Informatiebeveiligingsbeleid extern

Vergelijkbare documenten
ISO 27001:2013 Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid

ISO 27001:2013 Informatiebeveiligingsbeleid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Informatiebeveiligingsbeleid

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Cloud computing Helena Verhagen & Gert-Jan Kroese

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Verwerkersovereenkomst Openworx

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Help een datalek! Wat nu?

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Protocol meldplicht datalekken

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

VERWERKERSOVEREENKOMST VERSIE 01 OFFLINE. marketing innovators.com

Stappenplan naar GDPR compliance

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Protocol informatiebeveiligingsincidenten en datalekken

Stappenplan naar GDPR compliance

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Verwerkersovereenkomst

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Protocol informatiebeveiligingsincidenten en datalekken

Raadsmededeling - Openbaar

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Sta eens stil bij de Wet Meldplicht Datalekken

BEWERKERSOVEREENKOMST EMATTERS

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Privacy beleid. Uni Fortis Nederland B.V.

Bewerkersovereenkomst

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

Informatiebeveiligingsbeleid

VERWERKERSOVEREENKOMST

Protocol informatiebeveiligingsincidenten en datalekken

Beveiligingsbeleid Stichting Kennisnet

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

De bewerkersovereenkomst

1. Beveiligingsbijlage

Protocol Beveiligingsincidenten en datalekken

Checklist Beveiliging Persoonsgegevens

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Protocol meldplicht datalekken Voor financiële ondernemingen

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

VERWERKERSOVEREENKOMST

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Bijlage: Verwerkersovereenkomst

BEWERKERSOVEREENKOMST

Privacy Policy v Stone Internet Services bvba

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Protocol informatiebeveiligingsincidenten en datalekken

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)

Bewerkersovereenkomst

Privacy Reglement Vereniging van Eigenaars Suyderseezicht te Lelystad

Privacyreglement van De Zaak van Ermelo

Informatiebeveiligingsbeleid

Privacy beleid. Stichting Kringloopcentrum Bollenstreek

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

VERWERKERSOVEREENKOMST

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

De impact van Cybercrime & GDPR

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Bewerkersovereenkomst

Privacyverklaring Rho adviseurs voor leefruimte bv

Bijlage: Verwerkersovereenkomst

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Bewerkersovereenkomst

Informatiebeveiligingsplan

Privacybeleid WolletjeBol

Bewerkersovereenkomst

Privacy Policy Kinderdagverblijf Robbedoes BV Heel.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

PROCEDURE MELDPLICHT DATALEKKEN

BEWERKERSOVEREENKOMST

Privacyverklaring. WaterProof Marine Consultancy & Services BV.

Transcriptie:

ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744 01 30 F +31( 0)30 219 38 01 learningcenters@conclusion.nl www.clc.conclusion.nl

Inhoudsopgave 1 BEGRIPPENLIJST... 3 2 INLEIDING... 4 3 WAT IS INFORMATIEBEVEILIGING?... 5 4 GEDRAGSCODE... 6 5 BELEIDSPRINCIPES TEN AANZIEN VAN MAATREGELEN... 7 5.1 MEDEWERKERS ZIJN EEN ONMISBARE SCHAKEL... 7 5.2 FYSIEKE BEVEILIGING... 7 5.3 BEHANDELEN VAN MEDIA... 7 5.3.1 BEHEER VAN VERWIJDERBARE MEDIA... 7 5.3.2 BEHEER VAN APPARATUUR... 7 5.3.3 OVERDRAGEN VAN FYSIEKE MEDIA... 7 5.4 ENCRYPTIE (VERSLEUTELING)... 7 6 MELDING EN AFHANDELING VAN SECURITY INCIDENTEN... 8 7 NALEVING... 9 7.1 LIJNVERANTWOORDELIJKHEID... 9 7.2 WET EN REGELGEVING... 9 8 AKKOORDVERKLARING... 10 Review en versie beheer Naam Functie Versie Datum Frankie Lipsius Security Officer 0.1 24-10-2016 Frankie Lipsius Security Officer 1.0 25-10-2016 CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 2/10

1 BEGRIPPENLIJST Begrip Definitie/verklaring Beschikbaarheid Waarborgen dat bevoegde gebruikers wanneer dat nodig is toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Datalek Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek. Imagoschade Bij imagoschade gaat het om de reputatie van Conclusion Learning Centers (of Conclusion Holding) en Supplier/klant. Dit kan bijvoorbeeld ontstaan door een datalek bij een klant of supplier/klant, waarbij informatie uit een systeem van Conclusion Learning Centers in verkeerde handen is geraakt. Incident Onvoorziene gebeurtenis, storend voorval Integriteit Het waarborgen van de nauwkeurigheid en volledigheid van informatie en van de methoden waarmee informatie wordt verwerkt. Vertrouwelijkheid Waarborgen dat informatie alleen toegankelijk is voor degenen die daartoe geautoriseerd zijn. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 3/10

2 INLEIDING Conclusion Learning Centers (CLC) is marktleider in Learning Business Process Outsourcing (BPO) in Nederland. CLC verzorgt het totale proces van opleidingsaanvragen (inkoop, organisatie, planning administratieve afhandeling, facturatie en evaluatie) voor klanten volgens contractuele afspraken en SLA. Daarnaast levert CLC een Learning Management Systeem (LMS) genaamd Class. In deze veranderde samenleving waar door de vergaande digitalisering erg makkelijk informatie wordt uitgewisseld, is het belangrijk om als organisatie maatregelen te nemen om misbruik te voorkomen. CLC heeft een informatiebeveiligingsbeleid voor intern en extern gebruik opgesteld. Dit document beschrijft het externe gerichte informatiebeveiligingsbeleid. Wij vragen van onze Supplier/klant en klanten om zich hier aan te conformeren. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 4/10

3 WAT IS INFORMATIEBEVEILIGING? Informatiebeveiliging is het onderhouden en treffen van beleid, maatregelen, richtlijnen en procedures voor informatie en informatiesystemen ter bescherming van bedreigingen die van invloed kunnen zijn op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, om de schade die door die bedreigen kunnen ontstaan te minimaliseren. a. Beschikbaarheid: Informatie dient ten alle tijden beschikbaar te zijn. b. Integriteit: Informatie op de klantportalen moet correct worden weergegeven en worden gewijzigd. c. Vertrouwelijkheid: (Persoons) informatie is alleen toegankelijk voor geautoriseerde personen. CLC realiseert zich dat ze dagelijks in haar dienstverlening te maken heeft met (persoons-) informatie van haar klanten. Supplier/klant die een samenwerking met CLC aangaan, dienen zich bewust te zijn dat zorgvuldige bewerking van (persoons) informatie van klanten een essentieel onderdeel is van de dienstverlening. CLC heeft haar risico s met betrekking tot informatiebeveiliging in kaart gebracht. In de gevallen waarin de kans groot is dat door een incident schade ontstaat, zal CLC daar effectieve en efficiënte maatregelen implementeren die passen binnen haar beleid. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 5/10

4 GEDRAGSCODE Onderstaande gedragsregels zijn van groot belang tijdens het bewerken van persoonsgegevens. 1. Supplier/klant gebruikt alle persoonsgegevens strikt vertrouwelijk en in overeenstemming met de geldende wet- en regelgeving inzake de bescherming van persoonsgegevens. 2. Supplier/klant is niet gerechtigd op enigerlei wijze gebruik te maken van de door CLC aan supplier/klant in het kader van de opleiding en/of cursus verstrekte e-mailadressen, of andersoortige gegevens, van cursisten voor welk doeleinde dan ook. 3. Supplier/klant verplicht zich om personen die door haar worden ingezet bij de uitvoering van de overeenkomst dezelfde verplichtingen op te leggen als in het eerste en tweede lid van dit artikel zijn opgenomen. 4. Supplier/klant zal alle informatie in de ruimste zin des woords omtrent CLC, de opdrachtgevers van CLC, de medewerkers van CLC, de medewerkers van opdrachtgevers van CLC en de strategieën van CLC strikt vertrouwelijk behandelen. Supplier/klant zal deze informatie tijdens de duur van deze overeenkomst en na het einde daarvan nimmer zonder schriftelijke toestemming van CLC openbaar maken, aan derden ter inzage of in gebruik geven, of ten behoeve van derden gebruiken. 5. Supplier/klant zorgt ervoor dat haar medewerkers, consultants en andere bij de overeenkomst betrokkenstakeholders van supplier/klant, een geheimhoudingsverklaring zullen tekenen voorafgaand aan inschakeling voor een opdrachtgever van CLC, ofwel door een eigen geheimhoudingsverklaring van supplier/klant die geldt als algehele gedragsregel voor medewerkers van Supplier/klant. 6. Supplier/klant dient in het geval van een datalek direct een melding te maken bij CLC doormiddel van een incidentmelding via service.clc@conclusion.nl. 7. Supplier/klant gebruikt alle persoonsgegevens strikt vertrouwelijk en in overeenstemming met de geldende wet- en regelgeving inzake de bescherming van persoonsgegevens. 8. Supplier/klant deelt ontvangen persoonsgegevens niet met derden. 9. Supplier/klant gebruikt ontvangen persoonsgegevens niet voor reclame of marketing doeleinde. 10. Supplier/klant dient zich te conformeren aan het informatiebeveiligingsbeleid van CLC. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 6/10

5 BELEIDSPRINCIPES TEN AANZIEN VAN MAATREGELEN 5.1 MEDEWERKERS ZIJN EEN ONMISBARE SCHAKEL De informatiebeveiliging kan technisch en fysiek optimaal georganiseerd zijn, maar als medewerkers niet op de hoogte zijn van het informatiebeveiligingsbeleid en handelen op een onzorgvuldige wijze is de beveiliging niet waterdicht. Bewustwording is hierbij een belangrijk punt. Als alle medewerkers bewustzijn van het informatiebeveiligingsbeleid, dan kunnen de medewerkers hier op professionele en beveiligde manier mee omgaan. 5.2 FYSIEKE BEVEILIGING Informatie hoort ook op een fysieke manier beveiligd te zijn. Als de toegankelijkheid naar een pand te openlijk is voor onbevoegde, dan is er zeker sprake van een informatiebeveiligingsrisico. Supplier/klant dienen rekening te houden met mogelijke verlies van data door bijvoorbeeld onbevoegd toegang door derde. 5.3 BEHANDELEN VAN MEDIA 5.3.1 BEHEER VAN VERWIJDERBARE MEDIA USB sticks mogen niet worden gebruikt voor het transporteren van persoonsgegevens ontvangen vanuit CLC. 5.3.2 BEHEER VAN APPARATUUR Laptops of dergelijke apparatuur met persoonsgegevens vanuit CLC mogen niet onbeheerd worden achter gelaten in ruimtes. 5.3.3 OVERDRAGEN VAN FYSIEKE MEDIA Er mag geen fysieke media overgedragen worden aan derde met persoonsgegevens ontvangen vanuit CLC. 5.4 ENCRYPTIE (VERSLEUTELING) Opgeslagen persoonsgegevens dienen bewaard te worden op een omgeving/folder die beveiliging is met een encryptie. De encryptie dient versleuteld te worden met een veilig (sterk) wachtwoord. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 7/10

6 MELDING EN AFHANDELING VAN SECURITY INCIDENTEN Incidentbeheer en registratie hebben betrekking op de wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door de supplier/klant gemeld wordt en de wijze waarop deze worden afgehandeld. Het is van belang om te leren van security incidenten. Incidentregistratie en periodieke rapportage over opgetreden incidenten horen thuis in een goede informatie beveiligingsomgeving. Er is daarom een meldpunt (service.clc@conclusion.nl) ingericht bij de Security Officer van CLC. Supplier/klant zijn verantwoordelijk voor het signaleren van incidenten en inbreuken op informatiebeveiliging en zwakke plekken in de informatiebeveiliging. De supplier/klant is verplicht incidenten en inbreuken te melden bij CLC. De incidenten worden door de Security Officer geregistreerd. De incidenten worden afgehandeld en dienen als input voor de incident-rapportages. Bij constatering van bepaalde trends kan hierop meteen worden ingespeeld, bijvoorbeeld door het nemen van extra maatregelen. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 8/10

7 NALEVING 7.1 LIJNVERANTWOORDELIJKHEID Supplier/klant zijn verantwoordelijk voor het naleven van de beveiligingseisen conform het informatiebeveiligingsbeleid. Supplier/klant spreken hun medewerkers aan in het geval van tekortkomingen. Medewerkers die werken met vertrouwelijke en/of gevoelige informatie horen zich bewust zijn van de verantwoording die hierbij komt. 7.2 WET EN REGELGEVING Onderstaand is aangegeven op wat voor wijze er dient om te worden gegaan met relevante wet- en regelgeving: Wet Bescherming Persoonsgegevens Supplier/klant dient technische en organisatorisch maatregelingen te nemen om aan de wettelijke vereisten (juistheid en nauwkeurigheid van gegevens en passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking) te voldoen. Naleving van de beveiligingsmaatregelen leidt tot voldoen aan de wet. Intellectueel eigendom / Auteurswet Supplier/klant dient zorgvuldig om te gaan met intellectuele eigendom van andere. Eigen intellectuele eigendommen worden beschermt door passende IT maatregelen en door dit contractueel vast te leggen, waardoor een derde partij niet zomaar inbreuk kan maken op intellectuele eigendommen.. Wet Computercriminaliteit De Wet Computercriminaliteit richt zich op de strafrechtelijke probleemgebieden in relatie tot het computergebruik. De wet schrijft voor dat enige beveiliging vereist is voordat er sprake kan zijn van eventuele strafrechtelijke vervolging van delicten jegens de organisatie. Wet identificatieplicht Iedereen dient zich te legitimeren wanneer dit van hem of haar wordt gevraagd. Bij overheid instanties is legitimeren ten alle tijden nodig. Wet meldpunt datalekken De wet meldplicht datalekken is op 26 mei 2015 door de Eerste Kamer aangenomen. De verplichting tot het melden van datalekken door verantwoordelijken en bewerkers wordt geregeld door aanvullende bepalingen op te nemen in de Wet Bescherming Persoonsgegevens (WBP) en de Telecommunicatiewet (Tw). Tevens is geregeld dat de maximale bestuurlijke boete, die het College bescherming persoonsgegevens (CBP) kan opleggen bij overtredingen, 810.000 bedraagt. In de oude situatie was dit bedrag maximaal 4.500. CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 9/10

8 AKKOORDVERKLARING De directie van CLC stelt het informatiebeveiligingsbeleid vast en draagt dit beleid uit aan haar medewerkers en Supplier/klant. Namens de directie van CLC Peter Lamers Datum Handtekening Namens: Naam:. Datum Handtekening CONCLUSION LEARNING CENTERS MAAKT ONDERDEEL UIT VAN CONCLUSION 10/10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback