Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018"

Transcriptie

1 Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn

2 Document Beheer Auteur Organisatie / Functie Datum Versie Opmerkingen Sincerus Nov Eerste concept Sincerus Dec Derde concept, nav gesprek met MT I&A Sincerus, HJ Schot Sincerus HJ Schot Opmerkingen verwerkt door Ingrid Kortland Jan Vierde concept, nav diverse opmerkingen Feb definitief Gemeente Alphen aan den Rijn Mrt Uit bedrijfsvoeringoverleg maart 2014 Document goedkeuring Goedkeuring Organisatie / Functie Datum Versie Handtekening Bedrijfsvoeringoverleg Maart DT overleg Maart College van B&W Maart Relevante bronnen en documentatie Intern - Algemene Inkoop Voorwaarden, gemeente Alphen aan den Rijn Extern NEN/ISO (2005) en (Code voor Informatiebeveiliging) (2007) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013 Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CBP richtsnoeren beveiliging van persoonsgegevens, 2013: Cloud computing gemeenten, KING, Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 1 van 22

3 Inhoud 1. Inleiding Intentie en betrokkenheid van bestuur en management Doelstelling van het IB beleid Achtergrond van het IB beleid Reikwijdte van dit beleid Goedkeuring van het beleid Geldigheid beleid Richtlijnen Beleid Beleidsgebieden Organisatie van de informatiebeveiliging Beheer van bedrijfsmiddelen Personeel Fysieke beveiliging Beheer van communicatie en bedieningsprocessen Logische toegangsbeveiliging Systeem ontwikkeling en onderhoud Incident management Continuïteitsplanning Toezicht en Naleving Verantwoordelijkheden met betrekking tot beveiliging Algemene verantwoordelijkheden Verantwoordelijkheden management Verantwoordelijkheden Beveiligingsfunctionaris Verantwoordelijkheden functionaris ICT Beveiliging (beveiligingsmedewerker) Verantwoordelijkheden Functionaris Bescherming Persoonsgegevens Verantwoordelijkheden Controller Verantwoordelijkheden Facilitair manager Verantwoordelijkheden P&O Verantwoordelijkheden lijnmanager, afdelingshoofden en coördinatoren Werkgroep informatiebeveiliging Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 2 van 22

4 1. Inleiding Informatie en informatiesystemen zijn van vitaal belang voor de gemeente Alphen aan den Rijn. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuur functies, om daarmee de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en de bedrijfsdoelstellingen van de gemeente worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen. Het informatiebeveiligingsbeleid is van toepassing op alle bedrijfsprocessen en heeft betrekking op digitale en fysieke informatie, informatiesystemen, netwerken, de fysieke omgeving en de mensen die deze bedrijfsprocessen ondersteunen. Dit document: Definieert en beschrijft het informatiebeveiligingsbeleid van de gemeente Alphen aan den Rijn; Bevat en beschrijft een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging zijn belegd en informatiebeveiliging is ingebed in de reguliere planning- en control cyclus binnen de gemeentelijke bedrijfsvoering processen; Is van belang voor het bestuur, het management, het systeembeheer en voor de gebruikers; Geldt voor iedereen die werkzaamheden uitvoert bij of namens de gemeente; Geldt voor iedere locatie waar informatie van de gemeente wordt gebruikt; Informatiebeveiliging is in dit beleid als volgt omschreven: Handhaving van de beschikbaarheid: Dat wil zeggen ervoor te zorgen dat de vereiste en noodzakelijke componenten voor de informatievoorziening van de organisatie beschikbaar zijn; Handhaving van de integriteit: Dat wil zeggen componenten te beschermen tegen het aanbrengen van ongeautoriseerde opzettelijke of onopzettelijke wijzigingen, om daarmee de juistheid en volledigheid van de gegevens te waarborgen; Handhaving van de vertrouwelijkheid: Dat wil zeggen componenten tegen ongeautoriseerde openbaarmaking beschermen; Handhaving van de controleerbaarheid Dat wil zeggen de mate waarin het mogelijk is kennis te verkrijgen over de opzet en werking van het object, zodat kan worden vastgesteld in hoeverre het object aan de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid voldoet; Om dit te bereiken treft de gemeente optimale maatregelen tegen acceptabele kosten en inspanning. De maatregelen zijn gebaseerd op de risico s welke de gemeente dagelijks loopt. Met nadruk geeft de gemeente aan dat informatiebeveiliging zich niet beperkt tot digitale informatie maar dat ook de fysieke, papieren informatie beschermd dient te worden. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 3 van 22

5 1.1 Intentie en betrokkenheid van bestuur en management Informatie en informatiesystemen zijn van vitaal belang voor de gemeente Alphen aan den Rijn. Zonder betrouwbare informatie zou de gemeente Alphen aan den Rijn ernstig benadeeld zijn. De gemeente Alphen aan den Rijn heeft als ambitie gesteld dat zij de informatie welke zij voor en over haar burgers beheert, zo optimaal mogelijk beveiligt om hiermee te voldoen aan de wettelijke eisen en verplichtingen die hieraan gesteld worden. Dit betekent dat de gemeente er alles aan doet om de processen en informatiesystemen zodanig in te richten en te beheren dat de betrouwbaarheid volledig gewaarborgd is door onder andere te voldoen aan de gestelde marktstandaarden. De gemeente Alphen aan den Rijn ziet dit niet als een eenmalige actie maar als een continue proces. De ambitie is dat de gemeente voldoet aan de gestelde wettelijke verplichtingen en een basisniveau van informatiebeveiliging heeft ingericht. Om vervolgens deze beveiliging op een hoger niveau te brengen, waarbij rekening gehouden wordt met de omgevingsomstandigheden, kosten en mogelijkheden. Het management onderkent het belang van de beveiliging van informatie en vindt het van groot belang dat deze op de juiste wijze wordt behandeld. Het management heeft zich volledig gecommitteerd aan dit informatiebeveiligingsbeleid en draagt dit ook uit binnen de gemeente. Naast de voorbeeldfunctie welke het management heeft, stelt zij voldoende mensen en middelen beschikbaar om te voldoen aan doelstelling ten aanzien van de wettelijk gestelde verplichtingen en het basisniveau van informatiebeveiliging. De rollen voor de uitvoering van informatiebeveiligingstaken en werkzaamheden worden belegd. Het management wijst medewerkers er op dat zij zich aan de geldende regels moeten houden en er zal indien noodzakelijk opgetreden worden bij overtreding van de gestelde regels. Dit informatiebeveiligingsbeleid beschrijft de vereisten waaraan alle medewerkers, gedetacheerden, uitzendkrachten, stagiaires, toeleveranciers en het management moeten voldoen om de beveiliging van de informatie van de gemeente Alphen aan den Rijn optimaal te laten zijn. Gecombineerd met het innovatieve karakter van de gemeente op gebied van telewerken en nieuwe werken beleid. 1.2 Doelstelling van het IB beleid De gemeente Alphen aan den Rijn wil zorgdragen voor volledige betrouwbare gegevens welke gebruikt worden voor de dienstverlening naar haar burgers. De betrouwbaarheid van de informatievoorziening geeft de mate aan waarin de gemeente Alphen aan den Rijn kan vertrouwen op haar informatievoorziening. De informatievoorziening omvat informatie verwerkend apparatuur, programmatuur, opgeslagen digitale en niet digitale gegevens, procedures en mensen. De gemeente Alphen aan den Rijn zal: Alle hardware, software en gegevensverzamelingen onder haar beheer beschermen. Dit geschiedt door de uitwerking en invoering van een set uitgebalanceerde organisatorische technische en fysieke maatregelen. Zorgen voor effectieve en efficiënte bescherming evenredig aan de risico's van de bedrijfsmiddelen. Een informatiebeveiligingsbeleid implementeren op een consistente, actuele en efficiënte wijze. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 4 van 22

6 1.3 Achtergrond van het IB beleid Dit beleid zet de gekozen benadering voor informatiebeveiliging uiteen om zeker te stellen dat onze informatievoorziening op de juiste wijze beschermd is tegen een verscheidenheid van bedreigingen zoals fouten, fraude, sabotage, terrorisme, afpersing, inbreuk op de privacy, onderbreking van de dienstverlening, diefstal en natuurrampen, ongeacht intern of extern, al dan niet opzettelijk. Het bestuur en management van de gemeente Alphen aan den Rijn heeft de verplichting alle informatie en informatiesystemen te beschermen, te verbeteren en te verantwoorden. Waarbij rekening gehouden wordt met Best Practises op onder andere ICT gebied. Voor het nastreven van deze doelstelling dienen zowel periodiek als bij aanleiding de risico s opnieuw onderzocht te worden. Dus worden periodiek de risico s voor de informatiemiddelen van de gemeente Alphen aan den Rijn opnieuw onderzocht en beoordeeld. Dit gebeurt wanneer naar aanleiding van een beveiligingsincident of audit blijkt dat het beveiligingsniveau onvoldoende is. Het management zet dan met de nodige voortvarendheid een herstelactie in gang om daarmee de risicoblootstelling naar een acceptabel niveau terug te brengen. De informatie van de gemeente Alphen aan den Rijn moet worden beschermd in overeenstemming met de gevoeligheid, de waarde en het kritieke gehalte ervan. Beveiligingsmaatregelen worden toegepast op de media waarop de informatie is opgeslagen, de verwerkingssystemen en de wijze van transport. De toegankelijkheid van informatie is voor iedereen tot het niveau waarop men deze informatie nodig heeft voor de uitvoering van de werkzaamheden, tenzij dit door wet- en regelgeving, gemeente anders is bepaald. Het bestuur van de gemeente Alphen aan den Rijn stelt, met afweging van de kosten, risico s en baten, voldoende middelen beschikbaar om informatiebeveiliging binnen de gehele organisatie te implementeren en de initiatieven uit het verbeterprogramma (Informatiebeveiligingsplan) uit te laten voeren. Er is een proces gericht op bedrijfsherstel ingericht (continuïteitsmanagement) om onderbrekingen van de bedrijfsactiviteiten te voorkomen en kritieke bedrijfsprocessen te beschermen tegen de effecten van grote storingen en rampen. Dit proces voldoet aan de wettelijke eisen vanuit o.a. GBA en BAG. Besluitvormingsprocessen binnen de gemeente Alphen aan den Rijn zijn op kritieke wijze afhankelijk van informatie. Het bestuur en management dienen te kunnen vertrouwen op de integriteit van de informatie in termen van nauwkeurigheid, tijdigheid, relevantie, compleetheid, vertrouwelijkheid, etc. Het voltallige personeel heeft de verantwoordelijkheid om elke waarneming of vermoeden van: disfunctioneren van software, beveiligingsincidenten, verdachte virussen, fouten, zwakheden, bedreigingen, etc. zo spoedig mogelijk te rapporteren aan het daartoe aangewezen meldpunt. Hierdoor wordt de gemeente in staat gesteld om vroegtijdig te reageren op mogelijke incidenten door passende maatregelen te treffen. Hierdoor zal voorkomen worden dat een incident grote schade aan richt en de betrouwbaarheid van de processen aantast. 1.4 Reikwijdte van dit beleid Dit beleid is van toepassing op alle bedrijfsprocessen, alle informatiesystemen (bestaande en nieuw aan te leggen), de gebruikte interne netwerken, de netwerkkoppelingen, de toepassingen, alle gemeentelijke locaties en alle interne en externe medewerkers. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 5 van 22

7 1.5 Goedkeuring van het beleid Dit informatiebeveiligingsbeleid is vastgesteld en goedgekeurd door het college van Burgemeester en Wethouders. De wethouder met informatiebeveiliging in zijn portefeuille is wettelijk verplicht hier op toe te zien. 1.6 Geldigheid beleid Het informatiebeveiligingsbeleid is opgesteld voor een periode van 4 jaar en wordt jaarlijks getoetst. Jaarlijks wordt het beleid opnieuw beoordeeld en waar noodzakelijk bijgesteld. Bij een belangrijke wijzing van de organisatie, de fysieke of logische omgeving, of een belangrijke wijziging van mogelijke dreigingen en kwetsbaarheden zal het informatiebeveiligingsbeleid eerder worden bijgesteld. Tevens zal het informatiebeveiligingsbeleid worden aangepast indien dit op basis van aanpassingen van landelijke wet- en regelgeving noodzakelijk blijkt. 1.7 Richtlijnen Het beveiligingsbeleid is uitgewerkt in het Beveiligingshandboek Gemeente Alphen aan den Rijn. In het handboek zijn de afzonderlijke beveiligingsmaatregelen verder uitgewerkt in richtlijnen. Deze richtlijnen geven verdere sturing aan de implementatieverantwoordelijke, toezichthouders, lijnmanagers en medewerkers. De specifieke richtlijnen welke voorvloeien uit de wettelijke vereisten en externe eisen zijn geïntegreerd maar herkenbaar (identificeerbaar per eis) vastgelegd in het Beveiligingshandboek Gemeente Alphen aan den Rijn. Het beveiligingshandboek word onder de verantwoordelijkheid van de functionaris Informatiebeveiliging opgesteld en onderhouden. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 6 van 22

8 2. Beleid Dit beveiligingsbeleid geeft de organisatie richting en ondersteuning voor informatiebeveiliging in overeenstemming met de eisen, relevante wetten en voorschriften. Het algemene informatiebeveiligingsbeleid voor de gemeente Alphen aan den Rijn is als volgt: De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn zijn beschikbaar en conform de afgesproken SLA s en andere vereisten. De technische en organisatorische inrichting van de informatiesystemen is zodanig van aard en opzet dat gedurende de reguliere openingstijden voor het publiek het informatiesysteem op jaarbasis voor 98 % beschikbaar is. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn treffen voor bovenstaande uitgangspunten de nodige maatregelen. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eis. Voor bepaalde informatiesystemen in het bijzonder GBA geldt dat de uitval nooit langer mag duren dan 48 uur ( 2 etmalen). Er zijn voldoende adequate voorzieningen getroffen om in geval van calamiteiten na maximaal 48 uur de dienstverlening aan de burger en aan derden ( waaronder afnemers en andere gemeenten die zijn aangesloten op de landelijke GBA-netwerk) te kunnen voorzetten. De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn kunnen alleen door rechtmatige, bevoegde gebruikers of instanties benaderd worden. De bevoegdheid van een persoon moet zijn afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon. Dit ter beoordeling van de eigenaar van de informatie, beheerders, of op aangeven van de direct leidinggevende van de betreffende persoon. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn treffen hiervoor de nodige maatregelen, zoals identificatie en authenticatie en logging. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn bevatten volledige, juiste en actuele informatie 1. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn hebben hiervoor de nodige maatregelen getroffen zoals identificatie en authenticatie, logging en bescherming van programmatuur en gegevens De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De gemeente Alphen aan den Rijn zal zodanige organisatorische, technische en fysieke maatregelen treffen dat op ieder gewenst moment de gegevens van het informatiesysteem kunnen worden gecontroleerd. 1 Als kwaliteitsnorm bij het bepalen van de kwaliteit van de gegevens wordt door de gemeente Alphen aan den Rijn een foutenpercentage geaccepteerd dat overeenkomt met de normstelling die bij de GBA wordt gehanteerd; te weten de gegevensklasse A, B, en. C met een foutenpercentage van respectievelijk 1, 5 en 10 %. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 7 van 22

9 De gemeente stelt dat het mogelijk is dat alle mutaties (het wijzigen en verwijderen) en raadplegingen van bestanden kunnen worden herleid op de individuele medewerker. Inclusief het tijdstip en de locatie. Dit geldt voor digitale en niet digitale gegevens zoals gebruikt worden binnen bijvoorbeeld de GBA en Sociale Zaken. Het herleiden van deze mutaties is voor de minimum vastgestelde wettelijke termijn mogelijk. Een controle op de mutatie en raadpleging moet altijd mogelijk zijn en blijven gedurende 1 jaar gerekend na aanmaak. De controle kan bestaan uit een intern of extern onderzoek. Voor het uitvoeren van een dergelijk intern of extern onderzoek wordt opdracht verstrekt aan zowel de controlerende instantie als aan de interne organisatie om hier aan mee te werken, De resultaten van deze onderzoeken worden in de vorm van een schriftelijke rapportage verantwoord aan het college van B&W. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De informatiesystemen, toepassingen en netwerken zijn in staat bedreigingen met betrekking tot beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid te weerstaan, en moeten bij manifestatie herstelbaar zijn. Wettelijke vereisten en overige verplichtingen Waar van toepassing zal de gemeente Alphen aan den Rijn voldoen aan de verplichtingen die voortvloeien uit de diverse wet en regelgeving waar onder; Archiefwet en regeling, Ambtenarenwet, Auteurswet, Comptabiliteitswet en voorschriften, Gemeentewet, Octrooirecht, Telecommunicatiewet, Wet BAG, Wet Bescherming Persoonsgegevens (WBP)., Wet Computercriminaliteit II, Wet GBA, Wet Werk en Bijstand De gemeente Alphen aan den Rijn zal zich conformeren aan de verplichtingen welke voortvloeien uit de koppelingen met: SuwiNet; ( Verantwoordingsrichtlijn GeVS 2011) Paspoortuitvoeringsregeling Nederland 2001 De gemeente Alphen aan den Rijn zal de beveiligingsnorm NEN-ISO/IEC en de hierop gebaseerde Baseline Informatiebeveiliging Nederlandse Gemeenten als uitgangspunt hanteren. Naast de genoemde normen voor beveiliging zal de gemeente de van toepassing zijnde beveiligingsrichtlijnen accepteren en implementeren. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 8 van 22

10 3. Beleidsgebieden Het algemene beleid zoals verwoord in hoofdstuk 2 wordt in dit hoofdstuk uitgewerkt in verscheidene beleidsgebieden te weten: Organisatie van de informatiebeveiliging; Beheer van bedrijfsmiddelen; Personeel; Fysieke beveiliging; Beheer van communicatie en bedieningsprocessen; Logische toegangsprocessen; Systeem ontwikkelen en onderhoud; Incident management; Continuïteitsplanning; Toezicht en naleving. Deze beleidsgebieden zijn conform de Baseline Informatiebeveiliging Nederlandse Gemeenten en de NEN-ISO/IEC norm 3.1 Organisatie van de informatiebeveiliging De gemeente Alphen aan den Rijn stelt dat alle medewerkers een rol hebben binnen de informatiebeveiliging, deze rol met de bijbehorende verantwoordelijkheden zijn voor een ieder nader vastgesteld. Alle gebruikers van informatiesystemen, applicaties en netwerken zijn voorzien van de noodzakelijke beveiligingsrichtlijnen. Zij moeten zich risicobewust zijn van de beveiligingsaspecten en waar nodig zijn getraind en opgeleid. Een en ander zodanig dat zij invulling kunnen geven aan hun verantwoordelijkheden. Verantwoordelijkheid Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging (beslissende rol) van informatie binnen de bedrijfsprocessen van de gemeente. Binnen de gemeente is de bestuurlijke portefeuillehouder informatiebeveiliging aangewezen. Voor de dagelijkse gang van zaken is de rol van beveiligingsfunctionaris (Security Officer) ingevuld. Binnen de gemeente is een werkgroep informatiebeveiliging opgericht met deelnemers vanuit de gehele organisatie. Alle te onderkennen bedrijfsonderdelen zijn hierin vertegenwoordigd. Deze werkgroep wordt voorgezeten door de beveiligingsfunctionaris. Bepaling Risico s De gemeente Alphen aan den Rijn laat risicoanalyses op informatiebeveiliging uitvoeren voor alle binnen de reikwijdte vallende kritische bedrijfsprocessen. De gemeente legt de bedrijfskritische processen vast en onderhoudt hiervoor een agenda. Deze risicoanalyses omvatten de informatiesystemen, applicaties en netwerken welke gebruikt worden om deze bedrijfsprocessen te ondersteunen. Uit deze risicoanalyses worden de bijbehorende beveiligingsmaatregelen genomen. Risicoanalyses dienen te worden uitgevoerd voor alle nieuwe bedrijf kritische applicaties, systemen, netwerken en locaties. Tevens wordt er een wettelijk verplichte tweejaarlijkse risicoanalyse uitgevoerd op bestaande bedrijf kritische applicaties, systemen, netwerken en locaties, of eerder indien er aanleiding is bijvoorbeeld na een wijziging van bedrijf kritische applicaties, systemen en netwerken en/of locaties. Risico s welke voortkomen uit koppelingen met externe partijen worden geïdentificeerd. Er worden gepaste maatregelen getroffen voordat de toegang wordt gerealiseerd. Daarnaast zal de gemeente vanuit haar rol behoefte hebben aan koppelingen met diensten van derden, en/of gekoppeld worden Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 9 van 22

11 aan deze netwerken. Indien dit noodzakelijk is, worden deze risico s in kaart gebracht en worden passende maatregelen getroffen. Het realiseren van koppelingen met derden en afname van diensten zal gepaard gaan met eisen vanuit deze partijen. De gemeente Alphen aan den Rijn zet zich in om te voldoen aan deze eisen, echter zullen deze eisen niet mogen resulteren in een verminderende beveiliging binnen de gemeente. Na het bepalen van de risico s worden de voorstellen voor het treffen van de passende maatregelen voorgelegd aan het management van de gemeente. Indien er contracten zijn afgesloten voor het externe beheer van informatiesystemen of de opslag van gegevensdragers, bevatten deze contracten beveiligingsrichtlijnen welke in overeenstemming zijn met het beveiligingsniveau van de gemeente. Bij het afsluiten van dergelijke contracten worden de wettelijke vereisten meegenomen. De beveiliging van de informatie en ICT-voorzieningen van de gemeente Alphen aan den Rijn behoort niet te worden verminderd door het invoeren van producten of diensten van externe partijen. Beveiligingsplan Het beveiligingsbeleid geeft de kaders aan waarbinnen de informatiebeveiliging binnen de gemeente Alphen aan den Rijn wordt opgebouwd. De nadere uitwerking van dit beleid is gemaakt in het Beveiligingsplan Gemeente Alphen aan den Rijn. opgesteld onder de verantwoordelijkheid van het management. In dit plan is de beschrijving opgenomen met de stappen welke de organisatie denkt te nemen om verdere invulling te geven aan het beleid en de resultaten van de risicoanalyse en de eisen gesteld door derden. Het organiseren van informatiebeveiliging en invulling geven aan het beleid is niet een eenmalige actie en activiteit maar wordt als een continu proces gezien. De invulling moet regelmatig worden beoordeeld en indien noodzakelijk worden herzien en aangepast. Hiertoe werkt de gemeente conform de PDCA cyclus. Plan (ontwerp) In de ontwerpfase wordt het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn ontwikkeld en vastgesteld. Hierin worden de informatie-beveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor zorgen dat de risico s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business doelstellingen van de organisatie. De beveiligingsmaatregelen kunnen genomen worden op basis van de risicoanalyse en een kosten/batenanalyse. Do (implementeer) In deze fase worden het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn en de onderliggende procedures en maatregelen geïmplementeerd. Per informatiesysteem en/of proces worden verantwoordelijken aangewezen. Check (monitor en controleer) In deze fase wordt door middel van een interne audit gecontroleerd en waar mogelijk gemeten of het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn correct wordt uitgevoerd. Hiervan wordt een rapport uitgebracht aan het verantwoordelijke management en de Beveiligingsfunctionaris. Act (onderhoud en stel bij) In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op de resultaten van de interne audit. Waar nodig wordt het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn geactualiseerd. Uitbesteding werkzaamheden Diverse beheerstaken zijn uitbesteed. Deze beheer partij heeft de mogelijkheid om van afstand de systemen van de gemeente te bedienen in geval van calamiteiten en problemen. Door deze mogelijkheden kan deze partij ook kennis nemen van de informatie van de gemeente. De gemeente stelt dan ook dat zij van deze partij verwacht dat zij zich houden aan de gestelde Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 10 van 22

12 betrouwbaarheidseisen. Dit is contractueel vastgelegd en de gemeente is bevoegd controle ( te laten) uitoefenen. Jaarlijks verstrekt de gemeente opdracht voor de uitvoering van deze controle. Hierbij worden gestelde inkoopvoorwaarden getoetst. Doelgroepen Dit informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente: Doelgroep College van B&W Directie Lijnmanagement (proceseigenaren) Medewerkers Gegevenseigenaren Beleidmakers IB-functionarissen Personeelszaken Facilitaire zaken ICT-diensten (en -ontwikkelaars) Auditors Leveranciers en ketenpartners Relevantie voor IB-beleid Integrale verantwoordelijkheid Kaderstelling en implementatie Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: bepalen van beschermingseisen van informatie Planvorming binnen IB-kaders Dagelijkse coördinatie van IB Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Technische beveiliging Onafhankelijke toetsing Compliance Externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt).ook voor externe partijen geldt hierbij het comply or explain beginsel (pas toe of leg uit). Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan dit beleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast dit beleid ook een gemeentelijke procedure Aanvragen externe toegang Intranet. Het doel van de procedure is risicobeheersing. Cloud computing Voor externe hosting van data en/of services gelden naast dit beleid de richtlijnen voor cloud computing, de gemeente is gehouden aan: o regels omtrent grensoverschrijdend dataverkeer; o toezicht op naleving van regels door de externe partij(en); o hoogste beveiligingseisen voor bijzondere categorieën gegevens; o melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU). 3.2 Beheer van bedrijfsmiddelen De bedrijfsmiddelen zoals hardware, software en digitale en fysieke media zijn belangrijk voor de uitvoering van de bedrijfsprocessen binnen de organisatie. De bedrijfsmiddelen worden periodiek geïnventariseerd en beschreven. Deze beschrijving wordt actueel gehouden. Voor alle bedrijfsmiddelen is een eigenaar aangewezen. Deze eigenaren zijn verantwoordelijk voor het handhaven van de geschikte beheersmaatregelen. Het gebruik van BYOD wordt ondersteund door de gemeente tenzij er redenen zijn om hiervan af te wijken qua technische beperkingen etc. Daarnaast bied de gemeente Alphen aan den Rijn een open wifi aan. Aan de bijbehorende voorwaarden ten aanzien van informatiebeveiliging is voldaan Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 11 van 22

13 Classificatie Ten aanzien van informatie geldt tevens dat deze is geclassificeerd met betrekking tot de waarde, de wettelijke eisen, de gevoeligheid en de onmisbaarheid voor de gemeente Alphen aan den Rijn. Dit is van groot belang bij de behandeling van vertrouwelijke informatie ingegeven vanuit de wetgeving, bijvoorbeeld de Wet Bescherming Persoonsgegevens. Er zijn richtlijnen voor classificatie opgesteld in overeenstemming met het toegangsbeleid. Bij het opstellen van de classificatie wordt minimaal rekening gehouden met openbare informatie en niet openbare informatie. De medewerkers kennen deze richtlijnen handelen er naar. De richtlijnen gelden voor het kenbaar maken van gevoelige en vertrouwelijke informatie en het op de juiste wijze behandelen hiervan, zowel bij de verspreiding, het opbergen als het vernietigen. De classificatie is van toepassing op zowel de digitale als de fysieke vorm van informatie. 3.3 Personeel Personeel vormt een belangrijk onderdeel van de bedrijfsprocessen. Zonder het personeel zal geen bedrijfsproces worden uitgevoerd - de medewerkers vormen dan ook een belangrijke schakel in de informatiebeveiliging. De organisatie stelt dat er specifieke personeelsmaatregelen noodzakelijk zijn om de betrouwbaarheid van de bedrijfsprocessen te garanderen. Dit betekent dat de medewerkers op de hoogte moeten zijn en blijven van de voor hen geldende beveiligingsregels en -maatregelen. De gemeente heeft hiervoor een communicatiekanaal ingericht om de maatregelen bekend te maken. Daarnaast is de lijnmanager aanspreekpunt voor beveiligingsvragen. Indiensttreding van personeel Bij aanstelling worden nieuwe medewerkers, ingehuurd personeel en externe gebruikers op geschikte wijze gescreend, in het bijzonder voor vertrouwensfuncties. Bij de screening van personeel wordt rekening gehouden met de aard van de functie en aansluiting bij de geldende regelgeving (Ambtenarenrecht). De verantwoordelijkheden van iedere werknemer zijn vastgelegd in een bijbehorende functiebeschrijving. Vóór het dienstverband worden deze verantwoordelijkheden vastgelegd in de arbeidsvoorwaarden. Uitdiensttreding Als een medewerker, intern, ingehuurd of externe gebruiker de organisatie verlaat worden de toegekende toegangsrechten ingetrokken, en alle aan hem in bruikleen gegeven apparatuur en programmatuur dient te worden ingeleverd. Bewustwordingsproces Het is van belang dat een ieder zich bewust is van de mogelijke beveiligingsrisico s. Daartoe heeft de gemeente een bewustwordingsproces ontwikkeld, welk door alle medewerkers (intern en inhuur) gevolgd moet worden. Deze bewustwordingscampagne is afgestemd op de functie van de medewerker. Disciplinair proces Door de gemeente is een formeel disciplinair proces voor omgang met beveiligingsinbreuken vastgesteld, welk aansluit bij het Ambtenarenrecht. 3.4 Fysieke beveiliging Uitgangspunt is dat ICT-voorzieningen en data/informatie (zowel elektronisch als niet elektronisch) fysiek is ondergebracht in beveiligde ruimten en in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze worden fysiek beschermd tegen toegang door onbevoegden en tegen alle andere schade en storingen. Deze bescherming is in overeenstemming met de vastgestelde risico's, dit betekent dat bij de uit te voeren risicoanalyses de fysieke omgeving meegenomen wordt. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 12 van 22

14 Beveiliging apparatuur Apparatuur dient beschermd te zijn tegen fysieke bedreigingen en gevaren van buitenaf. Bescherming van apparatuur en data die buiten de locatie wordt gebruikt is noodzakelijk om het risico van toegang door onbevoegden tot deze informatie uit te sluiten en om de apparatuur en informatie te beschermen tegen verlies of schade. Verplaatsen of verwijderen van apparatuur Bij het verplaatsen of het verwijderen van (afgeschreven) apparatuur wordt hiermee rekening gehouden. Dit betekent dat de medewerkers bij het vervoer van apparatuur extra maatregelen moeten treffen tegen bijvoorbeeld diefstal en ongeautoriseerde waarneming. Daar waar mogelijk treft de gemeente in relatie tot het risico en mogelijke schade aanvullende maatregelen en zal de gemeente middelen ter beschikking stellen. 3.5 Beheer van communicatie en bedieningsprocessen Verantwoordelijkheden De verantwoordelijkheden en procedures voor beheer en bediening van alle ICT-voorzieningen zijn formeel vastgesteld. Om het risico van nalatigheid of het opzettelijke misbruik van de informatiesystemen te verminderen wordt er een scheiding van functies toegepast. Schadelijke software De gemeente voert een actief beleid om schade door computervirussen, Trojaanse paarden en ongeautoriseerde mobile code (software die zichzelf automatisch installeert) tot een minimum te beperken. De organisatie ondersteund daartoe het juiste gebruik van protectiemiddelen. Er worden bijzondere beheersmaatregelen getroffen om deze ongewenste software te ontdekken, te verwijderen en mobile code te beheersen. Back-up en recovery beleid Om de continuïteit van de processen verder te garanderen wordt er een actief back-up beleid met een bijbehorende back-upstrategie gevolgd. De eisen aan mogelijke minimale uitval zullen worden bepaald door de uitvoering van risicoanalyses, maar worden opgelegd vanuit wettelijke eisen en overeenkomsten. Vanuit de wet en regelgeving zoals GBA en BAG stellen verschillende systemen specifieke eisen aan de continuïteit en hierdoor aan het maken van back-ups. Regelmatig zal geoefend worden met het herstel van de gegevens. Aan de back-up omgeving worden uiteraard specifieke eisen gesteld. De back-up omgeving functioneert onder geconditioneerde omstandigheden waarbij de opslag niet aan dezelfde gevaren blootstaat als de oorspronkelijke locatie. Tevens is de back-up omgeving slechts toegankelijk voor geautoriseerde medewerkers. Beheer media Media behoren te worden beheerd en fysiek te worden beschermd. Er worden passende maatregelen getroffen om documenten, opslagmedia in- en uitvoergegevens en systeemdocumentatie te beschermen tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Er zijn procedures en normen vastgesteld ter bescherming van informatie en fysieke media die informatie bevatten, en media die wordt getransporteerd. Netwerkkoppelingen De gemeente maakt gebruik van netwerkkoppelingen en netwerken van en met derden. Ten aanzien van het beheer en de beveiliging hiervan worden door deze partijen extra aanvullende beveiligingeisen gesteld. De gemeente is zich bewust van haar verantwoordelijkheid en neemt de vereiste beheersmaatregelen. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 13 van 22

15 Indien er een uitwisseling van informatie tussen organisaties, zoals andere gemeenten of overheidsinstanties plaatsvindt, zal dit worden uitgevoerd op basis van een formeel uitwisselingsbeleid, in overeenstemming met relevante wet- en regelgeving. Loggegevens De loggegevens worden opgeslagen en worden alleen ingezien door de geautoriseerde medewerkers. De gegevens worden periodiek gecontroleerd en gerapporteerd aan het management. Tevens wordt er gebruik gemaakt van logbestanden van operators en storingsregistraties om te waarborgen dat de informatiesysteemproblemen worden vastgesteld. Wijzigingsbeheer De gemeente is zich er van bewust dat wijzigingen in ICT-voorzieningen en informatiesystemen op een beheerste en gecontroleerde wijze plaats moeten vinden. De verantwoordelijkheden voor het goedkeuren en doorvoeren voor de wijzigingen zijn vastgelegd om afdoende beheersing van alle wijzigingen aan apparatuur, programmatuur of procedures te waarborgen. Wijzigingen in IT voorzieningen en informatiesystemen zullen beoordeeld worden op het potentiële effect op de beveiliging voordat de wijziging wordt doorgevoerd. De wijzigingen zijn opgenomen in een auditlogbestand met alle relevante informatie. Gemeentelijk Cloud Computing beleid Het Cloud Computing beleid is nog in ontwikkeling bij de gemeente. Alvorens gebruik te maken van diensten op basis van Cloud Computing dient door het management een afgewogen keuze gemaakt te worden waarin alle argumenten worden meegewogen. Bij het afnemen van Cloud-diensten door de gemeente wordt geen verantwoordelijkheid overgedragen. De gemeente is en blijft verantwoordelijk voor de manier waarop een Cloud leverancier omgaat met informatiebeveiliging. In het geval van persoonsgegevens is dit geregeld in de WBP Artikel 14. Cloud Computing raakt alle maatregelen die de gemeente zelf neemt in de eigen infrastructuur. Deze maatregelen worden vervolgens gedeeld door de Cloud leverancier en door de gemeente getoetst. 1. Het management is en blijft verantwoordelijk voor de gegevens en diensten die zij in de Cloud opslaat en gebruikt, en dient een afgewogen keuze te maken of een informatiesysteem in de Cloud gebruikt mag en kan worden. 2. Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager. 3. De gemeenten blijft verantwoordelijk voor de betrouwbaarheid (beschikbaarheid, exclusiviteit en integriteit) van uitbestede diensten. 4. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheids eis van een ICT-voorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald, zoals automatisch werkende mechanismen om uitval van (fysieke) ICT-voorzieningen, waaronder verbindingen op te vangen. Bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen. 5. Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten. 6. Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. 7. Er zijn continuïteitsplannen voor het herstel van incidenten, zoals aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven. 8. Bij transport van vertrouwelijke informatie over onbetrouwbare netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. 9. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware. 10. Er worden afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer. 11. De in de bewerkersovereenkomst of dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord. Dit kan bijvoorbeeld door audits of rapportages en gebeurt minimaal eens per jaar (voor ieder systeem). Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 14 van 22

16 12. Er zijn voor beide partijen eenduidige aanspreekpunten. 13. In het geval van verwerken van persoonsgegevens is er een bewerkersovereenkomst waarin helder alle rechten en plichten van de leverancier en gemeente zijn vastgelegd. De vastgelegde beveiligingsmaatregelen worden jaarlijks door de gemeente geaudit bij de leverancier (zie ook 11). 3.6 Logische toegangsbeveiliging Toegang tot systemen en netwerken Binnen de gemeente wordt gebruik gemaakt van digitale en niet digitale informatie. De gemeente is zich er van bewust dat deze informatie beveiligd moet worden tegen ongeautoriseerde kennisname, en wijzigingen. Er zijn formele procedures voor de beheersing van toewijzing van toegangsrechten tot informatiesystemen en -diensten. Gebruikersaccount Een toegang is persoonlijk en gebonden aan een medewerker. Een nieuwe medewerker zal slechts mogen werken als deze zijn persoonlijke inloggegevens (gebruikersaccount en wachtwoord ) heeft ontvangen. De gemeente treft beveiligingsvoorzieningen om toegang tot en binnen toepassingssystemen te beperken. De logische toegang tot toepassingsprogrammatuur en informatie behoort te worden beperkt tot bevoegde gebruikers. Toepassingssystemen behoren: de toegang tot de functies van de informatie- en toepassingssystemen te beheersen in overeenstemming met het vastgestelde toegangsbeleid; bescherming te bieden tegen onbevoegde toegang tot alle hulpprogramma s, programmatuur van het besturingssysteem en virussen waarmee beheersmaatregelen in systemen of toepassingen kunnen worden gepasseerd; de beveiliging niet in gevaar te brengen van andere systemen waarmee informatiebronnen worden gedeeld. Als een medewerker de organisatie verlaat, wordt zijn account geblokkeerd en verwijderd. Extra aandacht vragen accounts met speciale toegangsrechten. Met deze rechten zijn gebruikers in staat meer handelingen op het systeem uit te voeren, en is veel informatie en data in te zien. Deze accounts zullen dan streng gecontroleerd worden. Verantwoordelijkheid Een doeltreffende beveiliging is afhankelijk van de medewerking van geautoriseerde gebruikers. Zij moeten hun verantwoordelijkheid voor het handhaven van doeltreffende toegangsbeveiliging nemen, vooral met betrekking tot het gebruik van wachtwoorden en de beveiliging van gebruikersapparatuur. Opslag informatie Binnen de organisatie wordt gebruik gemaakt van dossiers, brieven en dergelijke. Naast de beveiliging van de digitale informatie moeten deze dossiers, brieven en dergelijk ook worden beveiligd. De gemeente draagt het beleid uit om deze informatie in een afgesloten opbergruimte op te slaan om het risico van ongeoorloofde toegang of schade aan papieren media te verminderen. Draagbare computerapparatuur Er worden geschikte beschermingsmaatregelen genomen bij telewerken of werken op afstand. De organisatie beschermd daar waar mogelijk de locatie waar en de apparatuur waarmee het telewerken plaatsvindt en te waarborgen dat geschikte voorzieningen zijn aangebracht voor deze manier van werken. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 15 van 22

17 3.7 Systeem ontwikkeling en onderhoud De organisatie ontwikkelt zelf geen systemen maar heeft de ontwikkeling uitbesteed. Bij de gebruikersovereenkomsten zal de gemeente van de partij eisen dat de beveiligingseisen in het te ontwikkelen systeem worden meegenomen. Ontwerp en implementatie van het informatiesysteem dat het bedrijfsproces ondersteund kunnen van doorslaggevend belang zijn voor de beveiliging. Beveiligingseisen behoren voorafgaand aan de ontwikkeling en/of implementatie van informatiesystemen te worden vastgesteld en overeengekomen. Alle beveiligingseisen behoren te worden vastgesteld tijdens de specificatie van de eisen voor het project en behoren te worden verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale aanschaf van het informatiesysteem. Voor systemen waarop gevoelige, waardevolle of kritische informatie wordt verwerkt, of die invloed hebben op deze informatie, kunnen aanvullende beheersmaatregelen vereist zijn. Dergelijke beheersmaatregelen behoren te worden opgesteld op basis van de interne en externe beveiligingseisen en een risicobeoordeling. Toegang tot systeembestanden Bij het verlenen van autorisatie en toegang wordt extra aandacht besteed aan de toegang tot systeembestanden en programmabroncode. De gemeente verbiedt het gebruik van productiedata en productiedatabases in testomgevingen en vice versa. De testdata wordt voor dit doel geanonimiseerd De productiedata zal uitsluitend binnen de gemeente op productiesystemen worden gebruikt. Risicomanagement Om de technische kwetsbaarheid van de ICT-voorzieningen te verminderen behoort risicomanagement op een doeltreffende, systematische en herhaalbare wijze geïmplementeerd te worden, met bijhorende metingen om de doeltreffendheid ervan te bevestigen. In deze overwegingen behoren besturingssystemen en alle andere gebruikte toepassingen te worden meegenomen. 3.8 Incident management Er is een formeel proces voor rapportage van gebeurtenissen en escalatie ingericht. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. Zij zijn verplicht om alle (informatie) beveiligingsincidenten en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. Rapportage beveiligingsincidenten Door de daartoe aangewezen verantwoordelijken wordt doeltreffend gehandeld op de rapportage van (informatie)beveiligingsincidenten en zwakke plekken. Er is een proces van continue verbetering ingericht, gericht op het reageren op, het controleren van, het beoordelen en beheer van (informatie)beveiligingsincidenten. Om naleving van wettelijke eisen te waarborgen behoort afdoende bewijs te worden verzameld. 3.9 Continuïteitsplanning De bedrijfscontinuïteit van de informatiesystemen wordt als belangrijk gezien. Als informatie een bepaalde periode niet beschikbaar is, kan de gemeente haar burgers niet meer bedienen. De wet en regelgevingen GBA en BAG stellen specifieke eisen aan de beschikbaarheid van de bedrijfsprocessen. De gemeente stelt vast dat er diverse maatregelen getroffen worden om te zorgen dat uitval van de processen tot een minimum wordt beperkt. Echter erkent de gemeente dat er altijd situaties kunnen optreden dat deze maatregelen niet meer zullen voldoen. De gemeente heeft een beheerproces van bedrijfscontinuïteit geïmplementeerd om de uitwerking op de organisatie, veroorzaakt door het verlies Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 16 van 22

18 van informatie (als gevolg van bijvoorbeeld natuurrampen, ongevallen, uitval van apparatuur en opzettelijke handelingen) en het herstellen daarvan, tot een aanvaardbaar niveau te beperken. Identificatie bedrijfsprocessen Om inzage te krijgen in het belang van de te onderkennen bedrijfsprocessen zullen alle processen beoordeeld worden op hun aard. Er is een proces aanwezig welke de kritische bedrijfsprocessen identificeert. Het behoort de informatiebeveiligingseisen voor de bedrijfscontinuïteit te integreren met andere continuïteiteisen, zoals die zijn bepaald voor personeel, operaties (bijv. verhuizingen), materialen, transport en voorzieningen. Business impact analyse De gevolgen van rampen, beveiligingsincidenten, uitval van diensten en de beschikbaarheid van diensten behoren te worden beoordeeld aan de hand van een business impact analyse. Er zijn continuïteitsplannen ontwikkeld en geïmplementeerd om het tijdig hervatten van essentiële bedrijfsprocessen te waarborgen. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteit proces en andere beheerprocessen binnen de organisatie. Het beheerproces van bedrijfscontinuïteit behoort beheersmaatregelen te omvatten voor het identificeren en verminderen van risico's, als aanvulling op het algemene risicobeoordelingsproces, het beperken van de consequenties van incidenten die schade toebrengen en veiligstellen dat informatie die vereist is voor het bedrijfsproces vlot weer beschikbaar is. Uitwijk Vanuit de wet en regelgeving is aangeven dat het GBA en BAG systeem binnen 48 uur na uitval weer volledig operationeel moeten zijn. Dit houdt in dat de gemeente maatregelen getroffen heeft om aan deze eisen te voldoen. In veel gevallen zullen de werkzaamheden op de huidige locatie voortgezet kunnen worden, maar in uitzonderlijke omstandigheden zal een uitwijk noodzakelijk zijn. De gemeente zal hiervoor passende maatregelen treffen: hierbij zullen niet alleen de technische voorzieningen aanwezig zijn. Er zullen ondersteunende maatregelen (zoals opslag van noodzakelijke documentatie en andere bedrijfsmiddelen) getroffen worden om de voortgang van het proces te waarborgen Toezicht en Naleving De gemeente Alphen aan den Rijn leeft de relevante wettelijke en regelgevende eisen en contractuele verplichtingen na. Hiervoor zijn passende maatregelen getroffen binnen de organisatie. Specifiek betreft het de wettelijke vereisten vanuit: Wet Bescherming Persoonsgegevens; Auteurswet; Wet Computer Criminaliteit; Archiefwet; Basisregistraties voor Adressen en Gebouwen (BAG); Gemeentelijke Basisadministratie ( GBA); SuwiNet. Paspoortuitvoeringsregeling Nederland De maatregelen zijn getroffen voor zowel de bediening, het gebruik als het beheer van informatiesystemen. De gemeente zal bij haar activiteiten de relevante wet- en regelgeving nauwlettend in de gaten houden en daar waar nodig hieraan verdere invulling geven. Indien de gemeente besluit een informatiesysteem te laten ontwerpen zal bij de ontwikkeling de relevante wet- en regelgeving moeten worden betrokken. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 17 van 22

19 Advisering Ten aanzien van specifieke juridische eisen zal de organisatie advies in winnen bij interne en/of externe juridische adviseurs. Beoordeling informatiesystemen De gemeente laat periodiek haar informatiesystemen beoordelen op basis van het informatiebeveiligingsbeleid. De beoordeling van de technische platforms en informatiesystemen vindt plaats op de naleving van de toepasselijke normen voor de invoering van de beveiliging en gedocumenteerde beveiligingsmaatregelen (naar opzet, bestaan en werking). De wettelijk verplichte beoordeling van het informatiesysteem kan zowel door een intern deskundige als door een externe, onafhankelijke partij plaatsvinden. Over deze audit wordt gerapporteerd aan het management. ICT en externe hosting providers leggen verantwoording af aan de gemeente over de naleving van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd (TPM of ISAE3402-verklaring). Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 18 van 22

20 4. Verantwoordelijkheden met betrekking tot beveiliging In deze paragraaf worden uitsluitend de verantwoordelijkheden met betrekking tot de beveiliging aangegeven. 4.1 Algemene verantwoordelijkheden Het totale personeel werkend voor de organisatie heeft de verplichting om: De aan hun toevertrouwde hardware, software en informatie te beschermen. Digitaal en niet digitaal Introductie van schadelijke software op de IT systemen van de organisatie te voorkomen. Elke verdachte of actuele bedreiging van de beveiliging te rapporteren. Verantwoordelijkheid voor de implementatie van het beleid voor wat betreft ICT-voorzieningen en gebruik hiervan binnen de organisatie, is verder gedelegeerd aan de manager I&A. De medewerk(st)ers van de gemeentelijke organisatie zijn zelf verantwoordelijk voor alle aspecten van beveiliging met betrekking tot de eigen functie. Dat betekent het in acht nemen van zorgvuldigheid bij het omgaan van informatie (en technologie). 4.2 Verantwoordelijkheden management Het management van de gemeente Alphen aan den Rijn is verantwoordelijk voor: Het tot stand komen van het informatiebeveiligingsbeleid als basis voor de informatiebeveiliging van de organisatie. Beleggen van de verantwoordelijkheden voor de informatiebeveiliging. Benoemen van een functionaris in het kader van de Wet Bescherming Persoonsgegevens (WBP). Waarborgen dat daar waar van toepassing, medewerkers training ondergaan op het vlak van ICTbeveiligingsbewustzijn. 4.3 Verantwoordelijkheden Beveiligingsfunctionaris De beveiligingsfunctionaris is verantwoordelijk voor: Voorzitten van de werkgroep informatiebeveiliging. Het acteren als een centraal aanspreekpunt voor informatiebeveiliging binnen de organisatie, voor zowel interne medewerkers als externe organisaties. Implementeren van een effectief kader voor beveiliging. Ondersteunen bij het formuleren van het informatiebeveiligingsbeleid. Het mede adviseren over de inhoud en implementatie van het informatiebeveiligingsprogramma. Het coördineren van het opstellen en aanpassen van organisatiestandaards, procedures en handleidingen voor informatiebeveiliging en deze ter goedkeuring aanbieden aan het managementforum voor informatiebeveiliging. Beheer van en het toezicht op de naleving van de beveiligingsprocedures t.a.v.: Paspoortuitvoeringsregeling Nederland Coördinatie van informatiebeveiligingsactiviteiten en in het bijzonder met betrekking tot gemeenschappelijk gebruikte informatiesystemen en IT infrastructuren. Het onderhouden van contacten met externe organisaties betreffende informatiebeveiliging. 4.4 Verantwoordelijkheden functionaris ICT Beveiliging (beveiligingsmedewerker) De functionaris ICT-beveiliging is verantwoordelijk voor: Deelname in de werkgroep informatiebeveiliging. Rapporteren aan de beveiligingsfunctionaris over aangelegenheden m.b.t. ICT-beveiliging. Opstellen, onderhouden en uitdragen van richtlijnen over en behouden van overzicht bij de implementatie van de ICT-beveiliging. De organisatie vertegenwoordigen in interne en externe commissies m.b.t. ICT-beveiliging. Waarborgen dat de risico's voor IT-systemen gereduceerd zijn tot een acceptabel niveau door het toepassen van beveiligingsmaatregelen vastgesteld op basis van een risicoanalyse. Waarborgen dat de toepassing en/of ontwikkeling van de vereiste standaards en procedures in Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 19 van 22

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Internet Beveiliging en Privacy (IBP) Beleid Aloysius Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

INFORMATIEBEVEILIGINGSBELEID DELFLAND

INFORMATIEBEVEILIGINGSBELEID DELFLAND INFORMATIEBEVEILIGINGSBELEID DELFLAND INHOUD 1. Inleiding 3 1.1 Context 3 1.2 van informatiebeveiliging 3 1.3 Componenten van informatiebeveiliging 4 1.4 Wettelijke basis 4 1.5 Standaarden 5 1.6 Scope

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

2015; definitief Verslag van bevindingen

2015; definitief Verslag van bevindingen Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Datalek dichten en voorkomen. 21 april 2017

Datalek dichten en voorkomen. 21 april 2017 Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Bijlage Gegevensverwerking. Artikel 1 - Definities

Bijlage Gegevensverwerking. Artikel 1 - Definities Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting & 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017 Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Bewerkersovereenkomst Wet bescherming persoonsgegevens Bewerkersovereenkomst Wet bescherming persoonsgegevens behorende bij de overeenkomst Medische advisering Participatie met kenmerk 1100070198 Partijen: 1. De gemeente Utrecht, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy De nieuwe EU - GDPR - AVG Privacy wetgeving Op 27 april 2016 is de nieuwe Europese General Data Protection Regulation (GDPR) vastgesteld, in Nederland bekend als de Algemene Verordening Gegevensbescherming

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst 1 Bewerkersovereenkomst Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente Doetinchem met de (nader in te vullen) bewerker. Het college van burgemeester en wethouders van de gemeente

Nadere informatie

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid t.ahl {l_.,_ 1Sk'? \ ~\,A. 130 ~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid INGEKOMEN 1 0 FEB 2016 Gemeente Heusden > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs De uitgangspunten van deze Bewerkersovereenkomst sluiten aan bij de bepalingen in de Wet bescherming persoonsgegevens (hierna: Wbp), en de uitgangspunten

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland Cloud Computing Bijzondere inkoopvoorwaarden Hoogheemraadschap van Delfland Inhoud 1 INKOOPVOORWAARDEN CLOUD COMPUTING... 3 1.1 ARTIKEL 1 - DEFINITIES... 3 1.2 Artikel 2 Dienstverlening algemeen... 3 1.3

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst. Interne beheersing: Aan assurance verwante opdrachten 2010 Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening Kwaliteitsonderzoek is het accountantskantoor geselecteerd voor een

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie