Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014

Maat: px
Weergave met pagina beginnen:

Download "Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014"

Transcriptie

1 Versie : maart 2014 ISMS (Information Security Management System) Veiligheidspolicy met betrekking tot Cloud Computing Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing policy.nl.v1.00 Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014 Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer Houbaille (KSZ), Costrop (Smals), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV). Maar ook met die van de werkgroep van FEDICT.

2 INHOUDSOPGAVE Veiligheidspolicy met betrekking tot Cloud Computing 1. INLEIDING SCOPE DOELSTELLING RISICO'S VERBONDEN AAN DE "CLOUD" POLICY ALGEMENE DIRECTIVES UITVOERINGSWAARBORG DOOR DE PROVIDER NALEVING VAN DE GOEDE PRAKTIJKEN DOOR DE PROVIDER NALEVING VAN DE WETTELIJKE EN TECHNISCHE VERPLICHTINGEN BIJ DE VERWERKING VAN PERSOONSGEGEVENS BIJLAGE : IS ER EEN VERSCHIL TUSSEN IT-UITBESTEDING EN CLOUD COMPUTING? CLOUD COMPUTING MODELLEN VOORBEREIDING BIJ MIGRATIE NAAR EEN "CLOUD COMPUTING"-INFRASTRUCTUUR REFERENTIES:...10 P 2

3 1. Inleiding De bedoeling van dit document is om de veiligheidseisen vast te leggen wanneer een instelling van sociale zekerheid een beroep wenst te doen op "Cloud Computing"-services. Hierbij is het belangrijk zich ervan te vergewissen dat de "Cloud Computing"-provider voldoende waarborgen biedt op het vlak van de bescherming van de gegevens, de naleving van de privacywet maar ook op het vlak van de duurzame bewaring van de gegevens en van de juridische en technische bepalingen die in acht moeten worden genomen bij de realisatie van de prestaties. In het kader van deze policy wordt onder het begrip "Cloud Computing" verstaan alle "Cloud"-services zoals vastgelegd door het NIST 1 maar ook elke IT-uitbesteding. Bij "Cloud"-services gaat het immers louter om informatica-oplossingen die worden geoutsourcet en waarbij een soepele stockeerruimte gecombineerd wordt met toegankelijkheid van de gegevens van overal ter wereld (zie bijlage 6.1: Is er een verschil tussen ITuitbesteding en Cloud Computing?). 2. Scope Deze policy is bedoeld voor de instellingen van sociale zekerheid die vertrouwelijke gegevens 2 verwerken en die een beroep wensen te doen op Cloud Computing providers. 3. Doelstelling Dit veiligheidsbeleid heeft als doelstelling de minimale (technische en juridische) veiligheidsvereisten en de contractuele waarborgen vast te leggen wanneer een instelling een beroep wenst te doen op "Cloud Computing"- dienstverleningen. Het is hiertoe noodzakelijk dat de "Cloud Computing"-provider voldoende waarborgen biedt met betrekking tot de contractuele voorwaarden, de omkadering van transfers, de veiligheid van gegevens en de bescherming van de privacy. Dit laat de instelling toe zich te vergewissen van de verwachte kwaliteit van de dienst. 4. Risico's verbonden aan de "Cloud" De overgang naar Cloud Computing vereist een strenge aanpak op het vlak van het beheer van de veiligheidstechnische, contractuele en juridische risico's. De instelling die een beroep wenst te doen op een "Cloud"-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan toepassen, om zich te beschermen tegen de risico's van de Cloud en in verband met de traditionele informaticaverwerkingen en in het bijzonder tegen de risico s die relevant zijn voor de bescherming van de persoonsgegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende: een verminderde governance met betrekking tot de verwerking; de risico s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren; de technische afhankelijkheid ten opzichte van de provider van de Cloud Computing-oplossing, bijvoorbeeld het risico dat er gegevens verloren gaan bij migratie naar een andere provider of een interne oplossing; een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost, gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een tekortkoming of een slecht beheer van de provider; de uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties; 1 National Institute of Standards & Technologie 2 In deze policy verstaat men onder vertrouwelijke gegevens alles gegevens die niet openbaar zijn. P 3

4 het niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur; problemen bij het beheren van de toegangsrechten; de onbeschikbaarheid van de dienst geleverd door de provider; de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname van de provider door een derde of bij een faillissement); de niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers. Een uitgebreide, niet-exhaustieve lijst van 35 risico's die door het ENISA 3 werd meegedeeld, kan in overweging worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd. 5. Policy 5.1. Algemene richtlijnen Alvorens een beroep te doen op de Cloud Computing, moet de instelling die verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud worden gehost. Bij de bepaling van de return on investment moet rekening gehouden worden met de veiligheidseisen. Wanneer de classificatie van de gegevens dit vereist, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. Krachtens de definitie opgenomen in de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator heeft informatieveiligheid betrekking op alle gegevens en niet enkel op de persoonsgegevens. Hiertoe moeten de gegevens worden geïnventariseerd en geclassificeerd volgens hun kriticiteit overeenkomstig het model voor classificatie van de gegevens dat binnen de instelling geldt. Het is noodzakelijk om het geschikte type Cloud voor de beoogde verwerking te identificeren in functie van het huidige aanbod inzake cloud computing (zie bijlage 6.2). Het is noodzakelijk om de eigen veiligheidstechnische en juridische eisen te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als zijzelf. Wat de gegevens en de businessverwerking betreft, moet de instelling zich vergewissen van de omkeerbaarheid 4 en van een afdoend beschikbaarheidsniveau. In functie van de scope van het project, de kriticiteit van de activa (op het vlak van beschikbaarheid, integriteit en vertrouwelijkheid) en het verwachte model van cloud computing dient de instelling een risicoanalyse te verrichten om de gepaste veiligheidsmaatregelen te bepalen die van de provider worden geëist Uitvoeringswaarborg door de provider Elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, moet de volgende contractuele waarborgen in acht nemen: 3 Europees Agentschap belast met de beveiliging van de netwerken en van de informatiegegevens. Dit verslag is beschikbaar op het volgende adres: 4 Definitie: de omkeerbaarheid is de mogelijkheid om terug te keren naar een vroegere leefbare situatie of organisatie. Hierdoor wordt een blokkerende situatie vermeden waarbij het niet mogelijk is om naar een vroegere situatie terug te keren of waarbij er een afhankelijkheid is ten opzichte van één enkele dienstverlener.. P 4

5 1. Clausule met betrekking tot de mogelijkheid voor een "cloud"-provider om een deel van zijn activiteiten uit te besteden. De serviceprovider is als enige verantwoordelijk ten opzichte van de instelling voor de uitvoering van zijn verplichtingen, dus ook wanneer hij bepaalde van zijn taken uitbesteedt. In het vooruitzicht van de uitbesteding van bepaalde specifieke taken aan onderaannemers, moet in de overeenkomst worden vastgelegd dat de "Cloud"-provider de instelling op de hoogte moet brengen. Bovendien moet de provider zich formeel ertoe verbinden alle verplichtingen die hem zijn opgelegd, over te nemen in de verbintenissen die hij met zijn onderaannemers zal afsluiten. De provider moet zich ervan vergewissen dat deze verbintenissen worden nageleefd door zijn onderaannemers. Hiertoe verricht hij de nodige controles. De uitvoeringsvoorwaarden van deze controles moeten in de overeenkomst worden vastgelegd. 2. Clausule met betrekking tot de integriteit, continuïteit en kwaliteit van de dienstverlening De provider moet alle maatregelen treffen om de integriteit van de gegevens die tijdens de duur van de overeenkomst worden verwerkt, te garanderen, bijvoorbeeld back-upsystemen voorzien. Een verbintenis met betrekking tot een serviceniveau (SLA: Service Level Agreement) moet in een akkoord worden geformaliseerd dat wordt bijgevoegd bij de overeenkomst die tussen de instelling en de "cloud"-provider wordt afgesloten. Daarin worden onder andere bepaald, inclusief voor de garantieperiode, de beschikbaarheid van de service en de maximale opstarttijd na onderbreking te wijten aan een incident en alle andere criteria met betrekking tot het heropstarten van de activiteiten (RTO en RPO) 5. De gedetailleerde maatregelen die de continuïteit van de dienstverlening waarborgen, moeten eveneens worden opgenomen in de SLA die wordt bijgevoegd bij de overeenkomst. 3. Clausule met betrekking tot de teruggave van de gegevens De provider verbindt zich ertoe om de gegevens van de instelling niet langer te bewaren dan voor de duur die met de instelling werd afgesproken. Bij vroegtijdige verbreking of bij einde prestatie verbindt de provider zich ertoe om alle gegevens van de instelling binnen de afgesproken termijn en op de afgesproken manier terug te geven in een gestructureerd en courant gebruikt formaat zodat de instelling de continuïteit van haar dienstverlening kan garanderen. Na teruggave van de gegevens en mits het akkoord van de instelling verbindt de provider zich ertoe alle kopieën van gegevens in zijn bezit, ook de back-ups en het archief, op een veilige manier te vernietigen binnen een redelijke termijn en het bewijs van de vernietiging te leveren. 4. Clausule met betrekking tot de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen Bij het einde van de prestatie verbindt de provider zich ertoe om volgens de in de overeenkomst afgesproken voorwaarden de nodige hulp te bieden bij de migratie van de bewerkingen van zijn "Cloud" naar een andere oplossing. 5. Clausule met betrekking tot de auditregeling De provider verbindt zich ertoe om audits op initiatief van de instelling toe te laten, om nauw samen te werken en om zo snel mogelijk de vastgestelde tekortkomingen te verhelpen. Deze audits kunnen door een trusted third party worden verricht. De audits moeten het mogelijk maken om na te gaan of de overeenkomst en de veiligheidsregels uit deze policy werden nageleefd en of ze in overeenstemming zijn met 5 RTO (Recovery Time Objective): Maximaal aanvaardbare duur van de onderbreking RPO (Recovery Point Objective): Maximaal aanvaardbaar verlies van gegevens P 5

6 onder meer de goede praktijken zoals aanbevolen door de internationale instanties (ISO bv.). De audit moet nagaan of de veiligheidsmaatregelen inzake vertrouwelijkheid, beschikbaarheid, traceerbaarheid en integriteit van de gegevens niet kunnen worden omzeild zonder dat de instelling hiervan op de hoogte is. Bij volledige of gedeeltelijke uitbesteding legt de provider aan al zijn onderaannemers clausules op waarbij het recht van de instelling wordt gegarandeerd om deze audits uit te voeren mits naleving van de voormelde regels. 6. Clausule met betrekking tot de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens De provider moet zich ertoe verbinden, voor hemzelf, zijn onderaannemers en eventuele overnemers, geen gegevens voor eigen rekening of die van een derde te gebruiken of te verspreiden. Hij moet zich ertoe verbinden om alle toegangsloggings (die nodig zijn om te kunnen bepalen wie heeft wat gedaan en wanneer) tot de gegevens, de toepassingstools en bestuursinstrumenten ter beschikking te houden van de instelling gedurende de periode die in de overeenkomst is vastgelegd en deze te beveiligen. Hij moet de instelling op de hoogte brengen van elke anomalie in de toegangslogging zoals toegangspogingen door onbevoegde personen. De provider moet de instelling onmiddellijk op de hoogte brengen van ieder onderzoek of aanvraag tot onderzoek afkomstig van een Belgische of buitenlandse administratieve of gerechtelijke overheid. 7. Clausule met betrekking tot de soevereiniteit De provider moet aan de instelling de waarborg bieden dat hij en zijn eventuele onderaannemers niet onderworpen zijn aan onderzoeksdaden door overheden buiten België en de Europese Unie. 8. Clausule met betrekking tot de verplichtingen van de provider inzake gegevensbeveiliging De "Cloud Computing"-provider moet de relevante goede praktijken naleven, zoals bijvoorbeeld de minimale veiligheidsnormen binnen de sector van de sociale zekerheid of andere standaarden zoals de ISO normen. De provider moet aan de instelling de veiligheidspolicy bezorgen met betrekking tot de diensten die hij aanbiedt en hem op de hoogte houden van de evolutie van deze policy. De provider moet de identiteit van zijn veiligheidsverantwoordelijke meedelen aan de instelling. De provider moet de instelling regelmatig een evaluatie bezorgen over de toestand van de veiligheidsvereisten (dit kan via de SLA afgesloten tussen de twee partijen) Naleving van de goede praktijken door de provider De goede praktijken die hierna worden vermeld, vormen een minimale, niet exhaustieve lijst van veiligheidsmaatregelen die de "Cloud computing"-provider verplicht moet naleven. Daarenboven kan de door de instelling uitgevoerde risicoanalyse aanleiding geven tot bijkomende veiligheidsmaatregelen. In functie van het cloud -model dient de verantwoordelijkheid voor het beheer van de veiligheidsmaatregelen duidelijk vastgesteld te worden. Op het vlak van de gegevensbeveiliging worden vijf domeinen gedefinieerd waarin de goede praktijken moeten worden geïmplementeerd. Vertrouwelijke gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer, inventaris, kwalificatie en traceerbaarheid coherent implementeren, Datacenter: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen externe bedreigen en omgevingsbedreigingen (brand, overstroming, stroomonderbreking, enz.), P 6

7 Logische toegangsbeveiliging: de provider moet over logische toegangscontroles beschikken in verhouding met de kriticiteit van de gegevens, Beveiliging van de systemen: de provider staat in voor het veilig configureren van systemen, Beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een geschikte afscherming naar derden toe. 1. Gegevensbescherming: De provider garandeert dat: de fysieke opslagplaats van de vertrouwelijke gegevens gekend is en voldoet aan de eisen van de instelling (rekencentrum, servers, enz.,); de back-up- en restore-systemen en de desbetreffende informatica-uitwijkplannen worden geïmplementeerd en periodiek uitgetest; hij over een ethische gedragscode beschikt dat op zijn personeel en zijn onderaannemers van toepassing is en door hen wordt toegepast. Hij oefent geen activiteiten uit die tot een belangenconflict kunnen leiden; zijn personeelsleden regelmatig bewust worden gemaakt van het belang van veiligheid; hij over traceermiddelen beschikt waardoor inbreuken op bijzondere rechten of kwaadaardige activiteiten kunnen worden opgespoord; hij over een incidentenpolicy beschikt waarin zowel de opsporing, het alarmeren, de verwerking tot en met de oplossing, de identificatie van de oorzaken en de communicatie aan de instelling worden besproken. 2. Beveiliging van de rekencentra De provider garandeert dat hij over beveiligde systemen beschikt van fysieke toegangscontrole, van inbraak-, brand- en overstromingsdetectie en van videobewaking; enkel de gemachtigde personen toegang krijgen tot een rekencentrum na een adequate goedkeuringsprocedure; bovendien worden de toegangen opgevolgd en regelmatig herzien; de vertrouwelijkheidsclausules die in een overeenkomst zijn vastgelegd ook van toepassing zijn op elke onderaannemer (in het bijzonder voor het onderhoud van de systemen waarin vertrouwelijke gegevens worden bewaard); elk opslagmedium met vertrouwelijke gegevens dat wordt hergebruikt, verwijderd of gerecycleerd moet eerst een doeltreffende procedure doorlopen. 3. Logische toegangsbeveiliging De provider garandeert dat hij de toegangsmodaliteiten tot de gegevens toepast volgens de aanwijzingen meegedeeld door de instelling (raadpleging, aanmaak, wijziging en verwijdering); de toegangen van de gebruikers en de administrators tot de systemen met vertrouwelijke gegevens gebaseerd zijn op mechanismen die de vertrouwelijkheid en de traceerbaarheid garanderen (bv. audit op de toegang tot de gegevens, problematiek van de generieke accounts); hij een authenticatiebeleid toepast dat in overeenstemming is met dat van de instelling. 4. Beveiliging van de systemen De provider garandeert dat de back-upgegevens, ongeacht de drager waarop ze worden opgeslagen, vercijferd worden aan de hand van een gepast middel (algoritme, lengte van de sleutel,...) afhankelijk van het gekozen cloudmodel en voor zover de instelling het nuttig acht; hij de kwetsbaarheden van het systeem beheert en minstens jaarlijks inbraaktesten organiseert; de kritische kwetsbaarheden worden daarbij onmiddellijk verbeterd; P 7

8 de servers waarop de vertrouwelijke gegevens worden gehost, geconfigureerd worden met een zeer streng beveiligingsniveau; de veiligheidspatches op gecentraliseerde wijze beheerd worden, op voorhand uitgetest en geïnstalleerd worden binnen een redelijke termijn en in functie van hun kriticiteit; de anti-malware software op de servers en de werkposten wordt geïnstalleerd en dat deze software wordt bijgewerkt en bewaakt; het gebruik van USB-sleutels en andere mobiele opslagmedia wordt beheerd en gecontroleerd; de beheerprocedures en praktijken inzake risicobeheer, incidentenbeheer en change management worden toegepast en correct gedocumenteerd. 5. Beveiliging van de netwerktoegangen De provider garandeert dat de toegangen tot het netwerk beperkt en beveiligd worden en dat ze worden gefilterd; het beheer van de systemen vanuit een beveiligd, afgezonderd en speciaal daartoe bestemd netwerk wordt verricht met gebruik van sterke authenticatie; de wijzigingen aan de netwerkuitrusting worden op voorhand goedgekeurd, opgevolgd en gedocumenteerd; in het geval van een gedeelde service van "Cloud computing": o o de toegang tot het netwerk enkel wordt toegelaten voor vertrouwde terminals; het netwerk waarop de systemen met vertrouwelijke gegevens worden gehost, van het netwerk van de andere instellingen wordt afgezonderd Naleving van de wettelijke en technische verplichtingen bij de verwerking van persoonsgegevens 6 Alvorens Cloud computing in te voeren, moet elke instelling de impact hiervan evalueren op de veiligheid en de vertrouwelijkheid van de verwerking en de opslag van persoonsgegevens in de Cloud. In functie van de gevoeligheid van de gegevens zoals vastgelegd door de instelling en de impactanalyse zal de instelling al dan niet een beroep kunnen doen op de diensten van een Cloud computing -provider. De volgende regels zijn van toepassing bij gebruik van deze Cloud-diensten: In functie van haar activiteiten moet elke instelling niet alleen de Belgische en Europese wetgeving naleven maar ook de specifieke wetgeving eigen aan een sector; de instelling moet steeds waken over de naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens (privacywet 7 ) bij de verwerking van dergelijke gegevens in een Cloud. In dat geval is de instelling die de gegevens bezit steeds verantwoordelijk voor de correcte naleving van de reglementering met betrekking tot de bescherming van de persoonsgegevens; in geval van outsourcing van persoonsgegevens moet de instelling zich bij de keuze van de Cloud computing -provider steeds beperken tot providers die enkel cloud-diensten van het type gemeenschappelijke Cloud (of private) aanbieden; Behoudens een toegelaten afwijking, is voor elke outsourcing van persoonsgegevens een vercijfering van de gegevens noodzakelijk tijdens het transport en voor de bewaring ervan. De vercijferingsmiddelen moeten bovendien steeds onder controle van de instelling worden beheerd en mogen niet worden uitbesteed. 6 Persoonsgegevens omvatten tevens medische, sociale of privé-gegevens volgens de classificatie van gegevens die binnen de sociale zekerheid geldt 7 P 8

9 6. Bijlage : 6.1. Is er een verschil tussen IT-uitbesteding en Cloud Computing? Nee, er is geen verschil wat betreft veiligheidsvereisten. Uitbesteding is immers de goed gekende methode waarbij een derde partij een of meerdere taken van de onderneming op zich neemt, taken waarvoor men vaak te weinig resources (tijd, expertise) heeft. Deze uitbesteding kan gaan tot de opslag van gegevens en verwerkingssystemen. Cloud Computing is het gevolg van de evolutie van IT-uitbesteding. De virtualisatietechnologieën die goed ontwikkeld werden en de toegang tot het netwerk aan zeer hoge snelheid die veralgemeend werd, hebben er inderdaad voor gezorgd dat de deuren open gingen voor flexibel gebruik en voor de vraag naar grote en mogelijk gedelokaliseerde informaticatools: dat is de kern van Cloud Computing. In dat kader kan dit veiligheidsbeleid ook in overweging genomen worden bij alle IT-uitbestedingen Cloud Computing -modellen Het huidige aanbod inzake "Cloud Computing" kan volgens drie servicemodellen en vier implementatiemodellen worden gerangschikt. De servicemodellen zijn de volgende o SaaS: «Software as a Service», dat wil zeggen de levering van software online; o PaaS: «Platform as a Service», dat wil zeggen de levering van een ontwikkelingsplatform voor online toepassingen; o IaaS: «Infrastructure as a Service», dat wil zeggen de levering van infrastructuur voor de online verwerking en opslag. De implementatiemodellen zijn de volgende: o «Publiek» : de infrastructuur is toegankelijk voor een breed publiek en is eigendom van een Cloud-provider, in dit geval wordt een dienst met veel klanten gedeeld; o «Privaat»: de Cloud-infrastructuur werkt voor één enkele organisatie, ze kan door de instelling zelf (interne private cloud) of door een derde worden beheerd (externe private cloud); o «Gemeenschappelijk»-: Het betreft een infrastructuur die door verschillende organisaties gedeeld wordt die gemeenschappelijke belangen hebben of aan dezelfde (wettelijke) eisen moeten voldoen. Zoals voor de private Cloud kan deze infrastructuur door de organisaties zelf of door een derde worden beheerd; o «Hybride»: Deze infrastructuur bestaat uit minstens twee Clouds (private, gemeenschappelijke of publieke) die apart blijven bestaan maar die met elkaar zijn verbonden door een standaard of bedrijfseigen technologie waardoor de overdraagbaarheid van de gegevens of van de toepassingen wordt gegarandeerd Voorbereiding bij migratie naar een "Cloud Computing"-infrastructuur Een rentabiliteitsanalyse voorbereiden en de kosten en baten met betrekking tot een migratie naar een leverancier van Cloud Computing evalueren. De bedrijfsmiddelen (informatie, applicaties, processen) in het toepassingsgebied van "Cloud Computing" identificeren en classificeren. De sleutelfiguren van de organisatie (wettelijk, veiligheid, financiën, etc.) betrekken bij het beslissingsproces van de migratie naar een Cloud Computing"-service alvorens een beslissing te nemen. Het design en de vereisten van de oplossing die voorgesteld werd door de kandidaat voor de transfer naar "Cloud Computing" grondig bestuderen. Ook vragen dat de leverancier van de "Cloud Computing"- service voor een testperiode zorgt, zodat mogelijke problemen opgespoord kunnen worden. P 9

10 7. Referenties: De ISO-normen 27001, ISO27002 Adviezen en aanbevelingen van de CBPL 8, referentie: SA2/DOS , ISACA publication: Security considerations for cloud computing, ISBN: , Aanbevelingen van de CNIL 9 : «Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing» 8 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, 9 Commission Nationale de l Informatique et des libertés, P 10

Gebruikerspolicy voor mobiele toestellen

Gebruikerspolicy voor mobiele toestellen ISMS (Information Security Management System) Gebruikerspolicy voor mobiele toestellen Version control please always check if you are using the latest version. Doc. Ref. :isms.0046. gebruikerspolicy voor

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third

Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third ISMS (Information Security Management System) Beleid voor de toegang op afstand tot het interne netwerk van een instelling door een dienstverlener van deze instelling op basis van een VPN-oplossing. Technische

Nadere informatie

Beleid voor toegang op afstand tot het interne netwerk van een instelling via de Smals VPNoplossing

Beleid voor toegang op afstand tot het interne netwerk van een instelling via de Smals VPNoplossing ISMS (Information Security Management System) Beleid voor toegang op afstand tot het interne netwerk van een instelling via de Smals VPNoplossing Technisch beleid voor klantinstellingen en eindgebruikers

Nadere informatie

Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final

Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final ISMS (Information Security Management System) Informatieveiligheidsbeleid (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref. : isms xxx

Nadere informatie

1 Inleiding en draagwijdte. 2 Toepassingsgebied. Gedragscode - Informatiebeheerders

1 Inleiding en draagwijdte. 2 Toepassingsgebied. Gedragscode - Informatiebeheerders ISMS (Information Security Management System) Gedragscode voor de informatiebeheerders binnen het netwerk van de sociale zekerheid. (1) Version control please always check if you re using the latest version

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

ISMS. (Information Security Management System) Toegang tot het netwerk van de Kruispuntbank via het internet Versie 3.2.

ISMS. (Information Security Management System) Toegang tot het netwerk van de Kruispuntbank via het internet Versie 3.2. ISMS (Information Security Management System) Gebruik van het internet om toegang te krijgen tot het netwerk van de Kruispuntbank van de Sociale Zekerheid in het kader van de verwerking van persoonsgegevens

Nadere informatie

To cloud or not to cloud

To cloud or not to cloud Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015 Wat is cloud eigenlijk? Wat is cloud eigenlijk? Voordelen echte realisatie van 'on-demand' computing

Nadere informatie

Fysieke beveiliging en beveiliging van de omgeving

Fysieke beveiliging en beveiliging van de omgeving ISMS (Information Security Management System) Fysieke beveiliging en beveiliging van de omgeving Checklist 2008 Version control please always check if you re using the latest version Doc. Ref. : isms.034.checklist.phys

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

ALGEMENE VOORWAARDEN FEDICT DIENSTEN

ALGEMENE VOORWAARDEN FEDICT DIENSTEN ALGEMENE VOORWAARDEN FEDICT DIENSTEN Doel van het document: De algemene voorwaarden voor Fedict diensten bevatten de standaardvoorwaarden voor het gebruik van alle Fedict diensten. Ze worden aangevuld

Nadere informatie

Policy Datasecurity Versie 1.0 10/10/2007

Policy Datasecurity Versie 1.0 10/10/2007 ISMS (Information Security Management System) Policy Datasecurity Version control please always check if you re using the latest version Doc. Ref. : isms.023.datasecurity Release Status Date Written by

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/037 BERAADSLAGING NR 11/028 VAN 5 APRIL 2011 MET BETREKKING TOT DE TOEGANG VAN DE KONINKLIJKE FEDERATIE

Nadere informatie

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn)

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn) Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/187 ADVIES NR 13/77 VAN 3 SEPTEMBER 2013 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal.

Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal. ISMS (Information Security Management System) Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal. Version control please always check if

Nadere informatie

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1 Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1 Het voorliggend document bevat een lijst met elf actiedomeinen in verband met de informatiebeveiliging waarvoor elke

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/10/021 ADVIES NR 10/03 VAN 2 FEBRUARI 2010 BETREFFENDE DE AANVRAAG VAN DE RIJKSDIENST VOOR JAARLIJKSE VAKANTIE

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/12/350 ADVIES NR 12/120 VAN 4 DECEMBER 2012 BETREFFENDE DE AANVRAAG VAN XERIUS SOCIAAL VERZEKERINGSFONDS

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Webinar Unizo Steven Dewinter Steven.Dewinter@belgacom.be January 20 th, 2012 Agenda Agenda: Wat is nu precies Cloud Computing? Voordelen & Nadelen Hoe ga ik naar de Cloud? Belgacom Cloud

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Veiligheidsgids voor de eindgebruiker. Release Status Date Written by Edited by Approved by FR_1.00 First edition 30/04/2013 Alain Houbaille

Veiligheidsgids voor de eindgebruiker. Release Status Date Written by Edited by Approved by FR_1.00 First edition 30/04/2013 Alain Houbaille Gids inzake goede praktijken voor de eindgebruiker Informatieveiligheid Veiligheidsgids voor de eindgebruiker Version control please always check if you are using the latest version. Doc. Ref. :v2013.0019.gids

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/10/135 ADVIES NR 10/26 VAN 9 NOVEMBER 2010 BETREFFENDE DE AANVRAAG VAN MULTIPEN SOCIAAL VERZEKERINGSFONDS

Nadere informatie

ISMS. Minimale Normen. Versie 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Minimale Normen. Versie 2015 (ISO 27002:2013) (Information Security Management System) ISMS Minimale Normen Versie 2015 (ISO 27002:2013) Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Bochart (KSZ), Costrop

Nadere informatie

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken.

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken. Privacybeleid Gegevens die we ontvangen Duidelijkheid en keuzemogelijkheden Gegevens die we delen Toepassing Handhaving Wijzigingen Laatst aangepast: 10 juli 2013 Doccle hecht veel belang aan het onderhouden

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/080 ADVIES NR 11/08 VAN 5 JULI 2011 BETREFFENDE DE AANVRAAG VAN DE FOD SOCIALE ZEKERHEID VOOR HET VERKRIJGEN

Nadere informatie

Check-list informatieveiligheid bij projektontwikkeling

Check-list informatieveiligheid bij projektontwikkeling ISMS (Information Security Management System) Check-list informatieveiligheid bij projektontwikkeling Version control please always check if you re using the latest version Doc. Ref. : isms_021_checklist_project_nl_2_00.doc

Nadere informatie

(Door)ontwikkeling van de applicatie en functionaliteiten

(Door)ontwikkeling van de applicatie en functionaliteiten Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen

Nadere informatie

Verantwoordelijkheid van de eindgebruiker voor Clean desk en Clear Screen beleid

Verantwoordelijkheid van de eindgebruiker voor Clean desk en Clear Screen beleid Information Security Guidelines Versie: 1.20 26 januari 2015 Informatieveiligheid (Policy:2013.0020) Verantwoordelijkheid van de eindgebruiker voor Clean desk en Clear Screen beleid Version control please

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZ/11/049 AANBEVELING NR 11/01 VAN 19 APRIL 2011 BETREFFENDE HET TOEGANGSRECHT VAN DE PATIËNT TOT DE BESTEMMELINGEN

Nadere informatie

Veiligheidsbeleid Draagbare PC

Veiligheidsbeleid Draagbare PC ISMS (Information Security Management System) 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date Written by Approved by 1.0 Draft

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/121 ADVIES NR 09/22 VAN 6 OKTOBER 2009 BETREFFENDE DE AANVRAAG VAN HET OZ ONAFHANKELIJK ZIEKENFONDS VOOR

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Bescherming en beveiliging van uw persoonlijke gegevens

Bescherming en beveiliging van uw persoonlijke gegevens Bescherming en beveiliging van uw persoonlijke gegevens Lees aandachtig de volgende informatie om te begrijpen hoe Travelex uw persoonlijke informatie beheert. Wanneer u een profiel aanmaakt en uw persoonlijke

Nadere informatie

ISMS. Minimale Normen. Versie 2009. (Information Security Management System)

ISMS. Minimale Normen. Versie 2009. (Information Security Management System) ISMS (Information Security Management System) Minimale Normen Versie 2009 Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep met deelname van mevrouw Minnaert (RSVZ), de heren Bouamor

Nadere informatie

GIDS INZAKE GOEDE PRAKTIJKEN MET BETREKKING TOT HET GEBRUIK VAN INTERNET EN E-MAIL

GIDS INZAKE GOEDE PRAKTIJKEN MET BETREKKING TOT HET GEBRUIK VAN INTERNET EN E-MAIL ISMS (Information Security Management System) GIDS INZAKE GOEDE PRAKTIJKEN MET BETREKKING TOT HET GEBRUIK VAN INTERNET EN E-MAIL Version control please always check if you are using the latest version.

Nadere informatie

Richtlijnen met betrekking tot de informatieveiligheidsaspecten binnen het continuïteitsplan

Richtlijnen met betrekking tot de informatieveiligheidsaspecten binnen het continuïteitsplan Richtlijnen met betrekking tt de ISMS (Infrmatin Security Management System) Richtlijnen met betrekking tt de Versin cntrl please always check if yu are using the latest versin. : Dc. Ref. :isms.052.security

Nadere informatie

Publieke informatie door jou gepubliceerd. Berichten die je naar andere leden stuurt

Publieke informatie door jou gepubliceerd. Berichten die je naar andere leden stuurt PRIVACY STATEMENT Dit Privacy Statement toont onze vastberadenheid om je recht op privacy en je gegevens te beschermen. Postbuzz verwerkt je persoonlijke gegevens met zorg en conform aan de bepalingen

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/013 ADVIES NR 11/02 VAN 1 FEBRUARI 2011 BETREFFENDE DE AANVRAAG VAN DE RIJKSDIENST VOOR ARBEIDSVOORZIENING

Nadere informatie

Plus-kaart Privacyverklaring laatste bijwerking op 5 November 2013

Plus-kaart Privacyverklaring laatste bijwerking op 5 November 2013 Plus-kaart Privacyverklaring laatste bijwerking op 5 November 2013 Delhaize Groep neemt uw privacy ernstig op. Hieronder vindt u de uitleg over hoe Delhaize Groep uw persoonsgegevens verzamelt, verwerkt,

Nadere informatie

Privacyverklaring laatste bijwerking op 14 November 2013

Privacyverklaring laatste bijwerking op 14 November 2013 Privacyverklaring laatste bijwerking op 14 November 2013 Onze inzet voor Privacy Delhaize Groep neemt uw privacy ernstig op. Hieronder vindt u de uitleg over hoe Delhaize Groep uw persoonsgegevens verzamelt,

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011 Privacy en cloud computing OCLC Contactdag 4 oktober 2011 Agenda - Wat is cloud computing? - Gevolgen voor verwerking data - Juridische implicaties 1 Wat is cloud computing? - Kenmerken: - On-demand self-service

Nadere informatie

Cloud Computing: valkuilen en must haves in de contracten. Robert Grandia Rotterdam, 20 april 2016

Cloud Computing: valkuilen en must haves in de contracten. Robert Grandia Rotterdam, 20 april 2016 Cloud Computing: valkuilen en must haves in de contracten Robert Grandia Rotterdam, 20 april 2016 - Cloud Computing: wat is het? - 3 juridische valkuilen in contracten voor Cloud Computing - 7 must haves

Nadere informatie

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie: 1.2 (concept) Datum:

Nadere informatie

Beleid voor de beveiliging van werkstations

Beleid voor de beveiliging van werkstations ISMS (Information Security Management System) Beleid voor de beveiliging van werkstations 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.039.workstation.nl

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

Mogen advocaten hun data in de Cloud bewaren?

Mogen advocaten hun data in de Cloud bewaren? Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Maart 2014. Charter inzake het respect voor de persoonlijke levenssfeer

Maart 2014. Charter inzake het respect voor de persoonlijke levenssfeer Maart 2014 Charter inzake het respect voor de persoonlijke levenssfeer Inleiding Het bestaan van een charter inzake het respect voor de persoonlijke levenssfeer benadrukt het engagement van Ethias met

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

To Cloud or Not To Cloud: the Proof of the Pudding

To Cloud or Not To Cloud: the Proof of the Pudding To Cloud or Not To Cloud: the Proof of the Pudding Met de cloud zijn alle problemen opgelost! Geen eigen grote investeringen meer op vlak van infrastructuur, minder lokaal personeel, meer efficiëntie,.

Nadere informatie

Privacyverklaring laatste bijwerking op 5 November 2013

Privacyverklaring laatste bijwerking op 5 November 2013 Privacyverklaring laatste bijwerking op 5 November 2013 Delhaize Groep neemt uw privacy ernstig op. Hieronder vindt u de uitleg over hoe Delhaize Groep uw persoonsgegevens verzamelt, verwerkt, gebruikt

Nadere informatie

Privacyverklaring laatste bijwerking op 21 November 2013

Privacyverklaring laatste bijwerking op 21 November 2013 Privacyverklaring laatste bijwerking op 21 November 2013 Aniserco N.V. (Tom & Co), filiaal van de N.V. Delhaize Groep, neemt uw privacy ernstig op. Hieronder vindt u de uitleg over hoe Aniserco uw persoonsgegevens

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/122 ADVIES NR 09/23 VAN 6 OKTOBER 2009 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet!

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet! voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het moet! Caroline Vernaillen 25 april 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische

Nadere informatie

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1 Amersfoort, april 2013; versie 1.1 COMMUNIQUÉ Inleiding Vanuit de markt rijst steeds vaker de vraag hoe ICT binnen bedrijfsomgevingen veilig en betrouwbaar gegarandeerd kan blijven. Binnenkort zullen ongetwijfeld

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid voor het elektronische bestuurlijke gegevensverkeer Organisatiebeheersing Caroline Vernaillen & Anne Teughels 21 maart 2013 INLEIDING Wie zijn wij Waarom informatieveiligheid Hoe past informatieveiligheid

Nadere informatie

GOF. Belgische gedragscode voor veiliger gsm-gebruik door jonge tieners en kinderen

GOF. Belgische gedragscode voor veiliger gsm-gebruik door jonge tieners en kinderen Belgische gedragscode voor veiliger gsm-gebruik door jonge tieners en kinderen Voorwoord In februari 2007 ontwikkelden de Europese mobiele providers en content providers een gezamenlijke structuur voor

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

OVEREENKOMST voor toetreding tot de. GOVROAM dienst van Belnet

OVEREENKOMST voor toetreding tot de. GOVROAM dienst van Belnet OVEREENKOMST voor toetreding tot de GOVROAM dienst van Belnet TUSSEN: Het Belgische Telematica-onderzoeksnetwerk, Belnet, Staatsdienst met afzonderlijk beheer, opgericht binnen het Federale Wetenschapsbeleid

Nadere informatie

Juridische valkuilen bij cloud computing

Juridische valkuilen bij cloud computing Juridische valkuilen bij cloud computing De drie belangrijkste juridische risico s bij cloud computing Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een service delivery framework

Nadere informatie

Release Status Date Written by Approved by Voorstel voor de instellingen van sociale zekerheid

Release Status Date Written by Approved by Voorstel voor de instellingen van sociale zekerheid ISMS (Information Security Management System) (Beperkt tot Wi-Fi) 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.038.wlan Release Status Date Written by Approved

Nadere informatie

De Commissie voor de bescherming van de persoonlijke levenssfeer;

De Commissie voor de bescherming van de persoonlijke levenssfeer; BERAADSLAGING RR Nr 06 / 2005 van 13 april 2005 O. Ref. : SA2 / RN / 2004 / 042 BETREFT : Beraadslaging betreffende de aanvraag van de Federale Overheidsdienst Volksgezondheid om gemachtigd te worden om

Nadere informatie

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken.

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken. Privacybeleid Gegevens die we ontvangen Duidelijkheid en keuzemogelijkheden Gegevens die we delen Toepassing Handhaving Wijzigingen Laatst aangepast: januari 2015 Doccle hecht veel belang aan het onderhouden

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Steven Dewinter Steven.Dewinter@belgacom.be February 13 th, 2012 Cloud computing is niet nieuw. Het is een evolutie, geen revolutie! Personal Computer, Tekstverwerker, Rekenblad, MS DOS,..

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen Gedragscode ten behoeve van ritregistratiesystemen "Gedragscode Privacy RRS" Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) (./; KEURMERK RITRE

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

PRIVACY CIRCUS BELGIUM

PRIVACY CIRCUS BELGIUM PRIVACY CIRCUS BELGIUM CIRCUS BELGIUM erkent het belang van de bescherming van persoonlijke informatie en persoonsgegevens. Daarom doen we alles wat in onze macht ligt om de privacy van alle bezoekers

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZG/14/219 BERAADSLAGING NR. 14/114 VAN 16 DECEMBER 2014 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS DIE

Nadere informatie

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011;

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011; 1/7 Sectoraal comité van het Rijksregister Beraadslaging RR nr 71/2011 van 14 december 2011 Betreft: machtigingsaanvraag van het Belgische Rode Kruis om het Rijksregisternummer te gebruiken zodat zij voor

Nadere informatie

Deontologische code - Commissie Projectsourcing

Deontologische code - Commissie Projectsourcing Deontologische code - Commissie Projectsourcing 1. Algemene bepalingen 1.1. Doel van deze gedragscode is het bepalen van de regels waartoe de leden zich verbinden ze na te leven. Ze moet bijdragen tot

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN Anne Teughels & Caroline Vernaillen juni 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische

Nadere informatie

Afdeling 1.- De eigenschappen van het registratiesysteem. De gegevensbank maakt het mogelijk de geregistreerde gegevens te traceren.

Afdeling 1.- De eigenschappen van het registratiesysteem. De gegevensbank maakt het mogelijk de geregistreerde gegevens te traceren. Koninklijk besluit van 11 februari 2014 tot uitvoering van de artikelen 31ter, 1, tweede lid en 3, eerste lid, 31quinquies, vierde lid, 31sexies, 2, derde en vierde lid en 31septies, derde lid van de wet

Nadere informatie

NVM BEWERKERSOVEREENKOMST

NVM BEWERKERSOVEREENKOMST NVM BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: 1. De besloten vennootschap met beperkte aansprakelijkheid ID CHECKER.NL B.V., gevestigd te Haarlem, ten deze enerzijds rechtsgeldig vertegenwoordigd door

Nadere informatie

Deze overeenkomst heeft tot doel de modaliteiten voor die toegangsmachtiging te regelen.

Deze overeenkomst heeft tot doel de modaliteiten voor die toegangsmachtiging te regelen. Pagina 1/5 Overeenkomst inzake het gebruik van DVV e-services Na kennis te hebben genomen van deze overeenkomst, gelieve de bepalingen ervan te aanvaarden door de ontbrekende gegevens in te vullen en dit

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Security, Legal and Compliance

Security, Legal and Compliance SharePoint Online Security, Legal and Compliance Voorstellen Harald van Leeuwen IT Consultant EIC Verantwoordelijk voor SharePoint portfolio www.linkedin.com/in/haraldvanleeuwen Harald.van.leeuwen@eic.nl

Nadere informatie

VERPLICHTINGEN VAN DE VERANTWOORDELIJKE VOOR DE GEGEVENSVERWERKING

VERPLICHTINGEN VAN DE VERANTWOORDELIJKE VOOR DE GEGEVENSVERWERKING Bijlage 1 Betreft: Informatie inzake de privacy-wetgeving INLEIDING De Privacywet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde

Nadere informatie

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer; KONINKRIJK BELGIE Brussel, Adres : Hallepoortlaan 5-8, B-1060 Brussel Tel. : +32(0)2/542.72.00 E-mail : commission@privacy.fgov.be Fax.: : +32(0)2/542.72.12 http://www.privacy.fgov.be/ COMMISSIE VOOR DE

Nadere informatie

Informatieveiligheidsconsulent. 23 sept 2014 Gent

Informatieveiligheidsconsulent. 23 sept 2014 Gent Informatieveiligheidsconsulent 23 sept 2014 Gent Wie zijn ze wat doen ze? VERANTWOORDELIJKHEDEN INFORMATIEVEILIGHEIDSCONSULENTEN Wie moet een informatieveiligheidsconsulent aanstellen? De verplichting

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Privacy Policy Oude Dibbes

Privacy Policy Oude Dibbes Privacy Policy Oude Dibbes 22-08-15 pagina 1 van 6 Inhoudopgave 1 Privacy Policy... 3 1.1 Oude Dibbes en derden... 3 1.2 Welke informatie wordt door Oude Dibbes verwerkt en voor welk doel?... 3 1.2.1 Klantgegevens...

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie