Richtlijn beveiliging persoons- en IAA gegevens bij datacommunicatie voor DKD. Versie 1.0 Datum: 26 februari 2007

Maat: px
Weergave met pagina beginnen:

Download "Richtlijn beveiliging persoons- en IAA gegevens bij datacommunicatie voor DKD. Versie 1.0 Datum: 26 februari 2007"

Transcriptie

1 Richtlijn beveiliging persoons- en IAA gegevens bij datacommunicatie voor DKD Versie 1.0 Datum: 26 februari 2007

2 Inhoudsopgave 1. INLEIDING ALGEMEEN DOELSTELLING DOCUMENT SCOPE BRONVERMELDING VERSIEGESCHIEDENIS GOEDKEURING EN ONDERHOUD IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE TOELICHTING BEGRIPPEN UITGANGSPUNTEN BEVEILIGING PERSOONS- EN IAA GEGEVENS EISEN BEVEILIGING PERSOONS- EN IAA GEGEVENS CLASSIFICERING PERSOONS- EN IAA GEGEVENS CLASSIFICERING PERSOONS- EN IAA GEGEVENS BEVEILIGING VAN PERSOONS- EN IAA GEGEVENS DIGITALE CERTIFICATEN UNIEKE IDENTITEIT MIDDELS DIGITAAL CERTIFICAAT INTERNE EN EXTERNE CERTIFICATEN OPLOSSINGEN BESCHRIJVING OPLOSSINGEN BINNEN DE TRUSTED NETWERKDOMEINEN VAN DE SUWINET PARTIJEN BESCHRIJVING OPLOSSINGEN VOOR GEGEVENSUITWISSELING MET EXTERNE PARTIJEN CONCLUSIE OPLOSSINGEN Pagina 2 van 16

3 1. Inleiding 1.1 Algemeen Binnen de keten van werk en inkomen vindt op grote schaal gegevensuitwisseling plaats. Wettelijke kaders vragen om zorgvuldige omgang en beveiliging van persoonsgegevens bij gegevensuitwisseling over netwerken. Voorkomen moet worden dat onbevoegde personen of processen toegang krijgen tot gegevens. Specifieke aandacht voor beveiliging wordt gevraagd vanuit de Wet Bescherming Persoonsgegevens en de Wet SUWI bij gegevensuitwisseling over netwerken. Bij datacommunicatie over netwerken moeten de zender en ontvanger zekerheid hebben over elkaars identiteit. Hiernaast mogen persoonsgegevens gedurende het gegevensuitwisselingsproces niet onbevoegd gelezen of gemuteerd worden. Regelmatig worden vanuit de verschillende deelprojecten binnen het DKD programma vraagstukken neergelegd bij de werkgroep beveiliging en privacy over hoe invulling moet worden gegeven aan bovengenoemde eisen. Geconstateerd is dat het huidige Suwinet-Normenkader en de Ketenarchitectuur geen heldere uitspraken doet over het identificatie, authenticatie en autorisatieproces van applicaties en (web)services bij gegevensuitwisseling en hiervoor oplossingen aandraagt. De Domeingroep Privacy & Beveiliging (DPB) heeft dan ook de werkgroep beveiliging en privacy van DKD gevraagd een Richtlijn te schrijven om in deze leemte te voorzien. De richtlijn moet een antwoord geven op de volgende vraagstukken: 1. Het vraagstuk van identificatie, authenticatie en autorisatie (IAA) van applicaties en (web)services bij gegevensuitwisseling over netwerken. 2. Het wel of niet versleuteld uitwisselen van persoonsgegevens over netwerken. De Wet Bescherming Persoonsgegevens geeft via de Handreiking Achtergrond Studies en Verkenningen 23 (AV-23) een methodiek aan voor het classificeren van persoonsgegevens waarvoor passende beveiligingsmaatregelen getroffen moeten worden bij gegevensuitwisseling over netwerken. AV-23 geeft echter alleen richtlijnen voor het classificeren van persoonsgegevens en de eisen voor versleuteling van persoonsgegevens. Binnen AV-23 worden echter ook eisen gesteld aan IAA gegevens bij berichtuitwisseling over netwerken. AV-23 gaat vervolgens niet in op de eisen voor beveiliging van de IAA gegevens zelf. In deze richtlijn wordt dan ook nader aandacht besteed aan de classificatie en beveiliging van de IAA gegevens en oplossingen voor het identificatie, authenticatie en autorisatievraagstuk bij gegevensuitwisseling over netwerken tussen applicaties en (web)services alsmede het wel of niet moeten versleutelen van de datalijnen. De richtlijn vormt hiermee een aanvulling en nadere uitwerking van de eisen met betrekking tot IAA gegevens van applicaties en (web)services binnen de Ketenarchitectuur en Normenkader voor Suwinet. Bij de volgende onderhoudsbeurt zal het Suwinet-Normenkader en de Ketenarchitectuur dan ook in lijn moeten worden gebracht met de uitgangspunten en oplossingsrichtingen in deze richtlijn. 1.2 Doelstelling document Het inventariseren van de (wettelijke) beveiligingseisen en het maken van een vertaalslag van de beveiligingseisen en uitgangspunten naar praktische oplossingen, welke de eigenaren van keten applicaties en (web)services kunnen implementeren bij gegevensuitwisseling voor het kunnen identificeren, authenticeren en autoriseren van applicaties en (web)services en het wel of niet moeten versleutelen van datalijnen. Pagina 3 van 16

4 1.3 Scope De in dit document beschreven (wettelijke) kaders zijn bindend voor alle applicaties en (web)services binnen de keten van werk en inkomen en binnen het trusted netwerkdomein van de ketenpartijen. De handreiking beperkt zich enkel tot het kunnen identificeren, authenticeren en autoriseren van applicaties en (web)services bij gegevensuitwisseling. De proceseigenaren zullen hiernaast ook invulling moeten geven aan de overige beveiligingseisen uit het Suwinet-Normenkader. Voor identificatie, authenticatie en autorisatie van personen wordt verwezen naar de oplossing zoals operationeel voor Suwinet-Inkijk. 1.4 Bronvermelding Ketenarchitectuur versie 1.0 Verantwoordingsrichtlijn Suwinet versie 2.0 Tactisch Beleid B&P UWV Classificatiemodel versie 1.0 PSA Digitaal Klantdossier UWV 2006 versie 0.9 Achtergrond Studies en Verkenningen 23 (AV-23) van CBP Artikelen Webservices technologie van GvIB Vincent Alwicher Versiegeschiedenis Versie Datum Verschil met voorgaande versie januari 2007 Eerste versie structuur februari 2007 Aanpassing na review van werkgroep DKD Privacy en Beveiliging februari 2007 Definitieve versie 1.6 Goedkeuring en onderhoud Dit document is opgesteld door de werkgroep DKD Privacy en Beveiliging en binnen de Domeingroep Privacy en Beveiliging afgestemd met de CWI, UWV, SVB, CP/ICT, BKWI en IB. Het document is op xx-xx-2007 vastgesteld door het Algemeen Keten- Overleg (AKO). De Richtlijn beveiliging persoons- en IAA gegevens bij datacommunicatie is een nadere uitwerking van de identificatie, authenticatie en autorisatie eisen uit de Ketenarchitectuur en het Suwinet-Normenkader. Derhalve vindt goedkeuring van de Richtlijn beveiliging persoons- en IAA gegevens bij datacommunicatie plaats binnen de Domeingroep Privacy en Beveiliging (DPB). Onderhoud van dit document wordt gedaan door de Domeingroep Privacy en Beveiliging of door een andere partij in opdracht van de DPB. Pagina 4 van 16

5 2. Identificatie, authenticatie en autorisatie 2.1 Toelichting begrippen Identificatie is het kenbaar maken van de identiteit van een subject (een gebruiker, een apparaat of een proces) in de informatietechnologie. Authenticatie is vervolgens het, met een bepaalde mate van zekerheid, vaststellen dat de identiteit juist is en behoort bij het subject dat zich identificeert. De identiteit wordt gebruikt om de toegang van het subject tot een object te beheersen. Een object is bijvoorbeeld een computerbestand of een record in een database. Identificatie en authenticatie kan op verschillende manieren plaatsvinden zoals: Gebruik van een gebruikersnaam of user-id plus een wachtwoord in een inlogscherm; Gebruik van een user-id in combinatie met een vingerafdruk of een ander biometrisch kenmerk; Gebruik van een user-id in combinatie met een token (zoals een smartcard); Gebruik van een IP-nummer of MAC-adres in combinatie met een server certificaat. Vanuit de optiek van informatiebeveiliging is identificatie van een subject de eerste stap in het autorisatieproces. De tweede stap is authenticatie, het vaststellen van de juistheid van de opgegeven identiteit. De derde stap in dit proces is autorisatie, het vaststellen of het subject toegang tot het object mag verkrijgen. Als vierde stap kan worden genoemd het vaststellen of het subject namens een ander subject is gemachtigd taken uit te voeren en waarvoor dit andere subject autorisatie verleent. Het machtigen valt buiten de scope van dit document en in het vervolg van het document zal over identificatie, authenticatie en autorisatie worden gesproken als IAA gegevens. Om de identiteit op een zinvolle manier te gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. Doorgaans gebeurt dit door aan iedere gebruiker van een informatievoorziening en aan elk geautomatiseerd proces een unieke gebruikersnaam toe te kennen en hieraan een biologisch kenmerk te koppelen of te beveiligen met een (persoonlijk) wachtwoord dat de gebruiker dan ook geheim moet houden, of een digitaal certificaat. De identiteit wordt niet alleen gebruikt om de toegang te bepalen, maar ook om het gebruik ervan voor latere analyse vast te leggen in een audit-log bestand. 2.2 Uitgangspunten beveiliging persoons- en IAA gegevens De ontwikkelingen die samenhangen met informatie- en communicatietechnologie (ICT) beïnvloeden in steeds sterkere mate de bedrijfsvoering van organisaties in de publieke en private sector. Zo streven al deze organisaties ernaar om persoonsgegevens en bedrijfsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Zonder identificatie, authenticatie en autorisatie mag dan ook geen verwerking of inzage van persoonsgegevens of bedrijfsgegevens plaatsvinden. De eisen voor identificatie, authenticatie en autorisatie kunnen dan ook komen vanuit wettelijke kaders of bedrijfsinterne richtlijnen ter bescherming van de persoonsgegevens of bedrijfsgegevens. Persoonsgegevens De beveiliging van gegevens betreffende identificeerbare personen, persoonsgegevens, is een onderdeel van het recht op privacybescherming. Dit recht is verankerd in internationale verdragen, in Europese wetgeving, in de Grondwet en in nationale Pagina 5 van 16

6 wetgeving. In Nederland vormt de wet bescherming persoonsgegevens (WBP) het algemene kader. Het College Bescherming Persoonsgegevens (CBP) geeft via de handreiking Achtergrond Studies en Verkenningen 23 (AV-23) een methodiek voor het classificeren van persoonsgegevens waarvoor in verschillende toepassingsgebieden passende beveiligingsmaatregelen getroffen moeten worden. Niet geautoriseerde subjecten mogen dan ook - vanuit AV-23 - geen toegang kunnen verkrijgen tot persoonsgegevens binnen de objecten. Het is dus dat de (SUWI) ketenpartijen maatregelen en procedures hebben getroffen en geïmplementeerd om te voorkomen dat onbevoegde personen of processen toegang hebben tot bestanden met persoonsgegevens. Personen of processen krijgen toegang tot bestanden of programmatuur na een positief doorlopen identificatie, authenticatie en autorisatieproces. De identificatie, authenticatie en autorisatie bepalen in feite de effectiviteit van de door ketenpartijen getroffen procedures en geïmplementeerde maatregelen voor het beschermen van de privacygevoelige persoonsgegevens binnen bestanden. AV-23 geeft richtlijnen voor het classificeren van persoonsgegevens en stelt hiermee indirect ook eisen aan authenticatie- en autorisatie bij uitwisseling van deze persoonsgegevens over netwerken. Bedrijfsgegevens Bedrijfsgegevens zijn gegevens over het (verloop van het) bedrijfsproces voorkomend in informatiesystemen. Informatiesystemen en bijbehorende bedrijfsgegevens worden geclassificeerd op basis van hun eigenschappen, het belang van het informatiesysteem voor de keten van werk en inkomen en de frequentie van gebruik. Hiernaast vallen ook de beheer en loggegevens binnen informatiesystemen tot de bedrijfsgegevens welke geclassificeerd en beveiligd moeten worden. Binnen de processen van de ketenpartijen lopen de bedrijfsgegevens en persoonsgegevens vaak door elkaar heen. Voor de beveiliging van de bedrijfsgegevens worden vaak interne richtlijnen dan wel eisen gehanteerd door de ketenpartijen voor authenticatie en autorisatie bij uitwisseling van bedrijfsgegevens over netwerken. 2.3 Eisen beveiliging persoons- en IAA gegevens Uitgangspunt bij het gebruik en de beveiliging van persoons- en IAA gegevens is de vigerende wetgeving en het binnen de keten van werk en inkomen gehanteerde beveiligingsbeleid en Suwinet-Normenkader. Het gebruik en de beveiliging van de persoons- en IAA gegevens dient gebaseerd te worden op het Stelselontwerp-Suwinet, het Suwinet-Normenkader, de Wet Bescherming Persoonsgegevens (WBP), het Voorschrift Informatiebeveiliging Rijksdiensten met betrekking tot Bijzondere Informatie (VIR-BI), en de Handreiking Achtergrond Studies en Verkenningen (AV-23). Hieronder worden de belangrijkste beveiligingseisen uit deze genoemde kaders cursief weergegeven. Binnen de Suwiketen worden voornamelijk persoonsgegevens verwerkt. Het overgrote deel van de set van uitgewisselde gegevens binnen de Suwiketen valt in risicoklasse II (AV-23). Bij gegevensuitwisseling over netwerken mogen de persoonsgegevens niet onbevoegd kunnen worden gelezen (vertrouwelijkheid) en/of gewijzigd (integriteit). Binnen het trusted netwerkdomein van de ketenpartijen mogen persoonsgegevens geclassificeerd als risicoklasse II zonder versleuteling (van de datalijn) uitgewisseld worden. Versleuteling (van de datalijn) heeft echter wel de voorkeur en de Suwipartijen hebben besloten het gehele netwerkverkeer te zullen versleutelen. Pagina 6 van 16

7 Bij gegevensuitwisseling tussen ketenpartijen over de Suwinet-Infrastructuur is versleuteling van de datalijn wel een e voor persoonsgegevens geclassificeerd als risicoklasse II. Bij gegevensuitwisseling tussen ketenpartijen met externe partijen is versleuteling van de datalijn een e voor persoonsgegevens geclassificeerd als risicoklasse II. Het versleutelen van de persoonsgegevens (berichten) zelf bij de gegevensuitwisseling biedt in dit kader dezelfde waarborgen. Een aantal gegevens waaronder de medische gegevens en de gegevens van VIP s in de POLIS administratie van UWV vallen in risicoklasse III (AV-23). Bij gegevensuitwisseling van persoonsgegevens van risicoklasse III zowel binnen het trusted netwerkdomein van de ketenpartijen als over netwerken met externe partijen is minimaal versleuteling van de datalijnen een e. Het versleutelen van de persoonsgegevens (berichten) zelf bij de gegevensuitwisseling biedt in dit kader dezelfde waarborgen. Om te voorkomen dat persoonsgegevens onbevoegd kunnen worden gelezen (vertrouwelijkheid) en/of gewijzigd (integriteit) moeten niet alleen de persoonsgegevens zelf worden beveiligd maar ook die gegevens die de toegang tot persoonsgegevens verschaffen, te weten IAA gegevens. IAA gegevens moeten worden beveiligd om de vertrouwelijkheid en integriteit van persoonsgegevens en bedrijfsgegevens te kunnen waarborgen. AV-23 is een handreiking en in principe niet verplicht. Binnen de Suwiketen is het echter wel verplicht doordat Bijlage XIV bij de ministeriele Regeling SUWI mede op basis van AV23 is opgesteld. In AV-23 wordt onder meer dat bij datacommunicatie zowel de zender als de ontvanger van persoonsgegevens zich moeten verzekeren van elkaars identiteit en dat de authenticatie en autorisatiegegevens niet door onbevoegden kunnen worden onderschept of misbruikt. Dit leidt impliciet tot de eis dat deze gegevens versleuteld uitgewisseld moeten worden. IAA gegevens mogen niet onbevoegd kunnen worden gelezen (vertrouwelijkheid) en/of gewijzigd (integriteit). De mate waarin persoonsgegevens moeten zijn beveiligd is afhankelijk van de gevoeligheid van de betrokken gegevens. Vandaar dat gebruik wordt gemaakt van een indeling in risicoklassen. Het is daarom logisch te veronderstellen dat ook IAA gegevens zelf moeten worden ingedeeld in risicoklassen. IAA gegevens moeten worden geclassificeerd gebaseerd op de gevoeligheid van de persoonsgegevens of bedrijfsgegevens waarvoor ze de toegang regelen. Identificatie, authenticatie & autorisatie vindt plaats zowel binnen de keten van werk en inkomen als tussen de keten van werk en inkomen en de externe omgeving. Hierbij is mogelijk sprake van verschillen in de classificering in risicoklassen van deze gegevens. Bij verschillen in risicoklassen wordt de hoogste risicoklasse gehanteerd. Het gebruik en de beveiliging van IAA gegevens is mogelijk verschillend binnen en buiten de keten van werk en inkomen. Bij verschillen in de classificering moet de hoogste risicoklasse gehanteerd worden. Pagina 7 van 16

8 3. Classificering persoons- en IAA gegevens 3.1 Classificering persoons- en IAA gegevens Eerst wordt hieronder een toelichting gegeven van de classificering van persoonsgegevens en bedrijfsgegevens en op basis hiervan wordt vervolgens een classificering vastgesteld van IAA gegevens. Persoonsgegevens Classificering is noodzakelijk om vast te kunnen stellen wanneer welke beveiligingseisen gelden voor bepaalde persoonsgegevens. In AV-23 worden vier risicoklassen gehanteerd: Risicoklasse 0 Risicoklasse 1 Risicoklasse 2 Risicoklasse 3 publiek niveau basis niveau verhoogd risico hoog risico Binnen eerdere onderzoeken is vastgesteld dat in de keten van werk en inkomen persoonsgegevens en bedrijfsgegevens worden verwerkt van risicoklasse 2 en hoger. De in deze richtlijn beschreven eisen en maatregelen hebben dan ook betrekking op de beveiliging en verwerking van persoonsgegevens en bedrijfsgegevens van risicoklasse 2 en hoger. AV-23 geeft de volgende voorbeelden van persoonsgegevens in deze klassen 1 : Risicoklasse 2: gegevens over de persoonlijke economische situatie, kredietinformatie, schuldsaneringsinformatie; risicoklasse 3: opsporingsinformatie, DNA-databankgegevens, informatie waarop geheimhoudingsplicht rust (e.g. medische informatie). IAA gegevens Bij het vaststellen van eisen met betrekking tot het gebruik en de beveiliging van IAA gegevens wordt uitgegaan van de hierboven beschreven classificering van AV- 23. Op grond van een korte analyse wordt hieronder de risicoklasse van IAA gegevens bepaald. Identiteit en Authenticatiegegevens Wanneer de vertrouwelijkheid en/of integriteit van identiteit en authenticatiegegevens (bijvoorbeeld wachtwoorden of encryptiesleutels) wordt geschaad zijn alle onderliggende persoonsgegevens toegankelijk. Op grond hiervan moet worden geconcludeerd dat identiteit en authenticatiegegevens altijd moeten worden geclassificeerd als risicoklasse 3 (hoog risico). Autorisatiegegevens Wanneer de vertrouwelijkheid en integriteit van autorisatiegegevens kan worden geschaad, kan een geauthenticeerd systeem, applicatie of persoon mogelijk toegang krijgen tot persoonsgegevens waarvoor geen autorisatie is uitgegeven. Dit wordt ook wel elevation of rights genoemd. Op grond hiervan moet worden geconcludeerd dat de vertrouwelijkheid en integriteit van autorisatiegegevens moet worden geclassificeerd als risicoklasse 3 (hoog risico). 3.2 Beveiliging van persoons- en IAA gegevens AV-23 maakt onderscheid tussen communicatie via netwerken die volledig onder toezicht van de verantwoordelijke vallen en netwerken die geheel of gedeeltelijk als 1 AV-23, par 3.3, pag 28. Pagina 8 van 16

9 publiek netwerk kunnen worden aangemerkt. Afhankelijk van de risicoklasse worden voor communicatie over publieke netwerken zwaardere eisen gesteld. In AV-23 wordt alleen onderscheid gemaakt tussen interne en externe (publieke) netwerken wanneer het gaat om de communicatie van persoonsgegevens. Bij IAA gegevens wordt dit onderscheid niet gemaakt. Ongeacht de locatie moeten volgens AV-23 IAA gegevens altijd zijn beveiligd tegen onbevoegd lezen en/of wijzigen. Als we uitgaan van het feit dat het netwerkdomein van de ketenpartijen (i.e. netwerk, systemen en applicaties) alleen toegankelijk is voor geautoriseerde personen (trusted netwerk) en dat hun rekencentra alleen toegankelijk zijn voor geautoriseerde personen dan kan de volgende tabel worden opgesteld. Afhankelijk van de risicoklasse (RK) en de locatie van de gegevens dienen maatregelen te zijn genomen die onbevoegde inzage (Vertrouwelijkheid) en/of wijziging (Integriteit) tegengaan van persoons- en IAA gegevens bij datacommunicatie. Av-23 spreekt over de beveiliging van persoonsgegevens tegen onbevoegd lezen en/of muteren. Impliciet leiden deze beveiligingseisen tot versleuteling van de persoons- en IAA gegevens. Beveiliging tegen onbevoegd lezen (V) en/of wijzigen (I) Persoonsgegevens over datalijnen IAA gegevens over datalijnen RK2 V+I RK3 V+I RK3 V+I Binnen één rekencentrum Nee Nee Ja Binnen het trusted netwerkdomein van Nee Ja Ja één Suwinet partij (tussen verschillende rekencentra) Binnen het trusted domein tussen Suwinet Ja Ja Ja partijen (Suwinet) Suwinet partij(en) met externe partijen (DKD) Ja Ja Ja Beveiligingsmaatregelen Binnen en buiten de keten van werk en inkomen dienen IAA gegevens niet te kunnen worden gelezen en/of gewijzigd door onbevoegden. De te nemen maatregelen zijn met name afhankelijk van de kans dat de vertrouwelijkheid en integriteit van gegevens kunnen worden geschaad. Onbevoegd lezen van gegevens tijdens transport over het interne netwerk is tamelijk eenvoudig te realiseren omdat het aansluiten van een sniffer op het fysieke netwerk van een ketenpartner niet is te voorkomen. Het afluisteren van het externe netwerk is eveneens praktisch realiseerbaar. Hierdoor is de kans van optreden hoog zodat sterke maatregelen nodig zijn om de vertrouwelijkheid van gegevens tijdens transport te kunnen waarborgen. Onbevoegd wijzigen van gegevens tijdens transport over het interne en externe netwerk is tamelijk lastig te realiseren omdat hiervoor moet worden ingegrepen in lopende sessies (man in the middle). Hierdoor is de kans van optreden midden tot laag waardoor standaard maatregelen nodig zijn om de integriteit van gegevens tijdens transport te kunnen waarborgen. Onbevoegd lezen en wijzigen van gegevens tijdens verwerking of opslag door systemen, applicaties en personen is tamelijk lastig te realiseren omdat hiervoor fysieke of logische toegang nodig is tot systeemcomponenten (servers, databases etc). De kans van optreden is laag waardoor standaard maatregelen nodig zijn om de ver- Pagina 9 van 16

10 trouwelijkheid en integriteit van gegevens tijdens verwerking en opslag te kunnen waarborgen. Op grond hiervan kunnen de volgende maatregelen worden vastgesteld. Er zijn sterke maatregelen nodig om identiteit en authenticatiegegevens (user-id, wachtwoorden, encryptiesleutels, e.d.) tijdens transport te beveiligen tegen onbevoegd lezen. Hierbij moet worden gedacht aan bijvoorbeeld encryptie op basis van een sterk algoritme en sterke sleutels. Dit geldt zowel voor het interne netwerk als externe netwerk. Er zijn standaard maatregelen nodig om autorisatiegegevens (e.g. rolbeschrijvingen) tijdens transport te beveiligen tegen onbevoegd wijzigen. Hierbij moet worden gedacht aan het gebruik van standaard beschikbare autorisatiemechanismen die besturingssystemen bieden, of aan het verbieden van het koppelen van ongeoorloofde apparatuur aan de Suwinet-Infrastructuur. Er zijn standaard maatregelen nodig om IAA gegevens tijdens verwerking en opslag te beveiligen tegen onbevoegd lezen en wijzigen. Hierbij moet worden gedacht aan het gebruik van standaard beschikbare, authenticatie- en autorisatiemechanismen die besturingssystemen bieden, aan functiescheiding en dergelijke. Beveiligingsmaatregelen voor IAA gegevens bij datacommunicatie kan op twee manieren worden ingevuld namelijk via: beveiligde sessies binnen de uit te wisselen berichten zelf (beveiligde berichten) Een beveiligde sessie resulteert in een point-to-point beveiliging en beveiligde berichten resulteren in een (veiligere) end-to-end beveiliging. Beveiligde sessie; zendende en ontvangende objecten, zoals host-systemen of (web)services kunnen zich wederzijds (laten) identificeren, authenticeren en autoriseren zodat een beveiligd communicatiekanaal ontstaat op netwerk- of (web)servicesniveau. Dit is toepasbaar voor systemen of (web)services die direct en/of binnen het domein van de keten van werk en inkomen met elkaar communiceren en is hierdoor point-to-point. Beveiligde berichten; zendende en ontvangende subjecten zoals applicaties of eindgebruikers kunnen zich wederzijds (laten) identificeren, authenticeren en autoriseren zodat de authenticiteit van individuele berichten kan worden vastgesteld. Dit is toepasbaar voor applicaties en/of gebruikers die communiceren over meerdere tiers of in verschillende domeinen en is hierdoor end-to-end. Pagina 10 van 16

11 4. Digitale certificaten 4.1 Unieke identiteit middels digitaal certificaat Identificatie is het kenbaar maken van de identiteit van een subject (een gebruiker of een proces) in de informatietechnologie. De identiteit wordt gebruikt om de toegang van het subject tot een object te beheersen. Een object is bijvoorbeeld een computerbestand of een record in een database. Om de identiteit op een zinvolle manier te gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. Doorgaans gebeurt dat door aan iedere gebruiker van de informatievoorziening een unieke gebruikersnaam toe te kennen en aan deze identiteit een biologisch kenmerk te koppelen of te beveiligen met een wachtwoord (dat de gebruiker geheim moet houden) of een digitaal certificaat in het geval een proces, applicatie of webservice geauthenticeerd moet worden. Een digitaal certificaat is te vergelijken met een digitale identiteitskaart, waarop een beperkt aantal gegevens voorkomen met betrekking tot de houder van het certificaat (de identiteit van de houder, de publieke sleutel die verbonden is met de houder van het certificaat, de geldigheidsduur van het certificaat, de klasse van het certificaat). Een digitaal certificaat wordt uitgereikt door een Certificatie Autoriteit, die als een onafhankelijke partij optreedt. De twee partijen die een digitaal certificaat gebruiken moeten voldoende vertrouwen hebben in deze Certificatie Autoriteit en in de procedures die gevolgd worden om de identiteit van de gebruiker van het certificaat te garanderen. Een Digitaal Certificaat kan elektronisch worden voorgelegd om de identiteit te verifieren. Per soort toepassing kunnen andere type digitale certificaten worden gehanteerd al dan niet weer beveiligd met toegangscodes of wachtwoorden. Digitale Certificaten bieden VERTROUWEN en VEILIGHEID bij communicatie over netwerken. 4.2 Interne en externe certificaten Binnen de keten van werk en inkomen wil men gebruik gaan maken van digitale certificaten met als doel de vertrouwelijkheid, integriteit en authenticiteit van gegevens en berichten te kunnen waarborgen. Tevens kunnen certificaten gebruikt worden voor het vaststellen van de authenticiteit van systemen. Door inzet van SLL met digitale certificaten kunnen zendende en ontvangende subjecten, zoals systemen of webservices zich wederzijds (laten) authenticeren, waarbij ook een beveiligd communicatiekanaal ontstaat op netwerk- of webservices niveau. Dit is toepasbaar voor systemen of webservices die direct en/of binnen de keten van werk en inkomen met elkaar communiceren en is hierdoor een point-to-point beveiliging. Certificaten die worden gebruikt binnen en buiten de Suwiketen moeten zijn gebaseerd op (i.e. ondertekend door) een root Certificatie Autoriteit (CA). Suwinet partijen kunnen de keuze maken om gebruik te maken van een eigen rootcertificaat of van een publiek rootcertificaat (bijvoorbeeld Verisign). Het voordeel van een eigen rootcertificaat is dat in dit geval de kosten voor het produceren van certificaten relatief laag zijn. Dit is vooral interessant wanneer een groot aantal systemen binnen het domein van een Suwinet partij moeten worden voorzien van een SSL / IPSec certificaat. Voorwaarde hierbij is wel dat certificaten dan alleen intern worden gebruikt. Pagina 11 van 16

12 Wanneer certificaten buiten het netwerkdomein van een Suwinet partij moeten worden gebruikt zoals bijvoorbeeld het geval is bij het opzetten van SSL sessies met andere Suwinet partijen en voor certificaten waaraan hoge betrouwbaarheidseisen worden gesteld is gebruik van een eigen rootcertificaat minder realistisch. In dit geval kan beter worden gekozen voor een publiek beschikbaar rootcertificaat zoals Verisign dat wordt gegenereerd door een hierin gespecialiseerde organisatie. Pagina 12 van 16

13 5. Oplossingen 5.1 Beschrijving oplossingen binnen de trusted netwerkdomeinen van de Suwinet partijen Oplossingen binnen de trusted netwerk domeinen van de Suwinet partijen Beveiligde sessies Active Directory met Kerberos / IPsec Binnen de trusted netwerkdomeinen van de Suwinet partijen wordt bij voorkeur gebruik gemaakt van identificatie, authenticatie & autorisatie op basis van Active Directory met Kerberos. Doordat een koppeling mogelijk is met Active Directory kan Kerberos zowel de authenticatie als autorisatie ondersteunen. Authenticatie en autorisatiegegevens zijn door Kerberos beveiligd tegen onbevoegd lezen en wijzigen. Kerberos kan worden gecombineerd met IPSec waardoor tevens een beveiliging wordt gerealiseerd tegen onbevoegd lezen en wijzigen van persoonsgegevens (lees berichten) tijdens transport. IPSec Het is mogelijk IPSec toe te passen zonder gebruik te maken van het authenticatiemechanisme van Kerberos. Systemen authenticeren elkaar dan wederzijds op basis van een certificaat of shared key. Autorisatie volgt in dit geval impliciet na succesvolle authenticatie. IPSec beveiligt alle gegevens die worden verstuurd, dus zowel persoonsgegevens als eventuele (aanvullende) authenticatie- en autorisatiegegevens die in berichten zouden kunnen zijn opgenomen. SSL Wanneer het gebruik van Kerberos niet mogelijk is, bijvoorbeeld doordat een systeem geen Kerberos ondersteunt of omdat authenticatie moet plaatsvinden tussen twee rekencentra of over de domeingrens heen van een Suwinet partij is SSL/TLS een alternatief. SSL/TLS biedt alleen mogelijkheden voor (wederzijdse) authenticatie op basis van certificaten. Autorisatie wordt door SSL/TLS niet ondersteund. Ook hier volgt autorisatie impliciet na succesvolle authenticatie. SSL/TLS biedt point-to-point authenticatie. SSL/TLS beveiligt alle gegevens die binnen de sessie worden verstuurd, dus zowel persoonsgegevens als eventuele (aanvullende) authenticatie- en autorisatiegegevens die in berichten zouden kunnen zijn opgenomen. Het is van belang op te merken dat wanneer in backoffice-systemen veel SSL sessies moeten worden opgebouwd en afgebroken een negatieve invloed op performance kan ontstaan. Infomessaging Het Infomessaging protocol voorziet in een eigen authenticatie en autorisatiemechanisme. Dit mechanisme maakt gebruik van de onderliggende authenticatiefunctionaliteit van besturingssystemen en verstuurt autorisatiegegevens in het Infomessaging protocolbericht. Hierdoor zijn autorisatiegegevens tijdens transport af te luisteren (tenzij gebruik wordt gemaakt van onderliggende transportbeveiliging op basis van IPSec of SSL/TLS). Authenticatiegegevens worden gebruikt en beveiligd door het onderliggende besturingssysteem dit kan bijvoorbeeld Kerberos zijn. WS-Security Webservices is een op XML-gebaseerde technologie die een Service Oriented Architecture (SOA) mogelijk maakt. Het idee achter SOA is dat het voor organisaties mo- Pagina 13 van 16

14 gelijk moet zijn om op een eenvoudige en flexibele manier diensten en producten van derden af te nemen op een open netwerk. Webservice technologie maakt het makkelijker om data en business processen aan de buitenwereld beschikbaar te stellen. Zo kunnen in een ketenproces webservices worden ingezet waarbij ketenpartijen berichtelementen mogen lezen of ook muteren. Bij inzet van webservices binnen ketens moet invulling worden gegeven aan het doelbindingsprincipe en proportionaliteit. Dit leidt vooralsnog tot de eis dat niet alle ketenpartijen geautoriseerd zijn voor alle berichtelementen. Een ketenbericht kan bijvoorbeeld 300 gegevenselementen bevatten. Ketenpartijen mogen alleen de berichtelementen kunnen lezen of muteren waartoe ze geautoriseerd zijn. In een ketenproces met verschillende ketenpartijen vraagt de inzet van webservices dan ook om beveiliging van de afzonderlijke berichtelementen. Deze behoefte leidt tot de eis van end-to-end beveiliging (van zender naar ontvanger). SSL biedt point-to-point beveiliging en is dus niet altijd toereikend in de ketentoepassingen. Het eindpunt van beveiliging hoeft niet het eindpunt van het ketenproces met inzet van webservices te zijn. Bovendien focussen vrijwel alle authenticatie- en autorisatieprotocollen in de markt zich sterk op mens-machine interactie. In de webservices wereld is er veel meer machine-machine interactie. Dit stelt andere eisen aan hoe vertrouwensrelaties tussen Webservices worden vastgesteld en opgezet. Hiernaast vraagt het gemis van waarborgen voor vertrouwelijkheid en integriteit van berichtelementen na passage van de point-to-point beveiligingspunten om andere oplossingen dan SSL. W3C en OASIS zijn twee verschillende onafhankelijke standaardisatieconsortiums die werkgroepen hebben opgericht om in te spelen op boven genoemde behoefte en de standaardisatie van nieuwe Webservices Security protocollen te stroomlijnen. Een van de belangrijkste initiatieven is door Microsoft, IBM en Verisign geïntroduceerd namelijk: WS-Security. Het eigenaarschap van dit protocol is overgedragen aan de OASIS Security Joint Werkgroep. Het eerste belangrijke initiatief van OASIS is Security Assertions Markup Language (SAML). Dit is een op XML-gebaseerde modulair raamwerk dat Webservices in staat stelt om security gerelateerde gegevens uit te wisselen. De vertrouwelijkheid en integriteit van SAML assertions kunnen worden gegarandeerd door gebruik te maken van de basisbouwblokken XML Encryption en XML Signature. XML Signature biedt de mogelijkheid om over delen van een bericht verschillende handtekeningen te plaatsen met als doel de integriteit te waarborgen. Een groot voordeel hiervan is dat de authenticiteit van berichten wordt gegarandeerd tot aan de eindgebruiker, zelfs als berichten over meerdere servers binnen verschillende domeinen worden verstuurd. Hiermee wordt end-to-end beveiliging gerealiseerd. Of de afzender van een bericht is geautoriseerd een bericht te versturen of de ontvanger is geautoriseerd dit bericht te ontvangen moet elders worden opgelost. XML Signature biedt op zichzelf geen functionaliteit voor autorisatie. Een nadeel van het gebruik van XML Signature is dat deze functionaliteit moet worden ingebouwd in applicaties. Helaas moeten we vaststellen dat WS-Security momenteel nog een bewegend doel is. De meeste initiatieven zijn nog volop in ontwikkeling en fabrikanten en diverse consortiums werken hard aan standaardisatie. Op dit moment ontbreekt het dan ook nog aan robuuste interoperabele implementaties van de verschillende protocollen in producten. Vooralsnog wordt inzet van WS-Security binnen de keten van werk en inkomen niet aanbevolen. De ontwikkelingen rondom WS-Security zal echter nauw gevolgd moeten worden en bij het robuuster en interoperabeler worden van de WS- Security oplossing zal inzet heroverwogen moeten worden. Pagina 14 van 16

15 5.2 Beschrijving oplossingen voor gegevensuitwisseling met externe partijen Binnen het OSI model bevindt zich onder de applicatielaag de transportlaag. De transportlaag verzorgt de uitwisseling van berichten. Ook in de transportlaag bestaan diverse mogelijkheden om informatie te beschermen. Het voordeel van het treffen van maatregelen in de transportlaag is dat de bovenliggende applicatie niet aangepast hoeft te worden. In het algemeen is het voldoende om alleen de configuratie van het platform aan te passen. Dit verklaart de voorkeur om bij externe verbindingen gebruik te maken van SSL/TLS met inzet van externe certificaten. Een ander voordeel van SSL/TLS is dat, naast de geboden functionaliteit voor authenticatie de persoonsgegevens (lees; berichten) tijdens transport zijn beveiligd tegen onbevoegd lezen en wijzigen (vertrouwelijkheid en integriteit). Voor gegevensuitwisseling met externe partijen is het op dit moment nog niet mogelijk gebruik te maken van de Active Directory (met Kerberos). Het gebruik van IPSec is over externe netwerken alleen mogelijk wanneer hiervoor extra technische voorzieningen zouden worden getroffen. Voor het gebruik van digitale handtekeningen in beveiligde berichten geldt hetzelfde als bij paragraaf Conclusie oplossingen Gegeven de uitgangspunten en eisen dat er zekerheid moet zijn over de identiteit van de zender en ontvanger van data en dat de IAA gegevens bij datacommunicatie beveiligd moeten worden tegen onbevoegd lezen en muteren, leidt dit impliciet tot de eis van versleuteling van de IAA gegevens. Versleutelde uitwisseling van de IAA gegevens kan plaatsvinden via versleutelde sessies of in versleutelde berichtelementen zoals WS-Security het mogelijk maakt. Hiernaast moet versleuteling van de persoonsgegevens (berichten) zelf of de datalijnen plaatsvinden afhankelijk van de classificatie van de persoonsgegevens en de gegevensuitwisseling binnen of buiten het netwerkdomein van de Suwinet partijen. Hieronder volgt nog een afweging van de beschikbare oplossingen binnen en buiten het netwerkdomein van een Suwinet partij voor invulling van bovenstaande beveiligingeisen met betrekking tot persoons- en IAA gegevens. De wijze waarop het gebruik en de beveiliging van IAA gegevens wordt geïmplementeerd hangt af van verschillende factoren. In de praktijk zal dit zich beperken tot de inzet van Active Directory (AD) met Kerberos waarbij de IAA gegevens versleuteld uitgewisseld worden of in de toepassing van SLL met certificaten binnen en buiten het netwerkdomein van de Suwinet partijen waarbij de IAA gegevens meeliften binnen de versleutelde sessie uitwisseling. Een bijkomstig voordeel van SSL implementaties met certificaten is dat het transportkanaal wordt versleuteld waarmee ook invulling wordt gegeven aan de eis van beveiliging van persoonsgegevens tegen onbevoegd lezen en muteren tijdens transport. Ook kan de combinatie Active Directory met IPsec ingezet worden. Active Directory met Kerberos vult dan de beveiligingseis in voor het versleuteld uitwisselen van de IAA gegevens en IPsec draagt zorg voor de e versleuteling van de datalijnen. Er moet altijd invulling worden gegeven aan de eis van het vaststellen van de identiteit van de zender en ontvanger en het versleuteld uitwisselen van de IAA gegevens. Indien alleen IPsec wordt ingezet voor het beveiligen van het transportkanaal waarover meerdere zenders en ontvangers communiceren, kan geen invulling worden gegeven aan de beveiligingseisen voor IAA. Er zijn immers meerdere zenders en ont- Pagina 15 van 16

16 vangers voorbij het beveiligde eindpunt. In dit geval geeft IPsec alleen invulling aan de eis van het versleutelen van het transportkanaal. Als we kijken naar WS-Security dan moeten we concluderen dat dit nog een bewegend doel is. Op dit moment ontbreekt het nog aan robuuste interoperabele implementaties van de verschillende protocollen in producten. Vooralsnog wordt inzet van WS-Security binnen de keten van werk en inkomen dan ook nog niet aanbevolen. De ontwikkelingen rondom WS-Security zal echter nauw gevolgd moeten worden en bij het robuuster en interoperabeler worden van de WS-Security oplossing zal inzet heroverwogen moeten worden. In de volgende tabel zijn de wettelijke eisen vertaald naar een praktische invulling. Beveiliging tegen onbevoegd lezen (V) en/of wijzigen (I) Binnen één rekencentrum Binnen het trusted netwerkdomein van één Suwinet partij (tussen verschillende rekencentra) Binnen het trusted domein tussen Suwinet partijen (Suwinet) Suwinet partij(en) met externe partijen (DKD) RK I-C E-C risicoklasse Interne certificaten Externe certificaten Uitwisseling Persoonsgegevens RK2 RK3 RK3 V+I V+I V+I Nee Nee Ja Versleuteling transportkanaal niet Versleuteling transportkanaal niet Nee Ja Ja Versleuteling transportkanaal Versleuteling transportkanaal niet maar heeft wel de voorkeur Oplossingen SSL met inzet I-C -SSL met inzet I-C Ipsec -Ipsec Ja Ja Ja Versleuteling transportkanaal Oplossingen SSL met inzet E-C Ipsec Versleuteling transportkanaal Oplossingen -SSL met inzet E-C -Ipsec Ja Ja Ja Versleuteling Versleuteling transportkanaal transportkanaal SSL met inzet E-C Oplossingen -SSL met inzet E-C Uitwisseling IAA gegevens Versleuteling IAA gegevens Oplossingen -Actieve Directory -SSL met I-C Versleuteling IAA gegevens Oplossingen -Actieve Directory -SSL met I-C Versleuteling IAA gegevens Oplossingen -Actieve Directory -SSL met I-C Versleuteling IAA gegevens Oplossingen -Actieve Directory -SSL met E-C Binnen één rekencentrum kan er van worden uitgegaan dat onbevoegde personen geen toegang hebben tot de zich in het rekencentrum bevindende objecten. Bij koppelingen tussen objecten binnen het rekencentrum kan dus worden volstaan met versleuteling van de IAA gegevens. De versleuteling van de persoonsgegevens (berichten) zelf of de versleuteling van de datalijnen is niet aan de orde. Pagina 16 van 16

Richtlijn elektronische diensten en eenvoudige elektronische handtekening voor DKD. Versie 1.0 Datum: 26 februari 2007

Richtlijn elektronische diensten en eenvoudige elektronische handtekening voor DKD. Versie 1.0 Datum: 26 februari 2007 Richtlijn elektronische diensten en eenvoudige elektronische handtekening voor DKD Versie 1.0 Datum: 26 februari 2007 Inhoudsopgave 1. INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 DOELSTELLING DOCUMENT.... 3 1.3

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek

Nadere informatie

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet Bijlage De Suwi-partijen UWV, SVB en de VNG hebben per brief (van 7 oktober 2014) aan de minister en de staatssecretaris van SZW het programmaplan Borging Veilige Gegevensuitwisseling Suwinet aangeboden.

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag.

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Voorbeeldproject Een Haagse SOA Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Aanleiding Vanuit de visie

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Adobe s positionering op document beveiliging

Adobe s positionering op document beveiliging Adobe s positionering op document beveiliging Colin van Oosterhout Business Development Manager 1 Beveiliging: een funndamentele eis voor electronische documenten Electronische processen moeten gelijk

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

In dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.

In dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister. Inleiding Nieuwe wet Per 1 januari 2013 is de invoering van de Wet aanscherping handhaving en sanctiebeleid SZW-wetgeving in het kort de Fraudewet - een feit. Doel van deze wet is een hardere aanpak van

Nadere informatie

Certificaten: Aanmaak en beheer

Certificaten: Aanmaak en beheer Certificaten: Aanmaak en beheer 11 juni 2013 Bart Callewaert Wat is een certificaat? Een bewijsstuk: dat de echtheid van een voorwerp garandeert dat de betrouwbaarheid van een partij garandeert Gebaseerd

Nadere informatie

Authenticatie wat is dat?

Authenticatie wat is dat? Authenticatie wat is dat? Authenticatie Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

RISICO ANALYSE SUWINET MAIL Privacy en Beveiliging van Suwinet Mail

RISICO ANALYSE SUWINET MAIL Privacy en Beveiliging van Suwinet Mail RISICO ANALYSE SUWINET MAIL Privacy en Beveiliging van Suwinet Mail 1 van 22 Inhoudsopgave 1. Inleiding... 3 2. Eisen aan betrouwbaarheid en privacy Suwinet-Mail... 4 2.1 Het gebruik van e-mail binnen

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014 Aanpak A58 security issues Door P. Goossens, 31 oktober 2014 Het PCP A58 Spookfile project Security, wat is dat en delen we hetzelfde beeld? Security aanpak > Analyse High Level Architecture > Over The

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Encryptie deel III; Windows 2000 EFS

Encryptie deel III; Windows 2000 EFS Encryptie deel III; Windows 2000 EFS Auteur Leon Kuunders is als security consultant en managing partner werkzaam bij NedSecure Consulting. E-mail leon.kuunders@nedsecure.nl Inleiding In het eerste artikel

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2)

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Abonnee (=Cliënt=Subscriber) De natuurlijke persoon of rechtspersoon of groep van natuurlijke en/of rechtspersonen

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging UWV Informatiebeveiliging Een schets 1 Informatiebeveiliging UWV Platform Informatiebeveiliging 25-05-05 drs G.Bayens MBA drs Guido Bayens MBA UWV Concern ICT Hoofd Afdeling Beleid & Architectuur Adviseur

Nadere informatie

Starten met elektronisch aangeven

Starten met elektronisch aangeven Starten met elektronisch aangeven Bereidt u voor! Vanaf 1 januari 2005 zijn ondernemers die binnenlands belastingplichtig zijn, verplicht hun aangiften inkomstenbelasting, vennootschapsbelasting en omzetbelasting

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

College bescherming persoonsgegevens. Onderzoek gebruik Suwinet door niet-suwipartijen Gemeente s-hertogenbosch

College bescherming persoonsgegevens. Onderzoek gebruik Suwinet door niet-suwipartijen Gemeente s-hertogenbosch POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek

Nadere informatie

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

SAML & FEDERATED IDENTITIES. The Single Sign-on provider SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Business-to-Business

Business-to-Business Business-to-Business 1 WAT IS BUSINESS-TO-BUSINESS? 1.1 Inleiding Bedrijven communiceren veelvuldig met elkaar. Orders worden geplaatst, facturen worden verzonden, informatie wordt uitgewisseld. Zo n dertig

Nadere informatie

Privacyreglement PreVita B.V.

Privacyreglement PreVita B.V. Privacyreglement PreVita B.V. Opgesteld door PreVita B.V. te Alblasserdam op 15-02-2013 Tel: 078 644 0810 www.previta.nl info@previta.nl KVK nummer: 24375810 BTW nummer: NL 8142.12.165.B01 Copyright 2013

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Algemene Voorwaarden PKIoverheid Certificaten

Algemene Voorwaarden PKIoverheid Certificaten Algemene Voorwaarden PKIoverheid Certificaten Dossierhouder BCT Datum 15 maart 2011 Status Concept Versie 1.0 Inhoud 1 Definities 3 2 Toepassing 3 3 Verplichtingen en garanties Dossierhouder BCT 3 4 Verplichtingen

Nadere informatie

DigiD De sleutel tot het DKD. Versie 1.0 Datum: 26 februari 2007

DigiD De sleutel tot het DKD. Versie 1.0 Datum: 26 februari 2007 DigiD De sleutel tot het DKD Versie 1.0 Datum: 26 februari 2007 Inhoudsopgave 0. MANAGEMENT SAMENVATTING... 3 1. INLEIDING... 5 1.1 ALGEMEEN... 5 1.2 DOELSTELLING DOCUMENT.... 6 1.3 SCOPE... 6 1.4 BRONVERMELDING...

Nadere informatie

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD) > Retouradres Postbus 90801 2509 LV Den Haag De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE 2513AA22XA Postbus 90801 2509 LV Den Haag Parnassusplein 5 T 070 333

Nadere informatie

Praktisch Implementeren van EA bij Gemeenten

Praktisch Implementeren van EA bij Gemeenten Praktisch Implementeren van EA bij Gemeenten Edwin de Vries 3 juni 2008 Praktisch Implementeren van Enterprise Architectuur bij Gemeenten Waarom Architectuur bij Gemeenten? Praktische aanpak Invulling

Nadere informatie

Het Forum Standaardisatie wordt geadviseerd om de aangemelde standaard Kerberos niet in behandeling te nemen voor opname op de lijst.

Het Forum Standaardisatie wordt geadviseerd om de aangemelde standaard Kerberos niet in behandeling te nemen voor opname op de lijst. FS 150610.2E FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 2. Open standaarden, lijsten Stuk 2E Intake-advies voor Kerberos, versie 5 Advies Het Forum Standaardisatie wordt geadviseerd om de aangemelde

Nadere informatie

Aanvragen en gebruik Overheids IdentificatieNummer (OIN)

Aanvragen en gebruik Overheids IdentificatieNummer (OIN) Aanvragen en gebruik Overheids IdentificatieNummer (OIN) Versie 1.0 Datum 02/06/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet Conceptversie 2.0 definitief Inhoudsopgave 0. Managementsamenvatting 3 1. Inleiding 5 1.1. Achtergrond 5 1.2. Leeswijzer 6 1.3.

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september 2010. Privacyreglement Thaeles

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september 2010. Privacyreglement Thaeles PRIVACYREGLEMENT THAELES BV Baarlo, 15 september 2010 Privacyreglement Thaeles 15 september 2010 PRIVACYREGLEMENT THAELES BV Artikel 1 - Begrippen In deze regeling wordt verstaan onder: a) Thaeles: Thaeles

Nadere informatie

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt Handreiking Interoperabiliteit tussen XDS Affinity Domains Vincent van Pelt Congres architectuur in de Zorg 18 juni 2015 Vincent van Pelt, MD Senior adviseur, Nictiz vvpelt@nictiz.nl IHE voorzitter werkgroep

Nadere informatie

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding Medewerkers van Sociale Zaken beschikken over de mogelijkheid om gegevens van klanten te controleren

Nadere informatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

Vertrouwende Partij Voorwaarden UZI-register

Vertrouwende Partij Voorwaarden UZI-register Vertrouwende Partij Voorwaarden UZI-register Het UZI-register koppelt op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in een certificaat. Hierbij maakt het UZI-register

Nadere informatie

De keten uitgedaagd. Beveiliging van informatieketens. College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa

De keten uitgedaagd. Beveiliging van informatieketens. College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa De keten uitgedaagd Beveiliging van informatieketens College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa mr. Iris Koetsenruijter Werkzaam bij Thauris Vanaf 2011 betrokken via Logius

Nadere informatie

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders Wij Willem - Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Beveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren

Beveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren Beveiligingsplan SUWI inkijk Gemeente Boxtel / Gemeente Haaren December 2013 INHOUDSOPGAVE 1. Inleiding 3 2. Verdeling verantwoordelijkheden medewerkers afdeling Maatschappelijke Ontwikkeling 4 3. Autorisaties

Nadere informatie

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011 Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk Anton Ekker juridisch adviseur, Nictiz 20 mei 2011 Elektronische gegevensuitwisseling in de zorg De zorgverlener is verplicht om een

Nadere informatie

Veilig elektronisch bankieren bij ABN AMRO

Veilig elektronisch bankieren bij ABN AMRO Veilig elektronisch bankieren bij ABN AMRO Veilig elektronisch bankieren bij ABN AMRO 1 Inleiding U bent of wordt gebruiker van een Electronic Banking product van de ABN AMRO Bank. Dit product is door

Nadere informatie

College bescherming persoonsgegevens

College bescherming persoonsgegevens College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brummen z2015-00403 Openbare versie Rapport van bevindingen November 2015 DATUM November 2015

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010 Procedure Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk Auteur: Breeman Datum document: 16 mei 2007 Versie: 3.0 Status: Definitief Datum afdruk: 14 april 2010 Periodieke en specifieke rapportages

Nadere informatie

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk Handleiding configureren correctieservice in Suwinet-Inkijk Mei 2011 1.! Digitaal klantdossier heeft alleen waarde als je erop kunt vertrouwen

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

E-mail, SMTP, TLS & S/MIME

E-mail, SMTP, TLS & S/MIME E-mail, SMTP, TLS & S/MIME Inhoudsopgave Inhoudsopgave... 2 1. Inleiding... 3 1.1. E-mail via het internet... 3 2. E-mail transport... 4 2.1. Kwetsbaarheden van het e-mail transport via het internet...

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Digitaal e-mail certificaat Ondertekenen en encryptie De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Index 1 Inleiding... 4 1.1 Algemeen...4 1.2 Leeswijzer...4 2 Private key

Nadere informatie

1 juli 2010 1. e - factureren. Afspraken voor uitwisseling. Fred van Blommestein. fred@flowcanto.com

1 juli 2010 1. e - factureren. Afspraken voor uitwisseling. Fred van Blommestein. fred@flowcanto.com 1 juli 2010 1 e - factureren Afspraken voor uitwisseling Fred van Blommestein Probleem 1 juli 2010 2 Behalve de vele varianten aan bestandsformaten voor e- facturen, zijn er ook talloze opties voor het

Nadere informatie

ons kenmerk BAWI/U200701996 Lbr. 07/132

ons kenmerk BAWI/U200701996 Lbr. 07/132 Brief aan de leden T.a.v. het college informatiecentrum tel. BAWI (070) 373 8022 onderwerp vanaf 1 januari 2008 is het Digitaal Klantdossier wettelijk verplicht uw kenmerk ons kenmerk BAWI/U200701996 Lbr.

Nadere informatie

Hierbij ontvangt u ons antwoord met een kopie van de schriftelijke vragen van de heer J.N.M. van Well. de burgemeester. orren

Hierbij ontvangt u ons antwoord met een kopie van de schriftelijke vragen van de heer J.N.M. van Well. de burgemeester. orren ^ Gemeente *Z} IJsselstein postadres Postbus 26, 3400 AA IJsselstein Gemeenteraad IJsselstein Postbus 26 3400 AA IJSSELSTEIN bezoekadres Overtoom 1 3401 BK IJsselstein t 14 030 f 030 6884350 e info@ijsselstein.nl

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Staatsblad van het Koninkrijk der Nederlanden

Staatsblad van het Koninkrijk der Nederlanden Staatsblad van het Koninkrijk der Nederlanden Jaargang 2009 235 Besluit van 2 juni 2009, houdende regels aangaande de registratie van elektronische adressen van derden en het elektronisch betekenen in

Nadere informatie

BEWERKERSOVEREENKOMST BIJLAGE BIJ DE ALGEMENE VOORWAARDEN VAN VEILINGDEURWAARDER.NL INZAKE HET ONDER VERANTWOORDELIJKHEID VAN CONTRACTANT VERWERKEN VAN PERSOONSGEGEVENS VIA DE WEBSITE In het kader van

Nadere informatie

HDN DARTS WEB AUTHENTICATIE

HDN DARTS WEB AUTHENTICATIE HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie