Informatiebeveiliging Gemeenten
|
|
- Melanie Claes
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Informatiebeveiliging Gemeenten Handreiking beleid en organisatie In dit document is een handreiking voor een beleidsplan opgenomen en wordt ingegaan op de opzet van de (beveiligings)organisatie en het belang van managementrapportages. CP-ICT Inwonerszaken Postbus AK Utrecht Telefoon Fax Utrecht, augustus 2009
2 Inhoudsopgave Inleiding 2 1. Beleid informatiebeveiliging Handreiking beleidsdocument Visie en toekomstbeeld Beleidselementen Beleidsuitgangspunten Modelmatige benadering Informatiebeveiligingsnormen Organisatie Beveiliging in de lijn Eisen en taken Verantwoordelijken en bevoegdheden Omvang en capaciteitsbeslag Informatiebeveiliging facilitair Eisen en taken Verantwoordelijkheden en bevoegdheden Omvang en capaciteitsbeslag Managementrapportages 22 Bijlage 1: Definities 23 Bijlage 2: Wet Bescherming Persoonsgegevens 24
3 Inleiding Gemeenten, UWV en het WERKbedrijf maken gebruik van elkaars klantgegevens en van externe bronnen. Maar de burger heeft recht op privacy. Zorgvuldig gebruik van gegevens waarborgt de privacy van de burger. Deze moet de overheid kunnen vertrouwen en heeft er recht op te weten wie welke gegevens verzamelt en waarvoor deze gebruikt worden. Daarom is gebruik van deze klantgegevens slechts toegestaan onder strikte voorwaarden en moeten ze goed beveiligd zijn. Het goed beveiligen van gegevens is makkelijker gezegd dan gedaan. Beveiliging zal altijd een zorgenkindje blijven. Daarom is het des te belangrijker dat u uw beveiliging zo snel mogelijk op orde krijgt. Van strategie naar uitvoering De eerste stap die u moet nemen is het op strategisch niveau vormgeven aan uw beveiliging binnen uw beleid en uw organisatie. In deze handreiking gaan wij daar op in. Daarna kunt u overgaan tot het opstellen van een beveiligingsplan en het implementeren daarvan (tactisch en operationeel niveau). Met het vormgeven op strategisch niveau bedoelen wij het borgen van informatiebeveiliging binnen uw hele organisatie. U positioneert beveiliging als een speerpunt in uw organisatie. Door het vaststellen van het beleid, het inrichten van uw organisatie en het opstellen van managementrapportages, geeft u richting en sturing aan beveiliging. Dat zijn dan ook de drie punten waar in dit document op in wordt gegaan. U legt daarmee een aantal uitgangspunten vast waar iedereen zich aan moet houden. Dat zijn: Beveiliging is belangrijk en dient serieus vormgegeven te worden. Beveiliging is een normaal onderdeel van integraal management. Beveiliging is een organisatorisch vraagstuk met technische consequenties. Beveiliging omvat de organisatie, de mens, de informatie, de fysieke omgeving en de juridische vastlegging. Beveiliging is een afweging tussen risico, kosten en werkbaarheid. Om u op strategisch niveau te ondersteunen vindt u in deze handreiking: Hoofdstuk 1: Beleid informatiebeveiliging In dit hoofdstuk wordt ingegaan op de hoofdlijnen waarop het beleid wordt vastgesteld. Ook geven wij u een handreiking voor de indeling van uw beleidsdocument en welke onderwerpen daarin in elk geval aan de orde moeten komen. 2
4 Hoofdstuk 2: Organisatie In dit hoofdstuk gaan wij in op zowel de lijn- als de facilitaire organisatie voor informatiebeveiliging. Er volgt een voorstel voor een mogelijke indeling die u kunt gebruiken bij het beschrijven van uw organisatie. Hoofdstuk 3: Managementrapportages In dit hoofdstuk worden nut en noodzaak van managementrapportages beschreven. In bijlage 1 treft u een lijst met definities van de gebruikte terminologie. Bijlage 2 bestaat uit een korte beschrijving van de Wet Bescherming Persoonsgegevens. 3
5 1 Beleid informatiebeveiliging Zonder betrouwbare informatie is de gemeente niet in staat kwalitatief hoogwaardige diensten te leveren aan de burgers. Informatie dient juist te zijn, beschikbaar en ontoegankelijk voor onbevoegden. De zorg voor betrouwbare informatie is daarmee een wezenlijk onderdeel van integraal management. Deze verantwoordelijkheid is niet overdraagbaar aan de facilitaire afdelingen. Het beveiligingsbeleid vormt de kapstok in uw gemeente voor de gehele beveiliging. Het geeft een visie waar u heen wilt en - op hoofdlijnen - hoe u dat wilt bereiken. Uw organisatie is vervolgens in staat om op tactisch en operationeel niveau invulling te geven aan informatiebeveiliging. De invulling daarvan kan dan namelijk door u getoetst worden door deze tegen het licht van het vastgestelde en gemandateerde beleidsstuk te houden. U kunt het beleid het beste vormgeven door ervan uit te gaan dat deze op uw hele organisatie toegepast wordt. Op die manier zal elk onderdeel dezelfde hoofdlijnen hanteren. De invulling op tactisch en operationeel niveau kan uiteraard per gemeenteonderdeel verschillen door bijvoorbeeld: - een ander belang van het proces, te onderscheiden naar bij voorbeeld belangrijk voor de burger of belangrijk voor de interne bedrijfsvoering; - de waarde van de informatie die binnen een proces gebruikt wordt; - de mate waarin u een open functie moet hebben naar de burger; - de locaties van waaruit gewerkt wordt. Vanzelfsprekend is bovenstaande lijstje niet compleet en zal dat uit uw situatie moeten blijken. Het is mogelijk het beleid uitsluitend van toepassing te verklaren op bij voorbeeld het domein van werk en inkomen. Wij raden dit ten sterkste af. Als organisatie kunt u niet zondermeer rekenen op het beveiligingsniveau van uw buren. Het begrip Informatiebeveiliging In essentie wordt onder informatiebeveiliging verstaan: het vooraf treffen van maatregelen ter voorkoming, beperking, herstel en opsporing van verstoringen in de informatievoorziening. Onder verstoringen vallen o.a. hackers, menselijke fouten, fraude, misbruik, lekken van gegevens, brand en diefstal mits de betrouwbaarheid van de informatie daardoor in gevaar komt. Informatiebeveiliging raakt de hele organisatie en betreft alle voorkomende informatie hetzij elektronisch hetzij op papier. Om de informatie adequaat te beschermen, moet een samenhangend stelsel van organisatorische, fysieke en ICT maatregelen genomen worden. Zo kunnen problemen worden voorkomen, opgespoord, beperkt en hersteld. Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening. Betrouwbaarheid valt uiteen in de begrippen: 4
6 - Beschikbaarheid: heb ik de informatie die ik nodig heb op het juiste moment - Exclusiviteit: kunnen uitsluitend de juiste personen bij de informatie en - Integriteit: klopt de informatie met de werkelijkheid De informatiebeveiliging van de gemeente is van toepassing op: de fysieke beveiliging van gebouwen; de inrichting van de organisatie; alle informatiesystemen, zowel handmatig als geautomatiseerd; alle toekomstig te ontwikkelen systemen; de opslag, de invoer, het gebruik en de vernietiging van informatie; het beheer van de informatie, de systemen en de infrastructuur. Uitgangspunten De belangrijkste uitgangspunten voor informatiebeveiliging zijn: Voldoen aan wet- en regelgeving Vertrouwen in de medewerkers, gebaseerd op aanname beleid en controle Eigen verantwoordelijkheid van medewerkers voor hun gedrag binnen de gestelde handvatten Gebouwbeveiliging zorgt voor beveiliging van medewerkers en informatie De manager maakt keuzes tussen risico s, werkbaarheid en kosten Informatiebeveiliging wordt in de normale planning en control cyclus opgenomen De medewerkers vormen binnen de hele informatiebeveiliging een essentiële factor. Iedere maatregel is zo beperkt als er mee omgegaan wordt. Een slot op de deur werkt alleen als de medewerkers deze consequent gebruiken, een wachtwoord voor een systeem werkt niet als medewerkers dit opschrijven, etc. Informatiebeveiliging moet jaarlijks de plan-do-check-act doorlopen. Vanuit het beleid wordt elk jaar een te bereiken niveau afgesproken voor de organisatie als geheel en processen in het bijzonder. Concrete verbeterstappen worden genomen en gecontroleerd. Dit leidt weer tot bijstelling van de uitvoering en resulteert uiteindelijk in nieuwe planvorming. Het document moet worden vastgesteld als het informatiebeveiligingsbeleid van de gemeente. De uitgangspunten gelden voor alle onderdelen van de gemeente waarbij het bestuur eenduidig richting aan informatiebeveiliging geeft. Het management van de gemeente is integraal verantwoordelijk voor informatiebeveiliging. Vanuit het bestuur wordt een portefeuillehouder aangewezen die het strategisch niveau van de informatiebeveiliging vormgeeft. 5
7 Beleidshoofdlijnen Een 100% beveiligde gemeente is niet mogelijk en bovendien niet wenselijk. Dit betekent dat de gemeente voor de lange termijn keuzes moet maken tussen werkbaarheid, risico s en kosten. Binnen het informatiebeveiligingsbeleid zijn drie hoofdlijnen te onderscheiden: 1. De manager is verantwoordelijk voor zijn processen en zorgt daarbinnen voor de betrouwbaarheid van de informatie. De manager doet dit door normen en kaders te stellen waarbij rekening gehouden wordt met wettelijke kaders. 2. De gemeente kiest een basisbeveiligingsniveau voor alle processen en systemen. Hier moet de hele organisatie aan voldoen. 3. De gemeente neemt de informatiebeveiliging op in de planning en control cyclus. Daarmee is de controle en kwaliteit van de beveiliging (deels) gewaarborgd. Om de manager een handvat te geven voor de invulling van hoofdlijn 1 worden drie niveaus van beveiliging voorgesteld met ieder een set eisen. De manager schat het belang van zijn proces in en kiest daarbij automatisch voor één van deze beveiligingsniveaus. De bijbehorende set eisen van het laagste niveau formuleert de eisen voor het basisbeveiligingsniveau van hoofdlijn 2. Hier wordt verder op ingegaan in paragraaf Handreiking beleidsdocument In de volgende paragrafen geven wij een handreiking voor een mogelijke indeling van uw beleidsdocument en schetsen een beeld van de inhoud per hoofdstuk. De indeling is als volgt: 1. Visie en toekomstbeeld 2. Beleidselementen 3. Beleidsuitgangspunten 4. Modelmatige benadering 5. Informatiebeveiligingsnormen Visie en toekomstbeeld In dit hoofdstuk beschrijft u uw visie op informatiebeveiliging. Hierin maakt u keuzes, bijvoorbeeld voor integrale beveiliging door het samenvoegen van disciplines of uitsluitend voor informatiebeveiliging. Ook schetst u het door u gewenste toekomstbeeld en de vormgeving van de beveiliging. Dit doet u door: 1. Een basisbeveiligingsniveau van toepassing te verklaren. 2. Processen te laten beveiligen via risicoanalyses. 3. Te definiëren hoe de planning en control cyclus verloopt Toekomstbeeld: van onbewust risico lopen naar bewust risico nemen 6
8 De effectiviteit en efficiency van een gemeente wordt steeds meer bepaald door de betrouwbaarheid van de aanwezige informatie. Kwaliteit van Informatie is een onlosmakelijk onderdeel van integraal management. De integraal manager van de gemeente is verantwoordelijk voor de producten en diensten aan de burger. Naast de medewerkers is informatie de kracht van de gemeente. Informatiebeveiliging is het middel om deze kracht te beschermen. Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening. Het ontbreken van een adequate informatiebeveiliging is de achilleshiel van de gemeente. Het gemeentelijke bestuur stelt normen en kaders vast voor de betrouwbaarheid van de informatievoorziening. Deze normen en kaders zijn meetbaar, concreet en toetsbaar. Bij het vaststellen ervan houdt het bestuur expliciet rekening met wet- en regelgeving en overeenkomsten met derden, zoals de wet bescherming persoonsgegevens (WBP, zie bijlage 2), de archiefwet, de wet op de veiligheidsonderzoeken (WOV) en de wet openbaarheid bestuur (WOB). Binnen deze bestuurlijke normen en kaders realiseert het management van de gemeente een samenhangend stelsel van maatregelen om risico s te reduceren. Daarbij weet het management welke risico s er zijn ten aanzien van een ongestoorde en betrouwbare informatievoorziening. Met deze risico s in het achterhoofd is een afweging gemaakt over welke risico s tegen inzet van welke middelen gereduceerd moeten worden. Het thema voor informatiebeveiliging is daarmee: Van onbewust risico lopen naar bewust risico nemen. Alle medewerkers zijn doordrongen van het belang van betrouwbare informatie en de eigen verantwoordelijkheid daarvoor. Medewerkers houden zich aan de door de gemeente als noodzakelijk aangemerkte beveiligingsmaatregelen. Ook signaleren zij mogelijke hiaten direct aan de leidinggevenden en melden problemen zo snel mogelijk. Binnen de gemeente zijn de processen, de informatie en de onderlinge afhankelijkheid eenduidig geclassificeerd. Op basis van deze classificatie is het beveiligingsniveau vastgesteld Beleidselementen De informatiebeveiliging wordt binnen de gemeente bereikt via drie beleidselementen: Basisbeveiliging Procesbeveiliging en Planning en control cyclus De basisbeveiliging schept het minimale niveau van beveiliging voor de hele gemeente. De procesbeveiliging realiseert extra beveiliging voor vitale processen, met het minimale niveau als basisuitgangspunt. Vanuit de procesbeveiliging kan een bijstelling van het basisniveau noodzakelijk zijn. De planning en control cyclus zorgt ervoor dat zowel het basisniveau als de procesbeveiliging 7
9 Controle normen beheersmatig in de planning en uitvoering worden meegenomen. Door regelmatige toetsing kan bijstelling van beleid en uitgangspunten plaatsvinden. Omgekeerd leveren de basisbeveiliging en de procesbeveiliging de toetsingsnormen voor de planning en control cyclus. In onderstaande afbeelding staan deze 3 elementen weergegeven. Minimale niveau Bijstelling Procesbeveiliging Basisbeveiliging Bewaakt uitvoering Scherpt aan Controle normen Planning en control cyclus Beaakt uitvoering Aanvullingen Bijstelling Basisbeveiliging De gemeente definieert en realiseert een basisbeveiligingsniveau voor alle informatie binnen de gemeente, ongeacht of dit elektronische of papieren informatie is. Het basisbeveiligingsniveau biedt voor ieder proces een zekerheid over de beschikbaarheid, integriteit en exclusiviteit van de informatie binnen het proces. De basisbeveiliging is de minimale norm voor: De fysieke omgeving: de beveiliging van de gebouwen en werkplekken en beveiliging van het papieren archief. De ICT omgeving: de beveiliging van de elektronische informatie van de gemeente op bijvoorbeeld de centrale servers, lokale PC s, informatiedragers zoals cd s of op het Internet. De medewerkers: de beïnvloeding van veilig gedrag door de medewerkers aangaande de omgang met informatie. De organisatie: de inrichting van verantwoordelijkheden en bevoegdheden aangaande de informatiebeveiliging. Met het basisniveau zorgt de gemeente ervoor dat haar dienstverlening aan de burger niet in gevaar komt door gebrek of verstoringen in de informatievoorziening. In de minimale norm worden maatregelen geformuleerd die invulling geven aan de volgende randvoorwaarden: 8
10 Noodzakelijk item Veilige werkplekken voor medewerkers Telefoonvoorziening Stroomvoorziening Ongestoorde aanlevering van informatie Ongestoorde levering van informatie Opgeleide en deskundige gebruikers Continuïteit medewerkers Receptie voor burgers Realisatie Gebouwen zijn beveiligd tegen inbraak, brand, wateroverlast en de toegang is voorbehouden aan geautoriseerde medewerkers. De telefooncentrale functioneert gedurende kantoortijden ongestoord. Hiervoor is deze dubbel uitgevoerd of er kan op mobiele telefonie overgeschakeld worden. Een nader aan te wijzen deel van de gebouwen is voorzien van noodstroom, in ieder geval de serverruimtes van de afdeling automatisering. De gemeente heeft zicht op de aanleverende instanties, stelt eisen aan de kwaliteit en periodiciteit van de te ontvangen informatie en legt dit vast in overeenkomsten. De gemeente kent haar afnemers en weet welke informatie wanneer aan wie aangeleverd moet worden. De gemeente formuleert eisen waaraan afnemers zich moeten houden en legt deze vast in overeenkomsten. Gebruikers van de systemen zijn opgeleid en weten wat van hen verwacht wordt. Taken, verantwoordelijkheden en bevoegdheden zijn dusdanig geregeld dat medewerkers elkaars taken kunnen overnemen. De informatievoorziening draagt bij aan die continuïteit. De burger kan via een receptie tijdens kantoortijden en gedurende avondopenstellingen in contact treden met de gemeente. Procesbeveiliging De processen binnen de gemeente vormen het hart van de dienstverlening aan de burger. Niet ieder proces is voor de burger zichtbaar. De processen zijn niet allemaal even zwaarwegend. Zo blijkt verstoring van sommige processen alleen vervelend te zijn, terwijl verstoring van andere processen grote consequenties heeft voor de burger en diens veiligheid. Daarom bepaalt de gemeente welke processen extra beveiliging nodig hebben, omdat ze bijvoorbeeld gevoelige informatie verwerken, wettelijke normen dit bepalen en/of ze grote financiële belangen vertegenwoordigen. 9
11 Ter ondersteuning van de informatiebeveiliging worden drie niveaus van processen onderscheiden. Dat zijn: Maatschappelijk vitaal Bedrijfsvitaal Ondersteunend Verstoring van dit proces resulteert in schade voor de burger en aanmerkelijke (imago) schade voor de gemeente. Verstoring van dit proces resulteert in aanmerkelijke schade voor de gemeente en/of aan haar gelieerde partners. Verstoring van dit proces resulteert uitsluitend in schade intern de gemeente. Voor het indelen van de processen staat hieronder een aantal vragen dat een handvat biedt. De beveiliging voor het ondersteunende niveau is gelijk aan de basisbeveiliging. De indeling kan het beste decentraal - door de proceseigenaar worden vastgesteld. Proces Wie heeft er schade? Hoe groot is de schade? Waar ontstaat de schade? Wat stokt er aan dienstverlening? Neemt de schade toe in de tijd? Voor wie doe je het proces? Informatie Per tijdstip Wie heeft er belang bij Wat kunnen anderen er mee Waarvoor gebruik je het Aan wie verstrek je het Is de waarde in geld uit te drukken Planning en control cyclus Informatiebeveiliging doorloopt binnen de gemeente de cyclus plan do check act. Deze cyclus sluit aan op de planning en control cyclus. Jaarlijks stelt de gemeente voor de hele organisatie de niveaus van beveiliging vast. Iedere informatie- en proceseigenaar bepaalt op welk niveau zijn of haar proces zit. Vanuit een analyse van de bestaande maatregelen en risico s worden concrete maatregelen ter verbetering van de informatiebeveiliging gedefinieerd. Deze verbeterstappen zijn binnen één cyclus te realiseren. 10
12 Tijdens en na het implementeren van maatregelen worden deze op hun werking gecontroleerd. Daarbij wordt ook gekeken naar hoe de maatregelen doorwerken in de cultuur van de gemeente en worden vergelijkingen gemaakt met andere organisaties. Op basis van de controle vindt bijstelling van maatregelen en/of niveaus plaats. Act: -Verbeterplannen -Bijstellen bewustwording Check: -Controleren maatregelen -Controleren uitgangspunten Sturing: -Sturing op uitzonderingen -Managmentraamwerk -Alloceer verantwoordelijkheden Plan: -Beleid -Vaststellen norm -Vaststellen maatregelen Do: -Vertalen naar maatregelen -Uitvoeren maatregelen -Classificatie en registratie -Beheer Beleidsuitgangspunten In dit hoofdstuk beschrijft u beleidsuitgangspunten. Deze uitgangspunten vormen het handvat voor de verdere vertaling van het beleid in de praktijk. Uitgangspunt Toelichting Juridisch Integriteit van de organisatie: Non-discriminatie Wet- en regelgeving Overeenkomsten met derden Iedere partij wordt in gelijke gevallen op gelijke wijze behandeld. Voor informatiebeveiliging betekent dit o.a. het gelijktijdig verstrekken van dezelfde informatie aan belanghebbenden en het op dezelfde wijze beveiligen van soortgelijke informatie van derden. De gemeente houdt zich aan alle geldende wet- en regelgeving waaruit voorwaarden voor informatiebeveiliging volgen. De gemeente houdt zich aan alle bepalingen met betrekking tot privacy en informatiebeveiliging in overeenkomsten met derden. 11
13 Medewerker Delen van informatie Medewerkers delen informatie daar waar nodig zodat continuïteit van de dienstverlening geborgd is. Vertrouwen in de medewerker De gemeente vertrouwt haar medewerkers maar treft vooraf een aantal maatregelen (bijv. functiescheiding en autorisaties) en achteraf een aantal controle maatregelen(bijv. screening, logging en monitoring). De wet op de veiligheidsonderzoeken wordt toegepast. Need to know Iedere medewerker krijgt of haalt die informatie die hij nodig heeft voor het werk. Dit houdt in dat algemene gemeentelijke informatie voor iedereen beschikbaar is en dat werkspecifieke informatie binnen afdelingen/taakgroepen/functies blijft. Eigen verantwoordelijkheid Iedere medewerker is verantwoordelijk voor de hem toevertrouwde informatie. De medewerkers zijn beveiligingsbewust en -bekwaam. Fysiek Schil De gebouwen vormen een fysieke beveiligingsschil voor toegang tot vertrouwelijke informatie en beschikbare apparatuur. ICT Basisbeveiliging Uniformiteit Facilitair De ICT realiseert een basisbeveiligingsniveau voor alle systemen. Maatregelen voor beveiliging worden zoveel mogelijk geüniformeerd. ICT faciliteert de gewenste en benodigde procesbeveiliging, treft daartoe de noodzakelijke maatregelen en maakt de kosten inzichtelijk. Organisatie Inbedden in organisatie Procesbeveiliging Managementafspraken Informatiebeveiliging wordt ingebed in de organisatie als onderdeel van integraal management. Processen worden integraal beveiligd door de proceseigenaren. Deze zijn gehouden aan een minimaal niveau zoals in dit beleid geschetst. Integraal betekent dit: het treffen van maatregelen ter voorkoming, beperking, herstel en opsporing van incidenten. Tussen de verschillende verantwoordelijken worden in de plancyclus zowel verticaal als horizontaal afspraken gemaakt over de te bereiken resultaten voor informatiebeveiliging. Deze afspraken worden vastgelegd in de afdelingsplannen. 12
14 Derden Efficiëntie, 100% veilig kan niet Prioritering van risicoreductie Toetsen Bij informatieverwerking of beheer door en bij derden worden schriftelijk eisen vastgelegd over informatiebeveiliging. De verantwoordelijke maakt altijd een afweging of het in te zetten middel niet erger is dan het te reduceren risico. Er moet een evenwicht zijn tussen werkbaarheid, kosten en risico. De gemeente beseft dat 100% beveiliging niet mogelijk is. Bij prioritering van risicoreductie wordt rekening gehouden met: kans van optreden, impact bij optreden, verwijtbaarheid van het risico, omvang van de schade, betrokken partijen, wet- en regelgeving. De gemeente toetst haar informatiebeveiliging zowel door collegiale toetsing als door externe audits Modelmatige benadering In dit hoofdstuk geeft u precies aan waar managers voor verantwoordelijk zijn en welke eisen zij aan afnemers van de informatie moeten stellen. Daarbij legt u ook vast dat zij rekening moeten houden met hun omgeving. Door de materiewetten zal de invulling voor de diverse beleidsterreinen net even anders zijn. Tevens geeft u aan wie verantwoordelijk is voor de beveiliging en hoe u de bevoegdheden en verantwoordelijkheden heeft gedelegeerd over te onderscheiden rollen. NB. Geef hier geen letterlijke invulling van de organisatie omdat u uw beleid dan bij iedere reorganisatie moet aanpassen. In onderstaande afbeelding zijn de informatiestromen schematisch weergegeven. Op de grensvlakken stelt de gemeente eisen aan de input (welke kwaliteit wens ik te ontvangen) en aan de output (welke kwaliteit lever ik en hoe moet de afnemer met mijn informatie omgaan). Aan de input kant kan de aanleverende partij op zijn beurt eisen aan de gemeente stellen over de vertrouwelijkheid van de informatie. Verder stelt de omgeving randvoorwaarden waarbinnen het proces opereert en waartegen de door een informatie-eigenaar gestelde eisen, of de aan een informatie-afnemer te stellen eisen, 13
15 afgewogen worden op hun rechtmatigheid. Binnen het proces is het de proceseigenaar die eisen stelt aan de kwaliteit van de informatie. De gemeente kiest ervoor proces- en informatie-eigenaren te benoemen die verantwoordelijkheden en bevoegdheden krijgen om de in het beleid vastgelegde uitgangspunten vorm te geven. Deze eigenaren zijn over het algemeen de managers/directeuren van de diverse beleidsterreinen. Om de eigenaren te faciliteren in het vormgeven, is er een onafhankelijke ondersteuning in de gemeente aanwezig. Deze persoon kan gevraagd en ongevraagd adviseren, incidenten afhandelen en maatregelen (laten) toetsen. In een apart document geeft de gemeente invulling aan bovenstaande uitgangspunt door concreet functies aan te wijzen. Ten aanzien van de organisatie wordt er onderscheid gemaakt tussen: Informatie die de organisatie verlaat Informatie die de organisatie binnenkomt Informatie binnen de organisatie Informatie die de organisatie verlaat Informatiebeveiliging is erop gericht dat informatie die de organisatie verlaat, ongeacht het medium, bij de juiste persoon komt, onderweg niet onderschept of gelezen kan worden en dat de transporttijden binnen de normen blijven. De proceseigenaar zorgt dat hij invloed behoudt door gebruiksvoorwaarden te koppelen aan de verstrekking aan externe partijen. Informatie die de organisatie binnenkomt Informatiebeveiliging beoogt te borgen dat de kwaliteit van informatie (in termen van beschikbaarheid, integriteit en exclusiviteit) van het gewenste niveau is en blijft. De organisatie stelt eisen aan de kwaliteit en legt deze vast in overeenkomsten. De organisatie richt controles om naleving van de afspraken te bewaken. Informatie binnen de organisatie Informatiebeveiliging richt zich op de continuïteit en kwaliteit van de informatievoorziening in de gemeente. De gemeente stelt kwaliteitseisen die, door de informatie- en proceseigenaar, op basis van een risicoafweging worden vertaald tot een niveau van beveiliging en het (laten) treffen van maatregelen. In de afweging houdt de informatie- en proceseigenaar rekening met wettelijke kaders en richtlijnen Informatiebeveiligingsnormen In dit hoofdstuk beschrijft u de normen waaraan de beveiliging in uw organisatie dient te voldoen, afhankelijk van het belang van de processen en de waarde van de informatie. Voor beveiliging worden in dit beleid drie niveaus onderkent. Deze niveaus zijn Hoog, Midden en Laag. Per niveau zijn eisen gesteld ten aanzien van de beschikbaarheid, exclusiviteit en integriteit. Om deze eisen 14
16 meetbaar te maken, zijn deze uitgesplitst naar de vier typen maatregelen: voorkomen, beperken, opsporen en herstellen. NB. Houd er rekening mee dat de normen meetbaar moeten zijn zodat op basis van deze normen het tactisch en operationeel niveau getoetst kan worden. De eisen gelden voor het totaal van het proces en de informatievoorziening. De inbraakbestendigheid bijvoorbeeld betreft de tijd dat het iemand kost voor hij informatie bereikt. Het vertragen van de inbraak kan door o.a. deuren en sloten, het versleutelen van informatie, zogenaamde fire walls, etc. Per proces en informatietype ontstaat een combinatie van maatregelen om aan de eisen te voldoen. In onderstaande tabellen staan per informatiebeveiligingsniveau de eisen geformuleerd. Hoog Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 8 storingen per jaar Braakbestendig voor 4 uur Toegang voor bekende interne medewerkers Bekende bron Bekende informatie Ervaren gebruikers Beperken Gemiddelde storingsduur 1 uur en maximale duur 4 uur (per storing) Binnen ½ uur poging verijdeld 1 op 1000 fout Reconstrueerbaar Opsporen Binnen ½ uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 3 ½ uur na signalering Binnen 1 uur sloten hersteld Binnen 1 uur na signalering Ongestoord tijdens werkproces Geheim 100% zekerheid Midden Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 14 storingen per jaar Braakbestendig voor 2 uur Toegang voor bekende Bekende bron Opgeleide gebruikers medewerkers Beperken Gemiddelde storingsduur 4 uur en maximale duur 8 uur (per storing) Binnen 1 uur poging verijdeld 1 op 500 fout Reconstrueerbaar Opsporen Binnen 1 uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 7 uur na signalering Binnen 4 uur sloten hersteld Binnen 4 uur na signalering Bijna ongestoord tijdens werkproces Vertrouwelijk 90% zekerheid Laag Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 20 storingen per jaar Braakbestendig voor 1 uur Bekende bron Toegang voor bekende medewerkers Beperken Gemiddelde storingsduur 8 uur en maximale duur 16 uur (per storing) Binnen 1 uur poging verijdeld 1 op 100 fout Reconstrueerbaar Opsporen Binnen 2 uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 14 uur na signalering Zelfde dag sloten hersteld Binnen 8 uur na signalering Meestal ongestoord tijdens werkproces Semi-openbaar 80% zekerheid 15
17 2 Organisatie Het beveiligen van de informatievoorziening, de processen en de in de gemeente aanwezige waardevolle materialen en goederen (zoals geld, paspoorten) is in het beleid vastgelegd. Om daar op strategisch niveau invulling aan te geven, is een adequaat ingerichte beheersstructuur in de organisatie noodzakelijk, een organisatie met zijn gekwalificeerde functionarissen waarbinnen taken, verantwoordelijkheden en bevoegdheden op het juiste niveau belegd en geborgd zijn. Hoe richt ik mijn organisatie nu in? Welke informatiebeveiligingsfuncties zijn er? Houd hierbij in gedachten dat het management de verantwoordelijkheid draagt en dat de ondersteunende beveiligingsfuncties het management bijstaan in het maken van de keuzes. Belangrijk daarbij is om de verantwoordelijkheden en bevoegdheden in evenwicht te houden en bij de juiste persoon of personen neer te leggen. Vaak worden wel veel verantwoordelijkheden gedelegeerd, maar vergeet men de bevoegdheden. Bij het organiseren van informatiebeveiliging moet onderscheid gemaakt worden tussen de lijnorganisatie 1 en de facilitaire organisatie Informatiebeveiliging 2. Beide hebben verantwoordelijkheden op het gebied van informatiebeveiliging. Zo is de lijnorganisatie verantwoordelijk voor het vaststellen en invullen van het beleid, het stellen van eisen aan de beveiliging en het inkopen van maatregelen bij de verschillende interne en externe partijen. De facilitaire organisatie Informatiebeveiliging adviseert, coördineert en bewaakt de zorg voor de informatiebeveiliging. In de volgende paragrafen wordt ingegaan op zowel de lijn- als de facilitaire organisatie voor informatiebeveiliging. Er volgt een voorstel voor een mogelijke indeling die u kunt gebruiken bij het beschrijven van uw organisatie. 2.1 Informatiebeveiliging in de lijn Uitgangspunt van informatiebeveiliging in de lijn, is dat er in de organisatie proces- en informatieeigenaren zijn aan te wijzen die verantwoordelijk worden gemaakt voor de beveiliging. De begrippen proces- en informatie eigenaar zult u eerst moeten definiëren. Zie hiervoor ook definities in bijlage 1. De beschrijving van de verantwoordelijkheden en bevoegdheden van proces- en informatieeigenaren is het belangrijkste onderwerp van dit hoofdstuk. Deze wordt aangevuld met de verantwoordelijkheid die de medewerkers hebben. De lijn is verantwoordelijk voor de kwaliteit van haar producten en diensten aan de maatschappij. Facilitaire organisatieonderdelen kunnen deze verantwoordelijkheid wel ondersteunen maar nooit overnemen. Informatie vormt een belangrijke basis voor de kwaliteit van de producten en diensten. 1 De lijnorganisatie is verantwoordelijk voor de levering van de producten en diensten aan de maatschappij. 2 De facilitaire organisatie levert ondersteunende diensten aan de lijnorganisatie zodat zij hun verantwoordelijkheden naar behoren in kunnen vullen. 16
18 Dus zorg voor de kwaliteit van de producten en diensten is dan ook zorg voor de kwaliteit van informatie. Kwaliteitszorg voor informatie omvat ook informatiebeveiliging. Op deze wijze is de redenering rond: informatiebeveiliging is de, niet overdraagbare, verantwoordelijkheid van de lijn. In de volgende paragrafen gaan wij in op de eisen en taken, de verantwoordelijkheden en bevoegdheden, de omvang van de taak en het capaciteitsbeslag Eisen en taken Om invulling te kunnen geven aan de verantwoordelijkheid voor informatiebeveiliging moeten management en medewerkers werkzaam in de lijn de volgende eigenschappen bezitten: Beslissingsbevoegdheid - Voldoende mandaat - Voldoende budget - Maatregelen kunnen laten uitvoeren - Aanwijsbare verantwoordelijken Betrokkenheid en deskundigheid - Voldoende capaciteit - Voldoende kennis - Voldoende draagvlak Behoefte aan informatiebeveiliging Kunnen beslissen buiten de waan van de dag - Deskundige-ondersteuning en -advisering - Duidelijk beeld over de eigen processen - Kennen van beleidskaders De taken van de lijn beslaan: het zorgen voor een goede informatiebeveiliging door het stellen van eisen, het laten uitvoeren van maatregelen en het afwegen van risico s in relatie tot investeringen en werkbaarheid Verantwoordelijkheden en bevoegdheden Het generieke begrip lijn valt uit te splitsen in het management en de medewerkers. Binnen het management zijn de rollen van de zogenaamde proces- en informatie-eigenaren te onderscheiden. In deze groep worden de verantwoordelijkheden verschillend ingevuld. Eenieder kan alleen verantwoordelijkheid nemen voor het beïnvloedbare deel van de omgeving. Voor een medewerker beperkt de verantwoordelijkheid zich tot het eigen gedrag, de directe werkplek en de privé situatie. Voor het management is het bereik groter aangezien zij de bevoegdheid hebben om processen en groepen medewerkers (aan) te sturen en eisen te stellen ten aanzien van de informatiebeveiliging. 17
19 Proceseigenaar Informatieeigenaar Verantwoordelijke voor de beheersing, aansturing en het gedefinieerd resultaat van een proces binnen de Gemeente en tevens eigenaar van de in zijn proces ontstane informatie Verantwoordelijke binnen of buiten de Gemeente voor informatie, die eisen kan stellen aan de proceseigenaar ten aanzien van het gebruik, de beveiliging en toepassing van informatie Hoewel het management en de informatie-eigenaar en proceseigenaar in de tabellen hieronder zijn uitgesplitst, kunnen combinaties voorkomen. Vaak zal in een gemeente het hoofd van de Sociale Dienst tevens de proceseigenaar zijn van de processen binnen de Sociale Dienst. De Informatieeigenaren zijn in de keten van Werk en Inkomen, naast de interne eigenaren, ook de ketenpartners zoals UWV, UWV werkbedrijf en SVB, en externe bronnen zoals IBG, Belastingdienst en RDW. Management Verantwoordelijk voor: Informatiebeveiliging binnen het eigen organisatieonderdeel. Bevoegd om: Risicoafweging te maken Uitvoering maatregelen te controleren Medewerkers aan te spreken op gedrag Sancties op te leggen aan medewerkers Informatie-eigenaar Verantwoordelijk voor: Het stellen van beveiligingseisen t.a.v. zijn informatie Kwaliteit van de informatie Bevoegd om: Naleving van de beveiligingseisen te controleren Maatregelen af te dwingen bij proceseigenaar Proceseigenaar Verantwoordelijk voor: Bepalen beveiligingsniveau Bepalen afhankelijkheid informatie Bepalen kwetsbaarheid Opstellen beveiligingsplan Opstellen uitvoeringsplan Signaleren probleemgedrag medewerkers en doorgeven aan manager Bevoegd om: Risicoafweging te maken Uitvoering maatregelen te controleren Medewerkers aan te spreken op gedrag Maatregelen te laten uitvoeren (mits budget) 18
20 Medewerker Verantwoordelijk voor: Eigen gedrag Eigen werkplek Privé situatie Bevoegd om: Problemen te signaleren. Collega s aan te spreken op onveilig gedrag Omvang en capaciteitsbeslag De omvang van de taak informatiebeveiliging in de organisatie is niet eenvoudig te duiden. Deze valt voor het grootste deel binnen de normale taakuitvoering. Hier volgt een globale schatting in percentages van de benodigde tijd. Rol % tijdsbeslag Management 3% Informatie-eigenaar 2% Proceseigenaar 2% Medewerker 2% 2.2 Informatiebeveiliging facilitair In deze paragraaf worden de eisen die gesteld worden aan de verantwoordelijkheden en taken van de facilitaire beveiligingsondersteuning beschreven. Ook hier gaan we in op verantwoordelijkheden en bevoegdheden, de omvang van de taak en het capaciteitsbeslag. Uitgangspunt moet zijn dat er voldoende capaciteit, kwaliteit en onafhankelijkheid aanwezig is om de taken uit te kunnen voeren. Het facilitaire organisatieonderdeel voor informatiebeveiliging ondersteunt de lijnorganisatie bij het maken van keuzes. Ook bewaakt dit onderdeel de eenduidigheid en de invoering van informatiebeveiliging Eisen en taken Dit stelt de volgende eisen aan de betreffende afdeling en de medewerkers: - Onafhankelijke positie t.o.v. de rest van de organisatie De positie moet dusdanig zijn dat er geen belangenverstrengeling kan ontstaan tussen de taken en de belangen. - Voldoende capaciteit om de lijnorganisatie te ondersteunen Alle noodzakelijke werkzaamheden moeten goed uitgevoerd kunnen worden naar tevredenheid van de gemeente. - Deskundig personeel: o o o o Kennen van de gemeente Opereren op het raakvlak van organisatie, mens en techniek Beheersen van informatiebeveiliging Begrijpen wat facilitair inhoudt 19
21 o Terughoudend omgaan met bevoegdheden - Voldoende bevoegdheden om maatregelen te kunnen opleggen Uitgebrachte adviezen of resultaten van controles zullen niet altijd in goede aarde vallen. Uitvoering van sommige adviezen zal bindend opgelegd moeten worden, met name aspecten die ook de rest van de gemeente raken. - Korte lijn naar de verantwoordelijke manager en een escalatielijn naar het college Voor het afhandelen van incidenten moet het aantal schijven tussen informatiebeveiliging en de leiding zo klein mogelijk zijn. - Advies- en controletaken kunnen scheiden De controleur kan in het kader van functiescheiding niet zijn eigen adviezen beoordelen. De taken van de facilitaire organisatie bestaan uit: - Adviseren - Toetsen - Beoordelen - Incidenten afhandelen - Bewustwording Presentaties Artikelen - Begeleiden Workshops Organiseren workshops Afhankelijkheids- en Kwetsbaarheidsanalyses (A&K analyses) - Beleidsvoorbereiding Verantwoordelijkheden en bevoegdheden Informatiebeveiliging Verantwoordelijk voor: Bevoegd om: Formuleren en laten vaststellen van beleid Bij incidenten direct die maatregelen te nemen Begeleiden van beveiligingsactiviteiten die erger voorkomen Gevraagd en ongevraagd adviseren Implementatie van informatiebeveiliging te Coördineren van beveiligingsactiviteiten toetsen Snelle en adequate terugmelding bij incidenten Te escaleren incidenten indien de situatie dit vereist 20
22 2.2.3 Omvang en capaciteitsbeslag Het is lastig een schatting van de omvang van de werkzaamheden maken. Dit hangt af van factoren als omvang van de gemeente, de toegepaste functiescheiding en de verdeling van de taken over de organisatie. Wel ligt het voor de hand tenminste twee personen te belasten met deze taken om continuïteit te waarborgen. De technische uitvoering en implementatie van maatregelen is daarin niet meegenomen. Vanwege de noodzakelijke functiescheiding moet die taak bij andere personen belegd worden. 21
23 3. Managementrapportages Om het proces goed te kunnen besturen moet u als verantwoordelijke alle ins en outs van het proces kennen. Zo moet u zorgdragen voor de inzet van voldoende gekwalificeerd personeel en toezien op de taken die zij moeten uitvoeren. Ook moet u weten welke informatie zij in hun werkproces nodig hebben. Zonder de benodigde informatie kunnen bijvoorbeeld aanvragen niet afgehandeld worden. Informatie heeft daarmee waarde voor het proces en is, net als gekwalificeerd personeel, een cruciaal bedrijfsmiddel. Daarom moet de informatie (de gegevens uit de verschillende bronnen) voortdurend beschermd zijn als het gaat om beschikbaarheid, integriteit en exclusiviteit. Dit vraagt dat u als manager hiervan constant op de hoogte bent, want zonder die informatie kunt u immers geen beslissingen nemen. Een goede manier om geïnformeerd te blijven is door middel van managementrapportages. In de praktijk blijkt dat managementrapportages vaak ontbreken of er onvoldoende op toegesneden zijn om de betreffende manager van informatie te voorzien. Het gevolg is dat beslissingen te laat worden genomen, of dat ze worden genomen op basis van onvolledige gegevens. Het risico op mogelijke incidenten neemt daardoor toe. Om incidenten, zoals inbreuk op het gegevensgebruik via Suwinet,te voorkomen, mag van een gemeente worden verwacht dat deze alert is op beveiligingincidenten, deze verhelpt en meldt aan andere (keten)partijen. Alleen dan kan de gezamenlijke dienstverlening worden gewaarborgd en kan misbruik of oneigenlijk gebruik in de verschillende ketenschakels worden voorkomen. Via het Bureau Ketensamenwerking Werk en Inkomen (BKWI) kunt u voorbeelden van managementrapportages SUWI opvragen. Deze kunt u gebruiken om vorm te geven aan de controle. Kijk hiervoor op 22
24 Bijlage 1: Definities Proces Proceseigenaar Informatie Informatie-eigenaar Medewerker Applicatiebeheerder Applicatie Manager Informatie-afnemer Omgeving Middelen Beveiligingseisen Exclusiviteit van informatie Integriteit van informatie Beschikbaarheid van informatie Het samenhangend geheel van activiteiten en middelen binnen de gemeente gericht op de totstandkoming van een vooraf gedefinieerd resultaat. Verantwoordelijke voor de beheersing, aansturing en het gedefinieerd resultaat van een proces binnen de gemeente en tevens eigenaar van de in zijn proces ontstane informatie. Gegevens op een zodanige wijze met elkaar in verband gebracht, ongeacht hun verschijningsvorm, van belang voor uitvoering van het proces. Verantwoordelijke binnen en buiten de gemeente voor informatie, die eisen kan stellen aan de proceseigenaar ten aanzien van die informatie. Persoon die werkzaam is binnen een proces van gemeente. Verantwoordelijke voor een geautomatiseerde applicatie binnen de gemeente. Gestructureerde en geautomatiseerde taken gericht op de ondersteuning van een proces of de instandhouding van informatie. Verantwoordelijke functionaris van een afdeling van gemeente, tevens budgethouder. Verkrijger binnen of buiten gemeente van informatie uit een proces die zich heeft te houden aan de door de proceseigenaar gestelde eisen. Relevante organisaties die generieke randvoorwaarden - in de vorm van overeenkomsten, wet- en regelgeving en voorschriften - stellen ten aanzien van de uitvoering van werkzaamheden en het gebruik, de verstrekking en de opslag van informatie (bewaartermijnen, privacy, etc.). Geld, medewerkers, applicaties, en goederen die nodig zijn voor het laten functioneren van een proces. Bindende voorwaarden voor het gebruik, de verstrekking en de opslag van informatie welke te allen tijde passen binnen de door de omgeving gestelde randvoorwaarden. De mate waarin de kennisname van informatie is beperkt tot een gedefinieerde groep van gerechtigden. Toegang voor de juiste personen is mogelijk en voor onbevoegden onmogelijk. De mate waarin de informatie foutloos is. Er kan op vertrouwd worden dat de gegevens (correct, actueel, volledig) een juiste weergave zijn van de werkelijkheid. De mate waarin de informatievoorziening in bedrijf is op het moment dat de organisatie het nodig heeft. De benodigde informatie is op het cruciale moment voorhanden. 23
25 Bijlage 2: Wet Bescherming Persoonsgegevens De Wet Bescherming Persoonsgegevens De Wet bescherming Persoonsgegevens (WBP) geeft u een instrument om te achterhalen welke gegevens van u door organisaties en bedrijven met welk doel zijn vastgelegd en aan wie ze worden verstrekt. De WBP beschrijft uw rechten wanneer uw gegevens worden gebruikt en de plichten van de registrerende instanties of bedrijven. De WBP betreft het verwerken van persoonsgegevens zoals uw naam, uw geboortedatum en uw adres, maar ook uw banksaldo, uw politieke gezindheid, uw nationaliteit en gegevens over uw gezondheid. Dus alle gegevens die over u als persoon gaan. Het verwerken betreft o.a.: het verzamelen, vastleggen, ordenen, bewaren, bewerken, opvragen, verstrekken, samenbrengen, afschermen, uitwissen en vernietigen. Kort gezegd: iedere handeling die met de gegevens mogelijk is. Zodra de vastlegging van persoonsgegevens een gestructureerd geheel vormt valt de registratie onder de WBP, ongeacht de vorm (geautomatiseerd, kaartenbak, etc.). De wet is niet van toepassing op o.m.: Het gebruik voor persoonlijke of huishoudelijke doelstellingen De verwerking door inlichtingen- en veiligheidsdiensten De verwerking in de bevolkingsadministratie (Wet gemeentelijke basisadministratie) De uitvoering van de politietaak (Wet Politieregisters) De rechten van de geregistreerde zijn: Recht op informatie: welke instantie met welk doel legt welke gegevens vast Recht op inzage: feitelijke weergave van de over u vastgelegde gegevens Recht op correctie: laten aanbrengen van verbeteringen of aanvulling van uw gegevens Recht op verwijdering: laten verwijderen van uw gegevens Recht op verzet: bezwaar tegen gebruik van uw gegevens 24
VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieBWRI & Privacy waarborgen
BWRI & Privacy waarborgen BWRI & Privacy waarborgen Als u in de gemeente Midden-Groningen woont, kunt u bij onze uitvoeringinstantie BWRI terecht voor het aanvragen van een uitkering, ondersteuning bij
Nadere informatieHet Letselhuis gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatieECIB/U Lbr. 17/010
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari
Nadere informatieMedi-Office gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatietekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid
Inleiding Digitale veiligheid staat meer nog dan voorheen in de belangstelling van overheid en bedrijfsleven. Inbreuken op digitale veiligheid leiden tot grote financiële en/ of imagoschade. De gemeente
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatiePrivacyreglement OCA(Zorg)
Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatiegewoondoenreintegratie
Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in
Nadere informatie2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.
Protocol AVG Buro Noorderlingen 1. Inleiding Dit protocol beschrijft het beleid dat door Buro Noorderlingen wordt gevoerd in het kader van de Algemene verordening gegevensbescherming (AVG). De verordening
Nadere informatiePrivacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:
Privacyreglement Zorgboerderij De Geijsterse Hoeve Inwerkingtreding: 1 september 2016 Artikel 1 Definities In dit reglement wordt verstaan onder: 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieEen checklist voor informatiebeveiliging
Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatiePrivacyverklaring. Privacyverklaring Blijf Groep V
Privacy Verklaring Inleiding Binnen Blijf Groep wordt gewerkt met persoonsgegevens van cliënten, medewerkers, vrijwilligers, sollicitanten, (keten)partners en externe relaties. Wij vinden het van groot
Nadere informatieFunctieprofiel Beleidsadviseur Functieprofiel titel Functiecode 00
1 Functieprofiel Beleidsadviseur Functieprofiel titel Functiecode 00 Doel Ontwikkelen, implementeren en evalueren van beleid en adviseren op één of meerdere aandachtsgebieden/beleidsterreinen ten behoeve
Nadere informatievastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.
1. 2. Uw rechten 3. Hoe we omgaan met uw data 4. In het geval van een datalek 5. Termen en begrippen U vertrouwt ons uw betalings- en persoonsgegevens toe. We hechten veel waarde aan dat vertrouwen. Hier
Nadere informatieCIOT-bevragingen Proces en rechtmatigheid
CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven
Nadere informatieVoorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatiePrivacyreglement CURA XL
Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan
Nadere informatiePrivacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement
Privacyreglement Inhoudsopgave Artikel 1 Algemene- en begripsbepalingen... 3 Artikel 2 Reikwijdte... 3 Artikel 3 Doel van de verwerking van persoonsgegevens... 4 Artikel 4 Verwerken van persoonsgegevens...
Nadere informatieSHK - Senioren Hollands
Algemene Verordening Gegevensbescherming SHK Senioren Hollands Kroon Inhoudsopgave Inleiding... 2 1 Toelichting AVG... 2 1.1. De Autoriteit Persoonsgegevens... 2 1.2. Bescherming van de privacy... 2 Wat
Nadere informatieVoorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond
Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data en potentieel dus tot nieuwe of rijkere informatie. Digitalisering speelt ook een grote rol binnen het onderwijs,
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatiePrivacyreglement Werkvloertaal 26 juli 2015
Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband
Nadere informatieComsave Privacy voorwaarden. Laatste update: 16 mei 2018
Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens
Nadere informatiec) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
Privacyreglement ArboVitale ArboVitale vindt het belangrijk dat u uitleg krijgt over hoe ArboVitale persoonsgegevens beschermt en hoe onze medewerkers om gaan met privacygevoelige informatie. Paragraaf
Nadere informatiePrivacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling
ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP daaraan
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...
Nadere informatiede Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.
Privacy Beleid Binnen de Finenzo Alkmaar, gevestigd aan de Keesomstraat 6-e te Alkmaar, wordt veel gewerkt met persoonsgegevens van betrokkenen, medewerkers en (keten)partners. Persoonsgegevens zijn gegevens
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieFunctieprofiel: Senior Managementassistent Functiecode: 0305
Functieprofiel: Senior Managementassistent Functiecode: 0305 Doel Het verrichten van werkzaamheden voor een eenheid op beleidsuitvoerend en ondersteunend gebied, van administratieve, uitvoerende en secretariële
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatiePreview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens
Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau
Nadere informatiePrivacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf
Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf Uitgangspunten: Het bedrijf gaat op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. Het bedrijf
Nadere informatiePrivacyverklaring Univé Rechtshulp Hoe gaat Univé Rechtshulp om met uw persoonsgegevens en privacy Onze hulp aan u is vertrouwelijk
Privacyverklaring Univé Rechtshulp Hoe gaat Univé Rechtshulp om met uw persoonsgegevens en privacy In deze verklaring vertellen we u hoe wij met uw gegevens en informatie omgaan. U leest waarom en onder
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatiePRIVACY REGLEMENT - 2015
PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting
Nadere informatiePrivacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)
Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door
Nadere informatieInformatieprotocol Inspectieview Milieu (IvM)
Informatieprotocol Inspectieview Milieu (IvM) Met het Juridisch Kader zijn de wettelijke (en door de jurisprudentie gepreciseerde) grenzen beschreven binnen welke IvM kan en mag worden gebruikt. Daarbinnen
Nadere informatiePrivacy. Informatie. www.arienszorgpalet.nl
Privacy Informatie www.arienszorgpalet.nl Inleiding Over ons Over AriënsZorgpalet AriënsZorgpalet is een toonaangevende zorginstelling in Enschede. Met 900 medewerkers en 350 vrijwilligers bieden we onze
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieInformatiebeveiligings- en privacy beleid (IBP)
Informatiebeveiligings- en privacy beleid (IBP) Versie: 25 mei 2018 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieIntroductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).
Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatiePrivacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:
Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:
Nadere informatiePrivacy reglement Geluk in werken
Privacy reglement Geluk in werken Privacy reglement Pagina 1 van 6 Versie mei 2016 1 Algemene en begripsbepalingen Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt
Nadere informatieDatalek dichten en voorkomen. 21 april 2017
Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.
Nadere informatieAlgemeen privacybeleid gemeente Asten 2018
1 Algemeen privacybeleid gemeente Asten 2018 ALGEMEEN PRIVACYBELEID (AVG) GEMEENTE ASTEN Inhoud 1. Inleiding 3 2. Uitgangspunten 3 3. Rollen en bevoegdheden 4 Bestuur 4 - College van B&W 4 - Gemeenteraad
Nadere informatiePrivacyreglement van De Zaak van Ermelo
Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet
Nadere informatieInformatiebeveiligingsplan
Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens
Nadere informatieInformatiebeveiligings- en privacy beleid Coöperatie SWV 25-05
Informatiebeveiligings- en privacy beleid 2018 Coöperatie SWV 25-05 1 Inleiding... 3 1.1 TOELICHTING INFORMATIEBEVEILIGING EN PRIVACY... 3 1.2 TOELICHTING PRIVACY... 3 1.3 VERVLECHTING INFORMATIEBEVEILIGING
Nadere informatiePrivacy reglement. Pagina 1 van 9
Privacy reglement Pagina 1 van 9 Inhoud Privacy reglement... 3 Wetgeving en definities... 3 Reikwijdte... 4 Verantwoordelijke... 4 Verwerkingen (Artikel 4, AVG)... 4 Doeleinden (Artikel 5, AVG)... 4 Rechtmatige
Nadere informatiePrivacyreglement Potenco
Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatiePrivacyreglement AMK re-integratie
Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste
Nadere informatieCompany statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7
Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene
Nadere informatiePrivacy Policy van Stichting Het Rijnlands Lyceum
Privacy Policy van Stichting Het Rijnlands Lyceum Het onderwijs is in toenemende mate afhankelijk van informatie en ict. De hoeveelheid informatie, waaronder persoonsgegevens, neemt toe door o.a. ontwikkelingen
Nadere informatieVerder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.
PRIVACY REGLEMENT Betreffende bedrijven Dit Privacyreglement betreft de volgende bedrijven: o Optimaal Werk BV o Optimaal Arbo BV o Verzuim Beheer BV Verder in dit document te noemen Optimaal Werk en gelieerde
Nadere informatieBurgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:
Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieIn dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:
Privacy Reglement Second Chance Force Versie 1.1, datum 31-03-2015 PARAGRAAF 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming
Nadere informatiePrivacyreglement Work4People Privacyreglement
Privacyreglement VERWERKING PERSOONSGEGEVENS $ 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad
Nadere informatiePRIVACY REGLEMENT ORIONIS WALCHEREN
PRIVACY REGLEMENT ORIONIS WALCHEREN Versie 1.0 d.d. 14-03-2018 0 Inhoud 1. Inleiding... 2 2. Wetgeving en definities... 2 3. Reikwijdte... 3 4. Verantwoordelijke... 3 5. Verwerkingen... 3 6. Transparantie
Nadere informatieHet verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.
Privacystatement Vos Lammers & De Kock Advocaten verwerkt persoonsgegevens. Wij verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming die op 25 mei 2018 in werking
Nadere informatieAntwoorden op vragen over verlies van gevoelige informatie nr. 2070801320
Postbus 20701 2500 ES Den Haag Telefoon (070) 318 81 88 Fax (070) 318 78 88 Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Plein 2 2511 CR s Den Haag Datum 5 november 2007 D2007029059 Ons kenmerk
Nadere informatiePrivacyreglement. Stichting Rapucation Postbus NL Amsterdam
Stichting Rapucation Postbus 15989 1001 NL Amsterdam www.rapucation.eu info@rapucation.eu 088-3777700 Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: de wet: de Wet bescherming
Nadere informatiePrivacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon
Privacyreglement Drive The Care Company b.v. Sint Martinusstraat 70 5911 CK Venlo Telefoon 077 467 40 33 E-mail: info@mentaalspecialist.nl Privacyreglement Versie : 1.1 Versiedatum: 04-06-2008 Inleiding
Nadere informatieGegevensbeschermingsbeleid gemeente Beekdaelen
1 Gegevensbeschermingsbeleid gemeente Beekdaelen Inhoud Hoofdstuk 1: Inleiding... 3 1.1 Het belang van gegevensbescherming... 3 1.2 Relevante wetten en verdragen... 3 1.3 Ambitie op het gebied van gegevensbescherming...
Nadere informatieInformatiebeveiligingsbeleid 2015-2018
Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieBURGEMEESTER EN WETHOUDERS VAN DE GEMEENTE GRONINGEN, (OS );
CVDR Officiële uitgave van Groningen. Nr. CVDR91899_1 21 november 2017 PRIVACYREGLEMENT STAD GRONINGEN BURGEMEESTER EN WETHOUDERS VAN DE GEMEENTE GRONINGEN, (OS 11.2502089); gezien het voorstel van 5 januari
Nadere informatieWie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth
Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving
Nadere informatieInternet Beveiliging en Privacy (IBP) Beleid Aloysius
Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:
Nadere informatiePRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen
PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)
Nadere informatiePrivacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.
Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK. SF-BIKUDAK neemt privacy zeer serieus en zal informatie over jou op een veilige manier verwerken en gebruiken. Op deze
Nadere informatiePrivacyverklaring van Enpuls B.V.
Privacyverklaring van Enpuls B.V. Voor het vervullen van onze taken als versneller van de energietransitie kunnen we niet om het gebruik van persoonsgegevens heen. Tegelijkertijd heeft iedereen recht heeft
Nadere informatieReglement bescherming persoonsgegevens Nieuwegein
CVDR Officiële uitgave van Nieuwegein. Nr. CVDR339387_1 22 mei 2018 Reglement bescherming persoonsgegevens Nieuwegein Het college van de gemeente Nieuwegein; Gelet op de Wet bescherming persoonsgegevens
Nadere informatiePrivacyverklaring MijnOverheid 23 november versie 1.9
Privacyverklaring MijnOverheid 23 november 2018 - versie 1.9 Deze verklaring beschrijft het volgende: 1. Wie verantwoordelijk is voor de verwerking van de persoonsgegevens voor MijnOverheid (de voorziening
Nadere informatieDoel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.
FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel
Nadere informatieMedewerker administratieve processen en systemen
processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met
Nadere informatiePRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen
PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatieCloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland
Cloud Computing Bijzondere inkoopvoorwaarden Hoogheemraadschap van Delfland Inhoud 1 INKOOPVOORWAARDEN CLOUD COMPUTING... 3 1.1 ARTIKEL 1 - DEFINITIES... 3 1.2 Artikel 2 Dienstverlening algemeen... 3 1.3
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatie