Jaarlijkse verantwoording over de beveiliging van Suwinet-Inkijk door gemeenten. Datum Versienummer Auteur 5 aug J.E.
|
|
- Thijmen van Beek
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Jaarlijkse verantwoording over de beveiliging van Suwinet-Inkijk door gemeenten Datum Versienummer Auteur 5 aug J.E. Breeman
2 Inhoudsopgave Proces 3 Werkwijze 3 Bevindingen onderzoek 21 Overige opmerkingen/ conclusies: 24 Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 2 van 21
3 Proces In het kader van de jaarlijkse verantwoording over de beveiliging van Suwinet leggen ook de gemeentelijke afdelingen waar gemeentelijke belastingdeurwaarders en de RMC's onder vallen verantwoording af over het gebruik van Suwinet-Inkijk. Dit document is een praktische uitwerking van de vigerende Verantwoordingsrichtlijn en het als Bijlage D bij deze Verantwoordingsrichtlijn opgenomen Normenkader - met voor deze afdelingen relevante normen. Dit document dient bij wijziging van de Verantwoordingsrichtlijn bijgewerkt te worden. Werkwijze Onderstaand document wordt door of namens de afdeling waar gemeentelijke belastingdeurwaarders en de RMC's onder vallen naar waarheid ingevuld en ondertekend door de interne controller of auditor en door het hoofd van de afdeling Gemeentelijke Belastingen het hoofd van de afdeling Onderwijs. Daarna wordt de toelichting op het oordeel (zie pagina 17 en 18) - ter transparantie aan registratiehouders en Suwipartijen - verzonden aan de Security Officer van het BKWI. Deze verwerkt de aangeboden informatie in de jaarlijkse Samenvattende rapportage van de beveiliging van Suwinet. Gerelateerde documenten (documenten 1en 2 zijn zijn te vinden op document 3 is aan u g d): 1) Gezamenlijke elektronische Voorziening Suwi Service Level Agreement 2) Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet (met bijlage D: het Suwinet-Normenkader) 3) Handleiding Verantwoording Suwinet De volgende normen zijn relevant bij deze jaarlijkse verantwoording: Afhankelijk van het beleid en de inrichting van - de informatiebeveiliging kan het zijn dat de volgende normen gemeentebreed beoordeeld worden, of toegespitst op de uitwisseling ten behoeve van de gemeentelijke deurwaarders en/of de RMC s: Normen: 1.1, 1.2, 1.3, 1.4, 1.5, 2.1, 2.2, 2.3, 2.4, 2.5, 3.1, 4.3, 7.1, 7.3, 8.1, 8.2, 8.3, 8.4, 9.1, 9.2, 10.2, 12.1, 12.2, 12.3, 13.3, 13.5, 13.6, 13.7, 13.9, 14.1, 15.3, 19.2, 21.2, 21.3, 21.4, 21.5, 21.6, 21.7, 21.8, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6, Het voldoen aan de volgende normen is meer relevant voor de eigen organisatie dan voor de keten: Normen: 3.2, 5.1, 5.2, 5.3, 5.4, 6.1, 6.2, 6.3, 6.4, 6.5, 19.5, Het voldoen aan de volgende normen is voor de GBD en RMC inherent aan het stelsel (wordt technisch afgedwongen): Normen: 4.1, 13.4, 13.8, 15.1, 15.2, 15.4, 15.5, De volgende normen zijn te zijner tijd relevant: Normen: 11.1, 11.4, De volgende normen uit het Suwinet-Normenkader zijn niet van toepassing voor de GBD of RMC (en derhalve niet opgenomen in onderstaande template): Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 3 van 21
4 Normen: 3.3, 3.4, 4.2, 7.2, 7.4, 8.5, 10.1, 10.3, 10.4, 10.5, 10.6, 11.2, 11.3, 11.5, 11.6, 12.4, 13.2, 13.10, 14.2, 16.1, 16.2, 16.3, 16.4, 16.5, 17.1, 17.2, 17.3, 17.4, 17.5, 18.1, 18.2, 18.3, 18.4, 18.5, 18.6, 19.1, 19.4, 19.7, 20.1, 20.2, 20.3, 20.4, 20.5, 20.6, 20.7, Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 4 van 21
5 Norm Aandachtsgebied / omschrijving Voldaan Toelichting (evt. Ja Nee verwijzing naar documentatie) 1. Beveiligingsbeleid en beveiligingsplan 1.1. De Suwipartij beschikt over een informatiebeveiligingsbeleid dat aansluit op de documenten zoals genoemd in Bijlage H [van de Verantwoordingsrichtlijn]. - algemeen beleid over beveiliging, risicoanalyse, toegang tot data en infrastructuur, rol gespecialiseerde beveiligingsadviseurs; - organisatie van de beveiliging; - classificatie; - beveiliging van personeel; - fysieke beveiliging; - logische toegangbeveiliging; - systeemontwikkeling en onderhoud; - beheer en beheersing ICT-omgevingen (inclusief uitbesteding); - continuïteitsplanning; - toezicht; - de documenten passen binnen het beveiligingsconcept voor de totale organisatie De Suwipartij heeft voor de Suwi-omgeving (applicaties, processen en infrastructuur) een Suwinet beveiligingsplan opgesteld, dat gebaseerd is op het informatiebeveiligingsbeleid van de organisatie en afspraken in de Suwiketen. - (meerjaren) activiteiten voor Suwinet; - afspraken gebaseerd op de Keten SLA GeVS. 1.3.E Het informatiebeveiligingsbeleid en het beveiligingsplan Suwinet zijn goedgekeurd door het management van de Suwipartij. 1.4.E Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie. 1.5.E Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden jaarlijks geëvalueerd en indien nodig geactualiseerd. 2. Organisatorische aspecten Aanvullende info ter verduidelijking van de norm: Ongeacht of het beveiligingsbeleid centraal of decentraal is ingericht en vastgesteld, moet de beveiliging van Suwinet daar herkenbaar in zijn verwerkt. Het is voor de Suwiketen van belang dat de Suwi-gegevens ook bij de gemeente voldoende beveiligd zijn. Zie Norm 1.1. Zie Norm 1.1. Zie Norm 1.1. Zie Norm 1.1. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 5 van 21
6 2.1. De Suwipartij beschikt over een ingerichte organisatie voor het beheersen van de beveiliging van het Suwinet. 2.2.E 2.3.E De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. - operationeel beheer; - functioneel beheer; - technisch beheer; - aansturing ICT-leveranciers; - Security Officer; - autorisatiebeheer; - eigenaarschap Suwinet. De Security Officer beheert en beheerst beveiligingsprocedures en maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd: - de Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat m.b.t. de beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet; - de Security Officer rapporteert rechtstreeks aan het hoogste management. Ongeacht of het beveiligingsplan centraal of decentraal ingericht en vastgesteld is moet de beveiliging van de Suwinet daar herkenbaar in zijn verwerkt. Het is voor de Suwiketen van belang dat de gemeente passende beveiliginigsmaatregelen treft. Zie Norm 2.1 Zie Norm 2.1. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 6 van 21
7 2.4. Personeel en ingehuurde krachten die met Suwinet werken dienen vertrouwelijk om te gaan met de privacygevoelige gegevens uit Suwinet: geheimhoudingsplicht; - Clear-Desk m.b.t. persoonsgegevens; - training gebruikers m.b.t. bewustwording voor informatiebeveiliging; - verwijderen/vernietigen gegevens(dragers). 3. Architectuur / Standaarden 3.1. De gestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, het SGR, de Suwinet Ketenarchtectuur en de onderliggende set van afspraken en documenten. De ongestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, de Suwinet Ketenarchitectuur en de onderliggende set van afspraken en documenten De Suwipartij volgt de actuele wet- en regelgeving en maakt een vertaalslag ten behoeve van de aansluiting op het SGR en definiëren richtlijnen voor het gebruik van de gegevens en stellen deze gezamenlijk vast. - verpakking van berichten; - stuurgegevens; - gebruik communicatieprotocollen; - naamgeving; - versiebeheer. 4. Dienstenniveau Beheer 4.1. De dienstverlening en de daarop betrekking hebbende beveiligingsnormen zijn gebaseerd op wet- en regelgeving en ook op gemeenschappelijke afspraken die formeel zijn vastgelegd in Service Level Agreements (SLA s) en nader zijn uitgewerkt in de Keten DAP GeVS en eventuele onderliggende documenten. Zie Norm 2.1. Het voldoen aan deze norm is inherent aan het stelsel, de gemeente heeft hier geen invloed op. Het voldoen aan deze norm is alleen van belang voor de eigen organisatie. De gemeente heeft een gegevensverwerkingsovereenkomst getekend met het UWV. In deze overeenkomst is opgenomen dat de gemeente zich conformeert aan de Keten-SLA GeVS. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 7 van 21
8 4.3.E Het naleven van de afspraken tussen de Suwipartij en de uitbesteding (van delen) van diensten wordt gecontroleerd: - interne kwaliteitsprocessen / controle; - third party mededelingen; - toezicht op naleving afspraken; - rapportage uitkomsten controle. 5. Capaciteitsbeheer 5.1. De Suwipartij heeft een proces voor capaciteitsbeheer ingeregeld: - capaciteitsplan; - capaciteitswijzigingsvoorstellen (afspraken conform wijziging- en releasebeheer); - voorstellen voor aanpassing van afgesproken dienstverlening; - escalatieprocedures De capaciteitsbehoefte wordt geborgd volgens de afspraken vastgelegd in de Keten SLA GeVS De beheerders van de Suwinet voorzieningen bewaken of het capaciteitsbeslag op de Suwinet voorzieningen overeenkomt met de waarden zoals vastgelegd in de Keten SLA GeVS en signaleren bij dreigende overschrijdingen: - escalatieprocedures (escalatie vindt plaats conform het incidentbeheer); - performance en werklast; - minimum en maximum capacititeit Het capaciteitsgebruik wordt permanent gecontroleerd en regelmatig aan de hand van performance indicatoren geanalyseerd. Als de capaciteit ontoereikend dreigt te worden dient dit door de betrokken ICT-leverancier te worden gemeld en actie te worden ondernomen. 6. Continuïteitsbeheer 6.1. De organisatie beschikt over een continuïteitsbeleid: - definitie calamiteiten; - calamiteitenorganisatie; - aanwijzing calamiteitencoördinator; - calamiteitenniveau per bedrijfsproces; - beleid ten aanzien van eventuele uitwijk. De Suwi-richtlijnen gelden onverkort bij (onder)uitbesteding van infrastructuur en taken. Het voldoen aan deze norm is voor de keten van belang wat betreft gegevenslevering. Voor het overige is het voldoen aan deze norm slechts van belang voor de eigen organisatie. Zie Norm 5.1. Zie Norm 5.1. Zie Norm 5.1. Het voldoen aan deze norm is slechts van belang voor de eigen organisatie. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 8 van 21
9 6.2. De organisatie beschikt over een continuïteitsplan. - continuïteitsplan met beschrijving van Suwinet objecten en/of toepassingen en de gerelateerde afhankelijkheden; - testplan; - calamiteitenplan. 6.3.E Het continuïteitsbeheer komt overeen met de afspraken in de geldende Keten SLA GeVS: - openstellingtijden; - onderhoudstijden; - uitwijk De in de geldende Keten SLA GeVS en Keten DAP GeVS benoemde noodvoorzieningen worden jaarlijks getest: - een maal per jaar zonder koppeling bedrijfsprocessen; - een maal per jaar met koppeling bedrijfsprocessen De Suwi-gegevens moeten beschikbaar zijn conform de overeengekomen beschikbaarheidpercentages zoals vastgelegd in de Keten SLA GeVS: - bewaartermijnen back-up; - testen herstel (recovery); - externe opslag; - reserve apparatuur. 7. Configuratiebeheer 7.1. De Suwipartij registreert en onderhoudt binnen het eigen domein de componenten die specifiek worden ingezet voor de gegevensuitwisseling via het Suwinet: - eenduidige naamgevingconventie; - identificerende gegevens op fysieke componenten; - labelen gegevensdragers; - periodieke controle van feitelijke situatie en registratie (geldt ook voor middelen op uitwijklocaties). Zie Norm 6.1. Zie Norm 6.1. Zie Norm 6.1. Zie Norm 6.1. Elke afdeling/dienst moet zelf de benodigde evidence aanleveren wanneer dit proces decentraal is ingericht. Het voldoen aan deze norm is met name van belang bij gegevenslevering en bij inlezende applicaties en voorinvulling. Voor de GBD en/of de RMC betreft het slechts een beperkt aantal componenten: routers en firewalls, de beoordeling van het voldoen aan deze norm is daarom minder van belang. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 9 van 21
10 7.3. De objecten van onderzoek welke zijn gepositioneerd binnen het onderkende koppelvlak van Suwinet worden geadministreerd. In de Keten SLA GeVS worden voor enkele van deze objecten nadere afspraken gemaakt. 8. Incidentbeheer 8.1. Een procedure is van kracht die regelt dat (beveiliging)incidenten en zwakke plekken in de beveiliging van Suwinet applicaties, processen en infrastructuur gemeld worden: - de incidenten procedure moet bekend zijn bij de betrokken medewerkers; - de Security Officer van de Suwipartij meldt eventuele beveiligingsincidenten aan de Security Officer van het BKWI; - de procedure voorziet in een escalatieprocedure. 8.2.E De incidenten worden centraal vastgelegd, gerapporteerd, geanalyseerd, gekwantificeerd en afgewikkeld in relatie tot het betrouwbaarheidsniveau en de ernst van de storing voor de bedrijfsvoering van Suwinet conform de afspraken in de Suwiketen. (Keten SLA GeVS, en procedure Incidentbeheer) Incidenten die niet binnen de overeengekomen oplostijd binnen Incident Beheer kunnen worden opgelost, worden geëscaleerd Incidenten die kunnen worden opgelost maar waarvan de verwachting bestaat dat deze opnieuw kunnen optreden worden voorgelegd aan probleembeheer ter nadere analyse. 9. Probleembeheer 9.1. De Suwipartij beschikt over een procedure voor het analyseren en het trekken van lering uit incidenten en zorgen ervoor dat het beleid en maatregelen overeenkomstig wordt aangepast: - probleem melding; - registreren (probleemeigenaar, Known Errors); - analyseren (onderzoek en diagnose en prioritering); - oplossen (Wijzigingsverzoek indienen en Foutbeheer); - afsluiten (rapportage); - escalatieprocedure Het Problem Management dient door Incident Management van de verschillende Suwipartijen geïnformeerd te worden en informeert Incident Management over Known Errors en Work Arounds. Zie Norm 7.1 Elke afdeling/dienst moet zelf de benodigde evidence aanleveren wanneer dit proces decentraal is ingericht. Zie Norm 8.1. Zie Norm 8.1. Zie Norm 8.1. Elke afdeling/dienst moet zelf de benodigde evidence aanleveren wanneer dit proces decentraal is ingericht. Zie Norm 9.1. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 10 van 21
11 10. Wijzigingsbeheer 10.2.E De wijzigingen op Suwinet worden doorgevoerd volgens een gestructureerde wijzigingenprocedure met centrale regie: - plannen, registreren, bewaken van voortgang en uitvoerbaarheid van wijzigingen; - impactanalyse op (beveiliging) van andere wijzigingen; - doorvoeren versiebeheer op de wijzigingen; - alle wijzigingen worden eerst getest en goedgekeurd alvorens zij in productie genomen worden. 11. Testen 11.1.E De Suwipartij test binnen de eigen omgeving of de nieuwe functionaliteit van het Suwinet voldoet aan het gestelde doel zoals vastgelegd in het wijzigingsvoorstel (het functioneel testen) en voeren op componenten acceptatietesten uit: - testmethodiek en strategie; - testorganisatie; - testplan en voorbereiding; - testspecificatie (testdata en testgevallen) en testuitvoering; - vastlegging testresultaten en goedkeuring test; - de test is reproduceerbaar; - plan voor gebruikers acceptatietest; - acceptatiecriteria (gebruikersdocumentatie en gebruikersprocedures); - acceptatietest verslag; - formele goedkeuring door gebruiker Het testen vindt plaats met fictieve persoonsgegevens. Indien bij het testen gebruik gemaakt moet worden van persoonsgegevens uit de productieomgeving moeten de gebruikte persoonsgegevens inclusief de inhoudelijke testresultaten na uitvoering van de test worden verwijderd uit de testomgeving en traceerbaar vernietigd. 12. Netwerkbeheer Elke afdeling/dienst moet zelf de benodigde evidence aanleveren wanneer dit proces decentraal is ingericht. Het voldoen aan deze norm is met name van belang bij gegevenslevering. Voor de gemeente als afnemer van gegevens is het voldoen aan deze norm slechts van belang voor de eigen organisatie. Zie Norm Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 11 van 21
12 12.1. Het gebruik van het Suwinet netwerk en de verwachte ontwikkelingen worden geanalyseerd: - detecteren en oplossen congesties; - analyseren transportvolumes De Suwinet infrastructuur tot aan de koppelpunten van de Suwipartijen wordt centraal beheerd door het BKWI. Het netwerk van de Suwipartijen tot en met het koppelpunt met de Suwinet infrastructuur wordt door de Suwipartijen beheerd. - onderhoud netwerk(besturings)programmatuur; - analyse beschikbaarheid; - analyse netwerkbelasting; - melden en afwikkelen van onvolkomenheden; - signaleren en afwikkelen van inbreuken op netwerkbeveiliging; - signaleren en afwikkelen van aanvallen op netwerk De netwerkcomponenten zijn ingebed in het configuratie- en continuïteitsmanagement (externe koppeling): - beveiliging tegen stroomonderbreking; - back-ups; - herstelproces. 13. Logische toegangsbeveiliging 13.1.E De Suwipartij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen: - het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie / taken; - het uniek identificeren van elke gebruiker tot één persoon; - het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde; - het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek; - het benaderen van de Suwi-gegevens bestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). Het voldoen aan deze norm is met name van belang bij gegevenslevering. Voor de gemeente als afnemer van gegevens is het voldoen aan deze norm slechts van belang voor de eigen organisatie. Zie Norm Zie Norm Het verstrekken van autorisaties is slechts toegestaan aan medewerkers van de eigen organisatie en slechts voor de uitvoering va de wettelijke taken. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 12 van 21
13 13.3. Functioneel Beheerders hebben alleen toegang tot persoonsgegevens van Suwinet volgens onder 13.1 gestelde eisen: - procedures en wachtwoorden passend voor die beheeractiviteiten Identificatie, authenticatie en autorisatie vinden plaats met behulp van een toegangbeveiligings-applicatie E De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. - interne controle op rechten en gebruik van Suwinet; - analyseren van de van het BKWI verkregen informatie over het gebruik van Suwi-gegevens Ongeautoriseerde toegangspogingen en essentiële activiteiten worden gedetecteerd, geanalyseerd en tegen inbreuken wordt actie ondernomen: - analyseren van de informatie verkregen op basis van normen 1 tot en met 10; - maximaal 18 maanden bewaren van loggegevens welke gegevens bevatten die tot natuurlijke personen herleidbaar zijn Het gebruik van wachtwoorden is gebaseerd op de afspraken voor het Suwinet: - overdracht verbieden; - wijzigen initiële wachtwoord; - geen hergebruik laatste 5 wachtwoorden; - procedure bij vergeten wachtwoord ; - minimaal acht posities bestaande uit cijfers en letters, niet zijnde voornaam, achternaam, gebruikersnaam; - wijziging na acht weken afdwingen Het aantal achtereenvolgende ongeldige inlogpogingen is beperkt tot vier (het aantal aanlogpogingen is vijf). Overschrijding leidt tot automatische afsluiting van het toegangsrecht Het toepassen van een Screensaver na max. 15 minuten en het activeren van applicatie via een wachtwoord. 14. Fysieke beveiliging Het voldoen aan deze Norm is inherent aan het stelsel, de gemeente heeft hier geen invloed op. De gemeente moet een intern controle proces ingericht hebben om passende maatregelen te kunnen treffen bij misbruik of onrechtmatig gebruik van de Suwi-gegevens. Zie norm Het voldoen aan deze Norm is inherent aan het stelsel, de gemeente heeft hier geen invloed op. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 13 van 21
14 14.1. De ruimten met Suwinet componenten en -data zijn alleen toegankelijk voor: - geautoriseerde personen: - regime beperking toegang; - fysieke beveiliging. 15. Suwinet-Inkijk Het online ophalen van gegevens vindt plaats conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Inkijk De authenticiteit van de communicatiepartners moet vaststaan: - de authenticiteit van de vragende en aanbiedende organisatie van Inkijkgegevens moet vaststaan; - de authenticiteit van eindgebruikers binnen de vragende organisatie van Inkijkgegevens moet vaststaan De vertrouwelijkheid van Inkijkgegevens moet gewaarborgd zijn: - ongeautoriseerd gebruik van de Inkijkgegevens ten tijde van het transport tussen de vragende en aanbiedende webservice is niet mogelijk; - ongeautoriseerd gebruik van de Inkijkgegevens is niet mogelijk De integriteit van de gegevensuitwisseling moet gewaarborgd zijn (ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden mag niet mogelijk zijn ten tijde van het transport) De Inkijkgegevens mogen tijdens transport niet verloren raken en Suwinet-Inkijk is beschikbaar conform de afspraken in de Keten SLA GeVS. 19. Toegangsbeveiligings software Het voldoen aan deze Norm is inherent aan het stelsel, de gemeente heeft hier geen invloed op. Toegang tot Suwinet-Inkijk is strikt persoonlijk, het gebruik van gezamenlijke accounts is niet toegestaan. Zie Norm Zie Norm Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 14 van 21
15 19.2. De gebruikersadministratie is decentraal (gedelegeerd) ingericht, de toekenning van de rechten is gedelegeerd. - autorisatieverkeer vindt plaats op basis van ketenbrede afspraken; - er zijn voorschriften inzake de gebruikersadministratie; - benoeming en administratie van lokale beheerders voor het autorisatieverkeer autorisatieprofiel; - bevoegdhedenprofiel beperken, alleen toegang tot geautoriseerde diensten; - inkijkpagina s alleen lezen en autorisatie op functionaris / gebruikersniveau; - gebruikersrollen worden alleen aan gebruikers toegekend (beheerders krijgen geen gebruikersrol toegewezen) Het autoriseren van eindgebruikers gebeurt op basis van rollen met beperking van de weer te geven gegevens per pagina B De lograpportage over Suwinet-Inkijk wordt periodiek verstrekt aan de Suwipartijen verstrekt voor analyse doeleinden: - centrale logging over het gebruik door de eindgebruikers van Suwinet-Inkijk; - centrale verzorging van de lograpportage op reguliere basis; - analyse van lograpportage wanneer daar aanleiding toe is B De toegangbeveiliging software is beschikbaar voor beheerders en eindgebruikers conform de Keten SLA GeVS: - het beheer van de toegangbeveiliging software is belegd bij BKWI; - alle wijzigingen in de gebruikersadministratie worden gelogd; - de toegangbeveiliging software en de instellingen hiervan Beoordeling van deze norm is met name van van belang in relatie tot het inrichten van proportionaliteit, granulariteit en de controle op onrechtmatigheid. Zie Norm Norm geldt weliswaar voor het BKWI, maar is ook van belang in relatie tot de eigen interne controle Norm geldt weliswaar voor het BKWI, maar is ook van belang in relatie tot de eigen interne controle. zijn gedocumenteerd. 21. Netwerk 21.2.E Het Suwinet maakt alleen gebruik van vaste lijnen. Het voldoen aan de norm is inherent aan de aansluiting. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 15 van 21
16 21.3.E Het Suwinet heeft geen directe verbinding met internet. Het eigen (gemeentelijk) netwerk moet net als het Suwinet - voldoende bescherming bieden voor de uitwisseling en verwerking van persoonsgegevens met risicoklasse 2 (zie AV23: av23.pdf) E Alleen verkeer uit het eigen netwerk van de Suwipartij wordt via firewalls aangeboden aan het Suwi-Koppelpunt: - uitsluitend afkomstig van toegewezen IP-adressen; - filteren op IP-adres; - IP-nummerplan De door Suwipartijen voor de gegevensuitwisseling via het Suwinet ingezette netwerkcomponenten moeten elkaar wederzijds authenticeren: - automatische identificatie zend-, ontvangstpunten en werkstations; - alleen directe toegang tot geautoriseerde diensten; - beheersen route naar werkstation; - authenticatie gebruikers en computers op afstand; - beheersing diagnosepoorten en verbinding; - routering en faciliteiten via logische toegangbeveiliging; - geen systeem- of toepassingsidentificatie tonen voor voltooiing aanlogproces; - bescherming tegen ongeautoriseerd gebruik; - geen hulpboodschappen tijdens aanloggen; - verificatie aanloginformatie na volledige invulling gegevens; - documentatie beveiligingskenmerken; - verbindingstijd beperken Alle afwijkingen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid worden gemeld als beveiligingsincident (monitoren gebruik) De beveiligingsopties in netwerkapparatuur en programmatuur worden toegepast (gedocumenteerd). Het voldoen aan deze Norm is inherent aan het stelsel, de gemeente heeft hier geen invloed op. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 16 van 21
17 21.8. Telewerken is alleen toegestaan indien via het eigen (lees Suwipartij) netwerk aan Suwinet wordt gekoppeld. De dataopslag op de werkplek buiten de organisatie vindt encrypt plaats en ook de gegevensuitwisseling tussen de werkplek buiten de organisatie en het eigen netwerk is versleuteld. 22. Koppelingen 22.1.E Bij koppelingen van de Suwipartij aan de Suwinet-infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwipartijen wordt doorgelaten: - beschermd tegen indringen; - verkeer wordt alleen op de applicatielaag uitgewisseld; - toegang vanuit het externe netwerk vindt uitsluitend via de router cq. firewall plaats; - alle berichten scannen op schadelijke codes; - analyse van verdachte activiteiten à tempo (intrusion detection) De componenten die worden ingezet voor koppeling, zijn gebaseerd op bewezen technologie: - gestandaardiseerde componenten; - combinatie beveiligingsmaatregelen op de applicatie- en netwerklaag; - dwingt protocolstandaards af voor het externe netwerkverkeer; - geen overbodige functies in de componenten (ook wel hardening of stripping genoemd); - sterke authenticatie mechanismen voor het beheer, autorisatie voor beheerders; - verbergt de structuur van het interne netwerk; - voorzien van de nieuwste (beveiligings)patches; - voorziet in een audit-trail van alle verkeer; - voorziet in signalering van verdachte activiteiten; - reduceert vervolgschade E De inrichting van de externe koppeling moet voorzien zijn van afzonderlijke beveiliging zones De (externe) koppeling is beschikbaar conform de afspraken in de Keten SLA GeVS. Bij telewerken moeten voldoende preventieve en repressieve waarborgen zijn aangebracht; zowel ter voorkoming van misbruik en onrechtmatig gebruik als voor de controle. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 17 van 21
18 22.5. Het technisch en operationeel beheer van de (externe) koppeling dient blijvende veiligheid te garanderen (de updates, uitbreidingen en aanpassingen dienen expliciet te worden geautoriseerd en met de grootste zorg plaats te vinden) De inrichting van de (externe) koppeling dient te allen tijde controleerbaar te zijn De instellingen van de componenten van de externe koppeling/ router mogen alleen geautoriseerd worden gewijzigd. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 18 van 21
19 Bevindingen onderzoek Onderstaande tabel met bevindingen graag invullen en uiterlijk 15 februari van ieder jaar, ondertekend en vergezeld van management statement en oordeel van getrouwheid verzenden aan Jan Breeman BKWI (mail: of Postbus 1407, 3500 BK, Utrecht). STATUS INFORMATIEBEVEILIGING SUWINET VAN DE GEMEENTE <gemeentenaam invullen> over de periode <invullen> Onderwerp Eventuele toelichting bevindingen Kleurencodering toepassen (zie onderaan de tabel) 1 Beveiligingsbeleid en beveiligingsplan 2 Organisatie 3 Architectuur / Standaarden Het voldoen aan de normen voor dit onderdeel is deels inherent aan het stelsel voor de gegevensuitwisseling en deels ter eigen beoordeling van de gemeente. 4 Dienstenniveau Beheer 5 Capaciteitsbeheer Noodzakelijkheid verantwoording over deze normen is ter eigen beoordeling van de gemeente. 6 Continuïteitsbeheer Noodzakelijkheid verantwoording over deze normen is ter eigen beoordeling van de gemeente. 7 Configuratiebeheer 8 Incidentbeheer 9 Probleembeheer 10 Wijzigingsbeheer 11 Testen Is mogelijk t.z.t. relevant. 12 Netwerkbeheer 13 Logische toegangsbeveiliging 14 Fysieke beveiliging 15 Suwinet-Inkijk 19 Toegangbeveiligingspakket 21 Netwerk 22 Koppelingen / koppelpunten Voldoende effectieve procedures en maatregelen getroffen Procedures en maatregelen getroffen, maar gedeeltelijk geïmplementeerd Geen of vrijwel geen procedures en maatregelen getroffen Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 19 van 21
20 De kolom Toelichting bevindingen bevat per onderwerp de samenvatting van de bevindingen van de edp-auditor/ controller over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico s mogelijk nog bestaan. Die bevinding is samengevat via een kleurencode. Deze kleurencode is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de edp-auditor/ controller. Deze bevindingen vormen een element bij de oordeelsvorming door de edp-auditor/ controller. Let op: normen 16,17,18 en 20 komen in het normenkader voor, maar zijn voor de GBD s en RMC's niet van toepassing. Vandaar dat deze normen in het overzicht niet voorkomen. Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 20 van 21
21 Overige opmerkingen/ conclusies: Ondertekend door: Interne controller Naam: Handtekening: Datum: Hoofd Afdeling Gemeentebelastingen: Naam: Handtekening: Datum: Hoofd Afdeling Onderwijs: Naam: Handtekening: Datum: Gemeentenaam: Jaarlijkse verantwoording over de beveiliging van Suwinet.docx 21 van 21
2015; definitief Verslag van bevindingen
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV
Nadere informatieDatum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W
OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL
Nadere informatie... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte
x, 1 r W.~: = ë V InspectieSZW.V 3. St MinisterievanSocialeZakenen 1 Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Dalfsen Postbus Gemeer?raeäin 35 _, 7720 AA DALFSEN..... l. " l Directie
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatieInspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509
Nadere informatieDatum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015
Nadere informatie""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder
""1 Inspectie SZW Mmíïtene van Soàaìe Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Den Helder Postbus 36 1760 AA DEN HELDER Stuknummer: AI16.00180 Betreft Onderzoek
Nadere informatierliiiiihihhiiiivi.ilhn
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Terneuzen Postbus 35 4530 AA TERNEUZEN rliiiiihihhiiiivi.ilhn Postbus 90801
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatie~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
t.ahl {l_.,_ 1Sk'? \ ~\,A. 130 ~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid INGEKOMEN 1 0 FEB 2016 Gemeente Heusden > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad
Nadere informatier'h'hil-lli'h'i'-i'l-ll-ll-ll
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Albrandswaard Postbus 1000 3160 GA RHOON r'h'hil-lli'h'i'-i'l-ll-ll-ll reg.
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatie16R.00003 RAADSINFORMATIEBRIEF 16R.00003. college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster
RAADSINFORMATIEBRIEF 16R.00003 gemeente WOERDEN Van college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster Portefeuille(s) Contactpersoon : sociaal domein
Nadere informatieCollege bescherming persoonsgegevens
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Midden-Drenthe z2015-00402 Openbare versie Rapport van bevindingen November 2015 DATUM November
Nadere informatieAdvies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad
VOORSTEL AAN BURGEMEESTER EN WETHOUDERS & RAADSINFORMATIEBRIEF Van: S. de Wolff Tel nr: 8558 Nummer: 16A.00010 Datum: 12 januari 2016 Team: Informatiebeleid Tekenstukken: Ja Bijlagen: Afschrift aan: K.
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieInformatie over logging gebruik Suwinet-Inkijk
Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl College bescherming persoonsgegevens Onderzoek naar de beveiliging
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieCollege bescherming persoonsgegevens
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brummen z2015-00403 Openbare versie Rapport van bevindingen November 2015 DATUM November 2015
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieProcedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010
Procedure Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk Auteur: Breeman Datum document: 16 mei 2007 Versie: 3.0 Status: Definitief Datum afdruk: 14 april 2010 Periodieke en specifieke rapportages
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle z2015-00404 Openbare versie Rapport van bevindingen November 2015 DATUM November 2015
Nadere informatieRapport Richtlijn gebruik productiegegevens
Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieCollege bescherming persoonsgegevens
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieStichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0
Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking
Nadere informatieNETQ Healthcare: Voor inzicht in het effect van therapie
NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek gebruik Suwinet door niet-suwipartijen Gemeente s-hertogenbosch
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieCollege bescherming persoonsgegevens
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl College bescherming persoonsgegevens Onderzoek naar de beveiliging
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieSamenvattende rapportage van de beveiliging van de Gezamenlijke elektronische Voorzieningen Suwi
Samenvattende rapportage van de beveiliging van de Gezamenlijke elektronische Voorzieningen Suwi Auteur: J.E.Breeman Datum document: 24 maart 2011 Versie: 1.0 Status: Definitief Datum afdruk: 24 maart
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieGezamenlijke elektronische Voorzieningen Suwi. Keten Service Level Agreement versie 9.0
Gezamenlijke elektronische Voorzieningen Suwi Keten Service Level Agreement versie 9.0 Pagina 1 van 35 Inhoud 1. Over de GeVS Keten SLA... 5 1.1 Inleiding... 5 1.2 Leeswijzer... 5 1.3 Doel van de Keten
Nadere informatieHandreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017
Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019 Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene
Nadere informatieNota Informatiebeveiligingsbeleid Wijzer 2015
Nota Informatiebeveiligingsbeleid Wijzer 2015 Beleid Informatiebeveiliging Wijzer 1 september 2015 1 1. Inleiding Wijzer is de uitvoeringsdienst Sociaal Domein van de gemeente Naarden, Muiden en Bussum
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieOfficiële uitgave van het Koninkrijk der Nederlanden sinds 1814.
STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 18831 9 juli 2013 Regeling van de Minister van Sociale Zaken en Werkgelegenheid van 1 juli 2013, 2013-0000084564, tot
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatie24/7. Support. smart fms
24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het
Nadere informatieService Niveau Overeenkomst Digikoppeling
Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieBijlage 11 Programma van Eisen
Bijlage 11 Programma van Eisen Het betreft hier minimale eisen, waarbij geldt dat: Het niet voldoen aan een eis leidt onherroepelijk tot leidt tot het ongeldig verklaren en terzijde leggen van de Inschrijving
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016
Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten Startbijeenkomsten 12 provincies september 2016 Agenda Introductie startbijeenkomst; Wat is Suwinet? Achtergrond programma
Nadere informatieIntroductie Suwinet en ENSIA
Introductie Suwinet en ENSIA Anton Slijkhuis senior beleidsmedewerker Directie Stelsel en Volksverzekeringen / Taakveld Handhaving en Gegevensuitwisseling oktober 2017 Inhoud 1. Feiten 2. Probleem 3. Aanpak
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatieRemote Toegang Policy VICnet/SPITS
Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatiePeriodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk
Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk Datum Versienummer Auteur 7 oktober 2015 2.0 Edwin Diersmann Periodieke en specifieke rapportages gebruik Suwinet-v2.0 07-10-2015.docx
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT
BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieHandreiking Implementatie Specifiek Suwinetnormenkader
Handreiking Implementatie Specifiek Suwinetnormenkader Afnemers 2017 Inhoud 1 Inleiding 3 1.1 Waarom een handreiking voor de implementatie van het nieuwe normenkader? 3 2 Algemene verschillen Verantwoordingsrichtlijn
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatiePrivacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.
Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen
Nadere informatieHandreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen
Handreiking Suwi autorisaties voor het gemeentelijk domein Werk en Inkomen Versie 2.0 mei 2019 Inhoud 1. Inleiding... 3 2. Doel... 3 3. Zoeksleutels... 3 4. Wat moet de gemeente doen?... 4 4.1. Voorbereidend:
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieHet Letselhuis gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatieVoorwaarden Digilevering
Voorwaarden Digilevering 3 juni 2015 Plaatsbepaling De Voorwaarden Digilevering bevatten de specifieke voorwaarden die gelden tussen Logius en Afnemers en tussen Logius en Basisregistratiehouders bij het
Nadere informatieAssurancerapport Monitoringsplan PPS Rijkskantoor de Knoop Utrecht definitief
Assurancerapport Monitoringsplan PPS Rijkskantoor de Knoop Utrecht 2017 definitief Colofon Titel Uitgebracht aan Assurancerapport Monitoringsplan PPS rijkskantoor de Knoop Utrecht 2017 B/CFD Unit HFA Datum
Nadere informatiePRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam
PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer
Nadere informatiePSA dienstverlening en Financieel adminstratieve dienstverlening
ANNEX VI CONCEPT SLA PSA dienstverlening en Financieel adminstratieve dienstverlening EN Ondernemer Inhoudsopgave 1.1 Achtergrond van de SLA... 3 1.2 Opbouw van de SLA... 3 1.3 Doelstelling van de SLA...
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieRfc Afgeleide principes 35-40
Rfc Afgeleide principes 35-40 Wijzigingsvoorstel voor de NORA Gebruikersraad Versie 14 juni 2016 Bestaande Afgeleide Principes 35-40 AP 35: Continuiteit van de dienst. De levering van de dienst is continu
Nadere informatieMedi-Office gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatiePrivacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink
Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (
Nadere informatieRijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011
Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle
Nadere informatieBeknopt overzicht van bedreigingen en maatregelen
Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatieHet College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina
Nadere informatieDeelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
Nadere informatieVoorbeelden generieke inrichting Digikoppeling
Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatiePRIVACYVOORWAARDEN. 3.3 De zeggenschap over de Gegevens komt nooit bij Bewerker te rusten. Versie
1. Algemeen In deze privacyvoorwaarden wordt verstaan onder: 1.1 Algemene voorwaarden: de Algemene voorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke
Nadere informatieOverzicht Informatiebeveiliging Inlichtingenbureau GGK
Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieen alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &
1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet Conceptversie 2.0 definitief Inhoudsopgave 0. Managementsamenvatting 3 1. Inleiding 5 1.1. Achtergrond 5 1.2. Leeswijzer 6 1.3.
Nadere informatie