Handreiking AVG Borgingsproduct 2.0

Colofon

Naam document AVG Borgingsproduct 2.0

Versienummer 2.0

Versiedatum 08-03-2021

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:1. De IBD wordt als bron vermeld.2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden.3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten,

blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten.

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaringDe IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig

2

gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aanDe gemeenten en samenwerkingsverbanden die hebben bijgedragen aan de totstandkoming van dit document. In het bijzonder: Hardenberg, Helmond, HLTsamen, Hoorn, Katwijk, Meierijstad, Neder-Betuwe, Rotterdam, Woensdrecht en Zaanstad.

Wijzigingshistorie:

Versie Datum Wijziging / Actie2.0 08-03-2021 Aangeboden voor publicatie op de IBD website.1.1 01-10-2019 AVG borgingsproduct 1.0 is verder verfijnd aan de hand van

feedback van gemeenten en interne analyses.1.0 01-12-2018 Publicatie van de eerste versie.

Over de IBDDe IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

3

Inhoudsopgave

1 Inleiding...............................................................................................................................................3

2 Doelen en scope..................................................................................................................................4

2.1 Doelen..........................................................................................................................................4

2.3 Scope............................................................................................................................................4

3 Structuur en aanpak............................................................................................................................6

3.1 Privacy volwassenheidsniveaus....................................................................................................7

3.2 Processen en organisatie..............................................................................................................8

3.3 Aanpak..........................................................................................................................................8

3.3 Thema beveiliging.........................................................................................................................9

4 Beheer van het borgingsproduct.......................................................................................................10

Bijlage 1: beveiligingscontrols uit borgingproduct 1.0..........................................................................11

Bijlage 2: begrippenlijst........................................................................................................................15

4

1 InleidingDeze handreiking hoort bij het AVG borgingsproduct 2.0 (hierna ook: borgingsproduct). Het AVG borgingsproduct 1.0 bevatte controls om de Algemene Verordening Gegevensbescherming (AVG) te vertalen naar een kwaliteitscyclus voor gegevensbescherming voor gemeentelijke processen. Hiermee werd beoogd concrete handvatten te bieden om een goede omgang met persoonsgegevens binnen de gehele gemeente te waarborgen.

Deze uitgangspunten gelden ook voor het AVG borgingspoduct 2.0. In deze nieuwe versie zijn de controls (1) geactualiseerd om nog meer aan te sluiten bij de gemeentelijke praktijk, (2) uitgebreid met relevante maatregelen uit de PbD-instrumenten1 en ISO277012 en (3) gekoppeld aan privacyvolwassenheidsniveaus. De volwassenheidsniveaus bieden gemeenten de mogelijkheid om (per thema en per afdeling) een ambitieniveau vast te stellen en te beoordelen hoe het ervoor staat met de bescherming van persoonsgegevens binnen de gemeente.

DoelgroepDe doelgroep van het borgingsproduct is in eerste instantie de gemeentelijke organisatie, in het bijzonder de proceseigenaren. Het management kan met het borgingsproduct een ambitieniveau bepalen en dit kan worden vastgesteld door het college of een door hen gemandateerde medewerker of orgaan. De proceseigenaren kunnen, met ondersteuning van bijvoorbeeld de privacy officer, het borgingsproduct gebruiken om periodiek te toetsen waar de gemeente staat.

Als gekozen is voor het toepassen van dit borgingsproduct kan de FG controleren of het borgingsproduct (goed) wordt toegepast. Aan de hand van de resultaten van de proceseigenaren kan de FG tevens (ongevraagd) adviseren. Het borgingsproduct is daarnaast ook relevant voor andere privacy- en informatiebeveiligingsfunctionarissen.

LeeswijzerDe handreiking is als volgt opgebouwd. Hoofdstuk 2 gaat in op de doelen en de scope van het borgingsproduct. Vervolgens wordt in hoofdstuk 3 de opbouw en de structuur van het gehanteerde privacyvolwassenheidsmodel toegelicht. Dit hoofdstuk omvat ook een uitwerking van de vijf privacyvolwassenheidsniveaus. Ten slotte behandelt hoofdstuk 4 het beheer van het borgingsproduct.

1 https://www.informatiebeveiligingsdienst.nl/privacy-by-design-ibd-instrumenten/. 2 Uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy-informatiemanagement.

5

2 Doelen en scopeGemeenten hebben een voorbeeldfunctie en vertrouwensrelatie met inwoners. Een zorgvuldige omgang met persoonsgegevens van betrokkenen is hier een belangrijk onderdeel van. Dit borgingsproduct kan dienen als startpunt waarmee (continu) beoordeeld kan worden waar de gemeente staat voor wat betreft de bescherming van persoonsgegevens en welke volgende stappen gezet kunnen worden naar een hoger privacyvolwassenheidsniveau.

2.1 DoelenHet borgingsproduct is opgezet voor de volgende doeleinden. Doelen die afgeleid zijn aan het gebruik van het borgingsproduct staan hieronder niet genoemd. Denk aan het verhogen van de kwaliteit van de dienstverlening, imagoverbetering en een morele verplichting om zorgvuldig om te gaan met persoonsgegevens van betrokkenen.

1. Een praktisch hulpmiddel voor de gemeentelijke organisatie om (blijvend) grip te krijgen op de bescherming van persoonsgegevens binnen de organisatie.3

2. Met dit hulpmiddel kunnen gemeenten dezelfde ‘(privacy)taal’ spreken. Dit betekent ook dat gemeenten en de IBD vergelijkingen kunnen maken met andere gemeenten over op welk volwassenheidsniveau ze staan, bijvoorbeeld per afdeling. Dit kan leiden tot een gezonde competitie tussen gemeenten.

3. In het verlengde van het vorige doel kunnen deze vergelijkingen ook bruikbare inzichten opleveren op lokaal, regionaal en nationaal niveau. Dit kan aanleiding geven om samen met gemeenten extra te sturen op verdere groei in volwassenheid op specifieke privacyonderwerpen.4

4. Sturingsinformatie voor het management met de uitkomsten van het toepassen van het borgingsproduct. Ook kan het management een ambitieniveau bepalen of aanpassen.

5. Het bereiken van een hoger privacyvolwassenheidsniveau gaat gepaard met efficiënter werken door de organisatie. Dit kan ook betekenen dat de kans op datalekken afneemt en dat inwoners minder snel behoefte hebben om een beroep te doen op hun AVG-rechten.

6. Last but not least dient het borgingsproduct als kapstok-document. Dat wil zeggen dat gemeentelijke en IBD privacyproducten worden gekoppeld aan de daarbij behorende controls.

2.3 ScopeHet borgingsproduct is primair gericht op de gemeentelijke organisatie. Tot op zekere hoogte is het ook bruikbaar voor gemeentelijke samenwerkingsverbanden. Ook buiten gemeentenland is het borgingsproduct in aangepaste vorm bruikbaar. Het is altijd mogelijk om feedback over het borgingsproduct en de toepasselijkheid binnen uw organisatie te delen met de IBD.

Het borgingsproduct is geen gedragscode in de zin van de AVG. Een gedragscode is een concretisering van de AVG-normen die toepasselijk is voor een groep aangesloten verantwoordelijken of verwerkers.5 Dat wil zeggen dat inhoudelijke invulling wordt gegeven in een specifieke context.

Het borgingsproduct gaat niet over de inhoudelijke invulling of concretisering van de AVG. Zo bevat het borgingsproduct als maatregel of er een privacybeleid is vastgesteld, maar niet welke

3 Zie de inleiding voor een toelichting op de doelgroep.4 De verwachting is dat dergelijke inzichten pas na een lange termijn na de publicatie van dit borgingsproduct zichtbaar kunnen worden gemaakt.5 Zie voor meer https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-gedragscode.

6

onderwerpen in het privacybeleid terecht zouden moeten komen. Het ‘wat’ wordt dus beschreven, niet ‘hoe’ dit specifiek kan worden ingevuld. De IBD privacyproducten gaan wel in op deze concretisering. Deze producten zijn gekoppeld aan het borgingsproduct bij de bijbehorende control.

7

3 Structuur en aanpakHet borgingsproduct is als volgt opgebouwd. Allereerst zijn de controls verdeeld in zeven thema’s. Een thema gaat over een specifiek onderdeel van de AVG. De AVG-hoofdstukken zijn niet aangehouden, omdat de (volgorde van de) thema’s beter aansluiten bij de gemeentelijke praktijk. De thema’s zijn:

1. Beleid2. Organisatorische inbedding3. Processen4. Rechten van betrokkenen5. Samenwerking6. Beveiliging7. Verantwoording

De thema’s bestaan uit controls en daarbij behorende maatregelen die een niet-limitatieve invulling geven aan de control. Een control is een beheersmaatregel zoals ook gebruikelijk binnen de informatiebeveiligingspraktijk en omschreven in de BIO. Per control is vervolgens een gelaagdheid ingebouwd in vijf privacyvolwassenheidsniveaus om aan te geven welke volgende stappen kunnen worden genomen om te voldoen aan de control. Ook kunnen de volwassenheidsniveaus worden gebruikt om ambitieniveaus vast te stellen.

De maatregelen geven aan waar in ieder geval aan moet zijn voldaan om het betreffende volwassenheidsniveau – waar de maatregel toe behoort – te bereiken. Er dient aan zowel de omschrijving van het volwassenheidsniveau (kolom E) als de bijbehorende maatregelen (kolom G) aantoonbaar te zijn voldaan om het volwassenheidsniveau te bereiken. Het alleen voldoen aan de maatregelen van een volwassenheidsniveau wil dus niet zeggen dat het volwassenheidsniveau is bereikt.

Het is aan de eindgebruiker om te motiveren waarom voldaan is aan een volwassenheidsniveau. Daarvoor is een excelkolom aangemaakt. Voor deze werkwijze is gekozen, omdat gemeenten op verschillende wijzen invulling kunnen geven aan hetzelfde volwassenheidsniveau. Zo kan een gemeente heel ver zijn in de toepassing van algoritmes voor automatische besluitvorming, waardoor mogelijk meer concrete invulling nodig is voor de hierbij behorende control (control 4.2), dan een gemeente die algoritmes weinig inzet.

Let op dat de maatregelen niet-limitatief zijn. De specifieke gemeentelijke situatie kan bij bepaalde controls aanleiding geven tot aanvullende maatregelen die niet in het borgingsproduct staan. Het staat de gemeente vrij deze toe te voegen aan het borgingsproduct en/of aan de IBD door te geven. Ook kunnen er ontwikkelingen hebben plaatsgevonden die aanleiding geven tot aanvullende of wijzigingen in bestaande maatregelen.6

6 Zie hoofdstuk 4 over het beheer van het borgingsproduct.

8

Thema

Controls ingedeeld in privacy

volwassenheidsniveaus

Maatregelen per volwassenheidsniveau

3.1 Privacy volwassenheidsniveausIn het borgingsproduct is ervoor gekozen om aan te sluiten bij de vijf privacyvolwassenheidsniveaus van het ‘Privacy maturity model’ van de IAPP.7 Deze niveaus van de IAPP zijn weer afgeleid van de GAPP’s (Generally Accepted Privacy Principles) en het CMM (Capability Maturity Model). Ook in andere landen wordt het model toegepast.8 De vijf volwassenheidsniveaus zijn als volgt vertaald in een gemeentelijke context. Deze vertaalslag is grotendeels ook bruikbaar voor andere organisaties dan gemeenten.

1 Ad hoc Geen of onduidelijke privacyrollen en -verantwoordelijkheden Geen of nauwelijks beheersmaatregelen aanwezig Reactief en sturing n.a.v. incidenten Grote afhankelijkheid van één of enkele privacyfunctionarissen Onbewust onbekwaam

2 Herhaalbaar Privacyrollen en -verantwoordelijkheden toegewezen Beheersmaatregelen zijn aanwezig, maar worden op informele wijze

uitgevoerd Standaarden en formats aanwezig: juist en in duidelijke taal Bewust onbekwaam

3 Bepaald (Privacy)medewerkers tonen eigenaarschap, d.w.z. dat de rollen en verantwoordelijkheden actief worden opgepakt

Beheersmaatregelen worden consistent en gestructureerd uitgevoerd en zijn gedocumenteerd

Er wordt aantoonbaar aan verplichtingen voldaan Verwerkingsverantwoordelijke bestuursorganen nemen beslissingen

mede op grond van risicoanalyses zoals een DPIA. Er is een duidelijke samenhang met informatiebeveiliging Bewust bekwaam

4 Beheerst De effectiviteit van beheersmaatregelen wordt periodiek geëvalueerd in een PDCA-cyclus

Er wordt proactief geïnformeerd door de proceseigenaar over de realisering van de geconstateerde benodigde verbeteringen in een PDCA-cyclus

In een jaarlijkse evaluatie blijkt een correcte PDCA-cyclus Bewust bekwaam

5 Geoptimaliseerd Toekomstgericht Proactieve houding van het college en het bestuur Het verantwoordelijk management verzoekt aan de FG om hun

verantwoording van een oordeel te voorzien. Privacy wordt gezien als een vanzelfsprekendheid Er wordt continue gezocht naar verbetering, zoals in de vorm van

(interne of externe) tooling Privacy wordt gezien als een kans of unique selling point (USP) Er wordt verbinding gezocht met andere concerndisciplines Kennis en ervaringen worden actief gedeeld met gemeenten en andere

relevante organisaties waardoor best practices in gemeentenland ontstaan

Onbewust bekwaam

7 https://iapp.org/resources/article/2012-06-01-aicpa-cica-privacy-maturity-model/. 8 Zie bijvoorbeeld een onderzoek naar de volwassenheid van het beschermen van persoonsgegevens van Zweedse gemeenten in 2019: https://gupea.ub.gu.se/handle/2077/61846.

9

De volgende overwegingen zijn van belang bij deze privacyvolwassenheidsniveaus:

De proceseigenaren zijn verantwoordelijk voor de uitvoering van de controls en maatregelen en het niveau kan worden bepaald door het management. Het college of een door hen gemandateerde kan het niveau vaststellen.

Niveau 3 wordt beschouwd als het minimumniveau dat bereikt zou moeten worden. Hiermee is niet gezegd dat de gemeente volledig compliant aan de AVG als bij alle controls niveau 3 is bereikt, omdat de maatregelen bij een control niet uitputtend zijn.

Niveau 5 is het hoogst haalbare streefniveau. Sommige zaken spelen ook pas een rol als de basis goed op orde is, zoals het gebruik van tooling ter ondersteuning van bepaalde processen. Verder kunnen onderdelen van dit niveau dienen ter inspiratie in de vorige niveaus.

Denk bij andere concerndisciplines (niveau 5) bijvoorbeeld aan informatiebeveiliging, informatiebeheer en risicomanagement.

De maatregelen of delen van volwassenheidsniveaus kunnen een rol spelen bij een andere lagere niveaus. Zo wordt in niveau 5 een proactieve houding van het college en bestuur gevraagd. Het is natuurlijk mogelijk dat één of beide organen al een proactieve houding hebben, terwijl de gemeente ‘slechts’ bij niveau 2 is.

3.2 Processen en organisatieIedere maatregel in het borgingsproduct is ingedeeld in een organisatiemaatregel (o) of procesmaatregel (p). De reden daarvan is dat sommige maatregelen zien op een proces en dus voor ieder proces moeten worden geïmplementeerd voor zover van toepassing, zoals het structureel afsluiten van verwerkersovereenkomsten (maatregel 20.5.1.3). Andere maatregelen spelen een rol op organiatieniveau, zoals het juridisch toetsen en goedkeuren van het privacybeleid (maatregel 20.1.1.2).

Hieraan gekoppeld is wie verantwoordelijk is voor de uitvoering van de maatregel. In de regel zijn de proceseigenaren9 verantwoordelijk voor de implementatie van de proces- en organisatiemaatregelen, eventueel samen met het lijnmanagement. Het college speelt soms ook een rol, zoals bij het vaststellen van het privacybeleid (maatregel 20.1.1.3). De privacyfunctionarissen in de 2e lijn ondersteunen de proceseigenaren waar nodig. De FG ziet erop toe dat de taken (goed) worden uitgevoerd.

3.3 AanpakNet zoals de AVG risicogestuurde wetgeving is vereist dit product een risicogebaseerde aanpak. Ook is het (vanzelfsprekend) niet mogelijk om aan alle controls tegelijkertijd te werken. Afhankelijk van de omstandigheden van de gemeente kunnen prioriteiten worden gelegd bij bepaalde controls en gekozen worden voor bepaalde volwassenheidsniveaus.

Hierbij speelt ook een rol de werkzaamheden die al door de gemeente zijn verricht op het gebied van de bescherming van persoonsgegevens. Als een gemeente bijvoorbeeld al een getoetst, goedgekeurd en gecommuniceerd privacybeleid heeft is de gemeente sneller bij een hoger volwassenheidniveau bij deze specifieke control. Hier hoeft dan mogelijk minder prioriteit op te worden gelegd. De 9 Zie voor een toelichting op dit begrip: https://www.gemmaonline.nl/index.php/Procesarchitectuur_Eigenaarschap.

10

quickscan, die ook is onderverdeeld in een o- en p-quickcan, kan helpen om te bepalen waar de gemeente staat bij de diverse thema’s.

Het is niet mogelijk om in het kader van dit borgingsproduct een one-size-fits-all-aanpak uit te werken. Bepaalde verwerkingen zijn echter wel gevoeliger dan andere voor alle gemeenten en behoren dan ook een hogere prioriteit te krijgen, zoals verwerkingen in het sociaal domein. Een hoger volwassenheidsniveau zou dus kunnen worden geambieerd voor domeinen of afdelingen met meer hoge risico verwerkingen.

Het toepassen van het borgingsproduct is geen momentopname. Dat wil zeggen dat – als besloten is dit borgingsproduct toe te passen in de organisatie - periodiek zou moeten worden beoordeeld waar de gemeente staat bij de implementatie van de controls en welke stappen nog genomen moeten worden om het door het management geambieerde volwassenheidsniveau te bereiken. Control 7.4 ziet op deze periodieke GAP-analyse.

3.3 Thema beveiligingTen opzicht van borgingsproduct 1.0 is het thema beveiliging flink gewijzigd. Een aantal controls zijn samengevoegd en een aantal zijn komen te vervallen, omdat deze door de Baseline Informatiebeveiliging Overheid (BIO) worden ingevuld.10 In de tabel in bijlage 1 wordt aangegeven wat met de verschillende controls van het thema beveiliging uit borgingsproduct 1.0 is gebeurt.

10 https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/.

11

4 Beheer van het borgingsproductHet borgingsproduct is een levend document. Periodiek – in ieder geval eens ieder half jaar – wordt geëvalueerd of het borgingsproduct moet worden aangepast om nog beter aan te sluiten op de gemeentelijke praktijk, bijvoorbeeld naar aanleiding van feedback (van gemeenten) of ontwikkelingen in wetgeving en jurisprudentie. Uw meningen en inzichten voor verbetering van het product kunnen worden gestuurd naar privacy@vng.nl.

Tevens is er een klankbordgroep van gemeenten en gemeentelijke samenwerkingsverbanden. Mocht uw gemeente ook interesse hebben om deel te nemen dan ontvangen we graag uw aanmelding. Voorgenomen wijzigingen worden voorgelegd aan de klankbordgroep en in afstemming met deze groep (deels) verwerkt of gemotiveerd niet verwerkt.

12

Bijlage 1: beveiligingscontrols uit borgingproduct 1.0

Nr Beschrijving AVG borgingsproduct 2.0 BIO

6.1 De staat van informatiebeveiliging en de implementatie ervan wordt onafhankelijk en periodiek, of zodra zich belangrijke veranderingen voordoen, beoordeeld.

BIO Control 18.2 “Informatiebeveiligingsbeoordelingen

6.2 Persoonsgegevens zijn opgenomen binnen het classificatiesysteem.

Maatregel 20.6.3.7 (Persoonsgegevens worden structureel opgenomen in een classificatiesysteem.)

BIO Control 8.2 “Informatieclassificatie”.

Relevante IBD producten:

Handreiking Dataclassificatietoets BIO gemeenten

6.3 Er is een proces hoe de organisatie omgaat met incidenten – waaronder inbreuken - in verband met persoonsgegevens.

Zie 6.2 (thema Beveiliging): De gemeente heeft inzicht in (potentiële) privacy-incidenten, zoals datalekken.

BIO control 16.1 “Beheer van informatiebeveiligingsincidenten en -verbeteringen” dient hierbij als randvoorwaarde.

Relevante IBD producten:

Factsheet Incidentmanagement Voorbeeld Incidentmanagement en response beleid BIO Verhogen digitale weerbaarheid (VDW) Module 1

6.4 De gemeente heeft inzicht in (potentiële) privacy-inbreuken.

Hernoemd naar “De gemente heeft inzicht in (potentiële) privacy-incidenten, zoals datalekken.” Zie 6.2 (thema Beveiliging).

6.5 Middels technische en organisatorische maatregelen wordt het risico op incidenten die verband houden met persoonsgegevens geminimaliseerd.

In feite kan hier naar de hele BIO worden verwezen. Alle (relevante) controls uit BIO hoofdstuk 5 tot en met 18.

Zie hiervoor het IBD aanbod met betrekking tot de Implementatieondersteuning BIO / Informatiebeveiliging.11

11 https://www.informatiebeveiligingsdienst.nl/kennisproducten-ibd/#IB

13

Nr Beschrijving AVG borgingsproduct 2.0 BIO

6.6 Voor geautomatiseerde systemen zijn autorisaties ingesteld en waar nodig beveiligde inlogprocedures aanwezig.

Zie 20.6.3.1 (Waar vereist door de klant of in wet- of regelgeving moet de organisatie zorgen voor beveiligde inlogprocedures).

Zie maatregel 20.6.3.3 (Persoonsgegevens kunnen alleen worden verwerkt met een koppeling aan een specifieke rol- of functiegebaseerde authenticatie en autorisatie)

BIO Hoofdstuk 9 “Toegangsbeveiliging” en eventueel Hoofdstuk 11 “Fysieke beveiliging en beveiliging van de omgeving”.

Aanvullende maatregelen12:

Er is een overzicht van de gebruikersprofielen, inclusief autorisaties, die zijn gemaakt voor medewerkers met toegang tot een informatiesysteem die persoonsgegevens bevat.

Persoonsgegevens kunnen alleen worden verwerkt met een koppeling aan een specifieke rol- of functiegebaseerde authenticatie en autorisatie.

Waar vereist door de klant of in wet- of regelgeving moet de organisatie zorgen voor beveiligde inlogprocedures

Persoonsgegevens kunnen op basis van doel, rol en daaraan gekoppelde autorisaties op een ander aggregatieniveau weergegeven worden.

Relevante IBD producten:

Handreiking Beleid logische toegangsbeveiliging Handreiking Wachtwoordbeleid Handreiking Wachtwoordkluizen Handreiking 2-Factor authenticatie (2FA) voor gemeenten Handreiking Toegangsbeleid

12 De aanvullende maatregelen zijn afkomstig uit de Privacy by Design instrumenten van de IBD en ISO 27701.

14

Nr Beschrijving AVG borgingsproduct 2.0 BIO

6.7 Er is loggingsbeleid. Zie maatregel 20.6.3.6 (Activiteiten van gebruikers waarbij persoonsgegevens worden verwerkt zijn vastgelegd in audit-logbestanden. Deze worden periodiek gecontroleerd.)

BIO Control 12.4 “Verslaglegging en monitoren”

Aanvullende maatregelen:

De beschikbaarheid van loginformatie met persoonsgegevens is gegarandeerd totdat de voor de verschillende logging vastgestelde bewaartermijnen zijn verlopen. De loginformatie dient daarna verwijderd te worden.

Toetsing van persoonsgegevens aan authentieke brongegevens wordt gelogd en overzichten hiervan zijn op te vragen voor controledoeleinden.

Relevante IBD producten:

Handreiking Aanwijzing Logging

6.8 Er is een beleid over testen met persoonsgegevens

BIO Control 14.3 “Testgegevens”

Aanvullende maatregelen:

Alleen synthetische of gegenereerde persoonsgegevens mogen worden gebruikt voor testdoeleinden.

Als het niet anders kan dan testen met persoonsgegevens dan moeten technische en organisatorische maatregelen worden toegepast die gelijkwaardig zijn aan die in de productieomgeving.

Als dergelijke maatregelen niet haalbaar zijn moet een risicoanalyse worden uitgevoerd waarbij gekeken wordt naar een eventuele tussentijdse oplossing totdat wel passende maatregelen kunnen worden genomen.

6.9 Verwerkingen worden zodanig ingericht dan rekening wordt gehouden met de beginselen van Privacy by Design (PbD) en privacy by default

Control 6.1, thema Beveiliging (Verwerkingen worden zodanig ingericht dat rekening wordt gehouden met de beginselen van Privacy by Design (PbD) en privacy by default).

15

Bijlage 2: begrippenlijstDe begrippen komen voor in deze handreiking of in het privacyvolwassenheidsmodel. Bij de uitleg van de begrippen is aangesloten bij omschrijvingen uit NORA13 en GEMMA.14 Zie voor AVG-termen art. 4 AVG.

Begrip UitlegArchitectuur Een beschrijving van een complex geheel, en van de principes die van

toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.Autorisatie Het proces van het toekennen van rechten voor de toegang tot

geautomatiseerde functies en/of gegevens in ICT voorzieningen.Informatiebeveiliging Het proces van vaststellen van de vereiste betrouwbaarheid van

informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Informatiesysteem Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

PDCA-cyclus Plan-Do-check-Act-cyclus, een regelkringprincipe voor procesbesturingProceseigenaar Uitgelegd in een artikel op GEMMA Online.15

Registraties Dit zijn systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

Standaard Een document dat een set van regels bevat die beschrijven hoe mensen materialen, producten, diensten, technologieën, taken, processen en systemen dienen te ontwikkelen en beheren.

Verantwoordelijke De (soort) organisatorische eenheid of (functie van) medewerker die verantwoordelijk is voor de uitvoering van zaken.

13 https://www.noraonline.nl/wiki/Begrippenkader#%22. 14 https://www.gemmaonline.nl/index.php/Toelichting_GEMMA_ZTC2_Zaaktypesjabloon. 15 https://www.gemmaonline.nl/index.php/Procesarchitectuur_Eigenaarschap.

16