Bijlage 2: Beveiligingsbijlage
Version v20240925 - laatste aanpassing 25-09-2024
NOTE
Deze Bijlage is onderdeel van Verwerkingsovereenkomst
De Verwerker is overeenkomstig de AVG en artikel 6 en 7 van de Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking
- Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast.
- Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
- Verwerker heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van Persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
- Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
- Verwerker heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
- Verwerker sluit met medewerkers geheimhoudingsverklaringen af en maakt informatiebeveiligingsafspraken.
- Verwerker stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
Maatregelen om de Persoonsgegevens te beveiligen en continuïteit van de middelen, het netwerk, de server en de applicatie te waarborgen
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden. Verwerker gebruikt hiervoor in beginsel het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ (te vinden op www.edustandaard.nl) als toetsingskader en voor het creëren van een solide basisniveau van informatiebeveiliging en privacy.
| Onderwerp | Antwoord |
|---|---|
| Toetsvorm: | Self-assessment, uitgevoerd op 07-03-2024 op basis van het toetsingskader v3.0 |
| Uitvoerder toets: | J.Alkemade, Algemeen directeur, Ziber B.V. |
| Inlogpagina: | www.ziber.eu |
| BIV-classificatie: | Beschikbaarheid=Hoog, Integriteit=Midden, Vertrouwelijkheid=Hoog |
| Categorie | Maatregelen | Compliance | Uitleg |
|---|---|---|---|
| Beschikbaarheid | Ontwerp | Voldaan | |
| Beschikbaarheid | Capaciteit beheer | Voldaan | |
| Beschikbaarheid | Onderhoud | Voldaan | |
| Beschikbaarheid | Testen | Niet voldaan | Wij hebben geen loadtest maar houden met ontwikkelen wel rekening met de te verwachte load. Dit proces willen we verbeteren door de 'te verwachte load' op onze testomgeving toe te passen, zodat we mogelijke problemen kunnen signaleren. Realisatie is wenselijk voor verdubbeling van aantal platform gebruikers. |
| Beschikbaarheid | Monitoring | Voldaan | |
| Beschikbaarheid | Herstel | Voldaan | |
| Integriteit | Herleidbaarheid (gebruikers) | Voldaan | Waar mogelijk en noodzakelijk is dit geïmplementeerd. |
| Integriteit | Back-up | Voldaan | |
| Integriteit | Application controls | Voldaan | |
| Integriteit | Onweerlegbaarheid | Voldaan | |
| Integriteit | Herleidbaarheid (technisch beheer) | Voldaan | Waar mogelijk en noodzakelijk is dit geïmplementeerd. |
| Integriteit | Controle integriteit | Voldaan | |
| Integriteit | Onweerlegbaarheid | Voldaan | |
| Vertrouwelijkheid | Levenscyclus gegevens | Voldaan | |
| Vertrouwelijkheid | Logische toegang | Niet voldaan | Accounts zijn persoonlijk identificeerbaar, waarbij MFA en minimum wachtwoordeisen op middellange termijn (verwacht Q2 2025) ook zullen worden geïmplementeerd. |
| Vertrouwelijkheid | Fysieke toegang | Voldaan | |
| Vertrouwelijkheid | Netwerktoegang | Voldaan | |
| Vertrouwelijkheid | Scheiding omgevingen | Voldaan | |
| Vertrouwelijkheid | Transport en fysieke opslag | Niet voldaan | Aan encryptie van extern transport wordt voldaan. Door de toename van diversiteit en gevoeligheid van data op ons platform, zullen we encryptie van opslag gaan realiseren op middellange termijn (verwacht Q4 2025). |
| Vertrouwelijkheid | Logging | Voldaan | |
| Vertrouwelijkheid | Omgaan met kwetsbaarheden | Niet voldaan | Dit is deels voldaan. Enkel de periodieke toetsing niet, we onderzoeken de haalbaarheid hiervan voor ons platform (meer informatie verwacht op Q1 2025). |
Afspraken over het informeren over beveiligingsincidenten en/of Datalekken
Verwerker heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Datalekken en/of incidenten met betrekking tot beveiliging. In zo’n geval zal Verwerker de Verwerkingsverantwoordelijke de volgende informatie ter hand stellen:
- de kenmerken van de inbreuk, zoals: datum en tijdstip ontdekken en duur inbreuk; samenvatting van de inbreuk, waaronder de aard van de inbreuk en de aard en beschrijving van het beveiligingsincident (op welk onderdeel van de beveiliging heeft het betrekking, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van Persoonsgegevens);
- de oorzaak van de inbreuk;
- hoe de inbreuk is ontdekt;
- de maatregelen die getroffen zijn om de inbreuk aan te pakken en eventuele (verdere en toekomstige) schade te voorkomen;
- of de bij de inbreuk betrokken Persoonsgegevens versleuteld, gehasht etc. waren;
- de groep(en) Betrokkenen die gevolgen kunnen ondervinden van het incident, en de aantallen en omvang van de groep(en) Betrokkenen;
- wat de mogelijke gevolgen zijn van de inbreuk voor de Onderwijsinstelling en de groep(en) Betrokkene(n), waaronder indien mogelijk een inschatting van het risico van de gevolgen voor de groep(en) Betrokkene(n);
- de hoeveelheid en soort Persoonsgegevens betrokken bij de inbreuk (met name bijzondere Persoonsgegevens zoals gegevens over gezondheid of godsdienst, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
In geval van een (vermoeden van een) beveiligingsincident en/of Datalek, kunnen Onderwijsinstelling en Verwerker in beginsel per e-mail contact met elkaar opnemen via onderstaande contactgegevens, dan wel de contactgegevens zoals Onderwijsinstelling die digitaal heeft aangeleverd via support@ziber.eu.
| Rol | Naam en functie contactpersoon bij beveiligingsincidenten/Datalekken | Contactgegevens (e-mail en telefoonnummer) |
|---|---|---|
| Verwerker | FG, Jonathan Apeldoorn | privacy@ziber.eu, +31 (0) 224 290989 |
| Onderwijsinstelling | Zoals opgegeven tijdens afname Ziber Abonnement of later gewijzigd via support@ziber.eu | Zoals opgegeven tijdens afname Ziber Abonnement of later gewijzigd via support@ziber.eu |