Anhang 2: Sicherheitsanlage
Version v20240925 - letzte Änderung 25-09-2024
NOTE
Diese Anlage ist Teil der Auftragsverarbeitungsvereinbarung
Der Unterauftragsverarbeiter ist gemäß der DSGVO und Artikel 6 und 7 der Auftragsverarbeitungsvereinbarung verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz der Verarbeitung von Personenbezogenen Daten zu ergreifen und diese nachzuweisen. Diese Anlage enthält eine kurze Beschreibung und Auflistung dieser Maßnahmen.
Maßnahmen zum Schutz der Personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Veränderung, Speicherung, Zugriff oder Offenlegung
- Der Unterauftragsverarbeiter hat eine angemessene Richtlinie für den Schutz der Verarbeitung von Personenbezogenen Daten, die regelmäßig evaluiert und – falls erforderlich – angepasst wird.
- Der Unterauftragsverarbeiter trifft Maßnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter im Rahmen eines Autorisierungssystems auf die Verarbeitung von Personenbezogenen Daten im Rahmen der Auftragsverarbeitungsvereinbarung zugreifen können. Mitarbeiter haben aufgrund dieses Systems keinen Zugriff auf mehr Daten als für ihre Funktion unbedingt erforderlich ist.
- Der Unterauftragsverarbeiter hat einen Koordinator für Informationssicherheit ernannt, um Risiken im Zusammenhang mit der Verarbeitung von Personenbezogenen Daten zu identifizieren, das Sicherheitsbewusstsein zu fördern, Sicherheitsvorkehrungen zu überprüfen und Maßnahmen zur Einhaltung der Informationssicherheitsrichtlinie zu ergreifen.
- Sicherheitsvorfälle werden dokumentiert und zur Optimierung der Informationssicherheitsrichtlinie genutzt.
- Der Unterauftragsverarbeiter hat einen Prozess zur Kommunikation über Sicherheitsvorfälle eingerichtet.
- Der Unterauftragsverarbeiter schließt mit seinen Mitarbeitern Vertraulichkeitsvereinbarungen ab und trifft Vereinbarungen zur Informationssicherheit.
- Der Unterauftragsverarbeiter fördert das Bewusstsein, die Schulung und die Weiterbildung im Bereich Informationssicherheit.
Maßnahmen zum Schutz der Personenbezogenen Daten und zur Gewährleistung der Kontinuität der Mittel, des Netzwerks, des Servers und der Anwendung
Nachfolgend wird der Bericht zur BIV-Klassifizierung (Verfügbarkeit, Integrität, Vertraulichkeit), das Maß an Compliance und die Erklärung zu etwaigen Abweichungen von den Standards aufgeführt. Der Unterauftragsverarbeiter verwendet dafür im Wesentlichen das „Zertifizierungsschema Informationssicherheit und Datenschutz ROSA“ (zu finden unter www.edustandaard.nl) als Bewertungsrahmen und zur Schaffung eines soliden Basisniveaus für Informationssicherheit und Datenschutz.
| Thema | Antwort |
|---|---|
| Bewertungsform: | Selbsteinschätzung, durchgeführt am 07.03.2024 auf Grundlage des Bewertungsrahmens v3.0 |
| Prüfer: | J. Alkemade, Geschäftsführer, Ziber B.V. |
| Login-Seite: | www.ziber.eu |
| BIV-Klassifizierung: | Verfügbarkeit=Hoch, Integrität=Mittel, Vertraulichkeit=Hoch |
| Kategorie | Maßnahmen | Compliance | Erklärung |
|---|---|---|---|
| Verfügbarkeit | Design | Erfüllt | |
| Verfügbarkeit | Kapazitätsmanagement | Erfüllt | |
| Verfügbarkeit | Wartung | Erfüllt | |
| Verfügbarkeit | Tests | Nicht erfüllt | Es werden derzeit keine Lasttests durchgeführt, aber bei der Entwicklung wird die erwartete Last berücksichtigt. Dieses Verfahren soll durch die Anwendung der 'erwarteten Last' in unserer Testumgebung verbessert werden, um potenzielle Probleme frühzeitig zu erkennen. Realisierung ist gewünscht, um die Nutzerzahl des Plattform zu verdoppeln. |
| Verfügbarkeit | Monitoring | Erfüllt | |
| Verfügbarkeit | Wiederherstellung | Erfüllt | |
| Integrität | Rückverfolgbarkeit (Nutzer) | Erfüllt | Wo möglich und notwendig, wurde dies implementiert. |
| Integrität | Back-up | Erfüllt | |
| Integrität | Applikationskontrollen | Erfüllt | |
| Integrität | Unbestreitbarkeit | Erfüllt | |
| Integrität | Rückverfolgbarkeit (technische Verwaltung) | Erfüllt | Wo möglich und notwendig, wurde dies implementiert. |
| Integrität | Integritätsprüfung | Erfüllt | |
| Integrität | Unbestreitbarkeit | Erfüllt | |
| Vertraulichkeit | Lebenszyklus der Daten | Erfüllt | |
| Vertraulichkeit | Logischer Zugriff | Nicht erfüllt | Accounts sind eindeutig identifizierbar. MFA und Mindestanforderungen an Passwörter werden mittelfristig (voraussichtlich Q2 2025) implementiert. |
| Vertraulichkeit | Physischer Zugriff | Erfüllt | |
| Vertraulichkeit | Netzwerkzugang | Erfüllt | |
| Vertraulichkeit | Trennung der Umgebungen | Erfüllt | |
| Vertraulichkeit | Transport und physische Speicherung | Nicht erfüllt | Die Verschlüsselung des externen Transports ist gewährleistet. Aufgrund der wachsenden Vielfalt und Sensibilität der Daten auf unserer Plattform werden wir die Verschlüsselung der Speicherung mittelfristig (voraussichtlich Q4 2025) umsetzen. |
| Vertraulichkeit | Logging | Erfüllt | |
| Vertraulichkeit | Umgang mit Schwachstellen | Nicht erfüllt | Dies ist teilweise erfüllt. Lediglich die periodische Prüfung wurde nicht durchgeführt. Wir prüfen derzeit die Umsetzbarkeit für unsere Plattform (weitere Informationen voraussichtlich in Q1 2025). |
Vereinbarungen über die Information bei Sicherheitsvorfällen und/oder Datenpannen
Der Auftragsverarbeiter verfügt über ein Verfahren zur Überwachung und Identifizierung von Vorfällen sowie zur Benachrichtigung im Falle von Datenpannen und/oder Sicherheitsvorfällen. In solchen Fällen stellt der Auftragsverarbeiter dem Verantwortlichen folgende Informationen zur Verfügung:
- die Merkmale des Verstoßes, wie: Datum und Uhrzeit der Entdeckung und Dauer des Verstoßes; Zusammenfassung des Verstoßes, einschließlich der Art des Verstoßes und der Art und Beschreibung des Sicherheitsvorfalls (welcher Teil der Sicherheit war betroffen, wie kam es zu dem Vorfall, betrifft es das Lesen, Kopieren, Ändern, Löschen/Vernichten und/oder den Diebstahl von Personenbezogenen Daten);
- die Ursache des Verstoßes;
- wie der Verstoß entdeckt wurde;
- die Maßnahmen, die ergriffen wurden, um den Verstoß zu beheben und eventuelle (weitere und zukünftige) Schäden zu verhindern;
- ob die in den Verstoß involvierten Personenbezogenen Daten verschlüsselt, gehasht usw. waren;
- die Gruppe(n) der betroffenen Betroffenen, die möglicherweise durch den Vorfall beeinträchtigt werden, sowie Anzahl und Umfang der Gruppe(n);
- mögliche Folgen des Verstoßes für die Bildungseinrichtung und die Gruppe(n) der Betroffenen, einschließlich, soweit möglich, einer Einschätzung des Risikos der Folgen für die Gruppe(n);
- die Menge und Art der Personenbezogenen Daten, die an dem Verstoß beteiligt waren (insbesondere besondere Personenbezogene Daten wie Gesundheitsdaten oder Religionszugehörigkeit, oder sensible Daten, einschließlich Zugangs- oder Identifikationsdaten, Finanzdaten oder Leistungsdaten).
Im Falle eines (vermuteten) Sicherheitsvorfalls und/oder einer Datenpanne können die Bildungseinrichtung und der Auftragsverarbeiter grundsätzlich per E-Mail über die unten stehenden Kontaktdaten oder die von der Bildungseinrichtung digital bereitgestellten Kontaktdaten über support@ziber.eu Kontakt aufnehmen.
| Rolle | Name und Funktion des Ansprechpartners bei Sicherheitsvorfällen/Datenpannen | Kontaktdaten (E-Mail und Telefonnummer) |
|---|---|---|
| Auftragsverarbeiter | FG, Jonathan Apeldoorn | privacy@ziber.eu, +31 (0) 224 290989 |
| Bildungseinrichtung | Wie beim Abschluss des Ziber-Abonnements angegeben oder später über support@ziber.eu geändert | Wie beim Abschluss des Ziber-Abonnements angegeben oder später über support@ziber.eu geändert |