Common use of BEVEILIGINGSBIJLAGE Clause in Contracts

BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Hierbij hebben we ervoor gekozen om commitment aan te gaan met het certificeringsschema informatiebeveiliging en privacy ROSA (Referentiearchitectuur Onderwijs). De eisen rondom betrouwbaarheid van de informatievoorziening, de privacybescherming en de informatiebeveiliging liggen binnen het onderwijs op een hoog niveau. Het toetsingskader kunt u hier vinden: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/ Normen informatiebeveiliging / Minimale beveiligingsmaatregelen en aantoonbaarheid (volgens certificeringsschema informatiebeveiligingen en privacy ROSA) Organisatie Concapps BV Ict-toepassing Zie pagina 2 Verwerkersovereenkomst Omschrijving ict- toepassing Zie pagina 2 Verwerkersovereenkomst Datum 26-03-2018 Toetsvorm Self-assessment Uitvoerder toets J.C.A. Donkers (CEO) BIV-classificatie Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 Categorie Maatregelen Compliance Uitleg Voldaan/niet voldaan/ alternatieve maatregel (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) Beschikbaarheid Overbelasting Voldaan Business continuity Voldaan Single points of failure Voldaan Logging/monitoring/testen Voldaan Testen Voldaan Software Voldaan Actuele bedreigingen Voldaan Integriteit geg. Herleidbaarheid Alternatieve maatregel/Voldaan Binnen onze omgeving is geen actieve rollback functionaliteit. Wel vanuit dagelijkse back up. Overige zaken voldaan. Backup/restore/recovery Voldaan Application controls Voldaan/niet voldaan Automatische invoer (syntax) controle is geen functie van onze software. Onweerlegbaarheid Voldaan/alternatieve maatregel Historische persoonsgegevens worden niet opgeslagen in onze database. Inlogactiviteit wordt beperkt gelogd. Hierbij is van belang te vermelden dat veel activiteit plaats vindt binnen de app. Actieve user tracking binnen apps is verboden. Integriteit toep. Herleidbaarheid Voldaan Controle integriteit Voldaan Onweerlegbaarheid Voldaan/Alternatieve maatregel Wij leveren een standaard product waarbij de app en website worden gegenereerd vanuit ons platform. Technisch beheer binnen de app of website zelf is niet mogelijk en wordt niet gedaan/gelogd. Actuele dreigingen Voldaan Vertrouwelijkheid Levenscyclus gegevens Voldaan Logische toegang Voldaan Fysieke toegang Voldaan Netwerktoegang Voldaan Scheiding omgevingen Voldaan Opslag en transport Voldaan Logging/auditing Voldaan Toetsing Voldaan Actuele dreigingen Voldaan Beveiligingsincidenten en/of datalekken: In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Afnemer contact opnemen met: Xxxxxx Xxxxx, Operations Manager (073) 8200231 De contactpersoon voor Verwerker is: de op pagina 2 genoemde contactgegevens. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten: ▪ De wijze waarop monitoring en identificatie van incidenten plaatsvindt, ▪ De wijze waarop informatie wordt gedeeld: ▪ Op welke manier (via e-mail, telefoon); ▪ Aan wie gericht (contactpersonen en contactgegevens); ▪ Met wie kan (bij vervolgacties) contact worden opgenomen. ▪ Informatie die in ieder geval over een incident gedeeld moet worden ▪ De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens); ▪ De oorzaak van het beveiligingsincident; ▪ De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen; ▪ Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin; ▪ De omvang van de groep betrokkenen; ▪ Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties). ▪ Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.

BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Hierbij hebben we ervoor gekozen om commitment aan te gaan met het certificeringsschema informatiebeveiliging en privacy ROSA (Referentiearchitectuur Onderwijs). De eisen rondom betrouwbaarheid van de informatievoorziening, de privacybescherming en de informatiebeveiliging liggen binnen het onderwijs op een hoog niveau. Het toetsingskader kunt u hier vinden: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/ Normen informatiebeveiliging / Minimale beveiligingsmaatregelen en aantoonbaarheid (volgens certificeringsschema informatiebeveiligingen en privacy ROSA) Organisatie Concapps BV Ict-toepassing Zie pagina 2 Verwerkersovereenkomst Omschrijving ict- toepassing Zie pagina 2 Verwerkersovereenkomst Datum 26-03-2018 Toetsvorm Self-assessment Uitvoerder toets J.C.A. Donkers (CEO) BIV-classificatie Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 Categorie Maatregelen Compliance Uitleg Voldaan/niet voldaan/ alternatieve maatregel (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) Beschikbaarheid Overbelasting Voldaan Business continuity Voldaan Single points of failure Voldaan Logging/monitoring/testen Voldaan Testen Voldaan Software Voldaan Actuele bedreigingen Voldaan Integriteit geg. Herleidbaarheid Alternatieve maatregel/Voldaan Binnen onze omgeving is geen actieve rollback functionaliteit. Wel vanuit dagelijkse back up. Overige zaken voldaan. Backup/restore/recovery Voldaan Application controls Voldaan/niet voldaan Automatische invoer (syntax) controle is geen functie van onze software. Onweerlegbaarheid Voldaan/alternatieve maatregel Historische persoonsgegevens worden niet opgeslagen in onze database. Inlogactiviteit wordt beperkt gelogd. Hierbij is van belang te vermelden dat veel activiteit plaats vindt binnen de app. Actieve user tracking binnen apps is verboden. Integriteit toep. Herleidbaarheid Voldaan Controle integriteit Voldaan Onweerlegbaarheid Voldaan/Alternatieve maatregel Wij leveren een standaard product waarbij de app en website worden gegenereerd vanuit ons platform. Technisch beheer binnen de app of website zelf is niet mogelijk en wordt niet gedaan/gelogd. Actuele dreigingen Voldaan Vertrouwelijkheid Levenscyclus gegevens Voldaan Logische toegang Voldaan Fysieke toegang Voldaan Netwerktoegang Voldaan Scheiding omgevingen Voldaan Opslag en transport Voldaan Logging/auditing Voldaan Toetsing Voldaan Actuele dreigingen Voldaan Beveiligingsincidenten en/of datalekken: In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Afnemer contact opnemen met: Xxxxxx XxxxxXxxx Xxxxxx, Operations Manager (073) 8200231 De contactpersoon voor Verwerker is: de op pagina 2 genoemde contactgegevens. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten: ▪ De wijze waarop monitoring en identificatie van incidenten plaatsvindt, ▪ De wijze waarop informatie wordt gedeeld: ▪ Op welke manier (via e-mail, telefoon); ▪ Aan wie gericht (contactpersonen en contactgegevens); ▪ Met wie kan (bij vervolgacties) contact worden opgenomen. ▪ Informatie die in ieder geval over een incident gedeeld moet worden ▪ De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens); ▪ De oorzaak van het beveiligingsincident; ▪ De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen; ▪ Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin; ▪ De omvang van de groep betrokkenen; ▪ Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties). ▪ Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.

BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Hierbij hebben we ervoor gekozen om commitment aan te gaan met het certificeringsschema informatiebeveiliging en privacy ROSA (Referentiearchitectuur Onderwijs). De eisen rondom betrouwbaarheid van de informatievoorziening, de privacybescherming en de informatiebeveiliging liggen binnen het onderwijs op een hoog niveau. Het toetsingskader kunt u hier vinden: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/ Normen informatiebeveiliging / Minimale beveiligingsmaatregelen en aantoonbaarheid (volgens certificeringsschema informatiebeveiligingen en privacy ROSA) Organisatie Concapps BV Ict-toepassing Zie pagina 2 Verwerkersovereenkomst Omschrijving ict- toepassing Zie pagina 2 Verwerkersovereenkomst Datum 26-03-2018 Toetsvorm Self-assessment Uitvoerder toets J.C.A. Donkers (CEO) BIV-classificatie Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 Categorie Maatregelen Compliance Uitleg Voldaan/niet voldaan/ alternatieve maatregel (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) Beschikbaarheid Overbelasting Voldaan Business continuity Voldaan Single points of failure Voldaan Logging/monitoring/testen Voldaan Testen Voldaan Software Voldaan Actuele bedreigingen Voldaan Integriteit geg. Herleidbaarheid Alternatieve maatregel/Voldaan Binnen onze omgeving is geen actieve rollback functionaliteit. Wel vanuit dagelijkse back up. Overige zaken voldaan. Backup/restore/recovery Voldaan Application controls Voldaan/niet voldaan Automatische invoer (syntax) controle is geen functie van onze software. Onweerlegbaarheid Voldaan/alternatieve maatregel Historische persoonsgegevens worden niet opgeslagen in onze database. Inlogactiviteit wordt beperkt gelogd. Hierbij is van belang te vermelden dat veel activiteit plaats vindt binnen de app. Actieve user tracking binnen apps is verboden. Integriteit toep. Herleidbaarheid Voldaan Controle integriteit Voldaan Onweerlegbaarheid Voldaan/Alternatieve maatregel Wij leveren een standaard product waarbij de app en website worden gegenereerd vanuit ons platform. Technisch beheer binnen de app of website zelf is niet mogelijk en wordt niet gedaan/gelogd. Actuele dreigingen Voldaan Vertrouwelijkheid Levenscyclus gegevens Voldaan Logische toegang Voldaan Fysieke toegang Voldaan Netwerktoegang Voldaan Scheiding omgevingen Voldaan Opslag en transport Voldaan Logging/auditing Voldaan Toetsing Voldaan Actuele dreigingen Voldaan Beveiligingsincidenten en/of datalekken: In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Afnemer contact opnemen met: Xxxxxx XxxxxXxxx Xxxxxx, Operations Manager (073) 8200231 De contactpersoon voor Verwerker is: de op pagina 2 1 genoemde contactgegevens. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten: ▪ De wijze waarop monitoring en identificatie van incidenten plaatsvindt, ▪ De wijze waarop informatie wordt gedeeld: ▪ Op welke manier (via e-mail, telefoon); ▪ Aan wie gericht (contactpersonen en contactgegevens); ▪ Met wie kan (bij vervolgacties) contact worden opgenomen. ▪ Informatie die in ieder geval over een incident gedeeld moet worden ▪ De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens); ▪ De oorzaak van het beveiligingsincident; ▪ De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen; ▪ Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin; ▪ De omvang van de groep betrokkenen; ▪ Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties). ▪ Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.

BEVEILIGINGSBIJLAGE. De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen. Hierbij hebben we ervoor gekozen om commitment aan te gaan met het certificeringsschema informatiebeveiliging en privacy ROSA (Referentiearchitectuur Onderwijs). De eisen rondom betrouwbaarheid van de informatievoorziening, de privacybescherming en de informatiebeveiliging liggen binnen het onderwijs op een hoog niveau. Het toetsingskader kunt u hier vinden: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/ Normen informatiebeveiliging / Minimale beveiligingsmaatregelen en aantoonbaarheid (volgens certificeringsschema informatiebeveiligingen en privacy ROSA) Organisatie Concapps BV Ict-toepassing Zie pagina 2 Verwerkersovereenkomst Omschrijving ict- toepassing Zie pagina 2 Verwerkersovereenkomst Datum 26-03-2018 Toetsvorm Self-assessment Uitvoerder toets J.C.A. Donkers (CEO) BIV-classificatie Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 Categorie Maatregelen Compliance Uitleg Voldaan/niet voldaan/ alternatieve maatregel (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) Beschikbaarheid Overbelasting Voldaan Business continuity Voldaan Single points of failure Voldaan Logging/monitoring/testen Voldaan Testen Voldaan Software Voldaan Actuele bedreigingen Voldaan Integriteit geg. Herleidbaarheid Alternatieve maatregel/Voldaan Binnen onze omgeving is geen actieve rollback functionaliteit. Wel vanuit dagelijkse back up. Overige zaken voldaan. Backup/restore/recovery Voldaan Application controls Voldaan/niet voldaan Automatische invoer (syntax) controle is geen functie van onze software. Onweerlegbaarheid Voldaan/alternatieve maatregel Historische persoonsgegevens worden niet opgeslagen in onze database. Inlogactiviteit wordt beperkt gelogd. Hierbij is van belang te vermelden dat veel activiteit plaats vindt binnen de app. Actieve user tracking binnen apps is verboden. Integriteit toep. Herleidbaarheid Voldaan Controle integriteit Voldaan Onweerlegbaarheid Voldaan/Alternatieve maatregel Wij leveren een standaard product waarbij de app en website worden gegenereerd vanuit ons platform. Technisch beheer binnen de app of website zelf is niet mogelijk en wordt niet gedaan/gelogd. Actuele dreigingen Voldaan Vertrouwelijkheid Levenscyclus gegevens Voldaan Logische toegang Voldaan Fysieke toegang Voldaan Netwerktoegang Voldaan Scheiding omgevingen Voldaan Opslag en transport Voldaan Logging/auditing Voldaan Toetsing Voldaan Actuele dreigingen Voldaan Beveiligingsincidenten en/of datalekken: In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Afnemer contact opnemen met: Xxxxxx Xxxxx, Operations Manager (073) 8200231 De contactpersoon voor Verwerker is: de op pagina 2 genoemde contactgegevens. Informeren over Datalekken en/of incidenten met betrekking tot beveiliging Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten: ▪ De wijze waarop monitoring en identificatie van incidenten plaatsvindt, ▪ De wijze waarop informatie wordt gedeeld: ▪ Op welke manier (via e-mail, telefoon); ▪ Aan wie gericht (contactpersonen en contactgegevens); ▪ Met wie kan (bij vervolgacties) contact worden opgenomen. ▪ Informatie die in ieder geval over een incident gedeeld moet worden ▪ De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens); ▪ De oorzaak van het beveiligingsincident; ▪ De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen; ▪ Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin; ▪ De omvang van de groep betrokkenen; ▪ Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties). ▪ Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.