BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Verwerker is verplicht om aan Onderwijsinstelling aan te tonen of en op welke wijze passende technische en organisatorische maatregelen zijn genomen om te waarborgen en te kunnen aantonen dat de verwerking plaatsvindt in overeenstemming met de AVG en de Model Verwerkersovereenkomst. Verwerker kan ook gebruik maken van andere certificeringsmechanismen en/of (inter)nationaal erkende normen en standaarden voor informatiebeveiliging, mits die een gelijkwaardig of hoger niveau van beveiliging bieden en de door Verwerker genomen maatregelen aan de Onderwijsinstelling inzichtelijk worden gemaakt.
BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Hierbij hebben we ervoor gekozen om commitment aan te gaan met het certificeringsschema informatiebeveiliging en privacy ROSA (Referentiearchitectuur Onderwijs). De eisen rondom betrouwbaarheid van de informatievoorziening, de privacybescherming en de informatiebeveiliging liggen binnen het onderwijs op een hoog niveau. Het toetsingskader kunt u hier vinden: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/ Normen informatiebeveiliging / Minimale beveiligingsmaatregelen en aantoonbaarheid (volgens certificeringsschema informatiebeveiligingen en privacy ROSA) Organisatie Concapps BV Ict-toepassing Zie pagina 2 Verwerkersovereenkomst Omschrijving ict- toepassing Zie pagina 2 Verwerkersovereenkomst Datum 26-03-2018 Toetsvorm Self-assessment Uitvoerder toets J.C.A. Donkers (CEO) BIV-classificatie Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 Categorie Maatregelen Compliance Uitleg Voldaan/niet voldaan/ alternatieve maatregel (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) Beschikbaarheid Overbelasting Voldaan Business continuity Voldaan Single points of failure Voldaan Logging/monitoring/testen Voldaan Testen Voldaan Software Voldaan Actuele bedreigingen Voldaan Integriteit geg. Herleidbaarheid Alternatieve maatregel/Voldaan Binnen onze omgeving is geen actieve rollback functionaliteit. Wel vanuit dagelijkse back up. Overige zaken voldaan. Backup/restore/recovery Voldaan Application controls Voldaan/niet voldaan Automatische invoer (syntax) controle is geen functie van onze software. Onweerlegbaarheid Voldaan/alternatieve maatregel Historische persoonsgegevens worden niet opgeslagen in onze database. Inlogactiviteit wordt beperkt gelogd. Hierbij is van belang te vermelden dat veel activiteit plaats vindt binnen de app. Actieve user tracking binnen apps is verboden. Integriteit toep. Herleidbaarheid Voldaan Controle integriteit Voldaan Onweerlegbaarheid Voldaan/Alternatieve maatregel Wij leveren een standaard product waarbij de app en website worden gegenere...
BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Normen informatiebeveiliging Verwerker is verplicht om aan Onderwijsinstelling aan te tonen of en op welke wijze passende technische en organisatorische maatregelen zijn genomen om te waarborgen en te kunnen aantonen dat de verwerking plaatsvindt in overeenstemming met de AVG en de Model Verwerkersovereenkomst. Voor het toepassen en aantonen van de technische maatregelen, kan Verwerker gebruik maken van (zo snel als redelijkerwijs mogelijk de meest recente versie van) het in het onderwijs ontwikkelde ‘Certificeringsschema informatiebeveiliging en privacy ROSA’. Dat schema voorziet in een baseline van (beveiligings)maatregelen waarmee organisaties dit aantoonbaar kunnen maken. Indien Verwerker voornoemd Certificeringsschema gebruikt, dan mag gebruik worden gemaakt van een standaard beveiligingsbijlage die is afgestemd door de Initiatiefnemers van het Convenant. Deze afgestemde bijlage 2 is te vinden op de website van het Platform en komt in de plaats van deze model bijlage 2: xxx.xxx-x.xx/xxx. Verwerker kan ook gebruik maken van andere certificeringsmechanismen en/of (inter)nationaal erkende normen en standaarden voor informatiebeveiliging, mits die een gelijkwaardig of hoger niveau van beveiliging bieden en de door Verwerker genomen maatregelen aan de Onderwijsinstelling inzichtelijk worden gemaakt.
BEVEILIGINGSBIJLAGE. Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst
BEVEILIGINGSBIJLAGE. Omschrijving van de maatregelen zoals bedoeld in artikel 4.1. # Onderwerp Maatregel
BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 6 en 7 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast; Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek; Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen; Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm; Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
BEVEILIGINGSBIJLAGE. Omschrijving van de maatregelen zoals bedoeld in artikel 7 en 8 Verwerkersovereenkomst Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Uitgeverij Betelgeuze hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
BEVEILIGINGSBIJLAGE. De maatregelen die we minimaal nemen: ✓ Bedrijfsmiddelen zijn geïnventariseerd en geclassificeerd. We hebben daarnaast zaken gelabeld met hierbij behorende regels. ✓ We hebben duidelijke taken en verantwoordelijkheden per rol bepaald. ✓ Al onze medewerkers worden gescreend bij indiensttreding, daarnaast zijn al onze medewerkers gebonden aan geheimhouding. ✓ Bij de indiensttreding van nieuwe medewerkers geven we een training over informatiebeveiliging. Daarnaast zijn we continue bezig met bewustwording en geven we regelmatig trainingen over informatiebeveiliging en privacy. ✓ IT-apparatuur en omgevingen hebben we goed beveiligd en we controleren regelmatig of er nieuwe kwetsbaarheden bekend zijn zodat we ons hier tegen kunnen beschermen. ✓ Gebruikers krijgen volgens formele procedures rechten toebedeeld. Daarnaast doen we regelmatig controles op toegangsrechten. Bevoorrechte toegangsrechten zijn geminimaliseerd en waar mogelijk werken we met persoonlijke accounts. ✓ Het transporteren van informatie wordt veilig en versleuteld gedaan. ✓ We hebben een formele verwijderings- en vernietigingsprocedure en deze handelingen worden geregistreerd. ✓ Onze gebouwen zijn beschermd tegen fysieke dreigingen van buitenaf. Belangrijke apparatuur is extra beschermd tegen bijvoorbeeld stroomuitval of misbruik. ✓ We hebben een formele datalekprocedure en deze is bekend bij onze medewerkers. ✓ Er is een formele procedure voor het melden van eventuele afwijkingen, zwakheden of mogelijke verbeteringen en we trainen onze medewerkers hier regelmatig op. ✓ Er is scheiding aangebracht in netwerken om misbruik te voorkomen. ✓ Voor kritische gebruikers, systemen en handelingen maken we gebruik van Meervoudige Authenticatie.
BEVEILIGINGSBIJLAGE. DossierData is overeenkomstig de AVG en artikel 6 en 7 Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.