02.02.02 Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, dan:
  • is dit de betrokkene onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek meegedeeld waarom het verzoek zonder gevolg is gebleven, en:
  • is de betrokkene geïnformeerd over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
Tijdig verstrekking bij geen gevolg op verzoek van betrokkene
PRIV_C.02.03.01 De communicatie vindt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is, plaats in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taalAVG art. 12 lid 1.. Hierbij kan gebruik gemaakt worden van gestandaardiseerde iconen om het overzicht te houdenAVG art. 12 lid 7.. Passende vorm- begrijpelijke en toegankelijke wijze van communicatie
PRIV_C.02.03.02 De informatie is schriftelijk of met andere middelen en als dit passend is met inbegrip van elektronische middelen verstrekt. Passende vorm- gekozen van medium
PRIV_C.02.03.03 Op verzoek van de betrokkene is de informatie mondeling meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. Passende vorm bij mondelinge verstrekking
PRIV_C.02.03.04 Het verstrekken van de informatie en het verstrekken van de communicatie is kosteloos, tenzij de verzoeken van een betrokkene kennelijk ongegrond, of: buitensporig zijn, met name vanwege hun repetitieve karakter, en dit kan worden aangetoond, mag de verwerkingsverantwoordelijke, ofwel:
  1. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, ofwel:
  2. weigeren gevolg te geven aan het verzoek.
Passende vorm- eventuele kosten
PRIV_C.02.03.05 De verantwoordelijke heeft gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene om hem zijn rechten te laten doen gelden. Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden niet behouden, verkrijgen of verwerkt als er geen doeleinden, conform U.01 §2.2.1).zijn om nog persoonsgegevens van betrokkene te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.AVG art. 11.Als identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. niet mogelijk is wordt de betrokkene daarvan indien mogelijk in kennis gesteld. Passende vorm- gegevens ter identificatie
PRIV_C.02.04.01 De verantwoordelijke heeft geen informatie verstrekt als de verwerking berust op een wettelijke bepaling, waarbij een specifieke uitzondering geldtAVG art. 23.. Specifieke uitzonderingsgrond
PRIV_C.03.01.01 Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP. Meldt een datalek- aan AP
PRIV_C.03.01.02 De melding aan de AP bevat ten minsteAVG art. 33a lid 3.:
  1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoons-gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevens¬registers in kwestie;
  2. de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  4. de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Meldt een datalek- eisen aan de melding aan AP
PRIV_C.03.01.03 Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene. Meldt een datalek- melding aan betrokkene
PRIV_C.03.01.04 In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeldAVG art. 33, lid 3b, 3c en 3d. :
  1. de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  2. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  3. de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Meldt een datalek- eisen aan de melding aan betrokkene
PRIV_C.03.01.05 De melding aan de betrokkene is in duidelijke en eenvoudige taal. Meldt een datalek- in duidelijke en eenvoudige taal
PRIV_C.03.02.01 Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Termijn melden aan verwerkingsverantwoordelijke
PRIV_C.03.02.02 De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. Termijn melden aan AP
PRIV_C.03.02.03 Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. Termijn- motivering bij vertraagd melden
PRIV_C.03.02.04 De melding aan de betrokkene gebeurt onverwijld. Termijn aan betrokkene
PRIV_C.03.03.01 De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Documenteert de inbreuk- eisen aan de registratie
PRIV_C.03.03.02 De documentatie stelt de AP in staat de naleving te controleren. Documenteert de inbreuk- mogelijkheid tot controle
PRIV_C.03.03.03 De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Documenteert de inbreuk- noodzakelijke gegevens
PRIV_C.03.03.04 Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene Overweging 87.. Documenteert de inbreuk- m.b.t. kennisgeving
PRIV_C.03.04.01 De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • de verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG art. 95. ;
  • de organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtAVG art. 34..
Uitzondering op melden van datalek aan AP
PRIV_C.03.04.02 De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
  • het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
  • de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
  • de mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
  • het een verwerking is die berust op een wettelijke bepaling waarbij een specifieke uitzondering geldtAVG art. 23., of:
  • de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18..
Uitzondering op melden van datalek aan betrokkene
SERV_C.01.01 De organisatie beschikt over richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen. Richtlijnen voor het beoordelen van de technische omgeving van servers en besturingssystemen
SERV_C.01.02 De organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. De organisatie ondersteunt de ontrole activiteiten effectief met geautomatiseerde middelen
SERV_C.01.03 De organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. Richtlijnen voor het uitvoeren van registratie - statusmeting - analyse - rapportage en evaluatie
SERV_C.01.04 De organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB's) van controle functionarissen vastgelegd. De taken verantwoordelijkheden en bevoegdheden van controle functionarissen zijn vastgelegd
SERV_C.02.01 Technische naleving wordt bij voorkeur beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen en geïnterpreteerd door een technisch specialist. Eisen aan het vervaardigen en interpreteren van technische naleving
SERV_C.02.02 Periodiek worden, na verkregen toestemming van het management, penetratietests of kwetsbaarheidbeoordelingen uitgevoerd. Periodiek uitvoeren van penetratietests of kwetsbaarheidbeoordelingen
SERV_C.02.03 De uitvoering van dergelijke tests worden gepland en gedocumenteerd en zijn herhaalbaar. Uitvoering van tests worden gepland en gedocumenteerd en zijn herhaalbaar
SERV_C.02.04 Beoordeling van technische naleving wordt uitsluitend uitgevoerd door competente, bevoegde personen of onder toezicht van het management. Eisen aan het beoordelen van technische naleving
SERV_C.03.01 De logbestanden worden beschermd tegen ongeautoriseerd manipuleren en worden beoordeeld om vast te stellen wie welke activiteit heeft uitgevoerd. Eisen aan het beschermen van de logbestanden
SERV_C.03.02 Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten. Speciale gebruikers geven rekenschap over de door hun uitgevoerde beheer activiteiten
SERV_C.04.01 Logbestanden van gebeurtenissen bevatten, voor zover relevant:
  1. gebruikersidentificaties;
  2. systeemactiviteiten;
  3. data, tijdstippen en details van belangrijke gebeurtenissen zoals de registratie van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem en tot bronnen van informatie;
  4. identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;
  5. systeemconfiguratie veranderingen;
  6. gebruik van speciale bevoegdheden;
  7. alarmen die worden afgegeven door het toegangsbeveiligingssysteem;
  8. activering en deactivering van beschermingssystemen, zoals antivirus systemen en inbraakdetectie systemen;
  9. verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.
Eisen aan de inhoud van de logbestanden van gebeurtenissen
SERV_C.05.01 De verantwoordelijke functionaris analyseert periodiek:

De verantwoordelijke functionaris analyseert periodiek:

  • de gelogde gebruikers-, activiteiten gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten aanzien van servers en serverplatforms;
  • het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen;
  • eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van logbestanden.
NB: Verdachte gebeurtenissen zijn afwijkend en opmerkelijk gedrag ten aanzien gangbare patronen en geldende (beleids)regels.
Eisen aan de periodieke beoordeling van de logbestanden
SERV_C.05.02 De verzamelde loginformatie wordt in samenhang geanalyseerd. De verzamelde loginformatie wordt in samenhang geanalyseerd
SERV_C.05.03 Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan de systeemeigenaren en/of aan het management gerapporteerd. Eisen aan de periodieke rapportage over de analyse van de logbestanden
SERV_C.05.04 De rapportages uit de beheerdisciplines compliancy management, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico's geanalyseerd en geëvalueerd. Analyse en evaluatie van beheer- log- en penetratietest rapportages op structurele risico’s
SERV_C.05.05 De analyse bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met het verantwoordelijk management. Eisen aan de inhoud en verspreiding van de loganalyse rapportage
SERV_C.05.06 De eindrapportage bevat, op basis van analyses, verbeteringsvoorstellen gedaan. De eindrapportage bevat verbeteringsvoorstellen op basis van analyses
SERV_C.06.01 De beveiligingsfunctionaris zorgt o.a. voor:
  1. de actualisatie van beveiligingsbeleid ten aanzien servers en besturingssystemen;
  2. de afstemming van het beveiligingsbeleid in de afgesloten overeenkomsten met o.a. de ketenpartijen;
  3. de evaluatie van de effectiviteit van de beveiliging van de ontwikkelde systemen;
  4. de evaluatie van de beveiligingsmaatregelen ten aanzien van de bestaande risico’s;
  5. de bespreking van beveiligingsissues met ketenpartijen;
  6. het verschaffen van inzicht in de afhankelijkheden tussen servers binnen de infrastructuur.
Activiteiten van de beveiligingsfunctionaris
SERV_C.06.02 Het beveiligingsbeleid geeft ten aanzien van het serverplatform inzicht in:
  1. specifieke beveiligings- en architectuurvoorschriften;
  2. afhankelijkheden tussen servercomponenten;
  3. de inrichting, het onderhoud en het beheer van de servers.
Inhoud van het beveiligingsbeleid
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen