Van de redactie. Over sourcing en inburgering Column Madan Ramrattansing. Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning

Maat: px
Weergave met pagina beginnen:

Download "Van de redactie. Over sourcing en inburgering Column Madan Ramrattansing. Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning"

Transcriptie

1 de EDP-Auditor Colofon De EDP-Auditor is een uitgave van de Nederlandse Orde van Register EDP-Auditors Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA Redactie M. M. Buijs RE RI drs. Th. M. J. Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Hoofdredactie prof. dr. G.J. van der Pijl RE Eindredactie Y.M. Kloppenburg MA LVB Networks Uitgever Reed Business bv Postbus AD Amsterdam Tel.: Abonnementen De EDP-Auditor wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor ,75 excl. btw. (Studentenprijs 31,80) De verzendtoeslag voor België bedraagt 7,37 en voor de Nederlandse Antillen en overige landen 22,85. De prijs van losse nummers is 24,95 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: Fax: Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan de EDP-Auditor. U kunt uw bijdrage sturen naar de eindredactie. Advertenties Reed Business Media Amsterdam Postbus AD Amsterdam Geldend advertentietarief Vormgeving Studio Putto BNO, De Rijp Inhoud Van de redactie Over sourcing en inburgering Column Madan Ramrattansing Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning De application server in het middelpunt John Zuidweg De statistische steekproef: uitdaging voor de EDP-auditor (deel 2) Arjan Hassing Uitbesteding bij financiële ondernemingen: wet- & regelgeving en de IT-auditor (deel 2 Wbp) Jeroen van Puijenbroek IT Governance, Performance & Compliance Boekbespreking door Ed Ridderbeekx Een dag uit het leven van Ronald Heil Verslag vanaf grote afstand: conferenties Blackhat en Defcon augustus 2008 Maarten Veltman Secure IT : Rijksbrede IT-auditdag 2008 IT-auditors bijeen Van de NOREA 4jaargang

2 Van de redactie Redactiewissel Vanaf deze plek veel dank aan Madan Ramrattansing, die een aantal maanden het redactiewerk overnam van Thea Gerritse, in de periode waarin zij genoot van haar sabbatical. Madan neemt in zijn column afscheid met een spetterende rap voor het herintredende redactielid. En uiteraard ook een hartelijk welkom terug aan Thea. Met de kredietcrisis in volle gang is het interessant om te lezen over de wijze waarop de Nederlandsche Bank haar IT-toezicht uitoefent. Maarten Buijs en Chris Wauters spraken daarover in een interview met Evert Koning, NOREA-bestuurslid en hoofd van het expertisecentrum ITauditing van de Nederlandsche Bank. Vervolgens gaat John Zuidweg in op de betekenis van de opkomst van application servers voor het werk van de IT-auditor. Hij beschrijft onder meer hoe verschillende application servers een vorm van Identity Management bieden, waarbij alle identiteitsgegevens van gebruikers centraal kunnen worden vastgelegd. Arjan Hassing gaat in op het gebruik van statistische steekproeftechnieken bij de Belastingdienst. Hoewel het gebruik van steekproeven juridisch gezien is toegestaan, blijkt dat nog wel discussie mogelijk is over de wijze waarop deze worden uitgevoerd. In een eerder artikel betoogde Jeroen van Puijenbroek al dat er risico s kleven aan uitbesteding. Nu gaat hij verder in op de vraag wat de Wet bescherming persoonsgegevens (Wbp) voor de IT-auditor betekent. alleen via literatuur: ook via conferenties. Daarom in dit nummer een verslag van de Blackhat- en Defconconferenties van de hand van Maarten Veltman en een verslag van de Rijksbrede IT-auditdag 2008 door Nathalie Timmer en Peter Doorduin. In de rubriek Een dag uit het leven van... neemt Ronald Heil ons mee naar zijn binnen- en buitenlandse activiteiten als IT-audit manager bij KPMG. Ten slotte vragen wij in het bijzonder uw aandacht voor de berichten van de NOREA, waaronder vooral ook voor de nieuwe Richtlijn Permanente Educatie, waarover de ledenvergadering op 10 december zal besluiten. Ed Ridderbeekx bekijkt in de boekbespreking het boek IT Governance, Performance & Compliance, een bloemlezing van artikelen onder de redactie van NOREA-voorzitter Hans Donkers en Brigitte Beugelaar. Maar het IT-auditvak ontwikkelt zich niet 4 de EDP-Auditor nummer

3 Column Over sourcing en inburgering Madan Ramrattansing Als het goed is gegaan, moet het u niet zijn opgevallen dat ik gedurende ruim een half jaar de redactionele taken heb waargenomen van mijn collega, laten we haar T noemen. Zij maakt normaliter deel uit van de redactie van uw vakblad, maar had een sabbatical leave. Ik zal trachten u te schetsen hoe mijn toetreding tot dit sanctum sanctorum voor IT-auditors ongeveer is gegaan. Je bent aan het werk en quasi-spontaan staat je collega pontificaal in de deuropening de ingang en tevens uitgang, zodat vluchten niet mogelijk is; ramen vormen op driehoog geen serieuze optie. Ik heb gesproken met [naam van degene die hiërarchisch hoger op de ladder staat dan T en ik, zodat T kan zeggen ook maar gestuurd te zijn, de grijns op haar gezicht zullen we maar even negeren]. En zij jawel, ook onze baas is een vrouw heeft geopperd dat jij de meest geschikte persoon bent om mijn taken in de redactie van de EDP-Auditor waar te nemen. Zou je dat willen doen? De consternatie slaat toe, maar aangezien de deuropening nog steeds niet is vrijgegeven, rest na enig doelloos geblader in de agenda slechts een glimlach en een ja hoor, lijkt me leuk, ik doe het. En omdat ik enkele maanden geleden een symposium heb bijgewoond over sourcing in alle mogelijke verschijningsvormen, weet ik dat hier sprake is van outsourcing op micro-economisch niveau; ik ervaar dat aan den lijve. Mijn voorgangster treedt weldra weer aan. Ik voorzie in dit verband overigens dat het herintreden een terugkerend fenomeen zal worden, denk bijvoorbeeld aan: spijtoptanten, de collega s die zich, om hen moverende redenen, onbegrijpelijk genoeg uit het register laten uitschrijven, dan wel die zich niet-actief lid verklaren en die daarna weer tot inkeer komen; degenen die, na door de tuchtrechter vaderlijk te zijn toegesproken, voor bepaalde duur geschorst zijn, dan wel uit het register zijn geschrapt (dit heeft zich bij mijn weten overigens nog niet voorgedaan) en die diep berouw tonen en IT-auditors die met sabbatical zijn geweest en die weer uit de sabbat moeten geraken. Nu weet ik ook wel, dat voor herinschrijving in het register allerlei formele regels gelden, denk bijvoorbeeld aan het aantoonbaar hebben voldaan aan de permanente educatieregels gedurende de uitschrijvingsduur, maar zou het niet leuk zijn om ook informeel en bij wijze van ludieke actie de verloren schapen weer te verwelkomen en hen te herbevestigen in ons mooie beroep? Ook daar waar geen herinschrijving van toepassing is? Ik wil op deze plaats een voorzet doen die, dat geef ik grif toe, af en toe mank kan gaan. Maar het gaat even om het idee, het komt wel goed wanneer het NOREA-bestuur dit verder oppakt en een commissie instelt. Ik heb daar een ingang, ook een collega trouwens. Zingen hoeft niet, onze expertise ligt immers op ander terrein en je wilt als auditor wel serieus blijven overkomen. Rappen zou het mooist zijn, maar voorlezen volstaat eventueel ook. Wel is enig gevoel voor dramatiek wenselijk, ongeveer zoals de rederijkers hun voordrachten moeten hebben gehouden. Als basis heb ik ons eigen volkslied genomen, hier en daar in een moderne spelling. En om de zaken niet te complex te maken veronderstel ik dat de herintreder auditmanager is, tegenwoordig kan iedereen dat worden, toch? 5 de EDP-Auditor nummer

4 Lofrap van de auditor Wilhelmus van Nassaue will not be back. Hij niet, ik wel: IT-auditor ben ik, van Duitsen bloed, 1 zweet en tranen heb ik gelaten om, soms ver daarbuiten, maar voornamelijk in den vaderland getrouw beeld- en andere verklaringen, onder meer, te mogen afgeven. Daarom en ook al omdat het kabinet de pensioengerechtigde leeftijd steeds maar op blijft schuiven: IT-auditor, hoogstwaarschijnlijk, nee, zeker weten blijf ik tot in den dood. Ziek, echt doodziek werd ik af en toe van alle regels en begrippen die over mij werden uitgestort. Maar inmiddels weet ik niet beter en zijn COBIT, ITIL, ASL en BiSL gevleugelde begrippen. Een Prinse van Oranje Dat is Willem-Alexander, watermanager en IOC-lid. Maar ook ik heb een zekere business, als auditmanager en lid van de NOREA. Scherpzinnig ben ik, vrij onverveerd, in mijn oordeelsvorming, al duurt het even voordat anderen dat inzien. Uiteindelijk wordt dit alom gewaardeerd, ook door den Koning van Hispanje, ik acht hem hoog en hoewel nog niet tot mijn vaste klantenkring behorend, ja hem heb ik altijd geëerd. Sinterklaas trouwens ook, van jongsaf aan al eigenlijk, al kwam dat bij hem door de vele cadeautjes die ik kreeg. Die mag ik nu echter niet meer zonder meer aannemen. Zo zou ik nog even door kunnen gaan, het Wilhelmus kent vijftien coupletten, maar u begrijpt vast al wat ik bedoel. Zoals het gezegde in Spanje luidt: No hay mal que por bien no venga, ofwel: elk nadeel heeft zijn voordeel (en nee, ik weet niet wat er eerder was, dit gezegde of de soortgelijke uitspraak van Neerlands voetbalvirtuoos). Waarmee ik maar wil zeggen dat ook aan deze outsourcing, net als in het echte leven, een einde komt en dat, als u dit leest, het stokje inmiddels weer is overgedragen aan T. Ik wens u alvast prettige feestdagen en een vruchtbaar en gezond Het ga u goed. Noot 1 Op deze plek wordt de herintredende auditor enige vrijheid geboden en mag, afhankelijk van de samenstelling van de voorouderlijke stamboom, gekozen worden voor één van de volgende tussenvoegsels: niet, een beetje of, bij gerede twijfel, misschien. Hoe zij haar intrede heeft gedaan en of zij bovenstaande lofrap heeft gereciteerd kan ik u helaas niet melden vanwege de tijd die er ligt tussen de deadline voor het aanleveren van dit stuk en haar feitelijke terugkeer. Ik had in elk geval al wel een oorkonde van inburgering klaarliggen. Geschreven met een ouderwets pre-it-hulpmiddel, de ganzenveer. En uiteraard voorzien van een lakstempel, als bewijs van authenticiteit. 6 de EDP-Auditor nummer

5 Interview Het IT-toezicht van De Nederlandsche Bank behoort tot de mondiale top Een gesprek met Evert Koning, werkzaam bij De Nederlandsche Bank en NOREA-bestuurslid Maarten Buijs en Chris Wauters Begin 2004 verscheen een interview met Evert Koning in de EDP-Auditor. Hierin werd onder meer de toezichthoudende rol van De Nederlandsche Bank (DNB) besproken. Evert maakt nu al weer enige tijd deel uit van het NOREA-bestuur. Hoog tijd dus om Evert nog eens te spreken en te vragen naar zijn ervaringen en de ontwikkelingen. Een gesprek met een man die het belang van opleiding, kennis en samenwerking op diverse fronten vooropstelt Toezicht bij De Nederlandsche Bank Wat is de taak van DNB? Kort gezegd is het de taak van DNB om crediteuren te beschermen en bij te dragen aan de stabiliteit van het financiële stelsel. Zij doet dit onder andere door toezicht te houden op de financiële instellingen, waaronder ongeveer 125 banken. DNB moet in haar rol van toezichthouder onder andere de bestuurders van financiële instellingen goedkeuren. Als aanbevelingen van DNB niet worden opgevolgd, dan vindt er een gesprek plaats met de betrokken bestuurders. Als uiterste middel kan DNB de vergunning van een instelling intrekken. In de praktijk is dit nog nooit gebeurd. De afgelopen 25 jaar is er een goede vertrouwensrelatie opgebouwd tussen DNB en de instellingen. Evert geeft leiding aan een expertisecentrum waar 15 ITauditors werkzaam zijn en is als zodanig eindverantwoordelijk voor het toezicht op de IT. De algemene toezichthouders binnen DNB huren capaciteit in van het expertisecentrum. IT is één van de tien risicogebieden die FIRM (Financiële Instellingen Risico-analyse Methodiek) onderscheidt. Het IT-toezicht van DNB behoort tot de mondiale top. Dit is het resultaat van de aanpak van DNB: risicoanalyse en zelf onderzoek ter plaatse uitvoeren en niet alleen steunen op rapporten van de externe auditors. Verder stuurt DNB teams met hoogopgeleide en ervaren mensen op pad, die een gedegen technisch onderzoek kunnen verrichten. DNB is een kennisinstituut, en de mensen zijn de belangrijkste assets. Kennismanagement speelt dan ook een belangrijke rol en vindt veelvuldig plaats op verschillende onderwerpen, zoals een specialistisch onderwerp als I-series en P-series. Ook internationaal doen we veel aan kennisuitwisseling. Kun je meer vertellen over de internationale samenwerking binnen het IT-toezicht? Het belang van internationale samenwerking is alleen maar gegroeid. We streven naar een gelijksoortige manier van toezicht binnen de internationale financiële wereld. Wat IT betreft zijn we internationaal actief sinds DNB organiseerde de eerste internationale conferentie in Amsterdam, wat heeft geleid tot de International Supervisory Group voor 7 de EDP-Auditor nummer

6 IT (ISG-IT). Binnen de ISG willen wij vooral van elkaar leren: zo leren we van elkaars aanpak, praktische ervaringen en methoden en technieken. Zo merkten we bijvoorbeeld dat Canada en Hong Kong over mooie toezichttools beschikten, reden voor ons om FIRM te ontwikkelen. Sindsdien vindt er jaarlijks een conferentie plaats. Binnen ISG-IT is een aantal werkgroepen actief, bijvoorbeeld op het gebied van security, uitbesteding en contingency planning, die vervolgens op de conferenties verslag doen van hun activiteiten. Naast de ISG bestaat er natuurlijk ook nog de European Central Bank (ECB). Binnen de ECB heeft DNB vooral veel contacten met de West-Europese landen. Niet alle landen hebben een toezichthouder in de centrale bank. Tot slot biedt DNB ook ondersteuning aan niet-ecb-leden. In feite is dit een soort technische assistentie aan met name Oost-Europese landen voor het ontwikkelen en implementeren van adequaat toezicht. Zo hebben we seminars gegeven in onder andere Macedonië, Rusland, Armenië en Oekraïne. Een dergelijk seminar heeft een belangrijk uitstralingeffect; de hele regio is daarbij aanwezig. Wat voor normen stelt DNB aan financiële instellingen? De normen komen voort uit internationaal overleg in het Bazels Comité voor banken en zijn gebaseerd op principes. Deze zijn vastgelegd in een Algemene Maatregel Van Bestuur bij de Wet financieel toezicht. DNB hanteert dus normen en geen specifieke regels. Daarvoor zijn de betrokken instellingen te verschillend. DNB verwacht van de instellingen dat zij op basis van een risicoanalyse zélf een beheerste organisatie inrichten en voldoen aan eigen normen. DNB toetst op basis van een eigen risicoanalyse of het stelsel van beheersmaatregelen voldoet aan hetgeen je mag verwachten van die instelling. De resultaten van een onderzoek worden na een feitelijke afstemming gerapporteerd aan de raad van bestuur van de betreffende instelling. Het abstractieniveau van onze rapportage is daardoor vrij hoog. Wij stellen aanbevelingen op, maar wij hebben ook oog voor de haalbaarheid. De instelling geeft vervolgens een reactie waarin ze aangeeft hoe en wanneer ze de verbeteringen heeft doorgevoerd. Na enige tijd komen wij kijken of de aanbevelingen zijn opgevolgd. Over onze normatiek praten we veel. Eénmaal per drie à vier maanden hebben we vaktechnisch overleg met de hoofden IT-audit van de financiële instellingen. Verder vinden er soms themaonderzoeken bij meer instellingen tegelijk plaats. Hierover wordt dan ook overleg gepleegd. DNB is toezichthouder. Wie houdt er toezicht op DNB? Primair houdt de RvC toezicht op DNB. De Algemene Rekenkamer is bevoegd om onderzoeken bij ons uit te voeren. DNB anticipeert hierop door binnen het toezichtsproces met regelmaat peer reviews uit te voeren. We beschikken natuurlijk ook over een interne accountantsdienst die verantwoordelijk is voor het interne toezicht. Ten slotte heeft DNB regelmatig in haar hoedanigheid als Zelfstandig Bestuursorgaan (ZBO) afstemmingsoverleg met het ministerie van Financiën. De auditdienst van Financiën voert overigens geen onderzoek uit bij DNB. 8 de EDP-Auditor nummer

7 DNB/MARTIJN BARTH In 2004 beschrijf je een risk assessment tool dat wordt ontwikkeld voor het toezicht van DNB. Hoe staat het daarmee? De tool, Financiële Instellingen Risico-analyse Methodiek geheten, wordt breed gebruikt. De doelstelling van FIRM is het vaststellen van het inherente risico; voor IT onderverdeeld in vier subrisico s: strategie/beleid, beheersing, continuïteit en security. FIRM maakt hierbij onderscheid tussen de verschillende soorten instellingen. Denk aan banken, verzekeringsmaatschappijen en pensioenfondsen. De tool is niet statisch, maar ontwikkelt zich dynamisch, in overleg met de instellingen en met zoveel mogelijk transparantie. Wij hebben vanuit het expertisecentrum een cursus ontwikkeld voor onze algemene toezichthouders, die gaat over hoe om te gaan met het IT-risico van FIRM, bij grote en bij kleinere organisaties. De tool helpt ons om risicogebaseerd toezicht te houden, waarbij je bijvoorbeeld ook beargumenteerd keuzes maakt om dingen niet te doen. Je hebt de rol van DNB en het toezicht op IT geschetst. Wat voor type IT-auditors werken er bij DNB om hierin te kunnen voorzien? De IT-auditors van ons expertisecentrum hebben een sterk analytisch vermogen. Het onderzoek moet altijd plaatsvinden in een korte tijd en het gaat om complexe omgevingen. Ook overtuigingskracht en ruggengraat zijn nodig om de boodschap op hoog niveau over te kunnen dragen. Dit laatste vergt ook veel communicatieve vaardigheden. Wat zijn belangrijke en actuele problemen waar je als toezichthouder IT tegenaan loopt? Een belangrijk onderwerp waar we aan werken, is cybercrime. Cybercrime (virussen, phishing en dergelijke) vormt aanleiding om te praten met collega-toezichthouders. Op 6 en 7 oktober organiseerde ik daarom een Europese conferentie met mijn collega s over deze problematiek. Ook hier is samenwerking essentieel. Binnen Nederland vindt overleg plaats met internetproviders en technisch specialisten. In dit kader vinden ook bijzondere activiteiten plaats in samenwerking met het Financieel Expertise Centrum (FEC). Samen met de AFM, het OM en het KLPD wordt een belangrijk project uitgevoerd, gericht op de analyse en aanpak van cybercrime. Ook hebben we veel aandacht voor continuïteit van dienstverlening, vooral bij uitbesteding van ICT aan ICT-dienstverleners. Op dit vlak heeft DNB veel geleerd van cases in de Verenigde Staten, India en Duitsland. De financiële instellingen staan ook wat dit betreft onder toezicht, waarbij met name gekeken wordt naar de afgesloten Service Level Agreements (SLA s). In de Verenigde Staten staan de dienstverleners zelf onder toezicht, dat is in Nederland niet het geval. Nederland is eigenlijk te klein voor twee soortgelijke beroepsgroepen In het bestuur fungeer ik tevens als linking pin naar de Commissie Permanente Educatie (CPE), die nu Commissie Educatie (CE) heet. Tijdens een heisessie met de toenmalige CPE is besloten om naast het controleren en houden van toezicht vanuit de commissie, ook meer ledengericht te gaan opereren. De CE moet dus niet meer alleen het bestraffende vingertje omhoog houden, maar ook cursussen gaan aanbieden en de registratie meer faciliteren. Daar wordt door de CE hard aan gewerkt. Verder ben ik ook contactpersoon vanuit het bestuur naar de redactie van de EDP-Auditor. De NOREA heeft ook een taak waar het de samenwerking betreft van onze opleidingen. Bij elke opleiding staan hoogleraren aan het roer, met sterke eigen ideeën. De post-masteropleidingen zijn het voorportaal voor ons vak. Daarom is afstemming en samenwerking met de opleidingen en de beroepsorganisatie zo belangrijk. Een andere belangrijke vorm van samenwerking is die met ISACA. Nederland is eigenlijk te klein voor twee soortgelijke beroepsgroepen. In Nederland bevinden zich circa 1300 RE s en hiervan zijn er ongeveer vierhonderd ook lid van ISACA. Samenwerking zou goed kunnen plaatsvinden op het gebied van opleidingen, maar bijvoorbeeld ook op het gebied van de ledenadministratie. Natuurlijk zijn er ook belangrijke verschillen tussen de twee beroepsgroepen. Eén beroepsgroep is nu dus nog een brug te ver, maar het uitgangspunt zou wel moeten zijn, dat we daar waar mogelijk samen zouden moeten optrekken en kennis zouden moeten delen. De CISA-titel is internationaal bekend en eigenlijk zou ook de NOREA zich internationaal meer moeten profileren. Het Nederlandse IT-auditvak staat internationaal hoog aangeschreven. We zouden hier meer gebruik van kunnen maken in onze PR en profilering. In de huidige wereld van globalisering is dit eigenlijk vanzelfsprekend. Wat zou je de lezer tot slot nog willen meegeven? Zoek meer de samenwerking op en deel actief kennis met elkaar. Samenwerking is namelijk de sleutel tot een beter beroep. RE s, RA s, RO s en CISA s kunnen veel van elkaar leren, zowel nationaal als internationaal. Blijf elkaar dus echt opzoeken. NOREA Nu we het over auditors hebben, laten we eens kijken naar jouw huidige activiteiten bij de NOREA. Welke zijn dat? Ik ben nu vier jaar bestuurslid bij de NOREA. Daarvoor maakte ik vijf jaar deel uit van de Commissie van Toelating. Noot van de redactie Helaas kon Evert vanuit zijn functie als toezichthouder niet ingaan op de gebeurtenissen rond de kredietcrisis. De redactie heeft hem geen vragen gesteld over dit actuele onderwerp. 9 de EDP-Auditor nummer

8 Artikel De application server in het middelpunt John Zuidweg Steeds meer organisaties maken gebruik van application servers om informatie uit databases te ontsluiten. Dit heeft grote consequenties voor de manier waarop de netwerkarchitectuur wordt ingericht. Wat betekent dit voor de IT-auditor? In dit artikel wordt eerst ingegaan op het begrip application server en wordt daarna duidelijk gemaakt op welke manier de application server-architectuur tot stand gekomen is. Vervolgens wordt uitvoeriger ingegaan op een aantal centrale componenten, waarbij het concept Identity Management een belangrijke plaats inneemt. Vanuit deze beschrijving wordt ten slotte een aantal aandachtspunten voor de IT-auditor geïdentificeerd. N.J. (John) Zuidweg heeft Information Security Technology gestudeerd aan de Technische Universiteit Eindhoven. In het kader van zijn afstuderen heeft hij bij EDP Audit Pool onderzoek gedaan naar de betrouwbaarheid van Oracle Application Server. Inmiddels is hij als EDP-auditor werkzaam bij Ernst & Young Advisory. Dit artikel is geschreven op persoonlijke titel. Het bevat een samenvatting van enkele aspecten uit het afstudeerverslag [ZUID08]. Het begrip application server is niet in enkele woorden volledig te definiëren. In essentie is het een computerprogramma waarmee applicaties aangeboden kunnen worden via het netwerk. Deze applicaties zijn doorgaans van het type webpagina of webservice. Met behulp hiervan kunnen gebruikers of andere application servers toegang krijgen tot gegevens uit bijvoorbeeld een database. De application server fungeert dus als intermediair tussen een databron en gebruikers of services en is daarmee een typisch voorbeeld van middleware. In de praktijk omvat een application server echter meer functionaliteit dan alleen een computerprogramma voor het aanbieden van applicaties. In veel gevallen gaat achter dit begrip een complete architectuur van diverse componenten schuil. Deze architectuur biedt functionaliteit die voorheen verzorgd werd door het DBMS 1 of door programma s op de pc s van eindgebruikers. In het kader van een onderzoek naar de technische infrastructuur is deze architectuur daarom voor IT-auditors zonder meer het analyseren waard, als het gaat om de exclusiviteit, integriteit en beschikbaarheid van informatie. Bij een technische IT-audit is het mechanisme voor autorisatie en authenticatie van gebruikers een cruciaal aspect. Ook wat dit betreft kan de application server een belangrijke rol spelen: verschillende application servers bieden een vorm van Identity Management waarbij alle identiteitsgegevens van gebruikers centraal kunnen worden vastgelegd. Van mainframe tot middleware Vanaf de jaren tachtig van de vorige eeuw begonnen veel organisaties hun mainframes en terminals te vervangen door servers en pc s. In veel gevallen konden bedrijfsprocessen hiermee op een goede manier worden ondersteund. Toch had ook deze client-server-architectuur te kampen met beperkingen: binnen organisaties zag men de prestaties van de diverse applicaties afnemen naarmate meer clients aan de server werden gekoppeld. Ook was het voor systeembeheerders een forse klus om alle applicaties op de verschillende PC s te beheren en te zorgen voor een zorgvuldige toekenning van autorisaties. Het is daarom niet verwonderlijk dat er veel belangstelling was voor de nieuwe drielaagsarchitectuur die in de jaren negentig van de vorige eeuw werd gepresenteerd. Deze architectuur beloofde namelijk de beperkingen van de clientserver-architectuur op te kunnen lossen. Evenals in de client- 10 de EDP-Auditor nummer

9 server-architectuur stonden de data op een centrale server en werden applicaties vanaf pc s aangestuurd. De applicaties met bedrijfslogica verschoven echter van de clients naar een nieuwe component: de application server. Informatie uit de database werd op deze manier ontsloten via deze tussenliggende component. Kenmerkend voor de manier waarop dit gebeurde, is het gebruik van webtechnologie. Application servers zijn namelijk bij uitstek geschikt voor het aanbieden van webapplicaties: webpagina s die door eindgebruikers benaderd kunnen worden via een browser op hun pc en webservices die met andere applicaties kunnen communiceren door middel van XML 2 -berichten (zie [LEAN00]). Component of architectuur Het product application server is inmiddels door verschillende softwarefabrikanten uitgewerkt en op de markt gebracht. Bekende leveranciers zijn Adobe (met ColdFusion), Red Hat (met JBoss), Oracle (met Oracle Application Server) en IBM (met WebSphere Application Server). Tussen de diverse application servers zijn verschillen te ontdekken wanneer de implementatie in ogenschouw genomen wordt. Over het gehele spectrum genomen, valt echter wel te concluderen dat bijna alle application servers meer functionaliteit bevatten dan alleen het aanbieden van applicaties: de term application server is in veel gevallen een soort paraplubegrip geworden waaronder een complete architectuur van middleware schuilgaat. Een duidelijk voorbeeld hiervan is te vinden bij de application server van Oracle (hierna: OAS, zie ook [GREE04]). Bij nadere beschouwing blijkt namelijk dat de application server in dit geval uit minstens zes subcomponenten bestaat (zie figuur 1). Verder valt op dat deze subcomponenten in twee categorieën onderverdeeld kunnen worden. De midtier bevat de kernfunctionaliteit van de application server, terwijl de infrastructure een meer ondersteunende rol vervult. De web cache fungeert als proxy: alle binnenkomende verzoeken komen binnen via deze component. Statische (gedeeltes van) webpagina s worden direct door de web cache aangeboden aan gebruikers, zodat de HTTP-server minder wordt belast. Aangezien de application server met gebruikers en applicaties communiceert via webservices en webpagina s, nemen deze componenten een centrale plaats in binnen de application server. Communicatie met deze webapplicaties verloopt namelijk doorgaans via het hyper text transfer protocol (HTTP) of, met gebruikmaking van certificaten, via de beveiligde versie van dit protocol (HTTPS). Overigens is de HTTP-server binnen OAS een aangepaste versie van de open source Apache webserver. Bij het auditen van de web cache en de HTTP-server is vooral de beoordeling van patch-management van groot belang. Omdat deze componenten zich aan de voorkant van de architectuur bevinden, worden ze door een eventuele aanvaller namelijk als eerste benaderd. Via internet zijn diverse bekende beveiligingslekken voor deze producten eenvoudig te vinden. Wanneer niet accuraat Figuur 1 Conceptweergave architectuur Oracle Application Server 11 de EDP-Auditor nummer

10 wordt gepatched, is hierdoor voor een aanvaller de eerste barrière al snel geslecht. Bij een application server gaat het uiteindelijk om de applicaties die aangeboden worden. Binnen OAS kunnen vier soorten applicaties worden onderscheiden: Forms, Reports, Portal en Java. Forms en Reports zijn typische Oracle-producten uit het client-server-tijdperk. Oracle Forms is een soort omgeving waarmee binnen een bepaalde opzet applicaties gemaakt kunnen worden, waarmee informatie uit de database kan worden opgevraagd en gewijzigd. Oracle Reports is geschikt voor het (periodiek) opbouwen van rapportages over gegevens uit de database. Oracle heeft deze producten geconverteerd naar een drielaagsarchitectuur zodat Forms- en Reports-applicaties uitgevoerd kunnen worden op de application server, waardoor gebruikers deze applicaties kunnen benaderen via een webbrowser. Oracle Portal is ook een standaardomgeving van Oracle, alleen is deze wel vanaf het begin specifiek toegesneden op een drielaagsarchitectuur. Oracle Portal is een verzameling van webpagina s waarmee verschillende databronnen (bijvoorbeeld databases of andere webpagina s) via één centrale plek ontsloten kunnen worden. Ook het inrichten en beheren van dit portal gebeurt gewoon via een webbrowser. Naast al deze standaard Oracle-applicaties, bestaat binnen OAS ook de mogelijkheid om maatwerksoftware aan te bieden. De programmeertaal waarin deze software geschreven dient te worden is Java. Met behulp van deze programmeertaal kunnen stukjes code uitgevoerd worden in HTML-pagina s. Ook is het mogelijk om een applicatie te schrijven die een webpagina, een webservice of zelfs een complete verzameling van webpagina s of webservices genereert. Deze applicaties kunnen communiceren met de database, zodat het mogelijk is via een webpagina of webservice informatie uit de database op te vragen of te modificeren (zie ook kader Java EE). De veiligheid van deze applicaties is voor IT-auditors een belangrijk aspect: de applicaties zijn gemakkelijk via een webbrowser te benaderen en geven direct toegang tot de database. Zelfs indien de architectuur goed beveiligd is, kan het complete systeem onderuit gehaald worden als applicaties lekken bevatten of niet op een goede manier zijn ingericht. Een succesvolle cross site scripting (XSS) 3 aanval kan bijvoorbeeld leiden tot een gekaapte SSO-sessie (zie kader Single sign-on), waarmee een ongeautoriseerde kwaadwillende gebruiker aan de slag kan met alle applicaties die gebruikmaken van dit mechanisme. Een onzorgvuldig geprogrammeerde of geconfigureerde applicatie kan dan ook grote gevolgen hebben. Het uitvoeren van beveiligingstesten op deze applicaties is daarom van groot belang. De enige echte oplossing is security by design: applicatieveiligheid zal al tijdens het ontwerp- en implementatieproject een belangrijke plaats moeten krijgen. Alleen achteraf testen op beveiligingsproblemen vergroot het risico dat programmeerfouten over het hoofd gezien worden, die wellicht in een later stadium door een kwaadwillende kunnen worden mis- Java EE Java Enterprise Edition (Java EE, voorheen J2EE) is een versie van de objectgeoriënteerde programmeertaal Java. Java EE is speciaal gericht op de ontwikkeling van server-side software zoals webapplicaties. De meegeleverde bibliotheken bevatten een verzameling van functionaliteiten die gebruikt kan worden in deze applicaties. De bibliotheek die ontwikkeling van Enterprise Java Beans (EJB s) mogelijk maakt, speelt een belangrijke rol binnen de context van de application server als intermediair tussen het DBMS en de gebruiker. Met behulp van deze EJB s kunnen gegevens uit de database op een voor de programmeur eenvoudige wijze vertaald worden naar zogenaamde Java-beans. Een Java-bean is een virtueel object dat een record in de database representeert. Elk veld uit het database record wordt vertaald naar een attribuut van dit object, zodat de waarden van het record corresponderen met de inhoud van de attributen. Door deze Java-beans op een efficiënte manier te synchroniseren met de database kan de systeembelasting van het DBMS in veel gevallen significant worden verlaagd. In vergelijking met klassieke Java-programma s maken deze EJB s het werk voor softwareontwikkelaars gemakkelijker, aangezien zij zich niet langer hoeven te bekommeren over de implementatie van de communicatie met de database. Indien EJB s gebruikt worden, behoeven applicaties in principe niet langer SQL-code te bevatten voor de communicatie met het DBMS. Dit kan zowel de veiligheid als de interoperabiliteit ten goede komen. (Zie bijvoorbeeld [GREE04] voor meer informatie.) bruikt om toegang te krijgen tot een functionaliteit waarvoor deze persoon niet is geautoriseerd. De Certificate Authority (zie [MISR05]) is verantwoordelijk voor het uitgeven en intrekken van certificaten van gebruikers en componenten. Elk certificaat bevat een publieke sleutel die toebehoort aan de eigenaar van het certificaat. Deze sleutels kunnen gebruikt worden voor het verifiëren van de identiteit van gebruikers en componenten; tevens bieden deze sleutels de mogelijkheid om gegevens voor veiligheidsdoeleinden te versleutelen voordat deze worden verzonden. 4 Een publieke sleutel kan ook weer gebruikt worden voor het certificeren van een andere publieke sleutel, zodat een hiërarchie van certificaten kan ontstaan. Het gaat hier dus om beveiliging van gegevens (exclusiviteit) en om authenticatie van gebruikers en componenten. Voor ITauditors is het daarom van belang vast te kunnen stellen dat de Certificate Authority zorgvuldig is ingericht en goed wordt beheerd. Belangrijk is hierbij dat een certificaat uitsluitend wordt toegekend aan een geautoriseerde entiteit, zodat uit het certificaat kan worden opgemaakt op welke entiteit het betrekking heeft. Ook is van belang dat certificaten ingetrokken worden als de onderliggende sleutel of een bovenliggend certificaat is gecompromitteerd. In de Metadata Repository is een groot deel van alle configuratiegegevens van de componenten uit de mid-tier opgeslagen. Het centraal vastleggen van deze gegevens maakt de 12 de EDP-Auditor nummer

11 application server schaalbaar, aangezien hierdoor op relatief eenvoudige wijze meerdere mid-tiers te koppelen zijn aan één infrastructure. Voor IT-auditors is de integriteit van deze configuratiedata een belangrijk aspect, omdat dit weerslag heeft op alle componenten uit de mid-tier. Hierbij is het van belang dat alleen application servers toegang hebben tot de repository, zodat manuele modificatie van gegevens uitgesloten is. Oracle Internet Directory (zie ook [DESM05]) bevat gegevens die betrekking hebben op identiteiten en autorisaties Single sign-on Figuur 2 Oracle Application Server single sign-on proces voor interne applicaties Door gebruik te maken van single sign-on (SSO) kan voorkomen worden dat een gebruiker voor meerdere applicaties apart moet inloggen (met diverse gebruikersnamen en wachtwoorden). Bij het benaderen van een applicatie binnen OAS werkt dit mechanisme als volgt (zie ook [WISH06]): 1 Een gebruiker probeert met een webbrowser een applicatie binnen OAS te benaderen. De applicatie controleert of een geldig applicatie-cookie 5 aanwezig is in de browser van de gebruiker. De gebruiker krijgt direct toegang tot de applicatie indien een geldig applicatie-cookie aanwezig is. 2 Als geen geldig applicatie-cookie aanwezig is, wordt de gebruiker doorgestuurd naar de SSO-server die bepaalt of de gebruiker reeds is ingelogd door te controleren of een geldig SSO-cookie aanwezig is in de browser van de gebruiker. 3 Indien dit niet het geval is, wordt de gebruiker gevraagd een geldige gebruikersnaam en wachtwoord in te voeren in de webbrowser. (Oracle Internet Directory (OID) wordt geraadpleegd voor het controleren van deze gegevens.) Wanneer de gebruiker is ingelogd wordt een SSO-cookie opgeslagen in de webbrowser van de client. 4 Wanneer een geldig SSO-cookie aanwezig is, controleert de SSO-server via OID de autorisaties van de gebruiker op de applicatie. 5 De gebruiker krijgt toegang tot de applicatie indien deze hiervoor geautoriseerd blijkt te zijn. De toegang wordt verkregen doordat de webbrowser van de gebruiker wordt doorverwezen naar een speciale URL die naast de locatie van de applicatie ook een versleuteld authenticatietoken bevat, zodat de applicatie kan vaststellen dat de gebruiker hiertoe geautoriseerd is. 6 Zodra de gebruiker toegang verkregen heeft tot de applicatie wordt een applicatie-cookie weggeschreven in de browser van de gebruiker, zodat de gebruiker gedurende de actieve sessie de applicatie kan benaderen, zonder dat hiervoor de SSO-server geraadpleegd hoeft te worden. SSO kan binnen OAS ook gebruikt worden voor het benaderen van externe bronnen zoals websites. Het mechanisme werkt dan als een systeem dat de gebruiker automatisch inlogt bij de externe bron nadat de gebruiker zich succesvol heeft geauthentiseerd bij de SSO-server. 13 de EDP-Auditor nummer

12 van gebruikers. Door alle autorisatiegegevens in deze LDAPdirectory te centraliseren, kunnen identiteiten en autorisaties van gebruikers gemakkelijker beheerd en gecontroleerd worden. Alle identiteiten, rollen en permissies die eerst én deels in de database én deels in diverse applicaties waren vastgelegd kunnen nu op één plaats worden opgevraagd en gewijzigd. Zeker voor grote organisaties die te maken hebben met veel medewerkers die in dienst treden, van functie veranderen of de organisatie verlaten kan een dergelijke vorm van identity management veel toegevoegde waarde hebben. Voor beheerders is het weliswaar een grote uitdaging om alle identiteiten, rollen en permissies uit databases en applicaties op een juiste manier te centraliseren, maar als dit eenmaal gerealiseerd is, kan dit veel tijdsbesparing opleveren. Ook voor IT-auditors kan dit voordelig zijn, omdat ze zich in dit geval bij het onderzoek naar autorisaties in principe kunnen beperken tot de internet directory. Ook voor gebruikers kan een dergelijke opzet voordelen met zich meebrengen: door gebruik te maken van single sign-on (zie kader) hoeft een gebruiker slechts één enkele keer in te loggen, waarna authenticatie automatisch plaatsvindt voor alle applicaties waarvoor de betreffende gebruiker geautoriseerd is. Dit zou zelfs voordelen kunnen hebben voor de veiligheid van de IT-omgeving, aangezien gebruikers minder wachtwoorden behoeven te onthouden, waardoor men minder snel geneigd zal zijn tot het noteren van wachtwoorden op spiekbriefjes aan bijvoorbeeld de onderkant van het toetsenbord. Voor IT-auditors was informatie over authenticatie en identificatie van gebruikers altijd al een belangrijk aspect. Het risico bestaat wel dat, indien het wachtwoord van een gebruiker bekend is bij een onbevoegde, hij direct toegang heeft tot alle applicaties van die gebruiker. Het is mogelijk alle componenten van OAS op één en dezelfde computer te installeren. In productieomgevingen worden de componenten doorgaans verdeeld over verschillende fysieke componenten, om zo de benodigde performance en schaalbaarheid te kunnen bieden. Door deze hardware met elkaar te verbinden via een standaard TCP/ IP-netwerk kunnen de diverse componenten samenwerken, zodat de application server kan functioneren. Indien kritieke componenten redundant zijn uitgevoerd, kunnen calamiteiten worden opgevangen. Hiermee hangt de beschikbaarheid van de application server in belangrijke mate af van de manier waarop de diverse componenten zijn verdeeld over de gebruikte hardware. Tevens speelt het (interne) netwerk een grote rol. Oracle heeft de naam application server aangepast, omdat deze vlag de lading niet langer dekt. Daarom is nu de naam Oracle Fusion Middleware in het leven geroepen. Onder deze naam worden nu diverse pakketten (zoals Collaboration Suite en Business Intelligence ) aangeboden waar een application server deel van uitmaakt. Aandachtspunten voor de IT-auditor In het voorgaande werd duidelijk dat een application-architectuur een verzameling is van diverse samenwerkende componenten. Per component is reeds kort aangegeven welke aspecten bij een IT-audit van belang zijn. Bovendien is het uitschakelen van standaardaccounts (of in elk geval het wijzigen van de wachtwoorden ervan) een essentiële stap bij het beveiligen van deze architectuur. Hierbij is ook het afschermen van allerlei (webgebaseerde) beheerinterfaces en het verwijderen van meegeleverde demoapplicaties van groot belang. De diverse componenten communiceren intensief met elkaar via het netwerk. Aangezien de beveiliging van de individuele componenten nooit geheel gegarandeerd kan worden, is het raadzaam het netwerk zodanig te segmenteren dat alleen die componenten met elkaar kunnen communiceren waarvoor geldt dat een verbinding noodzakelijk is. Feitelijk gaat het hier om security in depth: door het hardenen van de diverse componenten en de onderliggende systemen, het implementeren van een goed patchbeleid en het segmenteren van het netwerk, kan de architectuur als geheel veiliger worden gemaakt. Aan de IT-auditor de taak zekerheid te verschaffen over de kwaliteit van deze maatregelen. Controlewerkprogramma s en diverse applicaties (zie [ZUID08]) kunnen hierbij goede hulpmiddelen zijn. Een gefundeerd oordeel over de exclusiviteit, integriteit en beschikbaarheid van de beschikbaar gestelde informatie kan echter niet gegeven worden, voordat de complete architectuur is geanalyseerd in de context van de organisatie. Daarnaast bestaat de mogelijkheid dat databasebeheerders (DBA s) door de aanschaf van een application server te maken kunnen krijgen met een forse uitbreiding van hun functie en verantwoordelijkheden. Naast de database moet de beheerder bijvoorbeeld ook webservers, webapplicaties en een Certificate Authority beheren. In sommige gevallen kan dit zelfs leiden tot schending van het beginsel van functiescheiding. Afhankelijk van het type applicaties kan het daarom noodzakelijk zijn dat, naast de DBA, een applicatiebeheerder wordt aangesteld, die verantwoordelijk is voor het technische beheer van de applicaties. Hiervan kan bijvoorbeeld sprake zijn wanneer een DBA zowel het technische beheer uitvoert van financiële programma s als van de onderliggende database. Ten slotte is het van belang zich te realiseren dat er een verschuiving optreedt in de plaats waar de autorisaties van gebruikers zijn opgeslagen. Waar dit vroeger vastlag in de database en in sommige applicaties, wordt dit in de application server-architectuur in principe in een LDAP-directory vastgelegd, waarbij er slechts één of hooguit enkele database accounts worden gebruikt. In de praktijk zijn echter allerlei mengvormen mogelijk, zodat de autorisaties alsnog verspreid over de systemen kunnen liggen waardoor er niet eenvoudig uitspraken gedaan kunnen worden over de inrichting van deze autorisaties. Conclusie Implementatie van een application server kan leiden tot een veiligere en robuustere architectuur die schaalbaar is. Voor zowel beheerders als IT-auditors introduceert deze architec- 14 de EDP-Auditor nummer

13 tuur echter ook een aantal extra aandachtspunten. Hierbij zijn hardening van de complete keten, applicatieveiligheid, een doordachte functie-indeling en een duidelijk vastgelegde autorisatiestructuur van groot belang. Dit alles kan niet met een standaard controlewerkprogramma worden afgedicht: een grondige analyse van het complete systeem in de context van de organisatie is vereist, alvorens conclusies getrokken kunnen worden over de betrouwbaarheid van het systeem. Literatuur [BLEI98] Bleichenbacher, D., Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1, Lecture Notes in Computer Science 1462 (1998). [DESM05] Desmond, E., Oracle Identity Management Concepts and Deployment Planning Guide, Oracle Corporation, [GREE04] Greenwald, R., R. Stackowiak en D. Bales, Oracle Application Server 10g Essentials, O Reilly, [LEAN00] Leander, R., Building Application Servers, Cambridge University Press, [MISR05] Misra, V.H., Oracle Application Server Certificate Authority, Oracle Corporation, [WISH06] Wishbow, N., Oracle Application Server Single Sign-On, Oracle Corporation, [ZUID08] Zuidweg, N.J., IT Auditing of Oracle Application Server, Technische Universiteit Eindhoven, 2008, Noten 1 DBMS staat voor Database Management System, dit is de software die het gebruik van een digitale database mogelijk maakt. 2 XML staat voor extensible Markup Language. 3 XSS is een techniek waarbij een aanvaller een speciale programmacode laat uitvoeren in de browser van een gebruiker wanneer deze een webpagina benadert. Met behulp van deze techniek zou bijvoorbeeld de inhoud van een sessie cookie gestolen kunnen worden. 4 Al is het aan te raden om verschillende publieke sleutels te gebruiken voor authenticatie enerzijds en versleuteling anderzijds, zie [BLEI98]. 5 Een cookie is een klein tekstbestandje dat opgeslagen kan worden in een webbrowser. Cookies bevatten vaak gegevens die ervoor dienen de gebruiker te identificeren. ADVERTENTIE Dé website voor controllers, treasurers en financieel managers ControllersMagazine.nl: dé website voor controllers, financieel managers en treasurers. Spraakmakend, informatief en onafhankelijk. Actualiteit wordt aangevuld met vakinhoud en opinie. Met nieuws, actualiteiten, dossiers, weblogs en vacatures. Surf naar 15 de EDP-Auditor nummer

14 Artikel De statistische steekproef Uitdaging voor de EDP-auditor (deel 2) Arjan Hassing In het eerste nummer van de vorige jaargang van de EDP-Auditor heb ik de theorie over de statistische steekproefmaterie voor EDP-auditors aan een beschouwing onderworpen. Ik zegde daarin toe nader in te gaan op de stand van zaken in de rechtspraak, de mate van aanvaardbaarheid van de aanpak van de Belastingdienst en de wijze waarop een belastingplichtige zich in mijn ogen daartegen zou kunnen verweren. Op die onderwerpen ga ik nu in. De onderwerpen die in dit artikel worden besproken zijn niet toevallig gekozen; ze hangen nauw met elkaar samen. Zo heeft een groot deel van de jurisprudentie over statistische steekproeven betrekking op rechtszaken tussen de fiscus en belastingplichtigen. Na de accountantskantoren maakt de Belastingdienst de afgelopen jaren ook steeds meer gebruik van statistische steekproeven in haar boekenonderzoeken. Op zich is dat een begrijpelijke ontwikkeling. Statistische steekproeven hebben al vaak hun diensten bewezen bij de controle van de kwaliteit van administratieve processen. En als ze goed uitgevoerd worden, kan een enorme inspanningsbesparing worden gerealiseerd. Bovendien probeert de Belastingdienst met minder menskracht meer controles uit te voeren; daar past een efficiënte uitvoering van de werkzaamheden bij. Daarnaast profiteert de gemiddelde belastingbetaler weliswaar slechts in geringe mate van de lagere kosten van het fiscale apparaat. De uitvoering van onderzoeken op statistische grondslag brengt echter ook risico s met zich mee. Een ervan is dat bij de controle op de belastingheffing het toevalsbeginsel een rol gaat spelen. Daarnaast lijkt de Belastingdienst zich met name te richten op organisaties van grote omvang. Nu valt daar wat voor te zeggen, omdat zoals ik in het vorige artikel heb geprobeerd duidelijk te maken de methodiek alleen toepasbaar is indien de wet van de grote aantallen opgaat. Anders dient op een andere wijze (bijvoorbeeld integraal) gecontroleerd worden. Een ander risico is het antwoord op de vraag of de Belastingdienst voldoende kennis en vaardigheden in huis heeft voor de toepassing van statistische technieken. Onzuiverheden in de toegepaste methode kunnen in veelvoud in de uiteindelijke correctie terugkeren. De belastingplichtige wordt dan voor de keuze gesteld om de correcties te accepteren of grote inspanningen te verrichten (en vaak hoge kosten te maken) om de correcties te weerleggen. Vaak dient de belastingplichtige externe kennis in te huren om de door de Belastingdienst gehanteerde werkwijze te doorgronden. drs. A.J.A. (Arjan) Hassing RE RA is partner Advisory bij Ernst & Young Accountants en betrokken bij de beoordeling van de door de Belastingdienst gehanteerde steekproefmethodiek in fiscale boekenonderzoeken bij cliënten en het vormgeven van horizontaal toezicht bij cliënten. Chi-kwadraattoets De Belastingdienst kan een goede controle uitvoeren door alle uitgaven en ontvangsten individueel te controleren. Bij middelgrote organisaties was dat echter al nauwelijks meer uitvoerbaar. Daarom heeft de Belastingdienst in het verleden 16 de EDP-Auditor nummer

15 ervoor gekozen controlesystemen te gebruiken, waarmee niet alle inkomsten en uitgaven worden gecontroleerd. Aanvankelijk gebruikte de Belastingdienst een controlemiddel dat bekend is geworden als de chi-kwadraattoets. Kort gezegd werd met deze methode een selectie toegepast op het voorkomen van bepaalde cijfers. De praktijk heeft uitgewezen dat fraudeurs een onbewuste voorkeur hebben voor bepaalde cijfers. Aan de hand van deze toets testte de Belastingdienst de betrouwbaarheid van financiële administraties. Bij een te grote onbetrouwbaarheid kon de fiscus de administratie verwerpen en zelf de winst vaststellen. De belastingplichtige kreeg de mogelijkheid om aan te tonen dat de door de Belastingdienst vastgestelde winst onjuist was. In feite is dat een soort omkering van de bewijslast. De chi-kwadraattoets is ooit door een belastingplichtige aan het oordeel van de rechter voorgelegd met de stelling dat de methode nimmer betrouwbaar kon zijn. Uiteindelijk is de methode door de Hoge Raad aanvaard. Meegegeven werd dat de methode alleen bruikbaar is als blijkt dat getallen en cijfers in de administratie niet toevallig zijn en er tevens andere gebreken in de administratie worden aangetroffen. De Hoge Raad stelde dat als enkel de chi-kwadraattoets wees op onbetrouwbaarheid van de administratie, dat onvoldoende bewijs opleverde om deze af te keuren. De Belastingdienst was daarmee terug bij af, maar zat niet stil en ontwikkelde de afgelopen jaren de monetaire steekproef als efficiënt controlemiddel om de betrouwbaarheid van administraties vast te stellen. Monetaire steekproeven in de rechtspraak Inmiddels worden alweer enkele jaren gulden- of eurosteekproeven gebruikt door de Belastingdienst. En als in het steekproefonderzoek de goedkeuringsgrens wordt overschreden, projecteert de Belastingdienst vaak niet alleen binnen het onderzochte jaar, maar worden de uitkomsten ook geëxtrapoleerd naar (doorgaans) vier andere jaren. Omdat een aantal onderzochte ondernemers hierdoor met enorme naheffingen (en boetes) werd geconfronteerd, zal het geen verbazing wekken dat de methode door enkele op deze wijze gecontroleerde ondernemers bij de rechter ter discussie is gesteld. Het betrof geschillen met betrekking tot de loonbelasting, de BPM (Belasting van Personenauto s en Motorrijwielen) en de omzetbelasting. Loonbelasting Ten aanzien van de loonbelasting betrof het een uitzendbureau dat circa 150 arbeidskrachten uit Engeland had aangetrokken. Deze werknemers werden tijdelijk in Nederland tewerk gesteld en ontvingen een maandelijkse kostenvergoeding voor onder andere huisvesting in Nederland. De onkostenvergoeding werd onbelast verstrekt; de wet biedt onder voorwaarden ook de mogelijkheid daartoe. Op basis van een onderzoek aan de hand van een monetaire steekproef kwam de Belastingdienst tot het oordeel dat de kostenvergoeding ten onrechte onbelast was gebleven. De naheffing (inclusief boete) van de Belastingdienst liep, na projectie en extrapolatie, in de miljoenen guldens. Het uitzendbureau ging onder meer tegen het gebruik van de steekproef en de extrapolatie naar andere jaren in verweer. Het hof oordeelde echter dat de onderzoeksmethode zoals die door de inspecteur is gehanteerd een betrouwbare schatting vormt van de omvang van de fouten in de inhoudingen van loonheffing door belanghebbende. Het uitzendbureau ging in cassatie bij de Hoge Raad tegen deze uitspraak. BPM Een importeur van auto s en motoren verkocht deze voertuigen aan dealers in Nederland. Via de dealers vonden de auto s en motoren hun weg naar de eindconsumenten. Meestal vraagt de importeur de kentekens aan voor de geïmporteerde auto s en motoren. De importeur draagt BPM af aan de Belastingdienst over de auto s en motoren, zoals deze aan de dealers geleverd worden. Op het moment van prijswijzigingen of als dealers accessoires toevoegen, is de afgedragen BPM niet meer correct. Op basis van een onderzoek aan de hand van een monetaire steekproef kwam de Belastingdienst tot het oordeel dat de afgedragen BPM te laag was. Ook in dit geval beliep de naheffing (inclusief boete) van de Belastingdienst, na projectie en extrapolatie, in de miljoenen guldens. De importeur ging onder andere tegen het gebruik van de steekproef en de extrapolatie naar andere jaren in verweer, maar het hof accepteerde uiteindelijk de methode, zonder deze overigens diepgaand te onderzoeken. Het hof achtte de steekproef statistisch betrouwbaar en vond het daarom niet bezwaarlijk als naar andere jaren werd geëxtrapoleerd. De importeur liet het daar niet bij zitten en ging in cassatie bij de Hoge Raad. Omzetbelasting Tot andere conclusies kwam het hof in een geding dat betrekking had op omzetbelasting. De Belastingdienst voerde aan de hand van een monetaire steekproef een boekenonderzoek uit naar incasso en afdracht van omzetbelasting bij een middelgroot accountantskantoor. Omdat relatief veel onvolkomenheden uit de steekproef naar voren kwamen, kwam het bedrag van naheffing en boeten boven de acht miljoen gulden uit. Het accountantskantoor ging in verweer bij de rechter en deze kwam tot de conclusie dat in een belastingstelsel als dat van de toegevoegde waarde, waarin de factuur een essentieel element vormt voor de controle en voor de uitoefening van het aftrekrecht, het niet past aan de hand van een steekproef, hoe betrouwbaar op zichzelf ook, aan te nemen dat niet aan een controle onderworpen facturen onjuist zijn. Het wezenskenmerk van de omzetbelasting (neutraliteit) wordt bij gebruik van een steekproef verbroken, met als gevolg dat de ondernemer niet in staat is de facturering te corrigeren. Bij deze uitspraak legde de Belastingdienst zich niet neer en deze ging in cassatie bij de Hoge Raad. Cassatie bij de Hoge Raad De drie zaken (eigenlijk vier, omdat er sprake is van twee BPM-zaken) zijn in januari 2004 tegelijk aan de Hoge Raad voorgelegd en deze heeft pas in maart 2008 uitspraak 17 de EDP-Auditor nummer

16 gedaan. De uitspraak van de Hoge Raad kwam op het volgende neer: 1) De Hoge Raad acht het gebruik van de guldenssteekproef geoorloofd bij het opleggen van de naheffingsaanslagen loonbelasting. De inspecteur heeft de naheffingsaanslagen niet gebaseerd op de uitkomst van de steekproef, maar op het feit dat de belastingplichtige niet aannemelijk heeft kunnen maken dat de vergoedingen onbelast waren. De inspecteur hoeft het bedrag van de naheffing niet onder te verdelen in bedragen per werknemer aan wie een kostenvergoeding is verstrekt. 2) De Hoge Raad vindt dat het in het BTW-stelsel prima past om via een steekproef aan te nemen dat niet aan een controle onderworpen facturen onjuist zijn. Wanneer de inspecteur door middel van een steekproef, en extrapolatie van de resultaten daarvan, komt tot een deugdelijke berekening van ten onrechte niet voldane omzetbelasting, is controle door middel van een steekproef acceptabel. Een fundamenteel beginsel van het stelsel van belasting over de toegevoegde waarde wordt gevormd door het uitgangspunt dat bij elke transactie omzetbelasting verschuldigd wordt onder aftrek van de omzetbelasting, waarmee de onderscheiden elementen van de prijs rechtstreeks waren belast. Daarbij behoeft niet gewaarborgd te zijn dat die belastingplichtige de na te heffen belasting alsnog vergoed krijgt van zijn afnemer. 3) De Hoge Raad oordeelt dat naheffing van BPM op basis van een geëxtrapoleerde steekproef in strijd is met het stelsel van de Wet BPM De Hoge Raad stelt voorop dat de voldoening van BPM op aangifte door een importeur niet op eigen naam geschiedt, maar namens elk van de betrokken kentekenhouders. Dit brengt met zich mee dat de kentekenhouder wiens belastingschuld het betreft, aangewezen moet kunnen worden. Bij een naheffingsaanslag die niet is te herleiden tot een kentekenhouder is dat niet het geval en deze zijn om die reden niet acceptabel. Verweer tegen monetaire steekproef De Hoge Raad staat het gebruik van monetaire steekproeven toe bij controles van loonbelasting en omzetbelasting en keurt de systematiek af bij controles van BPM. Hoewel er argumenten tegen de uitspraken van de Hoge Raad met betrekking tot loonbelasting en omzetbelasting te bedenken zijn, is verzet tegen de uitspraken praktisch niet zinvol en slechts van wetenschappelijke waarde. De oplettende lezer heeft echter al gemerkt in de hiervoor opgenomen uitspraken, dat de Hoge Raad de monetaire steekproef weliswaar toestaat bij loonbelasting en omzetbelasting maar geen oordeel heeft over hoe deze steekproeven uitgevoerd moeten worden. En daar liggen mijns inziens eventuele verweermogelijkheden. De Belastingdienst heeft haar steekproefaanpak immers grotendeels geënt op de aanpak die reeds langere tijd in de jaarrekeningcontrole door accountants gebruikt wordt. Omdat er bij de steekproefonderzoeken van de Belastingdienst voor de onderzochte organisaties geen mogelijkheid tot correctie is en de financiële consequenties veel groter zijn, rijst de vraag of deze aanpak wel toepasbaar is in belastingcontroles. Goede mogelijkheden voor verweer tegen de aanpak van de Belastingdienst bevinden zich naar mijn mening op de volgende drie gebieden: 1) Extrapolatie naar andere perioden De Belastingdienst voert haar steekproef doorgaans uit op één jaar en extrapoleert de uitkomsten van het controlejaar naar vier andere jaren. Voor die extrapolatie bestaat onvoldoende deugdelijke grondslag. En daarmee moet het niet moeilijk zijn om die van tafel te krijgen. Vaak wordt door de Belastingdienst aanvullend onderzoek uitgevoerd of de AO/IC (Administratieve Organisatie en Interne Controle) van de organisatie in de niet-onderzochte perioden wezenlijk afwijkt van die van de onderzochte periode. Indien dat niet het geval is, vindt de Belastingdienst de extrapolatie gerechtvaardigd. Als die handelwijze acceptabel zou zijn, zouden accountants bij hun jaarrekeningcontroles zich ook een hoop moeite kunnen besparen door steeds één jaar regulier te controleren en zich in de andere jaren te beperken tot beoordeling van de AO/IC. Overigens biedt ook de Hoge Raad mogelijkheden aan belastingplichtigen om zich te verweren tegen extrapolatie naar andere jaren. 2) Krappe foutmarges De Belastingdienst hanteert voor de bepaling van het materieel belang en de controletolerantie een eigen richtsnoer. De inhoud van dit richtsnoer is overigens niet openbaar, maar kan aan de hand van enkele controlerapporten van de Belastingdiensten afgeleid worden. De wijze waarop de Belastingdienst het materieel belang en de controletolerantie bepaalt, is streng als gekeken wordt naar de wijze waarop deze in andere situaties (bijvoorbeeld accountantscontrole) bepaald wordt. Hoe lager deze grenzen gesteld worden, hoe sneller de steekproef leidt tot afkeuren van de steekproefstelling. De vraag rijst dan of dat redelijk en billijk is. Daarnaast hanteert de Belastingdienst de maximale fout uit de steekproef als waarde waarmee vastgesteld kan worden of de materialiteitsgrens is overschreden. De kans Foutbereik en puntschatter Bij de uitvoering van een monetaire steekproef wordt na selectie en beoordeling van de getrokken elementen de fout die zich in een bepaalde populatie bevindt, niet uitgedrukt in één waarde maar in een foutbereik. Met de vooraf gekozen zekerheid (bijvoorbeeld 95 procent) kan gesteld worden dat de fout in een bepaalde populatie ligt tussen een bepaalde minimumwaarde (de minimale fout ) en een bepaalde maximumwaarde (de maximale fout ). De gemiddelde fout in dit foutbereik heet de puntschatter. Het behoeft geen verdere toelichting dat de puntschatter meer voor de hand ligt dan de maximale fout, als de meest objectieve waarde ter benadering van de werkelijke fout in de populatie. 18 de EDP-Auditor nummer

17 dat deze waarde de materialiteitsgrens overschrijdt, is hoger dan de overige waarden uit het foutbereik, terwijl de kans dat de maximale fout gelijk is aan de werkelijke fout minimaal is. Ook hier geldt de vraag of de keuze voor de maximale fout redelijk en billijk is. Meer voor de hand ligt de puntschatter of gemiddelde fout in de steekproef (zie kader). 3) Geen onderzoek naar compenserende fouten Een andere verweermogelijkheid is het gegeven dat door de Belastingdienst doorgaans een klein gedeelte van de administratie van de belastingplichtige wordt onderzocht. Dit deel is specifiek gericht op het doel van het onderzoek en de vraag of te weinig belasting is afgedragen. De vraag of teveel belasting is afgedragen wordt in principe niet onderzocht, bovendien zou onderzocht moeten worden of compenserende posten niet op een andere plaats in de administratie zijn opgenomen. Er zijn meer verweermogelijkheden, maar de genoemde drie hebben mijns inziens de grootste kans van slagen. Het voorgaande zou tot de conclusie kunnen leiden, dat overwogen dient te worden om de steekproefsystematiek aan een rechter voor te leggen. Behalve dat ook dat (inclusief hoger beroep) waarschijnlijk weer een lang traject wordt, gaan de ontwikkelingen een kant op waardoor ik niet verwacht dat dat zal gebeuren. In deze ontwikkelingen wordt aan belastingplichtigen de kans geboden om (onder voorwaarden) zelf de belastingcontroles uit te voeren. En die kans waarmee meer grip op de eigen fiscale positie kan worden verkregen en verrassingen kunnen worden voorkomen dienen belastingplichtigen mijns inziens niet te laten lopen. Horizontaal toezicht Onlangs is het Bedrijfsplan van de Belastingdienst verschenen. Eén van de daarin geformuleerde doelen en ambities voor de komende jaren is de versterking en verbreding van het toezicht. Daarbij is verticaal toezicht de traditionele vorm van toezicht door de Belastingdienst waarbij deze achteraf beoordeelt (door middel van boekenonderzoeken en steekproeven) of bedrijven zich aan hun fiscale verplichtingen hebben gehouden. Bij horizontaal toezicht dat nu een jaar of drie bestaat gaat het om wederzijds vertrouwen tussen de belastingplichtige en de Belastingdienst. Belastingplichtigen dienen op basis van eigen onderzoek vooraf fiscale risico s aan de fiscus te melden. Daarvoor in de plaats krijgen die bedrijven sneller zekerheid over de eigen belastingpositie dan anders het geval is. Horizontaal toezicht is daarmee een belangrijk instrument voor een organisatie in het kader van haar risicobeheersing. De organisatie weet immers welke potentiële risico s er bestaan en door deze te melden aan de fiscus, ontstaat er snel duidelijkheid over de omvang van de te betalen belasting. Bovendien gaat er een preventieve werking uit van zelfcontroles voor latere perioden. Steekproeven en data-analyse In het kader van het toezicht als gezamenlijke verantwoordelijkheid van de fiscus enerzijds en ondernemingen en hun adviseurs anderzijds, zullen bepaalde werkzaamheden die traditioneel door de fiscus gedaan werden, nu door belastingplichtigen zelf worden verricht. Een goed voorbeeld van werkzaamheden die door het bedrijf zelf kunnen worden gedaan, is de uitvoering van steekproeven in het kader van tijdig signaleren en beheersen van fiscale risico s. De methodiek van de Belastingdienst is bekend en daardoor gemakkelijk toepasbaar ter invulling van het horizontaal toezicht. Een alternatief om efficiënt boekenonderzoeken uit te voeren en invulling te geven aan horizontaal toezicht is dataanalyse, door de Belastingdienst nimmer serieus onderzocht en ingezet. De mogelijkheden op het gebied van data-analyse zijn de afgelopen jaren snel gegroeid en verfijnd, waardoor grote volumes aan data efficiënt integraal onderzocht kunnen worden. Door dit integrale karakter kan met dataanalyse één van de meest gehoorde bezwaren hoe onterecht ook tegen steekproeven worden weggenomen, namelijk dat slechts een deel van een gegevensverzameling wordt onderzocht. Daarnaast blijkt in de praktijk het opleiden van personeel in data-analyse eenvoudiger dan in de steekproefmaterie. Het voert te ver om in dit verband dieper in te gaan op data-analyses; dit zal in een toekomstig artikel geschieden. Saillant detail is overigens dat data-analyses doorgaans met dezelfde software uitgevoerd worden als waarmee momenteel steekproeven worden getrokken. Tot slot In dit artikel heb ik geprobeerd u mee te nemen in de toepassing van de in het vorige artikel besproken steekproefmaterie. Daarbij ben ik ingegaan op de historie van het gebruik van steekproeven bij de Belastingdienst en de actuele stand van zaken in de jurisprudentie. En hoewel zelfs de Hoge Raad grotendeels meegaat in het toestaan van het gebruik van steekproeven bij belastingcontroles, is er in de rechtspraak nog geen uitspraak gedaan over de te hanteren methodiek. Dat biedt mogelijkheden om tegen de steekproefaanpak van de fiscus in verweer te gaan. Daar staat een beweging tegenover van het in toenemende mate beleggen van belastingcontroles bij de belastingplichtigen zelf: het zogenaamde horizontale toezicht. In die ontwikkeling zie ik een grote toekomst weggelegd voor de door de Belastingdienst zelf geaccepteerde wijze van steekproeven trekken. Een volgende, verder te ontwikkelen stap lijken integrale controles met behulp van data-analyses. Wordt vervolgd. 19 de EDP-Auditor nummer

18 Artikel Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (deel 2 Wbp) Jeroen van Puijenbroek Aan uitbesteding kleven risico s. Daarom worden op grond van wet- en regelgeving eisen gesteld aan uitbesteding bij financiële ondernemingen. In het eerste deel van dit artikel 1 is ingegaan op de Wet financieel toezicht (Wft), de eisen die de Wft stelt aan uitbesteding door financiële ondernemingen en de rol die de IT-auditor kan spelen ten aanzien van de naleving van de Wft. Nu komt aan bod wat de Wet bescherming persoonsgegevens (Wbp) voor IT-auditor betekent. mr. drs. J.P.M. (Jeroen) van Puijenbroek RE werkt als senior auditor bij de Audit Rabobank Groep van Rabobank Nederland. Van Puijenbroek is voornamelijk werkzaam op het gebied van het ontwikkelen en (mede)uitvoeren van compliance audits. De auteur heeft het artikel op persoonlijke titel geschreven. Bij werkzaamheden die door financiële ondernemingen worden uitbesteed en die onder de definitie van artikel 1 Wft i vallen, zal veelal sprake zijn van verwerking van persoonsgegevens. Dit betekent dat naast de Wft ook de Wbp van toepassing is en dat moet worden voldaan aan de daaruit voortvloeiende eisen. Daarom wordt in dit tweede deel van het artikel ingegaan op de uitgangspunten en structuur van de Wbp, de Wbp en uitbesteding en zal per fase van het uitbestedingproces worden aangegeven met welke bepalingen uit de Wbp de IT-auditor rekening moet houden. Uitgangspunten en structuur Wbp Uitgangspunten De Wbp is op 1 september 2001 in werking getreden en stelt eisen aan de wijze waarop organisaties mogen omgaan met persoonsgegevens. De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Hierbij zijn persoonsgegevens gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon (de betrokkene). Onder verwerking wordt iedere handeling met betrekking tot een persoonsgegeven verstaan, vanaf het moment van verzamelen tot en met het verwijderen en vernietigen. De Wbp is dus bijvoorbeeld niet alleen van toepassing op alle gegevens die over een specifieke klant zijn opgenomen in het CRM-systeem (Customer Relationship Management), maar ook op de aantekeningen van de accountmanager die nog in het CRM-systeem moeten worden opgenomen, net als het papieren dossier zolang dit een gestructureerd geheel vormt (bijvoorbeeld op naam is gearchiveerd). Het uitgangspunt van de Wbp is dat er, met uitzondering van de verwerking van bijzondere gegevens (zie hierna onder Structuur ), geen verbod is op de verwerking van persoonsgegevens. Persoonsgegevens mogen worden verwerkt, zolang wordt voldaan aan de voorwaarden die de wet stelt aan een rechtmatige verwerking. Structuur De inhoudelijke regels die van toepassing zijn op de verwerking van persoonsgegevens, zijn onder te verdelen in drie groepen ( lagen ) met wettelijke bepalingen 2, te weten: 20 de EDP-Auditor nummer

19 eerste laag: de algemene bepalingen; tweede laag: de specifieke bepalingen over het verwerken van bijzondere gegevens; derde laag: de specifieke bepalingen over doorgifte van gegevens naar niet-eu-landen. Afhankelijk van de precieze vorm van het verwerken en de soort gegevens kunnen tegelijkertijd verschillende groepen met bepalingen uit de Wbp van toepassing zijn. Daarbij zijn de algemene bepalingen altijd van toepassing en andere bepalingen alleen in bepaalde gevallen. Voor het verwerken van gezondheidsgegevens (= bijzonder gegeven) zijn zowel de algemene bepalingen (laag 1) als de bepalingen met betrekking tot bijzondere gegevens (laag 2) van toepassing. In figuur 1 zijn de wettelijke bepalingen per laag weergegeven. Hierna wordt kort ingegaan op een aantal bepalingen van de in figuur 1 weergegeven lagen. In de paragraaf Wbp en fase uitbesteding van dit artikel wordt uitgebreider ingegaan op de diverse bepalingen. Eerste laag: algemene bepalingen Persoonsgegevens mogen slechts worden verwerkt als daarbij wordt voldaan aan de voorwaarden die de Wbp stelt aan een rechtmatige verwerking. Als algemeen uitgangspunt geldt daarbij dat persoonsgegevens in overeenstemming met de wet (niet alleen de Wbp, maar alle relevante wet- en regelgeving) én op een behoorlijke en zorgvuldige wijze moeten worden verwerkt. Bij het beoordelen van een rechtmatige gegevensverwerking spelen de door de verantwoordelijke (lees: financiële onderneming) geformuleerde doeleinden voor de gegevens- Figuur 1 Lagen Wbp 21 de EDP-Auditor nummer

20 verwerking een cruciale rol. De verplichting tot specificatie van het doel van de gegevensverwerking is neergelegd in artikel 7 Wbp. Die bepaling eist: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven, gerechtvaardigde doeleinden verzameld. De limitatief opgenomen verwerkingsgronden in artikel 8 Wbp zijn een invulling van welke doeleinden gerechtvaardigd zijn. Het doelbindingsbeginsel verbiedt verwerkingen van persoonsgegevens die onverenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. De geformuleerde doeleinden bepalen ook welke gegevens mogen worden verwerkt (terzake dienend en niet bovenmatig) en hoe lang deze mogen worden bewaard. In figuur 2 is de relatie tussen het voor het verzamelen omschreven doel en de andere algemene bepalingen weergegeven. Een andere algemene bepaling is de meldingsplicht. Met uitzonderingen van de gegevensverwerkingen die voldoen aan de eisen van het Vrijstellingsbesluit Wbp ii dienen alle gegevensverwerkingen vóór de aanvang van de gegevensverwerkingen te worden gemeld bij bij het College Bescherming Persoonsgegevens (CBP, de nationale toezicht houder). De melding bestaat onder meer uit de doeleinden, categorieën van betrokkenen en categorieën van gegevens en categorieën van ontvangers. 3 De gegevensverwerkingen in het kader van de financiële dienstverlening zijn in principe meldingsplichtig. De door de financiële ondernemingen gedane meldingen zijn te raadplegen in het openbare meldingenregister op de website van het CBP (www.cbpweb.nl). Tweede laag: specifieke bepalingen over verwerken bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk hande- Figuur 2 Spilfunctie artikel 7 Wpb (welbepaald doel) binnen hoofdstuk 2 Wbp 22 de EDP-Auditor nummer

Het begrip application server is niet in enkele woorden

Het begrip application server is niet in enkele woorden Artikel De application server in het middelpunt John Zuidweg Steeds meer organisaties maken gebruik van application servers om informatie uit databases te ontsluiten. Dit heeft grote consequenties voor

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag.

Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Voorbeeldproject Een Haagse SOA Dit voorbeeldproject beschrijft het gebruik van web services (open standaarden) voor de ontsluiting van kernregistraties bij de gemeente Den Haag. Aanleiding Vanuit de visie

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Wordpress aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 7 november 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

binnen horizontaal toezicht

binnen horizontaal toezicht De rol van de IT-auditor binnen horizontaal toezicht De manier van samenwerken tussen belastingplichtigen en de Belastingdienst verandert. Waar voorheen sprake was van controle achteraf door de Belastingdienst,

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment Privacy Impact Assessment Privacy risico s en inschattingen Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens

Nadere informatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van LimeSurvey aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 4 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

PRIVACY STATEMENT OUDERMATCH.NL

PRIVACY STATEMENT OUDERMATCH.NL PRIVACY STATEMENT OUDERMATCH.NL Oudermatch neemt uw privacy zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. Om uw privacy te waarborgen, handelt Oudermatch altijd in

Nadere informatie

Privacyverklaring ViopTo

Privacyverklaring ViopTo Privacyverklaring ViopTo Voor ons is een zorgvuldige omgang met persoonsgegevens van groot belang. Persoonlijke gegevens worden dan ook zorgvuldig verwerkt en beveiligd. Hierbij houden wij ons aan de eisen

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

Handleiding voor het installeren van Tomcat7

Handleiding voor het installeren van Tomcat7 Handleiding voor het installeren van Tomcat7 Brondocument C:\WebServer\Handleiding\Tomcat\InstallerenTomcat.odt Versiebeheer Versie Datum Uitleg 1.0v 22-05-06 1e versie Tomcat 5.5 1.1v 24-05-06 Aanpassingen

Nadere informatie

Implementatiemodellen online werken

Implementatiemodellen online werken Gerard Bottemanne, onderzoeksbureau GBNED www.ictaccountancy.nl Twee uitersten: 1. Software en gegevens lokaal 2. Software en gegevens bij ASP aanbieder Eerst begrippen voor de beeldvorming.. De begrippen

Nadere informatie

Cliënten handleiding PwC Client Portal

Cliënten handleiding PwC Client Portal Cliënten handleiding PwC Client Portal Mei 2011 (1) 1. Portal van de cliënt Deze beschrijving gaat ervan uit dat u beschikt over inloggegevens voor de portal en over de url van de portal website. Als u

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 1/99

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 1/99 5093/98/NL/def. WP 17 Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens Aanbeveling 1/99 inzake de onzichtbare en automatische verwerking van persoonsgegevens op

Nadere informatie

Handleiding voor aansluiten op Digilevering

Handleiding voor aansluiten op Digilevering Handleiding voor aansluiten op Digilevering Versie 1.0 Datum 1 augustus 2013 Status definitief Colofon Projectnaam Digilevering Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius

Nadere informatie

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE versie 2.0, 14 april 2010 SURFNET BV, R ADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA U TRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

Voorbeelden generieke inrichting Digikoppeling

Voorbeelden generieke inrichting Digikoppeling Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Page 1 1 Kees Vianen Senior Sales Consultant Technology Solutions Oracle Nederland Agenda Geschiedenis van Oracle Portal Portal

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Zelftest Informatica-terminologie

Zelftest Informatica-terminologie Zelftest Informatica-terminologie Document: n0947test.fm 01/07/2015 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INTRODUCTIE Deze test is een zelf-test, waarmee u

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT Achtergrondinformatie Dit onderzoek ging over de mogelijkheid om eindgebruikers in staat te stellen om hun eigen wachtwoorden te resetten en de

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Zelftest Java EE Architectuur

Zelftest Java EE Architectuur Zelftest Java EE Architectuur Document: n1218test.fm 22/03/2012 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INLEIDING BIJ DE ZELFTEST JAVA EE ARCHITECTUUR Nota:

Nadere informatie

Sinterklaas Privacy statement

Sinterklaas Privacy statement Sinterklaas Privacy statement Sinterklaasgedichten.net respecteert de privacy van alle bezoekers van haar site en draagt er zorg voor dat de persoonlijke informatie die u ons verschaft vertrouwelijk wordt

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Nederland haalt de XBRL buit nog niet binnen. Door Ron van Ardenne

Nederland haalt de XBRL buit nog niet binnen. Door Ron van Ardenne Nederland haalt de XBRL buit nog niet binnen. Door Ron van Ardenne Ondanks de belofte die extensible Business Reporting Language (XBRL) inhoudt, blijft het gebruik ervan beperkt. Softwareontwikkelaars

Nadere informatie

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica ECTS fiche Module info OPLEIDING STUDIEGEBIED AFDELING MODULE MODULENAAM Programmeren 5 MODULECODE B STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja Handelswetenschappen en bedrijfskunde HBO Informatica Evaluatie

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Speciale nieuwsbrief over personentoetsingen

Speciale nieuwsbrief over personentoetsingen Speciale nieuwsbrief over personentoetsingen Beste relatie, Hierbij ontvangt u de digitale nieuwsbrief van de Autoriteit Financiële Markten (AFM). Deze speciale nieuwsbrief over personentoetsingen is opgesteld

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Wij zorgen steeds voor een goede beveiliging van de opgeslagen gegevens, waaronder verzending van je bankgegevens via een beveiligde verbinding.

Wij zorgen steeds voor een goede beveiliging van de opgeslagen gegevens, waaronder verzending van je bankgegevens via een beveiligde verbinding. Privacy Statement Onze principes zijn openheid, eerlijkheid en transparantie. Dat geldt natuurlijk niet voor jouw persoonsgegevens. De gegevens die wij over jou verwerken en opslaan, gebruiken wij alléén

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Starten met elektronisch aangeven

Starten met elektronisch aangeven Starten met elektronisch aangeven Bereidt u voor! Vanaf 1 januari 2005 zijn ondernemers die binnenlands belastingplichtig zijn, verplicht hun aangiften inkomstenbelasting, vennootschapsbelasting en omzetbelasting

Nadere informatie

TEKLYNX LABEL ARCHIVE. Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig!

TEKLYNX LABEL ARCHIVE. Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig! TEKLYNX LABEL ARCHIVE BEVEILIGING TRACERING INTEROPERABILITEIT Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig! TEKLYNX' LABEL ARCHIVE is de laatste toevoeging aan

Nadere informatie

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van BigBlueButton aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 1 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

A C C E S S & I D E N T I T Y m A N A G E M E N T

A C C E S S & I D E N T I T Y m A N A G E M E N T Z O R G A C C E S S & I D E N T I T Y m A N A G E M E N T Balans tussen toegankelijkheid en beveiliging "Is het mogelijk dat de medische staf overal en snel over medische gegevens kan beschikken, terwijl

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

OpenIMS 4.2 Portaal Server

OpenIMS 4.2 Portaal Server OpenIMS 4.2 Portaal Server Inhoudsopgave 1 WAT IS EEN ENTERPRISE INFORMATIE PORTAAL?...3 1.1 BESPARINGEN...3 1.2 GERICHT OP EEN SPECIFIEKE DOELGROEP...3 2 OPENIMS PORTAAL SERVER (PS)...4 2.1 CENTRAAL BEHEER...4

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Handleiding voor aansluiten op DigiD

Handleiding voor aansluiten op DigiD Handleiding voor aansluiten op DigiD Versie 4.2.2 Januari 2015 Colofon Projectnaam Contactpersoon Organisatie DigiD Servicecentrum Logius Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl

Nadere informatie

Aanvragen en gebruik Overheids IdentificatieNummer (OIN)

Aanvragen en gebruik Overheids IdentificatieNummer (OIN) Aanvragen en gebruik Overheids IdentificatieNummer (OIN) Versie 1.0 Datum 02/06/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

ICT-uitbestedingsdiensten en Software as a Service:

ICT-uitbestedingsdiensten en Software as a Service: ICT-uitbestedingsdiensten en Software as a Service: Betrouwbaardere ICT, minder zorgen! Maak kennis met Multrix Wilt u op maat gesneden ICT-diensten die volledig aan de wensen en behoeften van uw organisatie

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

Accountancy en integriteit

Accountancy en integriteit Accountancy en integriteit Jaap ten Wolde CIROC 5 oktober 2011 Bouwjaar 1947 Over de inleider KPMG 33 jaar. Openbaar accountant, daarna hoofd forensische accountancy 2005: Oprichter en partner IFO (Instituut

Nadere informatie

De impact van de basisregistraties op de informatievoorziening van gemeenten

De impact van de basisregistraties op de informatievoorziening van gemeenten De impact van de basisregistraties op de informatievoorziening van gemeenten Op weg naar de Gemeentelijke Service Bus Danny Greefhorst Gemeenten worden geconfronteerd met allerlei ontwikkelingen die van

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases Martiris 2011 Secure Private Data Gegevensbescherming in Oracle Databases Inhoudsopgave INTRODUCTIE... 3 HISTORIE... 4 SECURE PRIVATE DATA: FUNCTIONEEL... 4 A) ROW LEVEL SECURITY... 4 B) COLUMN MASKING...

Nadere informatie

Nieuwe privacyregels: Eitje of zwarte zwaan?

Nieuwe privacyregels: Eitje of zwarte zwaan? 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE

Nadere informatie

HDN DARTS WEB AUTHENTICATIE

HDN DARTS WEB AUTHENTICATIE HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Om verder te gaan naar de persoonlijke omgeving wordt de aanmeld module beschikbaar gesteld.

Om verder te gaan naar de persoonlijke omgeving wordt de aanmeld module beschikbaar gesteld. Ontwerp Percussion Friends pagina Mijn lessen Inleiding. Vanuit de homepage van http://www.percussionfriends.com wordt in het menu de menu link item Mijn Lessen beschikbaar gesteld. Deze pagina voorziet

Nadere informatie

Commissie Educatie: permanent actief

Commissie Educatie: permanent actief uit de opleidingen Commissie Educatie: permanent actief Sinds de restyling van de EDP-Auditor begin dit jaar wordt in deze rubriek aandacht geschonken aan het reilen en zeilen van een NOREA-commissie/werkgroep.

Nadere informatie

Release Notes versie 3.1

Release Notes versie 3.1 Release Notes versie 3.1 In release 3.1 zijn veel kleine aanpassingen aan het systeem gedaan. Deze aanpassingen zijn gedaan vanwege bug-fixing of zijn voortgekomen uit change-request: Fix op onthouden

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

AGDLP. ~ maar waarom eigenlijk?

AGDLP. ~ maar waarom eigenlijk? AGDLP ~ maar waarom eigenlijk? Edward Willemsen, [em'bed], 2011 Algemeen Wie ooit beheer heeft gedaan binnen een Microsoft omgeving is bekend met de diverse typen groepen. In de loop der jaren zijn hier

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Een nieuwe kijk op vastgoedregistratie WOZ en lokale heffingen

Een nieuwe kijk op vastgoedregistratie WOZ en lokale heffingen Een nieuwe kijk op vastgoedregistratie WOZ en lokale heffingen 2 TAX Onze organisatie is inmiddels een decennium geleden begonnen met het ontwikkelen van geautomatiseerde hulpmiddelen in het kader van

Nadere informatie