Voorstel Informatiebeveiligingsbeleid. Informatiebeveiliging binnen de Hogeschool van Arnhem en Nijmegen

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Voorstel Informatiebeveiligingsbeleid. Informatiebeveiliging binnen de Hogeschool van Arnhem en Nijmegen"

Transcriptie

1 Vastgesteld met instemming van de MR d.d /CvB-besluit 2012/287 (versie 1.0) Wijzigingen versie 1.1: Zie gearceerde passages op de de bladzijden 12, 14 en 15. Gewijzigd d.d bij CvB-besluit 2012/386 Voorstel Informatiebeveiligingsbeleid Informatiebeveiliging binnen de Hogeschool van Arnhem en Nijmegen HIAM / SU ICT November 2012

2 29 november /17 Versiebeheer Datum Door Wijzigingen Stefan Arts Obv bespreking Jaap Gall / Stefan Arts op Jaap Gall Verwerken commentaar HIAM Jaap Gall Verwerken commentaar ICT en HIAM Jaap Gall Verwerken commentaar Stefan Arts Jaap Gall Verwerken divers commentaar Jaap Gall Expliciteren interne audits Het informatiebeveiligingsbeleid bij de Hogeschool van Arnhem en Nijmegen is gebaseerd op het Model Informatiebeveiligingsbeleid van het Hoger Onderwijs, een gezamenlijk product van het CIO-Beraad en SURF-ibo (maart 2010). Wijzigingen versie 1.1: Zie gearceerde passages op de dladzijden 12, 14 en 15.

3 29 november /17 Inhoud 1. Inleiding... 4 Algemeen... 4 Reikwijdte van het beleid... 4 Doelstelling informatiebeveiligingsbeleid Beleidsprincipes informatiebeveiliging... 6 Beleidsuitgangspunten en principes... 6 Classificatie Wet- en regelgeving... 9 Wettelijke voorschriften... 9 Wet op het Hoger onderwijs en Wetenschappelijk onderzoek... 9 Wet Bescherming Persoonsgegevens... 9 Archiefwet... 9 Auteurswet... 9 Wet Computercriminaliteit... 9 Overige richtlijnen en landelijke afspraken Governance informatiebeveiligingsbeleid Inpassing in de instellings IT-governance Documenten informatiebeveiliging Controle, naleving en sancties Bewustwording en training Organisatie van de informatiebeveiligingsfunctie Overleg Melding en afhandeling van incidenten Het HAN-CERT... 17

4 29 november /17 1. Inleiding Algemeen Onder informatiebeveiliging wordt verstaan: het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorzieningen van de Hogeschool van Arnhem en Nijmegen op een gewenst niveau te brengen en te houden. De kwaliteitsaspecten: Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers; Integriteit: de mate van betrouwbaarheid (juistheid, volledigheid, tijdigheid en rechtmatigheid) van gegevens; Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Gewenst niveau: het niveau zoals deze in het algemeen bij vergelijkbare voorzieningen en bij vergelijkbare Nederlandse instellingen wordt aangehouden. Hierbij gaat het ook om de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen. Informatiebeveiliging is een beleidsverantwoordelijkheid van het College van Bestuur van de Hogeschool van Arnhem en Nijmegen. Er is sprake van toenemende afhankelijkheid van informatie en computersystemen, waardoor nieuwe kwetsbaarheden en risico s kunnen optreden. Het is daarom van belang hiertegen adequate maatregelen te nemen. Immers, onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico s bij de uitvoering van onderwijs en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies. De Hogeschool van Arnhem en Nijmegen heeft de ambitie om met het onderhavige beleidsdocument informatiebeveiliging structureel naar het gewenste niveau te brengen en daarop te houden door de aspecten governance, wet- en regelgeving, de organisatie van de beveiligingsfunctie en het informatiebeveiligingsbeleid - ook in hun onderlinge relatie - duidelijk te beschrijven en vast te stellen. Reikwijdte van het beleid Bij de Hogeschool van Arnhem en Nijmegen wordt informatiebeveiliging breed geïnterpreteerd. We realiseren ons dat er een belangrijke relatie en een gedeeltelijke overlap ligt met aanpalende beleidsterreinen, zoals safety (ARBO- en milieuwetgeving), security (fysieke beveiliging), privacy en business continuity. Het informatiebeveiligingsbeleid heeft in beginsel betrekking op alle

5 29 november /17 informatievoorzieningen van de Hogeschool van Arnhem en Nijmegen en alle gebruikers hiervan. In deze notitie gaat het over de beveiliging van digitale informatievoorziening en de gebruikers daarvan. Het beveiligingsbeleid voor digitale informatie en het beveiligingsbeleid voor niet-digitale informatie dienen wel van een gelijk niveau te zijn. Doelstelling informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid van de Hogeschool van Arnhem en Nijmegen heeft als doel het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorzieningen van de Hogeschool van Arnhem en Nijmegen op een gewenst niveau te brengen en te houden. Het informatiebeveiligingsbeleid van de Hogeschool van Arnhem en Nijmegen bestaat uit het volgende: Kader: het beleid biedt een kader om (toekomstige) maatregelen in de informatiebeveiliging te toetsen aan een vastgestelde best practice of norm en om de taken, bevoegdheden en verantwoordelijkheden in de organisatie te beleggen Normen: de basis voor de inrichting van het security management is ISO Maatregelen worden op basis van best practices in het hoger onderwijs en o.b.v. ISO genomen. 2 Expliciet: uitgangspunten en organisatie van informatiebeveiligingsfuncties zijn vastgelegd en worden gedragen door het College van Bestuur, en afgeleid daarvan, door de hele organisatie Daadkrachtig: duidelijke keuzes in maatregelen, actieve controle op beleidmaatregelen en de uitvoering daarvan Compliance: het beleid biedt de basis om te voldoen aan wettelijke voorschriften. Door het beter structureren van het informatiebeveiligingsbeleid bij de Hogeschool van Arnhem en Nijmegen wordt aantoonbaar dat dit beleid bijdraagt aan de realisering van de overall doelstellingen die de Hogeschool van Arnhem en Nijmegen voor zichzelf heeft geformuleerd ( alignment ). Die doelstelling is het bieden van een kwalitatief hoogwaardige omgeving voor onderwijs, onderzoek en dienstverlening, die bijdraagt aan de verbetering van de kwaliteit van de samenleving als geheel. Deze omgeving behoort veilig te zijn en te voldoen aan relevante wet- en regelgeving. 1 Voluit: NEN-ISO/IEC 27001: Eisen aan Managementsystemen voor informatiebeveiliging 2 Voluit: NEN-ISO/IEC 27002: Code voor Informatiebeveiliging

6 29 november /17 2. Beleidsprincipes informatiebeveiliging Beleidsuitgangspunten en principes Security management wordt als proces ingericht. Dat houdt in dat de jaarlijkse planning en controlecyclus gebaseerd is op ISO (Plan, Do, Check, Act). Hierin worden jaarplannen opgesteld en uitgevoerd. De resultaten ervan worden geëvalueerd en vertaald naar nieuwe jaarplannen. De beleidsuitgangspunten bij de Hogeschool van Arnhem en Nijmegen zijn: Onze filosofie is dat we een open instelling zijn, waar veel mogelijk is. De benadering van ICT en beveiliging is minder open. Er wordt van medewerkers en studenten verwacht dat ze zich qua techniek en ook qua houding fatsoenlijk gedragen (eigen verantwoordelijkheid). Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. Het is om deze reden dat er de laatste jaren gedragscodes zijn geformuleerd en geïmplementeerd. De beveiliging dient te voldoen aan de relevante wet- en regelgeving, in het bijzonder aan de Wet Bescherming Persoonsgegevens (2001). De beveiliging dient de volgende aspecten te waarborgen: o Beschikbaarheid o Integriteit o Vertrouwelijkheid. De Hogeschool van Arnhem en Nijmegen hanteert de volgende beleidsprincipes: Informatiebeveiliging is een lijnverantwoordelijkheid: dat betekent dat de lijnmanagers (afdelingshoofden) de primaire verantwoordelijkheid dragen voor een goede informatiebeveiliging op hun afdeling / eenheid. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan. Informatiebeveiliging is ieders verantwoordelijkheid. Verwachtingen t.a.v. individuen: communiceer met medewerkers, studenten, docenten en derden dat er van hen verwacht wordt dat ze actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie. Dat kan in de aanstellingsbrief, tijdens functioneringsgesprekken, met een instellingsbrede gedragscode, met periodieke bewustwordingscampagnes, etcetera. Het opleggen van sancties na overtredingen maakt het geheel geloofwaardig. Informatiebeveiliging is een continu proces. Regelmatige herijking van beleid en audits: technologische en organisatorische ontwikkelingen binnen en buiten de instelling maken het noodzakelijk om periodiek te bezien of men nog wel op de juiste wijze bezig is de beveiliging te waarborgen. De audits maken het mogelijk het beleid en de genomen maatregelen te controleren op efficiency (controleerbaarheid). Eigendom van informatie: de onderwijsinstelling is als rechtspersoon eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd, tenzij dit voor bijvoorbeeld onderzoek anders is overeengekomen. Daarnaast beheert de instelling informatie, waarvan het

7 29 november /17 eigendom (auteursrecht) toebehoort aan derden. Medewerkers en studenten dienen goed geïnformeerd te zijn over de regelgeving voor het (her)gebruik van deze informatie. Waardering van informatie: iedereen behoort de waarde van informatie te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de schade als gevolg van verlies van beschikbaarheid, integriteit en vertrouwelijkheid. Classificatie kan hierbij behulpzaam zijn; zie volgende paragraaf. Bij alle werkzaamheden, zoals infrastructurele wijzigingen of de aanschaf van nieuwe systemen, wordt rekening gehouden met informatiebeveiliging. Classificatie Bij de Hogeschool van Arnhem en Nijmegen zijn alle gegevens waarop dit informatiebeveiligingsbeleid van toepassing is, geclassificeerd. Het niveau van de beveiligingsmaatregelen is afhankelijk van de klasse. De classificatie van informatie is afhankelijk van de gegevens in het informatiesysteem en wordt bepaald op basis van risicoanalyses. Daarbij zijn de volgende aspecten van belang: a. Beschikbaarheid b. Integriteit c. Vertrouwelijkheid Hierbij worden de volgende maatstaven gehanteerd: Beschikbaarheid Het niet beschikbaar zijn van de voorziening is tolereerbaar: LAAG gedurende één of meer dagen MIDDEN gedurende twee uur tot één dag HOOG gedurende hooguit twee uur Integriteit LAAG MIDDEN HOOG onjuiste, onvolledige, onrechtmatige of niet tijdig verwerkte informatie is tolereerbaar: gedurende één of meer dagen / meerdere keren per jaar gedurende twee uur tot één dag / een enkele keer per jaar niet, of gedurende hooguit twee uur / een enkele keer in een aantal jaren Vertrouwelijkheid kennisname van de gegevens door onbevoegde personen is tolereerbaar: LAAG altijd / het betreft publieke informatie MIDDEN alleen als het gaat om vertrouwde personen / een enkele keer per jaar HOOG niet, of hooguit een enkele keer in een aantal jaren. Welk beveiligingsniveau geschikt is voor een bepaald informatiesysteem hangt af van de classificatie van de informatie die het systeem verwerkt. De classificatie dient door of namens de eigenaar van het betreffende informatiesysteem te worden bepaald. Onderstaande tabel geeft weer welk beveiligingsniveau bij welke klasse van informatie behoort:

8 29 november /17 Vertrouwelijkheid LAAG Basisbescherming MIDDEN Basisbescherming HOOG Basisbescherming + Integriteit LAAG Basisbescherming MIDDEN Basisbescherming HOOG Basisbescherming + Beschikbaarheid LAAG Basisbescherming MIDDEN Basisbescherming + HOOG Basisbescherming ++ Daar waar de basisbescherming niet voldoende is moeten voor elk informatiesysteem individueel afgestemde maatregelen worden genomen (Basisbescherming + en Basisbescherming ++).

9 29 november /17 3. Wet- en regelgeving Wettelijke voorschriften Bij de Hogeschool van Arnhem en Nijmegen wordt op de volgende wijze omgegaan met relevante wet- en regelgeving. Wet op het Hoger onderwijs en Wetenschappelijk onderzoek De Hogeschool van Arnhem en Nijmegen heeft een kwaliteitszorgsysteem, waarin (onder meer) het zorgvuldig omgaan met gegevens in de studentenadministratie is gewaarborgd. Daarnaast worden integriteitscodes voor onderzoek en dienstverlening nageleefd en toegepast. Wet Bescherming Persoonsgegevens De Hogeschool van Arnhem en Nijmegen heeft de wettelijke vereisten (juistheid en nauwkeurigheid van gegevens en passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking) geïmplementeerd via het informatiebeveiligingsbeleid. Naleving van de beveiligingsmaatregelen leidt tot voldoen aan de wet. Het gaat hierbij niet alleen om gegevens over studenten en medewerkers, maar ook om persoonsgegevens, die in het kader van onderzoek of dienstverlening zijn verzameld. Archiefwet De Hogeschool van Arnhem en Nijmegen houdt zich aan de voorschriften uit de Archiefwet en het Archiefbesluit over de wijze waarop omgegaan moet worden met informatie vastgelegd in (gedigitaliseerde) documenten, informatiesystemen, websites, e.d. Dit is onderdeel van de jaarlijkse externe accountantsrapportages. Auteurswet De Hogeschool van Arnhem en Nijmegen verspreidt geen originele werken zonder dat daarvoor toestemming is verkregen van de eigenaar van de auteursrechten. Dit impliceert ook dat de Hogeschool van Arnhem en Nijmegen het gebruik van software zonder het bezitten van de juiste licenties tegengaat. Wet Computercriminaliteit De Wet Computercriminaliteit richt zich op de strafrechtelijke probleemgebieden in relatie tot het computergebruik. De wet schrijft voor dat enige beveiliging vereist is alvorens er sprake kan zijn van het eventueel strafrechtelijk vervolgen van delicten jegens de onderwijsinstelling en het eventueel vrijwaren van bestuurders van de instelling. Naleving van dit informatiebeveiligingsbeleid en implementatie van de basis maatregelen bij de Hogeschool van Arnhem en Nijmegen moet leiden tot een niveau van beveiliging dat als voldoende mag worden gezien in het kader van de Wet Computercriminaliteit.

10 29 november /17 Overige richtlijnen en landelijke afspraken Zoals eerder gesteld is het informatiebeveiigingsbeleid bij de Hogeschool van Arnhem en Nijmegen gebaseerd op de ISO norm. De Hogeschool van Arnhem en Nijmegen voldoet aan de volgende richtlijnen en landelijke afspraken: Integriteitscodes voor wetenschappelijk onderzoek Studielink afspraken Aansluitvoorwaarden SURFfederatie / SURFnet OCW Beleidsvisie Veiligheid en radicalisering. Daarnaast is zoveel mogelijk voldaan aan gemeenschappelijke landelijke afspraken in de branche.

11 29 november /17 4. Governance informatiebeveiligingsbeleid Het goed, efficiënt en verantwoord leiden van een organisatie wordt vaak aangeduid met de term governance. Het omvat vooral ook de relatie met de belangrijkste belanghebbenden van de instelling, zoals de eigenaren, werknemers, studenten, andere afnemers en de samenleving als geheel. Een goed corporate governancebeleid draagt zorg voor de rechten van alle belanghebbenden. In dit hoofdstuk wordt ingegaan op IT-governance en de positionering van informatiebeveiliging daarin. Inpassing in de instellings IT-governance In deze paragraaf wordt beschreven hoe de informatiebeveiliging als onderdeel van de IT-governance binnen de Hogeschool van Arnhem en Nijmegen is georganiseerd en wie waarvoor verantwoordelijk is. Van belang daarbij is om onderscheid te maken in richtinggevend of strategisch, sturend of tactisch en uitvoerend niveau en in de organisatie van vraag een aanbod. Wat betreft de benaming van functies wordt zoveel mogelijk aangesloten bij het PvIB. 3 De Hogeschool van Arnhem en Nijmegen stelt een Information Security Officer aan (geen aparte functionaris maar een taak die aan een bestaande functie wordt toegevoegd). Hij functioneert op strategisch en tactisch niveau. Deze rol past goed bij de CIO-functie van de HAN en wordt daarom ondergebracht bij HIAM (zie de nog bij te stellen taakomschrijving van de CIO-functie). Bij elke faculteit / instituut en bij Service Bedrijf / Service units wordt Information Security Management ingericht. De Information Security Managers functioneren op stafniveau van elk onderdeel en vervullen een rol bij de vertaling van de strategie naar tactische (en operationele) plannen. Dit doen ze samen met de Information Security Officer en de systeemeigenaren. De rol van ISM past goed bij de rol van Informatiecoördinatoren, die bij de HAN al bestaat bij faculteiten, instituten en service units. Samen met de systeemeigenaren (meestal een hoofd van een service unit) bepalen zij het vanuit de vraag gewenste niveau van informatiebeveiliging, met name door de applicaties en gegevens te classificeren (zie hoofdstuk 2). Op operationeel niveau wordt overlegd tussen de functioneel beheerder (de vraag) en het applicatiebeheer en technisch beheer (het aanbod). Er wordt aandacht geschonken aan de implementatie van de informatiebeveiligingsmaatregelen. Schematisch weergegeven: 3 Functies in de informatiebeveiliging. GvIB, PI, 2006

12 29 november /17 Niveau Wat? Wie? Overleg Documenten Richtinggevend - Bepalen IBstrategie - Organisatie t.b.v. IB inrichten - IB-planning en control vaststellen - Business continuity management CvB, i.c. Portefeuillehouder IB, o.b.v. advies Information Security Officer - CvB stelt vast - STIB adviseert - IB-beleidsplan - IB-baseline (basis maatregelen) - Business continuity plan Sturend Uitvoerend Planning & Control IB: - voorbereiden normen en wijze van toetsen - uitvoeren interne audits - begeleiding externe audits - implementeren IBmaatregelen - registreren en evalueren incidenten - communicatie eindgebruikers - Systeem eigenaar - Information Security Officer - Information Security Manager - Information Security Manager - Functioneel beheerder - Applicatiebeheer / technisch beheer - HAN-CERT Tactisch IBoverleg (Tactisch Vraag Overleg SB, IVOP) IVOS - Interne audits - Jaarplan en verslag - SLA s (security paragraaf) - Incident registratie, incl. evaluatie De financiering van informatiebeveiliging wordt bij de Hogeschool van Arnhem en Nijmegen als volgt geregeld: Algemene zaken, zoals het opstellen van een informatiebeveiligingsplan voor de gehele instelling of een externe audit, worden uit een centraal budget betaald. De beveiliging van informatiesystemen komt ten laste van het informatiesysteem zelf. Beveiligingskosten van werkplekken maken integraal onderdeel uit van de werkplekkosten. Hetzelfde geldt voor bewustwordingcampagnes en training: er kunnen instellingsbrede bewustwordingscampagnes zijn (centraal gefinancierd) en locale voorlichting en training voor specifieke toepassingen of doelgroepen (decentraal gefinancierd). Documenten informatiebeveiliging Voor informatiebeveiliging wordt bij de Hogeschool van Arnhem en Nijmegen dezelfde managementcyclus gevolgd, die ook voor andere onderwerpen geldt: beleid, analyse, plan implementatie, uitvoering, controles en evaluatie. In het kader van informatiebeveiliging kent de Hogeschool van Arnhem en Nijmegen de volgende documenten: 1. Het informatiebeveiligingsbeleid (dit document) Het informatiebeveiligingsbeleid ligt ten grondslag aan de aanpak van

13 29 november /17 informatiebeveiliging binnen de instelling. In het informatiebeveiligingsbeleid worden de randvoorwaarden en uitgangspunten vastgelegd en de wijze waarop het beleid wordt vertaald in concrete maatregelen. Om er voor te zorgen dat het beleid gedragen wordt binnen de organisatie en de organisatie er naar handelt wordt het uitgedragen door (of namens) het College van Bestuur. Het informatiebeveiligingsbeleid wordt opgesteld door de Information Security Officer en vastgesteld door het College van Bestuur. 2. Baseline van maatregelen (basisniveau maatregelen) Deze baseline beschrijft de maatregelen die minimaal nodig zijn om instellingsbreed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Dit vloeit voort uit het beleid of uit besluiten die door het tactisch overleg genomen zijn. Deze basis maatregelen dienen dus overal in de instelling genomen te worden. De baseline wordt gemaakt door de Security Managers en goedgekeurd door het College van Bestuur. Wanneer er systemen zijn die na een risicoanalyse hogere beveiligingseisen nodig hebben, dan worden deze bovenop de minimale maatregelen genomen. 3. Jaarplan/verslag Elk jaar stelt de Information Security Officer in overleg met de de Security Managers een jaarverslag en een jaarplan voor het volgende jaar op. Het jaarplan is mede gebaseerd op de resultaten van de periodieke controles / audits. Er wordt o.a. ingegaan op incidenten, resultaten van risicoanalyses (incl. genomen maatregelen) en andere initiatieven die het afgelopen jaar hebben plaatsgevonden. Dergelijke verslagen kunnen geconsolideerd worden in de bestuurlijke Planning & Control-cyclus. Waar nodig wordt apart aandacht besteed aan decentrale systemen. 4. Business Continuity Plan Business Continuity Management (BCM) is gericht op het in stand houden dan wel herstellen van bedrijfsprocessen. Bij de HAN wordt dit ingevuld door Risocomanagement (besluit 2010 / V12). 5. Diensten niveau overeenkomsten (SLA s) Systeemeigenaren sluiten met de ICT-afdeling en met externe leveranciers t.b.v. de ondersteuning van concernsystemen een service level agreement af. Dat zijn contracten met afspraken en randvoorwaarden over geleverde diensten. Standaard hoort daarin een informatiebeveiligingsparagraaf te zitten, waarin de verantwoordelijkheden van de leverancier zijn opgenomen. 6. Inhuur- en uitbestedingscontracten Bij de inhuur van diensten en personeel van derde partijen zal ook aandacht aan informatiebeveiliging besteed moeten worden, bijvoorbeeld door te stellen dat het instellingsbeleid ook van toepassing is voor hen. Hetzelfde is van belang bij uitbestedingen. 7. Policies Gedragscodes en richtlijnen voor medewerkers, studenten en derden, al dan niet voor specifieke doelgroepen, op het gebied van informatiebeveiliging. Zoals: Acceptable use policy, voor het veilig gebruik van ICT-voorzieningen; Wachtwoordpolicy; Toepassing van cryptografische hulpmiddelen; Classificatierichtlijnen; Gebruiks- en beheersvoorwaarden; Policy voor het afsluiten van servers en werkstations;

14 29 november /17 Integriteits en gedragscode voor ICT-functionarisen; Gedragscode voor veilig en internetgebruik. Controle, naleving en sancties Bij de Hogeschool van Arnhem en Nijmegen is de Information Security Officer verantwoordelijk voor de interne audits en voor de controle op de uitvoering van de informatiebeveiligingsjaarplannen. De bedrijfskritische informatiesystemen van de HAN worden intern geaudit. Deze audits richten zich op de classificatie van de in het informatiesysteem vastgelegde gegevens, op de inventarisatie van de risico s, op de genomen beveiligingsmaatregelen en op de samenhang tussen deze drie onderwerpen. Elk informatiesysteem wordt tenminste eens per twee jaar geaudit. Indien een informatiesysteem wordt vervangen of indien zich significante wijzigingen voordoen in de implementatie van de beveiliging wordt op dat moment een audit uitgevoerd. De externe controle wordt uitgevoerd door onafhankelijke accountants. Dit is gekoppeld aan het jaarlijkse accountantsonderzoek en wordt zoveel mogelijk gecoördineerd met de normale Planning & Control cyclus. De bevindingen van de interne en externe audits zijn input voor de nieuwe jaarplannen van de Hogeschool van Arnhem en Nijmegen. De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het security management proces. Van belang hierbij is dat lijnmanagers hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Voor de bevordering van de naleving van de Wet Bescherming Persoonsgegevens vervult de functionaris gegevensbescherming een belangrijke rol. Mocht de naleving ernstig tekort schieten, dan kan de Hogeschool van Arnhem en Nijmegen de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Bewustwording en training Beleid en maatregelen zijn niet voldoende om risico s op het terrein van informatiebeveiliging uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij de Hogeschool van Arnhem en Nijmegen het bewustzijn voortdurend aangescherpt, zodat kennis van risico s wordt verhoogd en het (veilig en verantwoord) gedrag wordt aangemoedigd. Onderdeel van het beleid zijn de regelmatig terugkerende bewustwordingscampagnes voor medewerkers, studenten en gasten. Zulke campagnes kunnen aansluiten bij landelijke campagnes in het hoger onderwijs, zo mogelijk in afstemming met beveiligingscampagnes voor ARBO, milieu en fysiek. Verhoging van het beveiligingsbewustzijn is zowel een verantwoordelijkheid van de (decentrale) Security Managers als de (centrale) Security Officer; uiteindelijk is ook hiervoor het College van Bestuur eindverantwoordelijk.

15 29 november /17 Organisatie van de informatiebeveiligingsfunctie Om informatiebeveiliging gestructureerd en gecoördineerd op te pakken worden bij de Hogeschool van Arnhem en Nijmegen taken, bevoegdheden en verantwoordelijkheden toegewezen aan functionarissen in de bestaande organisatie. College van Bestuur Het College van Bestuur is eindverantwoordelijk voor de informatiebeveiliging binnen de Hogeschool van Arnhem en Nijmegen en stelt het beleid en de basis maatregelen op het gebied van informatiebeveiliging vast. De inhoudelijke verantwoordelijkheid voor informatiebeveiliging is gemandateerd aan de Information security Officer. Deze heeft de opdracht om voor de informatiebeveiliging voor de gehele instelling zorg te dragen. Portefeuillehouder informatiebeveiliging De portefeuillehouder informatiebeveiliging is het Collegelid dat informatiebeveiliging in portefeuille heeft. Information Security Officer De Information Security Officer functioneert op strategisch en tactisch niveau. Hij is verantwoordelijk voor de interne audits en voor de controle op de uitvoering van de informatiebeveiligingsjaarplannen. Hij rapporteert aan het CvB. Deze rol ligt bij HIAM. Information Security Manager De Information Security Managers functioneren op stafniveau van elke faculteit / instituut en Service Bedrijf / Service unit en vervullen een rol bij de vertaling van de strategie naar tactische (en operationele) plannen. Dit doen ze samen met de Information Security Officer en de systeemeigenaren. Deze rol ligt bij de Informatiecoördinatoren. Systeemeigenaar De systeemeigenaar is er verantwoordelijk voor dat de applicatie een goede ondersteuning biedt aan het proces waarvoor deze verantwoordelijk is. Dit betekent dat de systeemeigenaar ervoor zorgt dat zowel nu als in de toekomst de applicatie blijft beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving. Uiteraard moet de applicatie voldoen aan het informatiebeveiligingsbeleid en tenminste aan de basismaatregelen. Van de HAN-brede systemen ligt het eigenaarschap bij de hoofden van de Service units. Van de overige systemen moet het eigenaarschap nog bepaald worden. Informatiearchitect De informatiearchitect adviseert over specifieke informatiebeveiligingsmaatregelen in projecten (hogere systemen) en bewaakt de consistentie van de maatregelen. Deze rol wordt per project ingevuld door HIAM, SU ICT en / of externen. Leidinggevende Naleving van het informatiebeveiligingsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft de taak om: er voor te zorgen dat zijn medewerkers op de hoogte zijn van het

16 29 november /17 beveiligingsbeleid; toe te zien op de naleving van het beveiligingsbeleid door zijn medewerkers; periodiek het onderwerp informatiebeveiliging onder de aandacht te brengen in werkoverleggen; als aanspreekpunt beschikbaar te zijn voor alle personeel gerelateerde informatiebeveiligingszaken. De leidinggevende kan hierin ondersteund worden door de Security Officer. Functionaris gegevensbescherming De functionaris voor de gegevensbescherming (FG) houdt binnen de Hogeschool van Arnhem en Nijmegen toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. CERT-coördinator Het Computer Emergency Response Team (CERT) van de Hogeschool van Arnhem en Nijmegen is bevoegd opdracht te geven tot het isoleren van computersystemen of netwerksegmenten. Overleg Om de samenhang in de organisatie van de informatiebeveiligingsfunctie goed tot uitdrukking te laten komen en de initiatieven en activiteiten op het gebied van informatiebeveiliging binnen de verschillende onderdelen op elkaar af te stemmen wordt bij de Hogeschool van Arnhem en Nijmegen gestructureerd overleg gevoerd over het onderwerp informatiebeveiliging. Op strategisch niveau wordt richtinggevend gesproken over governance en compliance, alsmede over doelen, scope en ambitie op het gebied van informatiebeveiliging. Op tactisch niveau wordt de strategie vertaald naar plannen, te hanteren normen, evaluatiemethoden, e.d. Deze plannen en instrumenten zijn sturend voor de uitvoering. Op operationeel niveau worden de zaken besproken die de dagelijkse bedrijfsvoering (uitvoering) aangaan. Deze overlegvorm is zeer decentraal georganiseerd, indien nodig in elk organisatieonderdeel.

17 29 november /17 5. Melding en afhandeling van incidenten Incidentenbeheer en -registratie hebben betrekking op de wijze waarop geconstateerde danwel vermoede inbreuken op de informatiebeveiliging door de medewerkers, studenten en anderen gemeld worden en de wijze waarop deze worden afgehandeld. Het is van belang om te leren van incidenten. Incidentregistratie en periodieke rapportage over opgetreden incidenten horen thuis in een volwassen informatiebeveiligingsomgeving. Bij de Hogeschool van Arnhem en Nijmegen is er daarom een meldpunt ingericht en is bekend gemaakt hoe deze is te benaderen. Elke eenheid is zelf verantwoordelijk voor het signaleren en melden van incidenten en inbreuken op informatiebeveiliging. De lijnmanager dient de incidenten en inbreuken direct te melden aan het centrale meldpunt HAN-CERT De incidenten worden geregistreerd en afgehandeld en dienen als input voor de incidentenrapportages en waarover in het operationeel overleg wordt gesproken. Bij constatering van bepaalde trends kan hierop meteen worden ingespeeld, bijvoorbeeld door het nemen van extra maatregelen of een bewustwordingscampagne. Het HAN-CERT Een door de Hogeschool van Arnhem en Nijmegen ingesteld Computer Emergency Reponse Team (het HAN-CERT), bestaande uit een aantal interne specialisten op het gebied van informatiebeveiliging, is verantwoordelijk voor de coördinatie van het voorkomen en afhandelen van beveiligingsincidenten. Beveiligingsincidenten kunnen door iedereen worden gemeld, mits ze te maken hebben met de informatievoorzieningen van de Hogeschool van Arnhem en Nijmegen. De leden van HAN-CERT zijn benoemd door het hoofd van de Service Unit ICT en opereren in diens opdracht. Het HAN-CERT kan in geval van ernstige incidenten rechtstreeks escaleren naar de portefeuillehouder informatiebeveiliging. Bij constatering of vermoeden van misbruik van ICT-voorzieningen is het HAN-CERT bevoegd bewijsmateriaal veilig te stellen en maatregelen te nemen om meer misbruik te voorkomen. Alle ontvangen informatie wordt vertrouwelijk behandeld, ongeacht de prioriteit. Het HAN-CERT doet alleen aangifte bij de politie, of verstrekt alleen gevoelige gegevens aan derden wanneer het HAN-CERT hiertoe opdracht krijgt van de betrokken gezagdrager Aan het begin van ieder jaar rapporteert het HAN-CERT aan het hoofd van de Service Unit ICT en aan de ISO over de beveiligingsincidenten en afgenomen diensten van het voorgaande jaar. Deze rapportage wordt besproken in de STIB. De dienstverlening van het HAN-CERT is gedocumenteerd en door het College van Bestuur bekrachtigd.

Informatiebeveiligingsbeleid. Informatiebeveiliging in het Hoger Onderwijs. Gezamenlijk product van het CIO Beraad en SURF-ibo

Informatiebeveiligingsbeleid. Informatiebeveiliging in het Hoger Onderwijs. Gezamenlijk product van het CIO Beraad en SURF-ibo Informatiebeveiligingsbeleid Informatiebeveiliging in het Hoger Onderwijs Gezamenlijk product van het CIO Beraad en SURF-ibo April 2010 31-Maart-10 2/19 Versiebeheer Datum Door Wijzigingen 1.0 02-11-09

Nadere informatie

Informatiebeveiligingsbeleid Universiteit Twente

Informatiebeveiligingsbeleid Universiteit Twente Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0405/khv Datum: 21 september 2011 Informatiebeveiligingsbeleid Universiteit Twente 1 Inleiding... 3 1.1 Reikwijdte van het beleid... 3 1.2 Doelstelling

Nadere informatie

Model Informatiebeveiligingsbeleid. voor de MBO sector op basis van ISO27001 en ISO27002 IBPDOC6

Model Informatiebeveiligingsbeleid. voor de MBO sector op basis van ISO27001 en ISO27002 IBPDOC6 Model Informatiebeveiligingsbeleid voor de MBO sector op basis van ISO27001 en ISO27002 IBPDOC6 Verantwoording Bron: Starterkit Informatiebeveiliging Stichting SURF Februari 2015 SURFibo Het SURF Informatie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Gedragscode ICT-functionarissen Universiteit Twente

Gedragscode ICT-functionarissen Universiteit Twente Universitair Informatiemanagement Kenmerk: SB/UIM/12/1107/khv Datum: 13 december 2012 Gedragscode ICT-functionarissen Universiteit Twente Vanuit hun functie hebben ICT-functionarissen vaak verregaande

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Versie: 1.2 Datum: 10 maart 2014. HAN-CERT - RFC 2350 Hogeschool van Arnhem en Nijmegen

Versie: 1.2 Datum: 10 maart 2014. HAN-CERT - RFC 2350 Hogeschool van Arnhem en Nijmegen Versie: 1.2 Datum: 10 maart 2014 HAN-CERT - RFC 2350 Hogeschool van Arnhem en Nijmegen INHOUD 1 Informatie over dit document...3 1.1 Datum laatste wijziging...3 1.2 Distributielijst voor mededelingen...3

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Universiteit van Amsterdam. Beleid Informatiebeveiliging

Universiteit van Amsterdam. Beleid Informatiebeveiliging Universiteit van Amsterdam Beleid Informatiebeveiliging 2010 Bestandsnaam : Beleid IB 2010 V01.doc Auteur : B. Visser, R. Boontje, J. van Dongen 1/17 Het document Beleid informatiebeveiliging UvA Doel

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Noorderpoort. Informatiebeveiligingsbeleid 2014-2016

Noorderpoort. Informatiebeveiligingsbeleid 2014-2016 Noorderpoort Informatiebeveiligingsbeleid 2014-2016 Colofon Datum 28-8-2014 Titel Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Dienst / school / auteur Dhr. M.A. Broekhuizen, Dhr. G. Fokkema Versie

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014 Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud Toelichting

Nadere informatie

Beleid informatiebeveiliging voor onderwijs, onderzoek en bedrijfsvoering bij de Universiteit Leiden

Beleid informatiebeveiliging voor onderwijs, onderzoek en bedrijfsvoering bij de Universiteit Leiden Beleid informatiebeveiliging voor onderwijs, onderzoek en bedrijfsvoering bij de Universiteit Leiden 1 Versiebeheer Versie 0.1 29 Juli 2013 1 e concept Versie 0.2 5 Augustus 2013 2 e concept na input van

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

8.5 Information security

8.5 Information security H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties

Nadere informatie

Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705

Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705 Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705 Doel Initiëren, coördineren, stimuleren en bewaken van Arbo- en Milieuwerkzaamheden binnen een, binnen de bevoegdheid van de leidinggevende,

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

DHM Security Management

DHM Security Management - 1 Introductie DHM Security Management DE HAAGSE METHODIEK INSPECTIE BODIES ADVISEUR/ CONSULTANT PART.RECH. BURO PAC ICT & INF SECURITY POLITIE GWT PBO FABRIKANT BOUWKUNDIG INSTALLATEUR ALARM INSTALLATEUR

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Notitie inzake integriteit van bestuur Nederlandse Antillen t.b.v. het ministerieel overleg inzake integriteit d.d. 3-11-03.

Notitie inzake integriteit van bestuur Nederlandse Antillen t.b.v. het ministerieel overleg inzake integriteit d.d. 3-11-03. Notitie inzake integriteit van bestuur Nederlandse Antillen t.b.v. het ministerieel overleg inzake integriteit d.d. 3-11-03. Algemeen Deze notitie is bedoeld om inzicht te verschaffen in de stand van zaken

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE Vastgesteld door de RvC op 10 maart 2010 1 10 maart 2010 INHOUDSOPGAVE Blz. 0. Inleiding... 3 1. Samenstelling... 3 2. Taken en bevoegdheden... 3 3. Taken betreffende

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Gedragscode Persoonlijk Onderzoek. 21 december 2011 Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Handreiking functieprofiel Chief Information Security Officer (CISO)

Handreiking functieprofiel Chief Information Security Officer (CISO) Handreiking functieprofiel Chief Information Security Officer (CISO) Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende

Nadere informatie

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken Veilig gebruik van suwinet Mariska ten Heuw Wethouder Sociale Zaken Aanleiding en korte terugblik SZW Inspectie onderzoekt periodiek gebruik suwinet Gemeentelijke presentaties schieten tekort Suwi Normenkader

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Dit reglement is vastgesteld door de raad van commissarissen van Woningbouwvereniging Habeko wonen op 8 juli 2008.

Dit reglement is vastgesteld door de raad van commissarissen van Woningbouwvereniging Habeko wonen op 8 juli 2008. Bestuursreglement Dit reglement is vastgesteld door de raad van commissarissen van Woningbouwvereniging Habeko wonen op 8 juli 2008. Artikel 1 Status en inhoud van het reglement 1. Dit reglement is opgesteld

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Functieprofiel: Controller Functiecode: 0304

Functieprofiel: Controller Functiecode: 0304 Functieprofiel: Controller Functiecode: 0304 Doel Bijdragen aan de formulering van het strategische en tactische (financieel-)economische beleid van de instelling of onderdelen daarvan, alsmede vorm en

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Functieprofiel: Directeur Service Eenheid Functiecode: 0206

Functieprofiel: Directeur Service Eenheid Functiecode: 0206 Functieprofiel: Directeur Service Eenheid Functiecode: 0206 Doel Voorbereiden en uitvoeren van het beleid van in het algemeen en van de eigen service in het bijzonder, alsmede het leidinggeven aan de werkzaamheden

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

De regeling zal periodiek worden geëvalueerd om deze op effectiviteit te toetsen en voor mogelijke verbetering zorg te dragen.

De regeling zal periodiek worden geëvalueerd om deze op effectiviteit te toetsen en voor mogelijke verbetering zorg te dragen. Preambule Deze regeling is vastgesteld door het bestuur van Deloitte Holding B.V. (hierna: het Bestuur ) en geldt voor Deloitte Holding B.V. en al haar (directe of indirecte) volledige dochtermaatschappijen

Nadere informatie

HAN Jaarverslag 2013 8. Bestuur en management. Risicomanagement

HAN Jaarverslag 2013 8. Bestuur en management. Risicomanagement Risicomanagement Het College van Bestuur rapporteert jaarlijks aan de Raad van Toezicht over de belangrijkste risico s die de HAN bedreigen. Per risico worden kans, effect en beïnvloedbaarheid annex maatregelen

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP

KLOKKENLUIDERSREGELING EUREKO GROEP KLOKKENLUIDERSREGELING EUREKO GROEP Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon: Interne Vertrouwenspersoon: Vertrouwenscommissie:

Nadere informatie

In Control op ICT in de zorg

In Control op ICT in de zorg In Control op ICT in de zorg Ervaringen uit de praktijk van ziekenhuizen Ron van den Bosch Hoofd bureau Strategie en Beleid UMC Groningen Voorzitter Vereniging Informatica en Gezondheidszorg Lid CIO Platform

Nadere informatie

Gedragscode ICT- en Internetgebruik. Studenten. Universiteit Twente

Gedragscode ICT- en Internetgebruik. Studenten. Universiteit Twente Gedragscode ICT- en Internetgebruik Studenten Universiteit Twente 2011 1 INHOUDSOPGAVE Pagina 3 Woord vooraf Pagina 4 1. Definities Pagina 6 2. Reikwijdte 3. ICT- en Internetgebruik algemeen Pagina 7 4.

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur LEIDRAAD Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur 1 Januari 2014 1 INLEIDING Medisch specialisten zijn voor een goede en veilige uitoefening

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Colofon Document : Acceptable Use Policy (AUP) Service : Caresharing Leverancier : CareSharing B.V. Versie: : 2.0 Datum

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

Examen BiSLF Business Information Management Foundation

Examen BiSLF Business Information Management Foundation Examen BiSLF Business Information Management Foundation Publicatiedatum Startdatum 1 januari 2006 1 oktober 2005 Doelgroep De doelgroep voor deze module heeft in zijn of haar functie een rol bij het aansturen,

Nadere informatie