Handreiking classificatie. Universiteit Leiden

Maat: px
Weergave met pagina beginnen:

Download "Handreiking classificatie. Universiteit Leiden"

Transcriptie

1 Handreiking classificatie Universiteit Leiden 1

2 Versie beheer Versie april 2015 Eerste concept door Marco Gosselink Versie april 2015 Tweede concept na opmerkingen J-W Brock. Versie mei 2015 Derde concept na opmerkingen Erik Adriaens en informatiemanagers. Versie juni 2015 Definitieve versie 2

3 Inhoudsopgave 1. Inleiding 4 2. Beveiligingskaders en uitgangspunten Beschikbaarheid Integriteit Vertrouwelijkheid 5 3. Beveiligingsklassen Beveiligingsklasse basis risico Beveiligingsklasse verhoogd risico Beveiligingsklasse hoog risico 7 4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening 8 5. Classificatie Wat is classificatie Het risico van over- of onderclassificatie De opdrachtgever van de classificatie Het classificeren 10 Bijlage: 1. Achtergrondvragen bij de risicoanalyse De risicoanalyse zelf 14 3

4 1.Inleiding Dit document beschrijft de classificatierichtlijn, waarmee de systeemeigenaren (c.q. de opdrachtgevers van ICT-projecten) voor zichzelf kunnen bepalen wat het belang van de gegevens in hun systeem is voor het onderwijs, onderzoek en bedrijfsvoering van de Universiteit Leiden. Deze richtlijn richt zich dus op de eigenaren van ICT-voorzieningen of eigenaren van informatie of data dat in een systeem aanwezig is. Zij zijn immers als (gemandateerd) eindeverantwoordelijke ook verantwoordelijk voor het implementeren en handhaven van de beveiligingsmaatregelen. Het zijn ook deze eigenaren die beslissen over de classificatie van hun ICT-voorziening of data. Zij kunnen hierbij geadviseerd worden door informatiemanagers, security officers en de security manager. Afhankelijk van deze classificatie worden vervolgens de maatregelen uit de maatregelendatabase voor het betreffende systeem voorgeschreven. Deze richtlijn is een hulpmiddel om tot een classificatie te komen en deze nader te onderbouwen. Hiertoe wordt een classificatiemethode en vragenlijst aangeboden. In diverse gevallen zal niet direct eenduidig een classificatie uit de bus rollen, maar zal de toegekende classificatie het resultaat zijn van een zorgvuldige afweging van de verkregen informatie. Hierbij speelt ook een kosten/baten analyse een rol: hoe hoger de beveiligingsklasse, hoe meer beveiligingsmaatregelen getroffen moeten worden en hoe hoger de kosten. Daarnaast is het risico dat men wenste te accepteren een belangrijke factor. Separaat aan de classificatierichtlijn is een baseline van maatregelen ontwikkeld. Als de klasse is bepaald dan kunnen maatregelen worden genomen. Alle systemen moeten voldoen aan de baseline van maatregelen voor interne systemen (die door het ISSC worden gehost) of de baseline van maatregelen voor externe systemen (in geval van hosting in de cloud). Daarnaast is het mogelijk dat nog meer maatregelen moeten worden genomen. De scope van de classificatie heeft betrekking op gegevens die zich in systemen bevinden. Dit kunnen systemen zijn voor bedrijfsvoering, onderwijs en onderzoek. Onder de informatiesystemen vallen de basisinfrastructuur (met onder andere netwerken, werkplekken en opslag), concernsystemen en specifieke (onderzoeks)systemen van eenheden. De systemen kunnen lokaal draaien maar ook in de cloud aanwezig zijn. Op beide locaties is deze Handreiking Classificatie van toepassing. Zowel de security manager, informatiemanagers/security officers en onderzoekers kunnen een classificatie uitvoeren. De informatie- of systeemeigenaar is aanspreekbaar op de toepassing van de maatregelen die uit de classificatie voortkomen. De securitymanager is verantwoordelijk voor het onderhoud van dit document. 4

5 2.Beveiligingskaders en uitgangspunten Informatiebeveiliging kent drie aspecten - beschikbaarheid, integriteit en vertrouwelijkheid - die gezamenlijk het gehele veld van beveiliging beschrijven. Met betrekking tot deze begrippen, is voor de ICT-voorzieningen ook een centrale lijn vastgesteld. Het beveiligingskader voor de classificatie wordt uitgewerkt naar twee dimensies, zoals in onderstaand voorbeeld: Basis risico Verhoogd risico Hoog risico Beschikbaarheid Integriteit Vertrouwelijkheid x x x In dit hoofdstuk worden de drie beveiligingsbegrippen en de drie beveiligingsklassen nader uitgewerkt. Verder wordt in deze paragraaf ingegaan op de diverse rollen en verantwoordelijkheden ten aanzien van de ICT-voorzieningen en in het bijzonder op de rol van de systeemeigenaar, als eindverantwoordelijke voor de classificatie. 2.1 Beschikbaarheid Onder beschikbaarheid wordt verstaan: waarborgen dat gebruikers op de juiste momenten toegang hebben tot informatie. Elementen die beschikbaarheid bepalen zijn bijvoorbeeld een betrouwbare stroomvoorziening, adequate brandbeveiliging, de aanwezigheid van een actueel continuiteitsplan, betrouwbare reservekopieën en het ontbreken van zogeheten single points of failure. Andere aspecten zijn het bestaan van voldoende toegangsmogelijkheden voor het beoogde aantal gelijktijdige gebruikers en bescherming tegen zogeheten denial-of-service aanvallen. 2.2 Integriteit Onder integriteit wordt verstaan: het waarborgen van de juistheid en de volledigheid van informatie en verwerking. Elementen van integriteit zijn bijvoorbeeld het aanbrengen van wijzigingen door geautoriseerde personen, geldigheidscontroles (bijvoorbeeld of een ingevoerde datum wel aan het format voldoet) en het registreren van wijzigingen. Verder training van kerngebruikers, het tegengaan van schaduwbestanden en het gebruik van licentieservers. 2.3 Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Elementen van vertrouwelijkheid zijn bijvoorbeeld versleuteling van informatie en (harde) authenticatie van de gebruiker zodra deze zich toegang tot de gegevens wil verschaffen. Verder autorisatie naar rol, clear desk en gecontroleerde afvoer. 5

6 Samenvattend: aspecten en kenmerken van informatiebeveiliging en daaraan gerelateerde bedreigingen: Aspect Kenmerk Bedreiging Voorbeelden van bedreiging Beschikbaarheid Tijdigheid Vertraging Overbelasting van infrastructuur Continuïteit Uitval Defect in infrastructuur Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen van gegevens; virusinfectie; typefout Volledigheid Verwijdering Ongeautoriseerd wissen van gegevens Toevoeging Ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-todate houden Authenticiteit Vervalsing Frauduleuze transactie Onweerlegbaarheid Verloochening Ontkennen een bepaald bericht te hebben verstuurd Vertrouwelijkheid Exclusiviteit Onthulling Afluisteren van netwerk; hacking Onbedoeld gebruik Misbruik Privégebruik 6

7 3. Beveiligingsklassen 3.1 Beveiligingsklasse basis risico De classificatie basis risico (standaard risico) betekent dat het betreffende systeem moet voldoen aan alle minimale eisen die aan alle ICT-voorzieningen gesteld worden. Het pakket aan standaard beveiligingsmaatregelen wordt ook wel de baseline beveiliging genoemd. De baseline beveiliging is dus het geheel van maatregelen dat getroffen moet worden ook al geeft de classificatie geen aanleiding tot extra maatregelen. Als een systeem de classificatie basis risico krijgt, betekent dit dus dat alle standaard beveiligingsmaatregelen die voor dit systeem relevant zijn, moeten worden geïmplementeerd. Voor een server betekent dit bijvoorbeeld dat er o.a. een standaard backup procedure van toepassing moet zijn, dat er een procedure voor monitoring en het implementeren van security patches moet zijn. 3.2 Beveiligingsklasse verhoogd risico De classificatie verhoogd risico betekent dat een inbreuk op de beschikbaarheid integriteit of vertrouwelijkheid van een ICT-voorziening een verstoring veroorzaakt in één van de primaire processen, maar niet van zeer ernstige of onomkeerbare aard. Voor systemen met de classificatie verhoogd risico zal ten opzichte van de baseline beveiliging een aanvullend pakket beveiligingsmaatregelen voorgeschreven worden. Hierbij kan men bijvoorbeeld denken aan sterke authenticatie van gebruikers bij toegangscontrole, back-up voorzieningen, enz. De classificatie verhoogd risico brengt dus extra maatregelen en extra kosten met zich mee. De maatregelen zullen doorgaans nog een algemeen, gestandaardiseerd karakter hebben, waarbij de kosten tot uiting kunnen komen als extra kosten in de dienstverleningsovereenkomst Bij incidenten zullen voorzieningen met een classificatie verhoogd risico een hogere prioriteit krijgen bij herstelwerkzaamheden. 3.3 Beveiligingsklasse hoog risico De classificatie hoog risico wordt gereserveerd voor die systemen waarbij aantasting van beschikbaarheid, integriteit dan wel vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaakt, ernstige schade toebrengt aan het imago of een wetsovertreding inhoudt. Enkele voorbeelden zijn: openbaarmaking door een hacker van persoonlijke gegevens of aantasting van de juistheid van de studievoortganggegevens (schending van integriteit), Voor systemen met de classificatie hoog risico geldt dat bovenop de maatregelen voor systemen met de classificatie verhoogd risico extra maatregelen getroffen dienen te worden. Dit kunnen weer gestandaardiseerde maatregelen zijn, maar er kan ook een vorm van maatwerk plaatsvinden. De classificatie hoog risico dient zeer terughoudend te worden gebruikt. Deze classificatie brengt namelijk de hoogste beveiligingskosten per te beveiligen systeem met zich mee. Het is de systeemeigenaar die bepaalt of deze classificatie juist is en welk restrisico acceptabel is. 7

8 4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening Zoals in het informatiebeveiligingsbeleid al wordt genoemd kunnen in relatie tot een ICT-voorziening verschillende rollen of functies worden onderscheiden. Denk hierbij aan de systeemeigenaar, de functioneel beheerder, applicatiebeheerder, technisch beheerder en de gebruiker. Tabel met rollen en verantwoordelijkheden bij een ICT-voorzieninbg Rol Systeemeigenaar Informatie-eigenaar Data-eigenaar Functioneel beheerder Applicatiebeheerder Technisch beheerder Gebruiker Verantwoordelijkheid Heeft beslissingsrecht over de ICTvoorziening/informatie/data. Stelt de afspraken en procedures rondom autorisatie vast Zorgt voor training en opleiding De systeemeigenaar draagt zorg voor (c.q. delegeert) het functioneel beheer, applicatiebeheer en technisch beheer. Is verantwoordelijk voor (de ondersteuning van) het feitelijk gebruik van de ICT-voorziening Kent autorisaties toe Is verantwoordelijk voor een juiste implementatie en opvolging van de beveiligingsmaatregelen Is verantwoordelijk voor het beheer van een gebruikersapplicatie (configuratie, parametrisering, patchbeleid, etc.) Voert overleg met (de systeemeigenaar), de functioneel beheerders en technisch beheerders Ziet toe op een juiste functionele werking van een applicatie Is verantwoordelijk voor het technisch beheer van de ICT-voorziening en eventuele ondersteunende ICTvoorzieningen Voert overleg met (de systeemeigenaar), de functioneel beheerder en de applicatiebeheerder Ziet toe op een juiste technische werking van de ICTvoorziening en de beveiligingshulpmiddelen Gebruikt de ICT-voorziening op de juiste wijze Meldt onregelmatigheden in de beveiliging van de ICTvoorziening. De eigenaar van bepaalde informatie in een ICT-voorziening is verantwoordelijk voor de classificatie. Het is immers ook de eigenaar die het beslissingsrecht heeft over de ICT-voorziening en die de kosten draagt die verband houden met de beveiliging. NB. De term systeemeigenaar wordt hier niet in juridische zin bedoeld, immers het formele eigendom ligt bij het College van Bestuur. 8

9 5. Classificatie 5.1 Wat is classificatie Bij het classificatieproces wordt van een ICT-voorziening vastgesteld wat de beveiligingsklasse (basis risico, verhoogd risico, hoog risico) is voor elk van de beveiligingsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Zodra de vaststelling van de beveiligingsklasse voor bovenstaande aspecten heeft plaatsgevonden kan aan de hand van de baseline van maatregelen bepaald worden welk pakket maatregelen van toepassing is. Classificatie van ICT-voorzieningen en het treffen van de bijbehorende beveiligingsmaatregelen is geen eenmalige activiteit, maar een cyclus die op basis van nieuwe inzichten en beveiligingsincidenten elke drie jaar herhaald moet worden, en die dan telkens kan leiden tot bijstelling van classificatie en beveiligingsmaatregelen. Een bijkomende reden van classificatie is kostenbesparing door beheersbaarheid van standaardisatie. 5.2 Het risico van over- of onderclassificatie Er dient gewaakt te worden voor over- en onderclassificatie. Bij overclassificatie worden systemen in een te hoge beveiligingsklasse geplaatst, bijvoorbeeld vanwege een onterecht hoge eis aan de beschikbaarheid. Dit kan leiden tot onnodige kosten en functionele beperkingen. Bij onderclassificatie worden systemen in een te lage beveiligingsklasse geplaatst, bijvoorbeeld om redenen van kostenbesparing. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging maar een reële inschatting van de gevolgen daarvan bepalend zijn. 5.3 De opdrachtgever van de classificatie ICT-voorziening ligt deze verantwoordelijkheid bij de opdrachtgever van het ontwikkeltraject. Dit zal meestal de systeemeigenaar zijn. Het is wenselijk dat de systeemeigenaar zich bij het classificeren laat bijstaan door de functioneel beheerder of door anderen. Voor een nog niet geclassificeerde ICT-voorziening geldt dat de systeemeigenaar verantwoordelijk is voor eventuele schade en dat voor dergelijke voorzieningen altijd de baseline van maatregelen geldt. 9

10 5.4 Het classificeren Classificatie van systemen voor bedrijfsvoering, onderwijs en onderzoek. Bij het classificeren wordt gebruik gemaakt van een tweetal vragenlijsten: 1. Een lijst met algemene vragen over het systeem en de gegevens 2. Een scenariolijst waarin scenario s worden bekeken aan de hand van de kenmerken beschikbaarheid, integriteit en vertrouwelijkheid. Deze scenario s bepalen de classificatieklasse. Ad.1 de lijst met algemene vragen betreffende het (toekomstige) systeem: wat voor systeem is het, wat is het doel van het systeem, welke gegevens worden verwerkt, etc. Ad.2 bij de scenariolijst gaat het om de volgende scenario s: - schade aan het (hoofd)bedrijfsproces - directe financiële schade - (inbreuk op) overeenkomsten - reputatieschade - persoonsschade - (inbreuk op) wet- en regelgeving Bij elk van deze scenario s wordt gekeken naar de informatiebeveiligingsaspecten beschikbaarheid, vertrouwelijkheid en integriteit en wordt gekeken of de impact laag/midden/hoog is. Op basis van de score op deze kenmerken worde classificatie gemaakt. Nadat de classificatie heeft plaatsgevonden maakt de security manager, informatiemanager/security officer of onderzoeker een rapportage van de bevindingen. Deze wordt aan de systeemeigenaar gestuurd en daarna vindt er een gesprek plaats over de bevindingen en over de maatregelen die worden genomen. De classificatie van gegevens in een systeem dat voor onderzoek en onderwijs wordt gebruikt wordt in principe op dezelfde wijze verricht als de classificatie van gegevens in concernsystemen. De scenario s worden doorgenomen en op basis daarvan de risicoklasse bepaald. De procedure kan verschillen omdat bij concernsystemen de security manager, informatiemanager/ security officer van het ISSC de risicoanalyse verricht en bij systemen ten behoeve van onderzoek zal dit door de informatiemanager/informatiemanager van de desbetreffende faculteit worden verricht. 10

11 Bijlage Het template voor de classificatie bestaat uit de volgende onderdelen: 1. Achtergrondvragen bij de risicoanalyse 2. De risicoanalyse zelf Nadat de risicoanalyse is verricht wordt er een rapportage gemaakt. 11

12 Ad.1 Achtergrondvragen risicoanalyse A1 Wat is de naamsaanduiding van het systeem? A2 Specificeer naam en bereikbaarheidsgegevens van de eigenaar en de functionele beheerder vermeld ook het bedrijfsonderdeel waaronder het systeem valt A3 Scope: wat behoort tot het systeem en wat niet? A4 Voor welke functionele doelen wordt het systeem gebruikt? denk hier aan hoofdfuncties als administratie, onderwijs, publieksinformatie etc., en aan doelgroepen van gebruikers A5 Welke typen gegevens worden vastgelegd? denk aan structuur (teksten, tabellen, plaatjes) en inhoud (meetresultaten, personalia, locaties, financiën) e.d. A6 Worden historische gegevens vastgelegd, dan wel weggeschreven naar andere media? bedoeld is hier een interne en/of externe archiveringsfunctie en de regelmaat waar en waarmee dit gebeurt A7 Hoe lang worden gegevens online bewaard nadat ze bedrijfsmatig zijn afgehandeld? specificeer de termijnen, bijvoorbeeld na een jaarafsluiting of na diploma-uitreiking of pensionering A8 Hoe vindt het transport van authenticatiegegevens plaats van en naar het systeem? zijn er client/server-verbindingen of webinterfaces? met welke communicatieprotocols? A9 Hoeveel personen hebben mutatiebevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, mutatie van systeemtabellen, invoer van transacties e.d. vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud A10 Hoeveel personen hebben raadpleegbevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, raadplegen van systeemtabellen, raadplegen van transacties, e.d. Vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud A11 Wat zijn de bronsystemen van dit systeem? bijvoorbeeld van bronsystemen voor organisatorische of persoonsgebonden gegevens 12

13 A12 Wat zijn de doelsystemen (de afnemende systemen) van dit systeem? specificeer per afnemend systeem de naamsaanduiding en de naam van de eigenaar; A13 Is er sprake van fatale onderbrekingsmomenten? denk hierbij aan formele peildatumrapportages, incidentele massa-verwerking, gegevensconversie, jaarafsluiting e.d. A14 Aan welke wetgeving of regelgeving moet het systeem voldoen? A15 Welke wettelijke bewaartermijnen zijn er voorgeschreven? denk hierbij aan de archiefwet, de wet bescherming persoonsgegevens, en fiscale of civiel-rechterlijke bewaartermijnen A16 Wat is de juistheidsverwachting van de bedrijfsinformatie binnen het systeem? specificeer: laag, redelijk, hoog, zeer hoog A17 Bevat het systeem informatie onder embargo of met een andere publicatiebeperking? A18 Bevat het systeem persoonsgegevens? A19 Welk type werkplekken zijn er voor raadpleging en/of mutatie van gegevens beschikbaar Kantoor/thuis/mobiel A20 Hoe ziet het plaatje met de verbindingen tussen de systemen eruit? 13

14 Ad.2 De risicoanalyse zelf Schadescenario s Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit nvt L M H Directe fin. schade Schade aan (hoofd) bedrijfsprocessen Overeenkomsten Imago-schade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit 14

15 Persoonsschade Wet- en regelgeving en beleid Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit NB. In het Excel spreadsheet van de risicoanalyse zijn de categorieën L(aag), M(idden) en H(oog) ingevuld zodat er een handvat is om de keuze te maken. 15

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid 2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting

Nadere informatie

AVG Routeplanner voor woningcorporaties

AVG Routeplanner voor woningcorporaties AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

0.1 Opzet Marijn van Schoote 4 januari 2016

0.1 Opzet Marijn van Schoote 4 januari 2016 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

BIJLAGE 2: BEVEILIGINGSBIJLAGE

BIJLAGE 2: BEVEILIGINGSBIJLAGE BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van

Nadere informatie

Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente

Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente Universitair Informatiemanagement Kenmerk: SECR/IM/11/0412/khv Datum: 21 september 2011 Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente 1 Inleiding... 2 1.1 Algemeen... 2 1.2

Nadere informatie

Vergelijking verwerkingsregister AVG

Vergelijking verwerkingsregister AVG Vergelijking verwerkingsregister AVG Voor een gemeente in Noord-Nederland is een korte vergelijking gedaan van de verwerkingsregisters van en. Hierbij is met name gekeken naar het voldoen aan de wettelijke

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Dataclassificatie Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Informatieveiligheid. Onderzoeksopzet

Informatieveiligheid. Onderzoeksopzet Informatieveiligheid Onderzoeksopzet Amsterdam, september 2015 Inhoudsopgave 1. Aanleiding... 3 2. Achtergrond... 5 3. Probleemstelling en onderzoeksvragen... 7 4. Afbakening... 8 5. Beoordelingskader...

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Definitieve versie d.d. 24 mei Privacybeleid

Definitieve versie d.d. 24 mei Privacybeleid Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens

Nadere informatie

Voorwaarden Digilevering

Voorwaarden Digilevering Voorwaarden Digilevering 3 juni 2015 Plaatsbepaling De Voorwaarden Digilevering bevatten de specifieke voorwaarden die gelden tussen Logius en Afnemers en tussen Logius en Basisregistratiehouders bij het

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens. Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december

Nadere informatie

PROGRAMMA VAN EISEN PROGRAMMA VAN EISEN LAS/LVS (V)SO

PROGRAMMA VAN EISEN PROGRAMMA VAN EISEN LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO HANDREIKING UITVRAAG INKOOP LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO > HANDREIKING UITVRAAG INKOOP LAS/LVS (V)SO (bijlage 1) INVULFORMULIER

Nadere informatie

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017 GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer

Nadere informatie

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018 Protocol melding en afhandeling beveiligings- of datalek, versie 1.1 19 oktober 2018 1 Protocol Melding en afhandeling beveiligings- of datalek 1. Inleiding De achtergrond van deze procedure is de Meldplicht

Nadere informatie

1. Beveiligingsbijlage

1. Beveiligingsbijlage Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Medi-Office gebruikt verschillende categorieën van persoonsgegevens. Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.

Nadere informatie

Checklist Beveiliging Persoonsgegevens

Checklist Beveiliging Persoonsgegevens Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen

Nadere informatie

De grootste veranderingen in hoofdlijnen

De grootste veranderingen in hoofdlijnen GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens

Nadere informatie

Verwerkersovereenkomst

Verwerkersovereenkomst Verwerkersovereenkomst STKKR verwerkt in sommige gevallen persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst (abonnement) met STKKR heeft. STKKR en de

Nadere informatie

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18 ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

ISO 27001:2013 Informatiebeveiligingsbeleid extern

ISO 27001:2013 Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES

Nadere informatie

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018 Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens

Nadere informatie

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data en potentieel dus tot nieuwe of rijkere informatie. Digitalisering speelt ook een grote rol binnen het onderwijs,

Nadere informatie

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)

Nadere informatie

Privacybeleid gemeente Wierden

Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk

Nadere informatie

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen

Nadere informatie

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek 1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid Drukkerij van der Eems

Informatiebeveiligingsbeleid Drukkerij van der Eems Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit

Nadere informatie

(Door)ontwikkeling van de applicatie en functionaliteiten

(Door)ontwikkeling van de applicatie en functionaliteiten Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Whitepaper. Het nut van Dataclassificatie Michel Gulpen, Security Consultant

Whitepaper. Het nut van Dataclassificatie Michel Gulpen, Security Consultant Whitepaper Het nut van Dataclassificatie Michel Gulpen, Security Consultant Inhoudsopgave Managementsamenvatting... 2 Inleiding... 4 1. Informatiebeveiliging... 5 2. Dataclassificatie in drie pijlers...

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Handreiking bescherming persoonsgegevens cliënten

Handreiking bescherming persoonsgegevens cliënten Handreiking bescherming persoonsgegevens cliënten 1. Inleiding Binnen SDW worden conform wet- en regelgeving persoonsgegevens verwerkt van cliënten, hun vertegenwoordigers of contactpersonen en anderen

Nadere informatie

B2BE Data Processing Overeenkomst 1. DEFINITIES

B2BE Data Processing Overeenkomst 1. DEFINITIES B2BE Data Processing Overeenkomst 1. DEFINITIES "Overeenkomst" Deze Overeenkomst beschrijft de voorwaarden waarop de Klant en B2BE ermee instemmen zich aan de Algemene Verordening Gegevensbeschermings

Nadere informatie

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming Openbaar Onderwijs Emmen, OOE Protocol Informatiebeveiligingsincidenten en datalekken Conform de Algemene Verordening Gegevensbescherming Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar

Nadere informatie

Verwerkersovereenkomst

Verwerkersovereenkomst Verwerkersovereenkomst Verwerking van persoonsgegevens: toepassing GDPR Dit document maakt integraal deel uit van de overeenkomst, afgesloten tussen A&M nv ( de verwerker ) Raghenoplein 17/19 2800 Mechelen

Nadere informatie

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie. Privacyverklaring Wij van Stimuliz wijden ons toe aan het respecteren en beschermen van de correctheid, vertrouwelijkheid en beveiliging van jouw persoonlijke informatie. Wij zorgen ervoor dat jij je veilig

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

Informatiebeveiliging voor overheidsorganisaties

Informatiebeveiliging voor overheidsorganisaties Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer

Nadere informatie

Dit is de privacyverklaring voor relaties van Easys Horeca B.V. handelend onder de naam Eazis Music & Systems (verder Eazis).

Dit is de privacyverklaring voor relaties van Easys Horeca B.V. handelend onder de naam Eazis Music & Systems (verder Eazis). PRIVACYVERKLARING Inhoudsopgave 1. Inleiding 2. Reikwijdte en doelstelling van het reglement 2.1 Reikwijdte 2.2 Doel 3. Verzamelen en verwerken van persoonsgegevens 3.1 Verzamelen 3.2 Verwerken 3.3 Bijzondere

Nadere informatie

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Versie Privacyreglement. van Gilde Educatie activiteiten BV Versie 02-01-2017 Privacyreglement van Gilde Educatie activiteiten BV 2 ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt

Nadere informatie

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

Bijlage: Verwerkersovereenkomst

Bijlage: Verwerkersovereenkomst Bijlage: Verwerkersovereenkomst Deze verwerkersovereenkomst is een bijlage bij "Algemene voorwaarden inzake Bothoff Media B.V." (hierna: de Hoofdovereenkomst) tussen Verwerkingsverantwoordelijke (hierna:

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Service Garantie. Inhoudsopgave. Versie 1.2. November 2016

Service Garantie. Inhoudsopgave. Versie 1.2. November 2016 Service Guarantee, version 1.2 Versie 1.2 Service Garantie November 2016 Inhoudsopgave 1. Inleiding 1.1 Service Garantie 1.2 Begrippen en definities 1.3 Service 1.3.1 Service Support Service Desk Incidenten

Nadere informatie

PRIVACYREGLEMENT HUMANTOTALCARE B.V. Versie 1.1 Classificatie: publiek

PRIVACYREGLEMENT HUMANTOTALCARE B.V. Versie 1.1 Classificatie: publiek PRIVACYREGLEMENT HUMANTOTALCARE B.V. Versie 1.1 Classificatie: publiek is ingeschreven bij de Kamer van Koophandel onder nummer 06082138 Inhoud Inleiding... 3 Verwerking van persoonsgegevens door HumanTotalCare...

Nadere informatie

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008 voorbeeldexamen ISFS I-Tracks Information Security Foundation based on ISO/IEC 27002 editie augustus 2008 inhoud 2 inleiding 3 voorbeeldexamen 14 antwoordindicatie 33 evaluatie EXIN Hét exameninstituut

Nadere informatie

Handleiding Dataclassificatie

Handleiding Dataclassificatie Handleiding Dataclassificatie Publicatie van CAT Data Classification & CEG Information Security CIO Platform Nederland, december 2016 Handleiding Dataclassificatie - CIO Platform Nederland december 2016

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

CLASSIFICATIE VAN PERSOONSGEGEVENS

CLASSIFICATIE VAN PERSOONSGEGEVENS CLASSIFICATIE VAN PERSOONSGEGEVENS basisschool Sancta Maria Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB). Versie Datum Status Auteur(s) Opmerking 1.0 2018-05-26 GELDIG

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het

Nadere informatie

Beleidsnotitie Informatiebeveiliging

Beleidsnotitie Informatiebeveiliging Beleidsnotitie Informatiebeveiliging Radboud Universiteit Nijmegen 2013-2016 Versie: 1.2 Inhoudsopgave 1. Inleiding... 3 2. Doel en uitgangspunten... 3 3. Reikwijdte en doelgroep... 4 4. Beveiligingsorganisatie...

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

2. Beveiligingsbijlage

2. Beveiligingsbijlage Bijlage 2 2. Beveiligingsbijlage 2.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang

Nadere informatie