Dataclassificatie Juridisch Normenkader (Cloud)services Hoger Onderwijs 2016, bijlage E

Vergelijkbare documenten
Handreiking Auditverplichting SURF Juridisch Normenkader (Cloud)services, Bijlage D Versie 2.0

Aansluiten op SURFconext

BIV-classificatie veel voorkomende verwerkingen van persoonsgegevens

Hoger Onderwijs Referentie Architectuur

Handreiking Auditverplichting SURF Juridisch Normenkader (Cloud)services, Bijlage D

Hoger Onderwijs Referentie Architectuur

Privacyverklaring Onderwijsgroep Amersfoort

Model Gezamenlijk Verantwoordelijkenovereenkomst

Akademie Vogue Beheer van persoonsgegevens

SURF Juridisch Normenkader (Cloud) services (JNK)

Creative Commons in. Informatie voor projectleiders bij hogeronderwijsinstellingen. CC BY: Creative Commons Mountain View HQ

Privacy toelichting privacyverklaring Hoe gaat Onderwijscentrum Leijpark om met persoonsgegevens

PRIVACYVERKLARING LEERRIJK!

Model Privacy Impact Assessment

Privacy. Verwerkersovereenkomst. Privacyverklaring. Hieronder kunt u de volgende onderdelen bekijken

Raadplegen Studentdossier. Extern BRON-MBO. Versie: 0.1 Datum: aug 2016 Auteur: Tineke Hodselmans EC/KLC Status: Concept

Privacy statement 030 Accountants B.V.

Verzoek tot Inschrijving

Handleiding voor het SURF Groene ICT Maturity Model

Besluitvormingsprocedure. Betrokkene Onderdeel Datum. College van bestuur Voorlopige vaststelling

Privacy toelichting PRIVACY TOELICHTING DE BLAUWE LOPER

Privacy statement accountantskantoor Wijers en Teurlings

Privacy statement ATV Account d Accountancy & Advies B.V.

BIJLAGE 1: PRIVACYBIJSLUITER LEARNBEAT

Model Bewerkersovereenkomst SURF Juridisch Normenkader (Cloud)services, Bijlage A

Aanmelding Taal- en Schakelcursus Inholland. Wat stuurt u naar ons op?

persoonlijke gegevens leerling Achternaam Geslacht man vrouw

Privacy toelichting; Hoe gaat stichting Openbaar Primair Onderwijs Almelo (OPOA) om met persoonsgegevens

Privacyverklaring. Welke persoonsgegevens wij van uw kind verwerken kunt u terugvinden onderaan deze toelichting bij Categorieën van persoonsgegevens

Informatie- en applicatie doel-architectuur Albeda College en Zadkine (incl. voorziene koppelingen)

Titel. Privacy beleid. Privacy beleid Famed B.V. Januari 2017 / versie 1.0. Privacy beleid Famed B.V. Januari 2017 / versie 1.0

Aanmeldformulier. Personalia leerling: Achternaam: Voorna(a)m(en): Roepnaam: Man/ vrouw

Intrekking van de DigiNotar PKIoverheid sub CA certificaten

CLASSIFICATIE VAN PERSOONSGEGEVENS

1. WIE ZIJN WIJ? Hôtes Culture Herengracht CJ Amsterdam Tel: KvK:

Privacy statement ADW Accountants

Formulier voor ouders/verzorgers Verzoek tot inschrijving op BS De Regenboog door ouders/verzorgers

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Sollicitatieformulier

Van Rotterdam naar Groningen binnen één seconde

Privacybeleid. Persoonsgegevens die wij verwerken

PRIVACYVERKLARING. Voor medewerkers

Hoger Onderwijs Referentie Architectuur

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door stichting De Vier Windstreken, inclusief de aangesloten scholen.

PRIVACYVERKLARING mei 2018

Deze privacyverklaring heeft betrekking op de verwerking van persoonsgegevens van:

Het verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.

Privacyverklaring Swishfund

Privacy statement Den Dulk Accountants & Adviseurs

Functionaris Gegevensbescherming (FG)

Privacyverklaring. Waarom verwerken wij persoonsgegevens? Wat verwerken wij?

Achternaam: Voorna(a)men: Roepnaam: Straat / huisnummer: Postcode: Tel. Mobiel: adres: Nationaliteit: Geboorte datum: M / V Geboorteplaats:

Vesting Advocaten verwerkt de hierna genoemde persoonsgegevens uitsluitend voor de hierna te noemen doeleinden:

Privacy statement Arex Test Systems bv

Meldplicht Datalekken

Reïncarnatiepraktijk Vuurland

We zijn transparant over de kwaliteit van en tussen gegevensregistraties, geven inzicht in de betekenis van gegevens en we herstellen fouten in de

Informatiebeveiliging: Hoe voorkomen we issues?

OFFICE 365 REGIEDIENST. Onderdeel van de clouddiensten van SURF

UITTREKSEL en MANAGEMENTRAPPORTAGE

Privacy Statement Hilverda De Boer

Privacyverklaring; Hoe gaat stichting Openbaar Primair Onderwijs Almelo (OPOA) om met persoonsgegevens

Privacyverklaring voor medewerkers

Inholland & Office 365

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

, PRIVACY STATEMENT

CLASSIFICATIE VAN PERSOONSGEGEVENS

Privacyverklaring Algemene Verordening Gegevensbescherming (de AVG), 2019.

Onderzoek naar de business case van ehealth

Inschrijf- / Aanmeldformulier

Toelatingsprocedure Student-lidmaatschap NGVH (juni 2014)

Privacy Policy verklaring sv Candia 66 juli 2018

Hoe kun je ons hierover bereiken? Als je vragen hebt over deze privacyverklaring kun je een sturen naar

CLASSIFICATIE VAN PERSOONSGEGEVENS

Aanmeldingsformulier Stichting Anton Constandse

Ondersteuning van library walk-ins in SURFconext

Inleiding. Zo leggen we uit waar we jouw gegevens opgeslagen worden en voor welke doelen ze worden gebruikt.

Protocol omgang persoonsgegevens

Inschrijfformulier. Voornamen voluit. Achternaam. Geboortedatum. Geboorteplaats. Geboorteland. Nationaliteit. Geloofsovertuiging

Privacyverklaring Vrijeschool Rotterdam-West Contactgegevens Waarom verwerken wij gegevens van uw kind Persoonsgegevens die wij verwerken

Privacyreglement 1 oktober 2009

1. Aanhef Dit reglement is voor STICHTING VLIETKINDEREN gevestigd aan de Bucaillestraat 6, 2273 CA te Voorburg

SURFconext dienstbeschrijving

Obs. De Boswaid, Guyotte van IIsselsteinlaan34,1934 GN, Egmond a/d Hoef, Aanmeldformulier

Gegevensmanagement. Verwerken in de NORA

CLASSIFICATIE VAN PERSOONSGEGEVENS

Inschrijfformulier AARZEL NIET OM C ONTACT OP TE NEMEN. D E W IJNGAARD. o vrouw. (kopie belastingdienst of zorgpas met BSN/sofinummer bijvoegen)

Inschrijfformulier. Leerlinggegevens. Inschrijving voor groep / VO klas. Achternaam. Voorvoegsel(s) Voornamen. Roepnaam. Adres. Postcode.

Privacy policy SURFconext

CLASSIFICATIE VAN PERSOONSGEGEVENS

HORA BIJ DE HVA. Tine de Mik

Beschrijving huidige situatie toegang tot het netwerk en rollen

Verzoek tot Inschrijving

Inschrijfformulier - Vragenlijst Vul het inschrijfformulier duidelijk en met de hand in

Privacy statement MKB Bedrijvensupport

maatregelen De lijsten zijn vervangen door gepseudonimiseerde lijsten aangepast Autorisaties zijn

Documentinformatie: Wijzigingslog:

Transcriptie:

Dataclassificatie Juridisch Normenkader (Cloud)services Hoger Onderwijs 2016, bijlage E Utrecht, oktober 2016 Versienummer: april 2014

Colofon Dataclassificatie Juridisch Normenkader (Cloud)services Hoger Onderwijs 2016 SURF Postbus 19035 N-3501 DA Utrecht T +31 88 787 30 00 info@surf.nl www.surf.nl Deze publicatie verschijnt onder de licentie Creative Commons Naamsvermelding 3.0 Nederland www.creativecommons.org/licenses/by/3.0/nl SURF is de ICT-samenwerkingsorganisatie van het Nederlandse hoger onderwijs en onderzoek. Deze publicatie is digitaal beschikbaar via de website van SURF: www.surf.nl/publicaties Dataclassificatie 2

Classificatie persoonsgegevens Uitgaande van de HORA (Hoger Onderwijs Referentie Architectuur) is door de Werkgroep Architectuur van het Project Regie in de Cloud een uitwerking gegeven van de classificatie van bedrijfsobjecten in het algemeen, en van persoonsgegevens in het bijzonder. Het onderstaande is de rapportage daarover uit HORA. Daarin wordt de classificatie O,, en H. gehanteerd. Deze komen overeen met respectievelijk risicoklasse O, I, II en III van het Normenkader. Voor de verwijzingen wordt verwezen naar de HORA-site. 5 Een BIV-classificatie geeft aan welke mate van beschikbaarheid, integriteit en vertrouwelijkheid gewenst is voor een bepaald gegeven. Het is de basis voor het bepalen van passende informatiebeveiligingsmaatregelen, die op zowel processen, organisatie als technologie impact zullen hebben. Er is in dit project een generieke BIV-classificatie opgesteld. Deze is terug te vinden als een set van attributen bij de bedrijfsobjecten in het informatiemodel en is direct toegankelijk als rapport. Het is aan instellingen zelf om deze generieke BIV-classificatie te vertalen naar hun eigen classificaties en maatregelen. Hiervoor zijn standaard technieken beschikbaar zoals bijvoorbeeld de SPRINT methode voor risicoanalyse. Een BIV-classificatie bestaat uit drie scores: een B-score, I-score en V-score. De waardes van deze scores kunnen zijn: hoog, middel of laag. Voor vertrouwelijkheid is er ook een openbaar die aangeeft dat specifieke gegevens publiek beschikbaar zijn. Gegevens die een grote rol spelen in de dagelijkse operatie van een instelling zijn geclassificeerd met een hogere B-score. Gegevens die nodig zijn voor geplande bijeenkomsten zoals toetsmateriaal scoren de hoogste B- score. De integriteit van sturende en financiële gegevens scoren een verhoogde I score. De gegevens die nodig zijn voor een goede uitvoering van het onderwijs scoren de hoogste I score. De vertrouwelijkheidsscore wordt bepaald door de bedrijfseconomische waarde en door de regelgeving rond de bescherming van persoonsgegevens. Gegevens die de identiteit, nationaliteit of ras vastleggen en gegevens die een economische situatie beschrijven scoren een hogere V- score. Gegevens die de medische, psychische of sociale situatie beschrijven van een persoon krijgen de hoogste V-score. De V-score wordt in een aantal gevallen sterk beïnvloedt door specifieke attributen. Dit geldt met name voor bedrijfsobjecten met persoonsgegevens doordat de Wet Bescherming Persoonsgegevens allerlei eisen stelt aan vertrouwelijkheid. Het College Bescherming Persoonsgegevens heeft specifieke richtsnoeren opgesteld voor het publiceren van persoonsgegevens op internet. Zuivere persoonsgegevens bevinden zich in de bedrijfsobjecten deelnemer, medewerker en individu. Er zijn bedrijfsobjecten die de relatie tussen de instelling en de personen weergeven. Zo bestaan er rond een deelnemer de gevoelige bedrijfsobjecten onderwijsovereenkomst, examenprogramma, onderwijseenheiddeelname, leer- en lesgroep, toetsresultaat en onderwijseenheidresultaat. Dit zijn alle transactiegeoriënteerde gegevenssets met een beperkte set aan attributen. Het heeft geen zin dergelijke bedrijfsobjecten nader te bestuderen op attribuutniveau. Dataclassificatie 3

Hieronder is een verkenning gemaakt van de attribuutgroepen die kenmerkend zijn voor de bedrijfsobjecten deelnemer en medewerker. In tabelvorm zijn de attribuutgroepen benoemd en is de bijbehorende V-score weergegeven. In het algemeen geldt, gegevens die van een persoon: de identiteit, nationaliteit of ras vastleggen scoren een economische situatie beschrijven scoren de medische, psychische of sociale situatie beschrijven scoren H Attribuutgroep object-id DUO-nummer onderwijsnummer / BSN naamsgegevens geslacht e-mailadres nationaliteit verblijfsstatus geboortedatum / plaats datum / status overlijden pasfoto adressen (incl. status geheim) telefoonnummer(s) (incl. status geheim) bankrekeningnummer vooropleidingen toeganggevens diploma met cijferlijst studiegerelateerde communicatie functiebeperking studie- en deelnemergerelateerde aantekeningen van begeleiders V-score H H Tabel 1 V-score voor attribuutgroepen van bedrijfsobject deelnemer Dataclassificatie 4

Attribuutgroep object-id BSN naamsgegevens geslacht burgerlijke staat gegevens kinderen e-mailadres nationaliteit werkvergunningsgegevens geboortedatum / plaats datum / status overlijden pasfoto kopie paspoort adressen (incl. status geheim) telefoonnummer(s) (incl. status geheim) bankrekeningnummer opleidingen met diploma's meest relevante diploma beperkingen uit religie V-score Tabel 2 V-score voor attribuutgroepen van bedrijfsobject medewerker Dataclassificatie 5

Ook applicaties kunnen worden voorzien van een BIV-classificatie als basis voor informatiebeveiligingsmaatregelen. De BIV-classificatie van bedrijfsobjecten kan gebruikt worden om een BIVclassificatie voor applicaties af te leiden. Cruciaal voor het bepalen van de BIV-classificatie van een applicatie is de vraag of een applicatie die geen bronsysteem voor een bepaald bedrijfsobject is, de gevoelige attributen van dat bedrijfsobject ontsluit. Als die gevoelige attributen niet ontsloten worden kan de BIV-classificatie van dat bedrijfsobject buiten beschouwing worden gelaten bij de classificatie van die applicatie. Als voorbeeld is in de volgende tabel de BIV-classificatie van het bibliotheeksysteem volgens dat principe uitgewerkt. De bedrijfsobjecten die alleen worden geraadpleegd door het bibliotheeksysteem zijn schuingedrukt weergegeven. Bedrijfsobject B-score I-score V-score uitleen werk O expressie O manifestatie O item O deelnemer H H medewerker H H vordering inkomende betaling kostenplaats BIV-classificatie Tabel 1 Voorbeeldclassificatie van het bibliotheeksysteem Als het bibliotheeksysteem wel gevoelige attributen van deelnemer en/of medewerker ontsluit, moet de classificatie van dit systeem aangepast worden. Het is te overwegen om specifieke attributen die veel impact hebben op de BIV-classificatie van een applicatie te verplaatsen naar een aparte applicatie om te voorkomen dat er mogelijk zware informatiebeveiligingsmaatregelen noodzakelijk zijn voor de applicatie. Zo zouden bijvoorbeeld de gegevens over functiebeperkingen van deelnemers en studie- en deelnemergerelateerde aantekeningen van begeleiders kunnen worden weggelaten uit het studentinformatiesysteem om te voorkomen dat deze een V-score van hoog zou krijgen. Of een dergelijke afsplitsing zinvol is dient per situatie te worden beschouwd. Dataclassificatie 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback