Rapportage IT Risk Control

Maat: px
Weergave met pagina beginnen:

Download "Rapportage IT Risk Control"

Transcriptie

1 Rapportage IT Risk Control Algemene beheersmaatregelen IT Voorbeeld B.V. Rapportage 1 van 22

2 Klantgegevens: Bedrijfsnaam : Voorbeeld B.V. Afdeling : Adres : Straat 123 Amsterdam Telefoonnummer : abc@abc.nl Naam invuller / contactpersoon : Dhr Pietersen Functie : Controller Rapportage 2 van 22

3 Inhoudsopgave 1. Algemeen Inleiding Opzet inventarisatie Objecten inventarisatie Uitvoering inventarisatie Uitkomsten inventarisatie Managementsamenvatting Inleiding Automatiseringsomgeving Werkwijzen Beheersmaatregelen Conclusie Aanbevelingen Detailbevindingen Inleiding Afstemming informatievoorziening op de bedrijfsbehoefte Risicobeheer Wijzigingenbeheer Continuïteitsbeheer Systeembeveiliging Gegevensbeheer Beheer fysieke omgeving Bijlagen Rapportage 3 van 22

4 1. Algemeen 1.1 Inleiding In het kader van de accountantscontrole is een inventarisatie uitgevoerd van de ITbeheersmaatregelen bij Het doel van de inventarisatie is inzicht te krijgen in de aard en kwaliteit van de beheersmaatregelen die door zijn getroffen, om de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking te kunnen waarborgen. 1.2 Opzet inventarisatie De opzet van de inventarisatie is gericht op het verkrijgen van inzicht in: - de aard en het belang van de automatiseringsomgeving voor de bedrijfsvoering van ; - de gehanteerde werkwijzen; - de aanwezigheid van concrete beheersmaatregelen, ter ondersteuning van de werkwijzen. 1.3 Objecten inventarisatie Voor de inventarisatie is een aantal IT-processen geïdentificeerd die relevant zijn in het kader van de accountantscontrole. Dit betreft de processen die direct in relatie staan tot de kwaliteitsaspecten: integriteit (juistheid en volledigheid), vertrouwelijkheid, beschikbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking en de daarvan afgeleide informatievoorziening en verslaglegging. Dit betreft: Afstemming informatievoorziening op de bedrijfsbehoefte; Risicobeheer; Wijzigingenbeheer; Continuïteitsbeheer; Systeembeveiliging; Gegevensbeheer; Beheer fysieke omgeving. 1.4 Uitvoering inventarisatie De inventarisatie is uitgevoerd door middel van een self-assessment, op basis van een digitale vragenlijst. De vragenlijst is door een, door aangewezen, medewerker ingevuld, waarna de uitkomsten zijn verwerkt en geïnterpreteerd. 1.5 Uitkomsten inventarisatie In het navolgende zijn de uitkomsten van de inventarisatie gepresenteerd. De uitkomsten bestaan uit: Managementsamenvatting; Detailbevindingen; Bijlage(n). Rapportage 4 van 22

5 2. Managementsamenvatting 2.1 Inleiding In deze managementsamenvatting worden de belangrijkste uitkomsten van de inventarisatie op hoofdlijnen beschreven. Achtereenvolgens wordt ingegaan op de automatiserings-omgeving, de gehanteerde werkwijzen en de beheersmaatregelen zoals deze door zijn getroffen. Tot slot zijn in het onderdeel conclusie de uitkomsten vertaald naar interpretaties voor zowel als de accountant. 2.2 Automatiseringsomgeving De automatiseringsomgeving wordt door als volgt getypeerd: - Het management is actief betrokken bij de automatisering en heeft een sterk bewustzijn van het belang en risico's; - De primaire bedrijfsvoering en bedrijfsprocessen kunnen niet zonder automatisering; - De beschikbaarheid en werking van de automatisering is erg belangrijk voor derden, zoals bijvoorbeeld klanten en/of leveranciers; - De huidige systemen voldoen aan de wensen; - De automatiseringsomgeving is redelijk complex; - De systemen zijn stabiel; - De automatiseringsomgeving is erg dynamisch en er worden voortdurend wijzigingen doorgevoerd. Het aantal geautomatiseerde werkplekken bij is 138, op een totaal van 112 fte s ofwel 123%. 2.3 Werkwijzen Figuur 1 geeft de niveau s van werkwijzen weer zoals deze, door, op basis van een aantal beschrijvingen van mogelijke werkwijzen zijn aangeduid. Rapportage 5 van 22

6 2.4 Beheersmaatregelen Op basis van de aangegeven werkwijzen is, voor elk proces, op basis van een aantal relevante beheersmaatregelen gevraagd aan te geven, of de betreffende beheersmaatregelen concreet aanwezig zijn. Tabel 1 toont de uitkomsten. Tabel 1: Relatieve beheersmaatregelen Proces Niveau Ja Nee Nb Ng Informatievoorziening Risicobeheer Wijzigingenbeheer Continuïteitsbeheer Systeembeveiliging Gegevensbeheer Beheer fysieke omgeving Legenda: Ja % aanwezige beheersmaatregelen Nee % niet aanwezige beheersmaartregelen Nb % waarbij niet is aangegeven of de beheersmaatregel aanwezig is Ng % niet gestelde vragen omdat het proces niet aanwezig is 2.5 Conclusie Aan de kwaliteit van de IT-processen kan/hoeft niet in elke organisatie hetzelfde belang te worden toegekend. Om deze reden kunnen geen eenduidige en absolute normeringen worden gehanteerd waaraan de kwaliteit van de IT-processen, bij, eenduidig en absoluut kan worden getoetst. Mede hierdoor is het niet mogelijk om een eenduidige en absolute conclusie te geven. De inventarisatie geeft echter wel een goed bruikbare indicatie over de aard en kwaliteit van de getroffen beheersmaatregelen. De inventarisatie heeft hierbij de functie vervult van het systematisch, verzamelen en structureren van informatie en het identificeren van mogelijke relevante aandachtspunten. Navolgend worden de uitkomsten van de inventarisatie nader geïnterpreteerd en toegelicht. De details van de uitkomsten van de inventarisatie zijn opgenomen in hoofdstuk 3. Interpretatie voor Voor een adequate beheersing van de automatiseringsomgeving is het voor, van belang dat een zeker evenwicht bestaat tussen de typering van de automatiseringsomgeving, de gevolgde werkwijzen en de mate waarin de werkwijzen worden ondersteund door daadwerkelijk getroffen beheersmaatregelen. De onderbroken (rode) en doorlopende (groene) verticale lijnen in figuur 1 geven respectievelijk de ondergrens en bovengrens aan, van het niveau van de werkwijzen, dat mag worden verwacht. De door aangegeven typeringen van de automatiseringsomgeving zijn hierbij als uitgangspunt genomen. Voor geven de lijnen een indicatie of het bedoelde evenwicht aanwezig is. Hierbij geldt wel dat de aangegeven werkwijzen ook daadwerkelijk dienen te worden ondersteund door getroffen beheersmaatregelen. Naarmate door een hoger niveau is aangegeven mag worden verwacht dat het hogere niveau wordt ondersteund door een relatief hogere score in de kolom Ja van figuur 2. Indien, in relatie tot het aangegeven niveau, een relatief lage score in de kolom Ja wordt behaald, kan dit betekenen dat, wellicht ten onrechte, in de veronderstelling verkeerd dat het beheersproces op het aangegeven niveau is georganiseerd. In algemene zin geldt dat bij een niveau van 3 of meer een score van circa 70% of meer mag worden verwacht in de kolom Ja. Rapportage 6 van 22

7 Interpretatie voor de accountant Vanuit het belang van de accountant dienen de werkwijzen, met het oog op de betrouwbaarheid van de geautomatiseerde gegevensverwerking en daarvan af te leiden informatievoorziening en verslaglegging, op een zeker niveau te zijn ingevuld. Daarnaast dienen de werkwijzen aantoonbaar te worden ondersteund door getroffen maatregelen. Het door aangegeven, ongewogen gemiddelde is niveau 4,0. De gemiddelde ongewogen scores op de detailvragen zijn respectievelijk: 81% (ja), 19% (nee), 0% (niet beantwoord) en 0% (niet gesteld). Niveau 3 kan worden beschouwd als het na te streven niveau. Bij dit niveau zijn processen operationeel, gedocumenteerd en zijn de verbandhoudende taken, verantwoordelijkheden en bevoegdheden gecommuniceerd. Niveau 3 biedt een goede basis voor het (nader) toetsen van het feitelijk bestaan en een (verdere) beoordeling van de inhoudelijke kwaliteit van de werkwijzen. In algemene zin geldt dat bij niveau 3 een score van circa 70% of meer mag worden verwacht. Uiteraard dient hierbij de eerder genoemde typering van de automatiseringsomgeving bij mede in ogenschouw te worden genomen. 2.6 Aanbevelingen De uiteindelijke interpretatie en oordeelsvorming over de uitkomsten van deze inventarisatie zullen per situatie dienen plaats te vinden. Om deze reden is het aan te bevelen de uitkomsten in een breder perspectief te plaatsen door deze te bespreken met het management. Afhankelijk van de uitkomsten van de bespreking met het management kan vervolgens worden overwogen een nader gericht onderzoek te laten uitvoeren naar een of meerdere deelaspecten. Rapportage 7 van 22

8 3. Detailbevindingen 3.1 Inleiding Hoofdstuk 3 geeft een overzicht van de detailbevindingen. Hierbij worden de resultaten per ITbeheerproces beschreven. Daarbij is onderstaande leeswijzer van toepassing: Leeswijzer detailbevindingen: Belang algemeen Geeft een beschrijving van het belang van het proces vanwege de invloed op de kwaliteitsaspecten: integriteit (juistheid en volledigheid), vertrouwelijkheid, beschikbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking en de daarvan afgeleide informatievoorziening en verslaglegging. Typering vanuit omgeving Vanuit de door aangegeven typering van de automatiseringsomgevingen worden hier punten onder de aandacht gebracht die van belang kunnen zijn om de detailbevindingen in het juiste perspectief te kunnen plaatsen. Huidige werkwijze Een beschrijving van de werkwijze waarvan door is aangegeven dat deze het beste overeenkomt met de bij gehanteerde werkwijze. Detailvragen De detailvragen en antwoorden. Voor het presenteren van de antwoorden wordt gebruik gemaakt van de volgende symbolen: De beheersmaatregel is aanwezig De beheersmaatregel is niet aanwezig De vraag over de beheersmaatregel is niet beantwoord De vraag over de beheersmaatregel is niet gesteld vanwege de aangegeven werkwijze Bij elke vraag wordt cursief gedrukt een korte toelichting gegeven op het belang van de beheersmaatregel. Hoe: Op basis van de antwoorden worden, waar relevant, mogelijke actiepunten beschreven. Deze geven aan op welke wijze de genoemde beheersmaatregel gerealiseerd kan worden. Hierbij geldt het volgende: - Als de beheersmaatregel niet aanwezig is of de vraag is niet beantwoord worden mogelijke actiepunten beschreven. - Als de beheersmaatregel aanwezig is of de vraag is niet gesteld omdat de aangegeven werkwijze onder een bepaald niveau ligt worden de actiepunten niet beschreven. De reden om actiepunten niet te beschrijven is voorkomen dat het management wordt overspoeld met actiepunten die al zijn gerealiseerd of waar, gelet op de aangegeven werkwijze, (nog) niet aan toe is. Opmerking: De beschreven actiepunten zijn geen limitatieve of absolute opsomming. Ze zijn uitsluitend bedoeld als indicatie hoe de beheersmaatregel gerealiseerd kan worden. Afhankelijk van de diverse belangen en het ambitieniveau zal hierin een eigen keuze dienen te maken. Rapportage 8 van 22

9 3.2 Afstemming informatievoorziening op de bedrijfsbehoefte Belang algemeen Voor een optimale benutting van de mogelijkheden dient de informatievoorziening te worden afgestemd op de bedrijfsbehoefte. Dit omvat onder andere het opstellen van regels over de betekenis en gebruik van gegevens(verzamelingen), gegevensclassificatie en beveiligingsniveaus. Het beheer van de informatievoorziening verbetert de kwaliteit van managementbeslissingen doordat de zekerheid over juist en betrouwbaar gebruik van informatie toeneemt. Belang vanuit typering niet van toepassing Omdat derden (deels) betrokken zijn bij het beheer is het van belang om interne en externe taken en verantwoordelijkheden nauwkeurig op elkaar af te stemmen en eenduidig vast te leggen. Verder is het van belang om periodiek verantwoording door de derde te laten afleggen over uitgevoerde taken, activiteiten en de hiermee verband houdende prestatie-indicatoren en vergoedingen. Huidige werkwijze Automatisering wordt op consistente wijze ingezet en gebruikt in alle lagen van de organisatie. Het belang van het benutten van de mogelijkheden wordt voortdurend benadrukt. IT-personeel heeft de kennis en expertise om een robuuste en passende automatisering te realiseren. De informatie wordt consistent en organisatiebreed toegepast. Best practices uit de branche wordt benut voor het continue verbeteren. Detailvragen: Is vastgelegd met welke automatiseringsoplossingen de processen worden ondersteund? Het informatiemodel is vooral van belang bij de ontwikkeling en implementatie van systemen en faciliteert het consistente gebruik en delen van informatie. Is de gegevens- en datastructuur eenduidig vastgelegd? In het databeheermodel is vastgelegd welke gegevens aanwezig zijn en hoe die dienen te worden gebruikt. Hierdoor wordt hergebruik van gegevens tussen applicaties en systemen en IT-medewerkers en gebruikers eenvoudiger. Zijn de gegevens in uw organisatie geclassificeerd? Classificatie van gegevens omvat de mate van gevoeligheid van informatie, maar ook wie eigenaar is, beveiligingsniveaus en informatie over opslag en vernietiging. De classificatie wordt gebruikt om op efficiënte wijze beschermende maatregelen te kunnen treffen. Heeft u procedures geïmplementeerd die de integriteit van gegevens moeten waarborgen? De integriteit van gegevens is van belang voor een betrouwbare informatievoorziening. Rapportage 9 van 22

10 3.3 Risicobeheer Belang algemeen Risicobeheersing is gericht op het maken en onderhouden van een raamwerk voor beheersing van ITrisico s. In het raamwerk kan een algemeen geaccepteerd risico-niveau worden vastgelegd, welke strategie wordt gevolgd om risico's te beheersen en geaccepteerde restrisico's. Iedere mogelijke ongeplande gebeurtenis die een impact heeft op de doelstellingen van de organisatie zou moeten worden vastgesteld en moeten worden beoordeeld. De resultaten van de risicoanalyses dienen te worden gedocumenteerd op zodanige wijze dat deze begrepen kunnen worden door het management en belanghebbenden en gekwantificeerd kunnen worden afgewogen tegen de bedrijfsbelangen. Mogelijke aandachtspunten De huidige systemen voldoen aan de wensen. Een directe behoefte aan de vervanging van de bestaande systemen is er niet. Om ook in de toekomst de systemen te laten voldoen is het evenwel van belang om alert te zijn op de dynamiek van de bedrijfsvoering en de marktomgeving. Dit kan leiden tot een snellere noodzaak van vervanging dan nu wellicht wordt verondersteld. Hierbij dient tevens rekening te worden gehouden met de benodigde doorlooptijd voor selectie en implementatie van een vervangend systeem. Huidige werkwijze Een aanpak voor het inventariseren en beoordelen van risico's is in ontwikkeling en geïmplementeerd. De aanpak staat nog wel in de kinderschoenen. Risicobeheersing is meestal op een hoog abstractieniveau en wordt alleen bij belangrijke projecten uitgevoerd of in reactie op voorgekomen probleemsituaties. Procedures om tegenmaatregelen te treffen worden pas uitgewerkt als risico's zijn vastgesteld. Detailvragen: Is risicobeheersing inzake IT geïntegreerd met de beheersing van de bedrijfsrisico's? Onderling afstemmen van IT- en algemene bedrijfsrisicobeheersing zodat effectief en efficiënt omgegaan kan worden met risico's en tegenmaatregelen. Heeft u een raamwerk voor risicoanalyse in gebruik? Het raamwerk geeft aan op welke wijze risicoanalyses moeten worden uitgevoerd, zodat de resultaten consistent zijn en de bruikbaarheid wordt vergroot. Hoe: Hanteer een raamwerk voor het identificeren van risico's en het vaststellen en beoordelen van risicolimieten en risicotoleranties. Evalueer risico's kwalitatief op basis van impact (catastrofaal, kritisch, marginaal), de waarschijnlijkheid (zeer zeker, zeer, onwaarschijnlijk) het tijdsschema (onmiddellijk, korte termijn, lange termijn) en kwantificeer deze zo mogelijk. Prioriteer risico's aan de hand van criteria en impact. Onderzoek de waarschijnlijkheid van belangrijke risico's. Maak IT-risico management onderdeel van de (bredere) corporate governance activiteiten. Wordt bij het bepalen van de risico's rekening gehouden met de mogelijke impact van de gevolgen? Van belang om vast te kunnen stellen wat de impact is van risico's. Bijvoorbeeld juridisch, technisch, reputatie, personeel en operationeel. Rapportage 10 van 22

11 Beoordeelt u vastgestelde risico's naar waarschijnlijkheid en consequenties? Beschikken over inzicht in relevante risico's en hiermee samenhangende consequenties en waarschijnlijkheid hiervan. Neemt u maatregelen tegen risico's en documenteert u deze? Het door middel van maatregelen reduceren van vastgestelde risico's tot een voor de organisatie acceptabel niveau. Hierbij kan gedacht worden aan voorkomen van risico's, verkleinen van de kans of de impact van een risico, overdragen van risico's. Heeft u een risico-actieplan en wordt dit onderhouden? In het actieplan kunnen prioriteiten worden vastgesteld zodat voorgestelde maatregelen naar mate van belang worden uitgevoerd. Hierdoor wordt bewuster met IT-kosten omgegaan en wordt vooral geïnvesteerd in die zaken waarvan de baten het hoogst zijn. Hoe: Maak het uitvoeren van een risicoanalyse tot een vast onderdeel van alle relevante beslissingen inzake IT-investeringen, projecten en ingrijpende wijzigingen. Rapportage 11 van 22

12 3.4 Wijzigingenbeheer Belang algemeen Alle wijzigingen, inclusief noodmaatregelen en -patches, op de operationele infrastructuur en applicaties dienen beheerst te worden doorgevoerd. Beheerste doorvoering van wijzigingen betekent dat wijzigingen worden geregistreerd, beoordeeld en goedgekeurd voordat de wijzigingen worden doorgevoerd. Na afloop worden de doorgevoerde wijzigingen gecontroleerd. Dit minimaliseert het risico van een verstoring op de stabiliteit en integriteit van de operationele omgeving. Belang vanuit typering Frequente wijzigingen kunnen de stabiliteit van de systemen aantasten. Het is daarom van belang te beschikken over een gestructureerd wijzigingenbeheer waarbij wijzigingen op een geplande en beheerste wijze worden doorgevoerd om mogelijke verstoringen te beperken cq. te voorkomen. Huidige werkwijze De procedure voor het beheer van wijzigingen is ontwikkeld en wordt bij alle wijzigingen ook gevolgd. Het management heeft voldoende vertrouwen dat er slechts minimale uitzonderingen zijn op de procedure. Wijzigingenbeheer is efficiënt en effectief, maar steunt nog wel in belangrijke mate op handmatige activiteiten om te zorgen dat de beoogde kwaliteit wordt gehaald. Alle wijzigingen worden onderworpen aan een gedegen analyse van planning en impact om de kans op storingen en fouten te minimaliseren. Na beoordeling vindt formele goedkeuring van de wijziging plaats. Documentatie van wijzigingen is volledig en juist, evenals de documentatie van de configuraties. De procedures voor wijzigingenbeheer worden steeds beter geïntegreerd in de bedrijfsprocessen. Er is een toenemende coördinatie van IT-wijzigingen en herontwerp van bedrijfsprocessen. Detailvragen: Heeft u procedures voor wijzigingenbeheer vastgesteld? Wijzigingsprocedures zorgen voor een uniforme afhandeling van wijzigingen op applicaties, procedures, processen, systemen, enz. Worden wijzigingen beoordeeld op impact, prioriteit en noodzakelijke goedkeuring voordat deze worden doorgevoerd? Een gestructureerde analyse van impact, prioriteit en bijbehorende goedkeuring minimaliseert de kans op fouten of storingen bij wijzigingen. Zijn voor spoedwijzigingen procedures aanwezig? Noodwijzigingen vereisen speciale aandacht en procedures om achteraf alsnog de wijziging te kunnen beoordelen en eventueel te kunnen corrigeren. Worden status en resultaten van wijzigingen gerapporteerd? Wijzigingen moeten gevolgd kunnen worden door de betrokkenen. Rapportage maakt het mogelijk proactief bij te sturen in de planning, capaciteit en prioriteit. Worden wijzigingen gedocumenteerd en wordt de systeemdocumentatie ook aangepast? Door middel van documenteren van wijzigingen in zowel de systeem- als de gebruikersdocumentatie waarborgen dat steeds kan worden beschikt over actuele systeembeschrijvingen. Rapportage 12 van 22

13 3.5 Continuïteitsbeheer Belang algemeen Het waarborgen van de continue beschikbaarheid van de IT-voorzieningen vereist het ontwikkelen, onderhouden en testen van continuiteitsplannen, het opslaan van backup op een externe lokatie en het periodiek trainen op de werking van de plannen. Belang vanuit typering Een verstoring in de IT-voorzieningen zal direct leiden tot stagnatie van een of meerdere primaire bedrijfsprocessen. Deze directe en onverbrekelijke afhankelijkheid maakt het noodzakelijk te beschikken over hierop afgestemde IT-continuïteitsvoorzieningen. Bij eventuele verstoringen zullen derden direct hinder kunnen ondervinden. Dit kan leiden tot aantasting van het imago, extra kosten en mogelijk tot gevolgschade. Bij het bepalen van de beschikbaarheidseisen dient hiermee in het bijzonder rekening te worden gehouden door het uitvoeren van een bedrijfsimpactanalyse en de noodvoorzieningen hierop af te stemmen. De huidige systemen zijn stabiel. Stabiele systemen duiden op weinig of slechts kleine storingen. Dit is positief. Tegelijkertijd kan de afwezigheid van storingen leiden tot een minder alerte houding ten aanzien van de te volgen handelswijze, ingeval zich wel een storing voordoet. Het is daarom van belang te kunnen beschikken over op de bedrijfsbelangen afgestemde IT-continuïteitsvoorzieningen. Huidige werkwijze De verantwoordelijkheid voor continuïteit is ondubbelzinnig vastgesteld. Verantwoordelijkheden voor planning en testen zijn daarbij toegewezen. Het continuïteitsplan is gedocumenteerd en gebaseerd op kritische systemen en de impact daarvan op de bedrijfsprocessen. Periodiek wordt over het testen van de continuïteitsplanning gerapporteerd. De noodzaak van waarborging van continuïteit wordt door het management regelmatig gecommuniceerd. De maatregelen zijn afgestemd op het bedrijfsbelang van de systeemcomponenten. Een overzicht van kritische systemen en componenten wordt actueel onderhouden. Detailvragen: Past u een raamwerk voor continuïteitsbeheer toe? Beschikken over een raamwerk op basis waarvan de vereiste robuustheid van de IT- voorzieningen en continuïteitsplannen kunnen worden vastgesteld. Hoe: Leg rollen en verantwoordelijkheden vast voor het ontwikkelen van een IT continuïteitsraamwerk en het vaststellen van regels, het goedkeuren, documenteren en implementeren. Ontwikkel een IT-continuïteitsbeleid en -filosofie die aansluiten bij de bedrijfsbehoeften en continuïteitsbehoeften van de organisatie. Houd hierbij rekening met wettelijke eisen en good practices bij vergelijkbare organisaties. Wijs functionarissen aan die verantwoordelijk zijn voor het onderhoud en actualiseren van het raamwerk. Zorg dat de IT-continuïteitsplannen zijn afgestemd op de bedrijfsbehoefte en -belangen. Stel de behoefte vast op basis van een gedetailleerde bedrijfsimpactanalyse en vastgestelde herstelbehoefte. Zijn continuïteitsplannen opgesteld? Het continuïteitsplan minimaliseert de impact van een grote verstoring in de IT-voorzieningen op de bedrijfskritische processen en IT-systemen. In het plan is onder andere opgenomen welke alternatieven voorhanden zijn, wat de kritische IT-diensten zijn en welke procedures worden gevolgd. Rapportage 13 van 22

14 Zijn kritische IT-middelen en personen vastgesteld? Door in het continuïteitsplan de aandacht te concentreren op de kritische IT-middelen en personen wordt doelmatigheid ingebouwd en kunnen prioriteiten worden vastgesteld in noodscenario's. Wordt het continuïteitsplan jaarlijks onderhouden? Het continuïteitsplan moet periodiek worden onderhouden zodat het blijft aansluiten bij de behoefte van de organisatie en de wijzigingen in de IT-infrastructuur. Wordt het continuïteitsplan jaarlijks getest? Regelmatig testen van het plan maakt het mogelijk om tijdig tekortkomingen te signaleren en de plannen hierop aan te passen, zodat steeds kan worden beschikt over een werkend plan. Worden alle betrokkenen getraind in de procedures en plannen ten aanzien van continuïteit? Alle betrokkenen zouden op de hoogte moeten zijn van de inhoud van het continuïteitsplan en de gang van zaken bij een noodgeval. Hoe: Zorg dat het betrokken personeel goed op de hoogte is van het herstelplan en hun specifieke rol en taken. Bevorder actief het IT-continuïteitsbewustzijn. Dit om zeker te stellen dat betrokken managers, staf en andere belanghebbenden bewust blijven van de noodzaak en hun rol daarin. Is het continuïteitsplan verspreid onder alle betrokkenen? Een doordacht verspreidingsplan inclusief communicatie over het plan waarborgt dat alle betrokkenen op de hoogte zijn wat te doen bij een noodgeval. Hoe: Zorg bij wijzigingen dat de exemplaren van de vorige versie van het plan worden verzameld en vernietigd, conform de richtlijnen voor vernietiging van vertrouwelijke informatie. Is een planning gemaakt van de volgorde waarin IT-activiteiten hersteld moeten worden in geval van calamiteit? Beschikken over een planning en aanpak die voorkomen dat bij herstel na calamiteiten onvoldoende rekening is gehouden met onderlinge afhankelijkheden. Dit kan zowel de IT als de bedrijfsvoering betreffen. Worden back-ups ook op een externe lokatie opgeslagen? Opslag van belangrijke back-upmedia, documentatie en andere IT-hulpmiddelen op een externe locatie waarborgt de beschikbaarheid van bedrijfskritische middelen en -gegevens. Rapportage 14 van 22

15 Worden herstelactiviteiten na een storing altijd geëvalueerd? Het benutten van de opgedane ervaringen bij herstelactiviteiten en verbeteren (bijstellen) van de continuïteitsplannen zodat deze weer zijn afgestemd op de ervaringen. Rapportage 15 van 22

16 3.6 Systeembeveiliging Belang algemeen De noodzaak om de integriteit van informatie te waarborgen en de IT-middelen te beschermen maakt een proces van systeembeveiliging noodzakelijk. Dit omvat het vaststellen en onderhouden van ITbeveiligingsrollen en -verantwoordelijkheden, beveiligingsbeleid, standaards en procedures. Het betreft ook het monitoren van informatiebeveiliging en de periodieke toetsing en implementatie van correctieve maatregelen indien zwakheden in de beveiliging zijn aangetroffen of beveiligingsincidenten zich hebben voorgedaan. Effectieve systeembeveiliging beschermt alle IT-middelen zodat het risico van impact op de bedrijfsprocessen wordt geminimaliseerd. Huidige werkwijze De verantwoordelijkheid voor informatiebeveiliging is helder toegewezen en consistent doorgevoerd. Beveiligingsrisico's worden geanalyseerd. Beveiligingsbeleid en -procedures worden uitgewerkt, waarbij rekening wordt gehouden met een basis beveiligingsniveau. Gebruikersidentificatie, -authenticatie en - autorisatie zijn gestandaardiseerd. Beoordeling van de informatiebeveiliging vindt plaats volgens formele procedures en leidt tot verbetering van het niveau van informatiebeveiliging. Rapportage over informatiebeveiliging is gekoppeld aan bedrijfsdoelstellingen. Detailvragen: Is informatiebeveiliging benoemd in de portefeuilles van topmanagement? Het management van informatiebeveiliging dient voldoende hoog in de organisatie te zijn verankerd, zodat de beslissingen over informatiebeveiliging aansluiten bij de bedrijfsdoelen en -behoeften. Is een informatiebeveiligingsplan opgesteld? Het informatiebeveiligingsplan bevat de informatiebehoeften, IT-configuraties, informatie over risicoanalyses en maatregelen waardoor doelgericht gewerkt kan worden aan het verbeteren van informatiebeveiliging. Zijn procedures opgesteld voor gebruikersbeheer? Alle gebruikers en hun activiteiten op IT-systemen zouden uniek identificeerbaar moeten zijn. Rechten van gebruikers zouden overeen moeten stemmen met hun organisatorische bevoegdheden en verantwoordelijkheden. Zijn procedures opgesteld voor beheer van gebruikersrechten? Het aanvragen, toekennen, opschorten, wijzigen en intrekken van gebruikers- accounts en bijbehorende rechten zou beheerd moeten plaatsvinden. Goedkeuring van de wijzingen door de proceseigenaar is hierbij noodzakelijk. Wordt minimaal jaarlijks de informatiebeveiliging getest en beoordeeld? Regelmatig testen en beoordelen van de bestaande maatregelen van informatiebeveiliging waarborgt het niveau van beveiliging en het vasthouden hiervan. Hierdoor kan zekerheid worden verkregen dat belangrijke risico's daadwerkelijk zijn afgedekt. Rapportage 16 van 22

17 Zijn procedures opgesteld voor de identificatie en afhandeling van beveiligingsincidenten? Beveiligingsincidenten zouden als zodanig herkenbaar moeten zijn en moeten worden geregistreerd. Dit maakt het mogelijk adequate en duurzame maatregelen te treffen. Hoe: Laat alle gerapporteerde beveiligingsincidenten direct evalueren door een team met voldoende expertise, om de schade te beperken en de oorzaak van het incident te vinden en te elimineren. Informeer het management over alle significante inbreuken op de beveiliging. Hanteer een formeel gecommuniceerd proces voor medewerkers die het beveiligingsbeleid en/of - procedures schenden. Zorg dat medewerkers en derden zijn geïnformeerd over dit proces. Zijn procedures opgesteld voor de bescherming van hulpmiddelen die gebruikt worden voor informatiebeveiliging? Apparatuur die gebruikt wordt voor informatiebeveiliging zou beschermd moeten zijn zodat fraude hiermee wordt voorkomen. Zijn procedures opgesteld voor beheer van cryptografische sleutels? Procedures zouden aanwezig moeten zijn waarin het maken, wijzigen, intrekken, vernietigen, verspreiden, certificeren, opslag, invoer en gebruik van cryptografische sleutels is geregeld. Zijn maatregelen getroffen ter voorkoming, herkenning en correctie van schadelijke software? Besmetting met schadelijke software (virus, worm, spyware, spam, enz.) zou moeten worden voorkomen door gebruik en onderhoud van daarvoor beschikbare hard- en software. Zijn maatregelen getroffen ten aanzien van netwerkbeveiliging? Digitaal gegevensverkeer tussen lokaal netwerk en Internet zou beheerst moeten worden door voldoende beveiligingstechnieken en procedures. Bijvoorbeeld firewalls, hardware tokens voor het werken op afstand en intrusion detection. Zijn procedures opgesteld voor gegevensuitwisseling van gevoelige informatie? Gegevensuitwisseling van gevoelige informatie dient beheerst te worden door gebruik te maken van media die moeilijk zijn te manipuleren of voldoende beschermende technieken bieden, bijvoorbeeld encryptie. Hoe: Maak gebruik van digitale handtekeningen indien is vereist dat zekerheid bestaat dat data afkomstig zijn van een bekende bron. Distribueer gevoelige data alleen via een beveiligde weg. Dit vereist, indien mogelijk, zowel encryptie als voldoende fysieke bescherming van de gegevensdrager. Gevoelige data zijn bijvoorbeeld sleutels, beveiliginginformatie, vertrouwelijke data en wachtwoorden. Kopppel aan transacties die ondertekend moeten worden tijdstempels. Gebruik hierbij gesynchroniseerde klokken en houd, indien van toepassing, rekening met internationale tijdzones. Rapportage 17 van 22

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

IT Audit Essentials. Rapportage Self Assessment. IT Audit Essentials. Klantnaam: Demo Bedrijf. Printdatum 11-6-2012 1

IT Audit Essentials. Rapportage Self Assessment. IT Audit Essentials. Klantnaam: Demo Bedrijf. Printdatum 11-6-2012 1 Rapportage Self Assessment Printdatum 11-6-2012 1 Klantgegevens Bedrijfsnaam Afdeling Automatisering Telefoonnummer 020-1234567 E-mail email@email.nl Naam invuller / contactpersoon Jan Jansen Functie Hoofd

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

IT Audit in de MKB controlepraktijk. Ervaringen en inzichten. Webbased Self Assessments

IT Audit in de MKB controlepraktijk. Ervaringen en inzichten. Webbased Self Assessments IT Audit in de MKB controlepraktijk Ervaringen en inzichten Webbased Self Assessments 1 Samenvatting Het belang van IT Audit voor de accountant De accountant heeft zelf steeds meer behoefte aan inzicht

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

IT Audit Essentials. Rapportage Self Assessment VOORBEELD BV. IT Audit Essentials. Voorbeeld BV Printdatum 18 oktober 2012 1

IT Audit Essentials. Rapportage Self Assessment VOORBEELD BV. IT Audit Essentials. Voorbeeld BV Printdatum 18 oktober 2012 1 Rapportage Self Assessment VOORBEELD BV Printdatum 18 oktober 2012 1 Klantgegevens Bedrijfsnaam Afdeling IT Telefoonnummer 0123456789 E-mail anoniem @voorbeeld.bv Naam invuller / contactpersoon demo Functie

Nadere informatie

0.1 Opzet Marijn van Schoote 4 januari 2016

0.1 Opzet Marijn van Schoote 4 januari 2016 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18 ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation

Nadere informatie

Bedrijfsgegevens. Bedrijfsnaam. Vestigingsadres. Postcode vestigingsadres. Vestigingsplaats. Over hoeveel vestigingen beschikt uw bedrijf totaal?

Bedrijfsgegevens. Bedrijfsnaam. Vestigingsadres. Postcode vestigingsadres. Vestigingsplaats. Over hoeveel vestigingen beschikt uw bedrijf totaal? Bedrijfsgegevens Bedrijfsnaam Vestigingsadres Postcode vestigingsadres Vestigingsplaats Over hoeveel vestigingen beschikt uw bedrijf totaal? In welke sector is uw bedrijf actief? Industrie Bouw Groothandel

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 1 Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 Doel Zorgdragen voor het doen functioneren van ICT-producten en diensten en het in stand houden van de kwaliteit daarvan, passend binnen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid 2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting

Nadere informatie

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier

Nadere informatie

Checklist voor controle (audit) NEN 4000

Checklist voor controle (audit) NEN 4000 Rigaweg 26, 9723 TH Groningen T: (050) 54 45 112 // F: (050) 54 45 110 E: info@precare.nl // www.precare.nl Checklist voor controle (audit) NEN 4000 Nalooplijst hoofdstuk 4 Elementen in de beheersing van

Nadere informatie

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Thema 2: aanschaf en gebruik van e-healthtoepassingen Checklist verantwoord e-health inzetten op basis van proefbezoeken Inspectie Gezondheidszorg en Jeugd Auteurs: Maartje van Hees (ExceptionAll) en Foppe Rauwerda (Beeldzorgadvies) Versie 1.0, 3 juli 2018

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer

Nadere informatie

Stappenplan voor het juist inrichten van uw BHV-organisatie Een essentieel onderdeel van integrale (brand)veiligheid

Stappenplan voor het juist inrichten van uw BHV-organisatie Een essentieel onderdeel van integrale (brand)veiligheid Stappenplan voor het juist inrichten van uw BHV-organisatie Een essentieel onderdeel van integrale (brand)veiligheid 2 Stappenplan voor het juist inrichten van uw BHV-organisatie: Een essentieel onderdeel

Nadere informatie

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) NEa, 20-07-2012, versie 1.0 INTRODUCTIE In artikel 34 van de Monitoring en Rapportage Verordening (MRV) is beschreven

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Project Fasering Documentatie Applicatie Ontwikkelaar

Project Fasering Documentatie Applicatie Ontwikkelaar Project Fasering Documentatie Applicatie Ontwikkelaar Auteurs: Erik Seldenthuis Aminah Balfaqih Datum: 31 Januari 2011 Kerntaak 1 Ontwerpen van applicaties De volgordelijke plaats van de documenten binnen

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

ADVISIE SERVICE SOLUTIONS

ADVISIE SERVICE SOLUTIONS SERVICE SOLUTIONS ADVISIE SERVICE SOLUTIONS Uw ERP systeem is van essentieel belang voor de dagelijkse bedrijfsvoering. De serviceverlening van Advisie is er daarom op gericht om verstoringen van het systeem

Nadere informatie

GDPR. een stand van zaken

GDPR. een stand van zaken GDPR een stand van zaken GDPR een stand van zaken Op 25 mei treedt de nieuwe Europese privacywetgeving (GDPR) in werking. Dit heeft impact op u als zorgverlener die met gevoelige gegevens omgaat. Het is

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

Rapport over het werkprofiel van Software engineer (sr)

Rapport over het werkprofiel van Software engineer (sr) Rapport over het werkprofiel van Software engineer (sr) Identificatienummer: Publicatiedatum: 19 november 2015 Leeswijzer Dit rapport omschrijft het werkprofiel van 'Software engineer (sr)' zoals die door

Nadere informatie

BIJLAGE 2: BEVEILIGINGSBIJLAGE

BIJLAGE 2: BEVEILIGINGSBIJLAGE BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

E. Procedure datalekken

E. Procedure datalekken E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende

Nadere informatie

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd

Concretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd >>> Overgang Maatstaf 2016 Onderstaand overzicht bevat de selectie van de geheel nieuwe eisen uit de Maatstaf 2016 en de eisen waarbij extra of andere accenten zijn gelegd, inclusief een korte toelichting.

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016 Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing

Nadere informatie

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013 ENERGIEMANAGEMENT ACTIEPLAN code: B1308 3 oktober 2013 datum: 3 oktober 2013 referentie: lak code: B1308 blad: 3/8 Inhoudsopgave 1. Inleiding 4 2. Onderdelen van het energiemanagement actieplan 5 2.1

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy De nieuwe EU - GDPR - AVG Privacy wetgeving Op 27 april 2016 is de nieuwe Europese General Data Protection Regulation (GDPR) vastgesteld, in Nederland bekend als de Algemene Verordening Gegevensbescherming

Nadere informatie

Functieprofiel: Medewerker Gebouw en Techniek Functiecode: 0702

Functieprofiel: Medewerker Gebouw en Techniek Functiecode: 0702 Functieprofiel: Techniek Functiecode: 0702 Doel Uitvoeren van onderhoudswerkzaamheden, het doen van aanpassingen, alsmede bedienen van installaties/machines, binnen geldende werkprocessen en afspraken

Nadere informatie

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum> VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie DEEL 1: DATA PRO STATEMENT Dit Data Pro Statement vormt

Nadere informatie

Samenvatting en Conclusie Revalidatiecentra

Samenvatting en Conclusie Revalidatiecentra Samenvatting en Conclusie Revalidatiecentra RIVM Onderzoek ICT in de Zorg December 2016 Correspondentie: onderzoek_over_ict@rivm.nl Resultaat statistieken De data representeert 30% van de revalidatiecentra

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7 Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management Whitepaper Compliance Management Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Stop met piekeren: Mavim helpt om nieuwe wet- en regelgeving effectief en efficiënt

Nadere informatie

GBA-beheerregeling 2007

GBA-beheerregeling 2007 GBA-beheerregeling 2007 Wetstechnische informatie Gegevens van de regeling Overheidsorganisatie gemeente Lelystad Officiële naam regeling GBA-beheerregeling 2007 Citeertitel GBA-beheerregeling Lelystad

Nadere informatie

Eindbeoordelingsformulier (Applicatieontwikkelaar 4)

Eindbeoordelingsformulier (Applicatieontwikkelaar 4) Eindbeoordelingsformulier (Applicatieontwikkelaar 4) Eindbeoordeling werkprocessen Naam stagiair BPV bedrijf Datum BPV Begeleider Praktijkopleider Periode Kerntaak 1: Ontwerpen van de applicatie, (cross)media

Nadere informatie

Informatiebeveiliging en Privacy; beleid CHD

Informatiebeveiliging en Privacy; beleid CHD Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling

Nadere informatie

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy Privacy policy Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Id Est IT Holding B.V. en andere, binnen de Id Est IT Holding B.V. actieve

Nadere informatie

Verwerkersovereenkomst Openworx

Verwerkersovereenkomst Openworx Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

MANAGEMENTRAPPORTAGE. Zelfevaluatie Paspoorten en NIK. Uitgiftelocatie Gemeente Achtkarspelen

MANAGEMENTRAPPORTAGE. Zelfevaluatie Paspoorten en NIK. Uitgiftelocatie Gemeente Achtkarspelen MANAGEMENTRAPPORTAGE Zelfevaluatie Paspoorten en NIK Uitgiftelocatie Gemeente Achtkarspelen 2014 Inhoud 1 INLEIDING 2 SAMENGEVAT RESULTAAT VAN DE ZELFEVALUATIE PASPOORTEN EN NIK 3 RESULTAAT PER TOPIC 3.1

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken Leiderschap 1. De directie heeft vastgelegd en is eindverantwoordelijk voor het

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Beschrijving maatregelen Informatie beveiliging centrale omgeving Beschrijving maatregelen Informatie beveiliging centrale omgeving Versie: 2.1 Datum: november 2017 Status: Concept Inhoud Inleiding... 3 Doelstelling... 3 Informatiebeveiliging... 3 Algemene verordening

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Functieprofiel Ondersteuner ICT Functieprofiel titel Functiecode 00

Functieprofiel Ondersteuner ICT Functieprofiel titel Functiecode 00 1 Functieprofiel Ondersteuner ICT Functieprofiel titel Functiecode 00 Doel Registreren en (laten) oplossen van vragen en storingen van ICTgebruikers binnen de richtlijnen van de afdeling, teneinde bij

Nadere informatie

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V. VERWERKERSOVEREENKOMST tussen INFOGROEN SOFTWARE B.V. &. Pagina 1 van 6 ONDERGETEKENDEN: 1. De besloten vennootschap Infogroen Software B.V. statutair gevestigd en kantoorhoudende te (2391 PT) Hazerswoude

Nadere informatie

Gegevensverzameling en gegevensverwerking

Gegevensverzameling en gegevensverwerking Gegevensverzameling en gegevensverwerking DefDocGeg: Definitie en documentatie van gegevensverzamelingen en gegevensverwerking binnen Helperzorg, opgesteld binnen de context van de AVG Dit document geeft

Nadere informatie

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar

Nadere informatie

Functieprofiel Functionaris Gegevensbescherming

Functieprofiel Functionaris Gegevensbescherming Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,

Nadere informatie

UITTREKSEL en MANAGEMENTRAPPORTAGE

UITTREKSEL en MANAGEMENTRAPPORTAGE UITTREKSEL en MANAGEMENTRAPPORTAGE Zelfevaluatie Paspoorten en NIK Gemeente Hoogeveen 2015 Uittreksel gemeente Hoogeveen van de resultaten van de controle als bedoeld in artikel 94 van de Paspoortuitvoeringsregeling

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting & 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

Nota Risicomanagement en Weerstandsvermogen

Nota Risicomanagement en Weerstandsvermogen Nota Risicomanagement en Weerstandsvermogen September 2015 Inhoudsopgave 1. Inleiding... 3 2. Aanleiding... 4 3. Nadere toelichting... 5 4. Doelstellingen en wettelijke kaders... 6 4.1. Doelstellingen...

Nadere informatie