Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente <GEMEENTE> met de (nader in te vullen) bewerker

Transcriptie

1 De bewerkersovereenkomst Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente <GEMEENTE> met de (nader in te vullen) bewerker <volledige naam gemeente>, gevestigd te <plaats>, te dezen vertegenwoordigd door <naam ondertekenaar>, in de functie <functie>, en als zodanig handelend krachtens artikel 171, tweede lid, van de Gemeentewet bij besluit van de burgemeester d.d. met nummer., en volgens de mandaatregeling <volledige naam gemeente> en ter uitvoering van het besluit van het college van burgemeester en wethouders d.d..met nummer.., hierna te noemen: Opdrachtgever en <volledige naam en rechtsvorm contractant>, (statutair) gevestigd te <plaats>, inschrijfnummer < > van het Handelsregister KvK, te dezen rechtsgeldig vertegenwoordigd door <naam ondertekenaar>, in zijn hoedanigheid van <functie>, hierna te noemen: Opdrachtnemer verklaren te zijn overeengekomen een bewerkersovereenkomst als bedoeld in artikel 14, tweede lid, van de Wbp, tussen de <volledige naam gemeente>, namens, nader te noemen de verantwoordelijke en <nader in te vullen naam van de bewerker>, nader te benoemen de bewerker.

2 Definities Artikel Bijlagen: aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst. 1.2 Normen en standaarden: de door de verantwoordelijke vastgestelde normen en standaards ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de bewerker zullen worden gevolgd als vastgelegd in bijlage Verwerking van persoonsgegevens of het verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens. 1.4 Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 1.5 Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 1.6 Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 1.7 Betrokkene: degene op wie een persoonsgegeven betrekking heeft. 1.8 Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. 1.9 Ontvanger: degene aan wie de persoonsgegevens worden verstrekt Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt Het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51 van de Wbp Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de Wbp. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 2/20

3 1.13 Voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31 van de Wbp Verstrekken van persoonsgegevens:- het bekend maken of ter beschikking stellen van persoonsgegevens. Ingangsdatum en duur Artikel Deze overeenkomst gaat in op < > of zoveel eerder dat bewerker persoonsgegevens ontvangt in de voorbereiding op de uitvoer van de < > en duurt voort zolang de bewerker als bewerker van persoonsgegevens optreedt in het kader van de door de verantwoordelijke ter beschikking gestelde persoonsgegevens voor < >. Onderwerp van deze overeenkomst Artikel De bewerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke in het kader van de uitvoering van < contract, nummer>. 3.2 De bewerker verbindt zich om in het kader van die werkzaamheden de door de verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken. 3.3 Dat de Wbp aan de verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat de bewerker voldoende waarborgen biedt ten aanzien van de technischeen organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Naleving wet- en regelgeving Artikel Het College van Burgemeester en Wethouders van de <volledige naam gemeente>, is verantwoordelijke in de zin van de Wbp. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 3/20

4 4.2 De afdeling <volledige naam>, van <volledige naam gemeente>, is namens de verantwoordelijke belast met het beheer van de binnen de afdeling <volledige naam> in beheer zijnde gegevensverwerkingen. 4.3 De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, in overeenstemming met diens instructies. 4.4 De bewerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de bewerker te berusten. 4.5 De bewerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De bewerker verwerkt persoonsgegevens slechts in opdracht van de afdeling <volledige naam> en zal alle redelijke instructies van de afdeling <volledige naam> dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen. 4.6 De bewerker zal onmiddellijk bij het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9.3 van deze overeenkomst. 4.7 De bewerker zal te allen tijde op eerste verzoek van de afdeling <volledige naam> onmiddellijk alle van de afdeling <volledige naam> afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst ter hand stellen. 4.8 De bewerker zal alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze overeenkomst, dan wel op uitdrukkelijk verzoek van de verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze. 4.9 De bewerker stelt de verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 4/20

5 Geheimhoudingsplicht Artikel Personen in dienst van, dan wel werkzaam ten behoeve van de bewerker, evenals de bewerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt. De medewerkers van de bewerker tekenen hiertoe een geheimhoudingsverklaring. 5.2 Indien de bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de bewerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de bewerker de afdeling <volledige naam> onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden. Beveiligingsmaatregelen Artikel De bewerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Tevens verklaart de bewerker zich te houden aan de normen en standaards van de verantwoordelijke, zoals beschreven in bijlage De verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te doen controleren. De bewerker is verplicht de verantwoordelijke of controlerende instantie in opdracht van verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. 6.3 De verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de bewerker. 6.4 De bewerker verbindt zich om binnen een door de verantwoordelijke te bepalen termijn de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de bewerker van deze overeenkomst. De verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen. 6.5 Bewerker staat er voor in, de door de verantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verantwoordelijke te bepalen termijn uit te voeren. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 5/20

6 6.6 De bewerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze overeenkomst. Inschakeling derden Artikel De bewerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de verantwoordelijke. 7.2 De verantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze bewerkersovereenkomst. 7.3 De bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst. Wijziging overeenkomst Artikel Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel. 8.2 Zodra de samenwerking is beëindigd, vernietigt bewerker de persoonsgegevens die hij van de verantwoordelijke heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt. 8.3 <volledige naam gemeente> is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen in geval van overmacht, waaronder mede begrepen een zodanige wijziging van wettelijke regels dat een verdere voortzetting van de overeenkomst niet kan worden verlangd. 8.4 Bij het beëindigen van de overeenkomst met onmiddellijke ingang, wordt in de brief aan de bewerker de reden van beëindiging vermeld. 8.5 <volledige naam gemeente> is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen in geval van onmiddellijke beëindiging van de Overeenkomst < > <volledige naam gemeente>. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 6/20

7 Aansprakelijkheid Artikel Indien de bewerker tekortschiet in de nakoming van de verplichting uit deze overeenkomst kan verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is bewerker in verzuim. 9.2 Bewerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de Wbp gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze overeenkomst bepaalde. Onverminderd de aanspraken op grond van wettelijke regels. Bewerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid. Bewerker is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen. Toepasselijk recht Artikel Op deze Overeenkomst is het Nederlandse recht van toepassing Elk geschil is aanwezig indien een van beide partijen dat stelt Voor elk geschil betreffende totstandkoming, de uitleg of de uitvoering van deze Overeenkomst evenals elk ander geschil, ter zake van of in verband met de Opdracht, hetzij juridisch hetzij feitelijk, geen uitgezonderd, zal worden beslist door de bevoegde rechter te Rotterdam Met toestemming van beide partijen kan een geschil, als bedoeld in dit artikel, ook worden onderworpen aan een arbitrage volgens een op te stellen akte van compromis of kan daarvoor een bindend advies worden gevraagd Op deze Overeenkomst zijn geen algemene voorwaarden, behoudens die van Opdrachtgever, onder welke benaming ook, van toepassing Indien de Overeenkomst door gerechtelijke uitspraak wordt ontbonden kan Opdrachtnemer geen claims indienen bij Opdrachtgever. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 7/20

8 Citeertitel Artikel Deze overeenkomst kan worden aangehaald als Bewerkersovereenkomst uitvoering < >. Aldus overeengekomen en ondertekend. Opdrachtgever Naam ondertekenaar Functie ondertekenaar Datum Handtekening Opdrachtnemer Naam ondertekenaar Functie ondertekenaar Datum Handtekening Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 8/20

9 Bijlage 1: Maatregelen op basis van de BIG behorende bij bewerkersovereenkomst BIG Nr titel Control BIG tekst / maatregel Maatregel bewerker Geheimhouding s-overeenkomst Identificatie van risico's die betrekking hebben op externe partijen Identificatie van risico's die betrekking hebben op externe partijen Identificatie van risico's die betrekking hebben op externe partijen Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie moeten worden vastgesteld en regelmatig worden beoordeeld. De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat externe partijen toegang wordt verleend. De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend [A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring te ondertekenen, daaronder valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn. Medewerkers die te maken hebben met persoonsinformatie van de verantwoordelijke dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijvoorbeeld risicoklasse II van Wbp of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 9/20

10 Identificatie van risico's die betrekking hebben op externe partijen Identificatie van risico's die betrekking hebben op externe partijen Identificatie van risico's die betrekking hebben op externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiliging behandelen in overeenkomsten met een derde partij De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend De risico's voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt. [A] Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkersovereenkomst (conform WBP artikel 14) afgesloten. Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook ). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld. Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd. De maatregelen behorend bij zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd. Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt. Er is met de verantwoordelijke van de persoonsgegevens een bewerkersovereenkomst afgesloten. In de bewerkersovereenkomst is vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de bewerker zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. Ook is beschreven hoe die beveiligingsmaatregelen door de verantwoordelijke partij (de gemeente) te controleren zijn (bijvoorbeeld audits en penetratietests) en hoe het toezicht is geregeld. Over het naleven van de afspraken wordt jaarlijks gerapporteerd aan de verantwoordelijke. Maatregelen uit de bewerkersovereenkomst zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 10/20

11 of diensten aan Itvoorzieningen waarbij sprake is van toegang, moeten alle relevante beveiligingseisen zijn opgenomen Beveiliging behandelen in overeenkomste n met een derde partij Labeling en verwerking van informatie Rollen en verantwoordelijkheden In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan IT-voorzieningen waarbij sprake is van toegang, moeten alle relevante beveiligingseisen zijn opgenomen. Er moeten geschikte, samenhangende procedures worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie in overeenstemming met het classificatiesysteem dat de organisatie heeft geïmplementeerd. De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie. Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, Escrow en reviews geregeld worden. [A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie. [A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. in overeenstemming met voorschriften maken deze deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies. Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin onder andere intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, Escrow en reviews geregeld worden. De bewerker heeft maatregelen genomen zo dat niet geautoriseerden geen kennis kunnen nemen van persoonsgegevens. Het personeel van de bewerker of derden moeten kennis hebben van de verantwoordelijkheden ten aanzien van de bewerking van de persoonsgegevens voor de verantwoordelijke. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 11/20

12 Rollen en verantwoordelijkheden Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie. De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers moeten worden uitgevoerd in overeenstemming met relevante wetten, voorschriften en ethische overwegingen, en moeten evenredig zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Blokkering van toegangsrechten Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, moeten geschikte training en regelmatige bijscholing krijgen met betrekking tot beleid en procedures van de organisatie, voorzover relevant voor hun functie. De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en ITvoorzieningen moeten worden geblokkeerd bij beëindiging van het dienstverband, het contract of de [A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt. De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging. [A] Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd. Alle medewerkers van de organisatie worden regelmatig attent gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Het lijnmanagement heeft een procedure vastgesteld voor verandering van functie binnen de organisatie, waarin minimaal aandacht besteed wordt aan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen die niet meer nodig zijn na het beëindigen van de oude functie. Indien een medewerker van de bewerker speciale verantwoordelijkheden heeft ten aanzien van informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt. De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging. Voor het bedrijf is minimaal een recente Verklaring Omtrent het Gedrag Rechtspersonen (VOG RP) vereist met punten die door de verantwoordelijke zijn aangedragen. Alle medewerkers van de bewerker zijn regelmatig attent gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de bewerker, voor zover relevant voor hun functie. Toegangsrechten van medewerkers van de bewerker worden direct geblokkeerd als geen toegang voor de bewerking van de persoonsgegevens noodzakelijk is. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 12/20

13 overeenkomst, of moet na wijziging worden aangepast Beveiliging van kantoren, ruimten en faciliteiten Veilig verwijderen en hergebruiken van apparatuur Verwijdering van bedrijfseigendommen Functiescheiding Maatregelen voor netwerken Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en toegepast. Alle apparatuur die opslagmedia bevat, moet worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Netwerken moeten adequaat worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen. [A] Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties. [A] Bij transport van vertrouwelijke informatie over niet vertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe Papieren documenten en mobiele gegevensdragers die persoonsgegevens of andere vertrouwelijke gegevens van de verantwoordelijke bevatten worden beveiligd opgeslagen. Bij beëindiging van het gebruik, of bij een defect, van apparaten en informatiedragers wordt zorggedragen voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen van gegevensdragers met persoonsgegevens van de verantwoordelijke wordt geregistreerd. Apparatuur, informatie en programmatuur met persoonsgegevens van de verantwoordelijke mogen niet zonder toestemming vooraf van de locatie van de bewerker worden meegenomen. Niemand van de bewerker mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties. Bij transport van vertrouwelijke informatie over niet vertrouwde netwerken tussen de bewerker en de verantwoordelijke, zoals over het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 13/20

14 Beheer van verwijderbare media Er moeten procedures zijn vastgesteld voor het beheer van verwijderbare media. [A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media. Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media Beheer van verwijderbare media Verwijdering van media Procedures voor de behandeling van informatie Beleid en procedures voor informatieuitwisseling Beleid en procedures voor informatieuitwisseling Er moeten procedures zijn vastgesteld voor het beheer van verwijderbare media. Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, in overeenstemming met formele procedures. Er moeten procedures worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. [A] Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole. [A] Er zijn procedures vastgesteld en in werking voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media. Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. Zie ook Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten minste aandacht besteed aan het risico van adreslijsten en opgeslagen boodschappen in mobiele telefoons. Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de printer te laten liggen. De bewerker zal geen verwijderbare media met persoonsgegevens onbeheerd achterlaten op plaatsen die toegankelijk zijn zonder toegangscontrole. Er zijn procedures vastgesteld en in werking, voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media. Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. De bewerker heeft maatregelen vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Medewerkers van de bewerker zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie van de verantwoordelijke geminimaliseerd wordt. Hierbij wordt ten minste aandacht besteed aan het risico van adreslijsten en opgeslagen boodschappen in mobiele telefoons. Medewerkers van de bewerker zijn geïnstrueerd om geen vertrouwelijke documenten met informatie van de verantwoordelijke bij de printer te laten liggen. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 14/20

15 Uitwisselingsov ereenkomsten Uitwisselingsov ereenkomsten Fysieke media die worden getransporteerd Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Media die informatie bevatten moeten worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties waarin de maatregelen om betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid - van gegevens te waarborgen zijn beschreven en getoetst. Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, evenals procedures over melding van incidenten. Om vertrouwelijke informatie te beschermen worden maatregelen genomen, zoals: versleuteling bescherming door fysieke maatregelen, zoals afgesloten containers gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen persoonlijke aflevering opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes De bewerker en de verantwoordelijke hebben afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen de bewerker en de verantwoordelijke waarin de maatregelen om betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid - van gegevens te waarborgen zijn beschreven en getoetst. Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, evenals procedures over melding van incidenten van de bewerker naar de verantwoordelijke. De bewerker neemt maatregelen om vertrouwelijke informatie te beschermen, zoals: Versleuteling. Bescherming door fysieke maatregelen, zoals afgesloten containers. Gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen Persoonlijke aflevering. Opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 15/20

16 Fysieke media die worden getransporteerd 1. Om vertrouwelijke informatie te beschermen worden maatregelen genomen, zoals: versleuteling bescherming door fysieke maatregelen, zoals afgesloten containers gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen persoonlijke aflevering opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes 2. (R) Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is Toegangsbeleid Er moet toegangsbeleid worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang Registratie van gebruikers Registratie van gebruikers Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en -diensten. Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en -diensten. [A] Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is. Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden. [A] Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. Fysieke verzending van persoonsgegevens tussen de bewerker en de verantwoordelijke dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is. Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang tot de persoonsgegevens en/of vertrouwelijke gegevens van de bewerker. Gebruikers van de bewerker worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden. Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 16/20

17 Gebruik van wachtwoorden Onbeheerde gebruikersappa ratuur Clear desk - en clear screen -beleid Beveiligde inlogprocedure s Gebruikersiden tificatie en - authenticatie Isolatie van gevoelige systemen Gebruikers moeten de goede beveiligingsgewoonten in acht nemen bij het kiezen en gebruiken van wachtwoorden. Gebruikers moeten bewerkstelligen dat onbeheerde apparatuur afdoende is beschermd. Er moet een clear desk -beleid voor papier en verwijderbare opslagmedia en een clear screen -beleid voor ITvoorzieningen worden ingesteld. Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure. Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers- ID) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren. Gevoelige systemen vereisen een eigen, vast toegewezen (geïsoleerde) computeromgeving. Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende: Wachtwoorden worden niet opgeschreven. Gebruikers delen hun wachtwoord nooit met anderen. Wachtwoorden mogen niet opeenvolgend zijn Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde. Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen onder een functietoets of in een macro). De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook: ) In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). [A] Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie. [A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een nonprivileged user). [A] Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden. Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende: Wachtwoorden worden niet opgeschreven. Gebruikers delen hun wachtwoord nooit met anderen. Wachtwoorden mogen niet opeenvolgend zijn. Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde. Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijvoordbeeld opgeslagen onder een functietoets of in een macro). De gebruiker van de bewerker vergrendelt de werkplek tijdens afwezigheid. In het 'clear desk' beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). Toegang tot de persoonsgegevens van de verantwoordelijke wordt verleend op basis van twee-factor authenticatie. Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user, zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een non-privileged user). Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 17/20

18 Uitlekken van informatie Uitlekken van informatie Beheersing van technische kwetsbaarhede n Rapportage van informatiebeve iligingsgebeurt enissen Rapportage van informatiebeve iligingsgebeurt enissen Rapportage van informatiebeve iligingsgebeurt enissen Verantwoordeli jkheden en procedures Er behoort te worden voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken. Er behoort te worden voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken. Er moet tijdig informatie worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten geschikte maatregelen worden genomen voor behandeling van daarmee samenhangende risico's. Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Er moeten leidinggevende verantwoordelijkheden en procedures worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen. Op het grensvlak van een vertrouwde en een niet vertrouwde omgeving vindt content-scanning plaats. Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie ) Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching. Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident. Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de IBD. Vermissing of diefstal van apparatuur of media die gegevens van de gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident. Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures. Op het grensvlak van een vertrouwde en een niet vertrouwde omgeving vindt content-scanning plaats. Er dient een proces te zijn om aan de verantwoordelijke te melden dat (persoons) informatie is uitgelekt. (zie ) Er is een proces ingericht voor het beheer van technische kwetsbaarheden. Dit omvat minimaal het melden van incidenten aan de verantwoordelijke, het uitvoeren van periodieke penetratietests, het uitvoeren van risicoanalyses van kwetsbaarheden en patching van systemen en hardware. Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen aan de verantwoordelijke vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident. Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de verantwoordelijke. Vermissing of diefstal van apparatuur of media die gegevens van de verantwoordelijke kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident. Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 18/20

19 Identificatie van toepasselijke wetgeving Bescherming van bedrijfsdocume nten Bescherming van gegevens en geheimhouding van persoonsgegeve ns Voorkoming van misbruik van ITvoorzieningen Naleving van beveiligingsbel eid en -normen Controle op technische naleving Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, moeten expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden voor elk informatiesysteem en voor de organisatie. Belangrijke registraties moeten worden beschermd tegen verlies, vernietiging en vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. De bescherming van gegevens en privacy moet worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Gebruikers moeten ervan worden weerhouden IT-voorzieningen te gebruiken voor onbevoegde doeleinden. Managers moeten bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en - normen. Informatiesystemen moeten regelmatig worden gecontroleerd op naleving van implementatie van beveiligingsnormen. Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen. Deze lijst is in conceptvorm te vinden op: ment/gr_1891/ _conceptlijst-aanvullendeinhoud-informatiebeveiliging-v040.pdf Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Het lijnmanagement is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control verklaring). Conform het BIG (strategisch kader) zorgt de CISO, namens de Gemeente Secretaris, voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams. Informatiesystemen worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en penetratietesten. Zie ook Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen. Deze lijst is in conceptvorm te vinden op: ocument/gr_1891/ _conceptlijstaanvullende-inhoud-informatiebeveiliging-v040.pdf De registraties van de verantwoordelijke behoren te worden beschermd tegen verlies, vernietiging en vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Er is een beleid met betrekking tot het gebruik van ICT-voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien De bewerker is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (onder andere de jaarlijkse in control verklaring). Conform deze bewerkersovereenkomst en andere contractuele eisen zorgt de bewerker voor het toezicht op de uitvoering van het beveiligingsbeleid ten behoeve van de gegevens van de verantwoordelijke. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door, of vanwege de verantwoordelijke. Informatiesystemen van de bewerker ten behoeve van de verantwoordelijke worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Concept Bewerkersovereenkomst Basis jeugd-ggz en EED Pagina 19/20