Toegangsbeveiliging. Toegang tot een rekening van Brand New Day Bank is alleen online mogelijk door in te loggen op MijnBND vanaf de website van Brand New Day Bank. Bij elk bezoek aan MijnBND moet de Rekeninghouder zich eerst herkenbaar maken met een gebruikersnaam en wachtwoord. Daarnaast kan Brand New Day Bank gebruik maken van andere beveiligingscodes om vast te stellen of de Rekeninghouder degene is die gebruik maakt van de elektronische diensten. Iedere beveiligingscode is strikt persoonlijk en het is niet toegestaan om beveiligingscodes aan derden te verstrekken.
Toegangsbeveiliging. Toegangsbeveiliging bestaat uit de fysieke toegang en digitale toegang. Ruimtes waar persoonsgegevens worden verwerkt, dienen alleen toegankelijk te zijn voor bevoegd personeel. Toegang tot systemen waarin persoonsgegevens zijn opgeslagen is alleen mogelijk voor bevoegd personeel middels minimaal een gebruikersnaam en wachtwoord. De Verwerker heeft een overzicht van alle autorisaties en controleert deze periodiek.
Toegangsbeveiliging. Paragraaf R B W U I C Maatregel Status Toelichting
9.1 Bedrijfseisen voor toegangsbeveiliging
9.1.1 Beleid voor X X 1 Een beleid voor Geïmplementeerd toegangsbeveiliging 2 toegangsbeveiliging moet 3 worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligings-eisen. X X 1 Zorgspecifieke maatregel Geïmplementeerd 23 Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de toegang tot dergelijke informatie controleren. In het algemeen moeten de gebruikers van gezondheidsinformatie- systemen hun toegang tot persoonlijke gezondheidsinformatie beperken tot situaties:
a) waarin er een zorgrelatie bestaat tussen de gebruiker en de persoon waarop de gegevens betrekking hebben (de cliënt tot wiens persoonlijke gezondheidsinformatie er toegang wordt gemaakt);
b) waarin de gebruiker een activiteit uitvoert namens de persoon waarop de gegevens betrekking hebben;
c) waarin er specifieke gegevens nodig zijn om deze activiteit te ondersteunen. Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten een toegangscontrolebeleid hebben waarmee de toegang tot deze gegevens wordt geregeld. Het beleid van de organisatie met betrekking tot toegangscontrole moet worden vastgesteld op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden die passen bij, maar beperkt zijn tot, de behoeften van die rol. Het toegangscontrolebeleid, als bestanddeel van het in 5.1.1 beschreven beleidskader voor informatiebeveiliging, moet professionele, ethische, juridische en cliënt gerelateerde eisen weerspiegelen en moet de taken die worden uitgevoerd door zorgverleners, en de workflow van de taak in aanmerking nemen. De organisatie moet alle partijen identificeren en documenteren waarmee cliëntgegevens worden uitgewisseld, en met deze partijen moeten contractuele afspraken over toegang en rechten worden gemaakt, alvorens cliëntgegevens uit te wisselen.
9.1.2 Toegang tot netwerken en netwerkdiensten X X X 123 Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Geïmplementeerd
Toegangsbeveiliging. Verwerker waarborgt dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn vastgelegd. Verwerker gebruikt formele procedures voor het registreren en afmelden van gebruikers en voor het verlenen en intrekken van toegangsrechten. Verwerker verleent alleen toegang aan personen, entiteiten of processen op basis van de functie of rol die zij vervullen binnen de organisatie en binnen het kader van deze overeenkomst. Verwerker logt de toegang tot informatie en informatie-verwerkende systemen en faciliteiten.
Toegangsbeveiliging. 33.1. Opdrachtnemer garandeert dat de toegangsbeveiliging voldoet aan tenminste de volgende punten:
a. Rollen en rechten zijn gescheiden voor beheer en gebruik;
b. Accounts die ter beschikking worden gesteld aan Opdrachtgever zijn zogenaamde “named accounts”. Generieke accounts zoals “beheerder1” of “gebruiker1” zijn niet toegestaan;
c. Web-applicaties “service accounts” worden gemaakt met strikte rechten.
d. Opdrachtnemer verleent gebruikers (onder gebruikers wordt tenminste onder verstaan Personeel en derden) toegang tot de web-applicatie op basis van een veilige aanmeldingsprocedure.
e. Opdrachtnemer garandeert dat gebruikers een authenticatie policy ontvangen waarmee veilige toegang tot het systeem wordt gewaarborgd. Denk hierbij aan risico gebaseerde authenticatie, minimale lengte en complexiteit van wachtwoorden.
f. Opdrachtnemer garandeert dat gebruikers en beheerders van Opdrachtgever op verzoek van Opdrachtgever op naam toegang kunnen krijgen tot de web-applicatie.
g. Indien Opdrachtgever bij Opdrachtnemer een gebruiker aandraagt met hoge rechten, dan is Opdrachtnemer in staat een gebruiker middels een goedgekeurde multifactor authenticatie toegang te verlenen tot de applicatie.
h. Opdrachtnemer houdt een actuele lijst van gebruikers bij die toegang hebben tot de web- applicatie en verschaft Opdrachtgever inzicht op deze lijst.
i. Opdrachtnemer draagt zorgt voor het verwijderen van de account en het ontzeggen van toegang tot de web-applicatie indien: - Opdrachtgever schriftelijk daartoe verzoekt; of - het Personeel of derde geen werkzaamheden meer uitvoert voor Opdrachtgever.
j. Gebruiker met veelvuldig toegang tot de websites dient aan de hand van een federatieve koppeling een Single Sign On oplossing functie te krijgen. Deze koppeling wordt door Opdrachtgever richting de partij gefaciliteerd.
33.2. Opdrachtnemer dient voor toegang tot de web-applicatie zich te verplichten tot het gebruik van minimaal sterke wachtwoorden of 2-factor authenticatie.
Toegangsbeveiliging. Verwerker beschikt over procedures die bevoegde gebruikers toegang geven tot de informatiesystemen en gegevens benodigd voor de uitvoering van hun taken en om onbevoegde toegang te voorkomen. Deze procedures regelen de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot de informatiesystemen nodig hebben. Tevens dient de procedure, indien van toepassing, een regeling te bevatten voor het beheer van toegangsrechten en de rechten van systeembeheerders.
Toegangsbeveiliging. Toegang voor gebruikers is mogelijk op basis van complexe wachtwoorden en optionele 2-factor authenticatie. Complexiteit en wijzigingsbeleid van wachtwoorden is door de applicatiebeheerder in te stellen. We slaan wachtwoorden van gebruikers niet op. PerfectView gebruikt onomkeerbare encryptie, waardoor wachtwoorden meteen worden omgezet in een code (hash), die niet door derden kan worden ontcijferd. Na 3 mislukte inlogpogingen binnen 5 minuten wordt een account geblokkeerd zodat niemand eindeloos lang een wachtwoord kan proberen te kraken. Applicatie beheerders kun aanvullend in de applicatie instellingen IP-adressen opgeven, waarvandaan er ingelogd kan én mag worden. Toegang tot de gegevens voor PerfectView is beperkt tot door de klant aangewezen supportmedewerkers en de systeembeheerders van PerfectView. Medewerkers van PerfectView zullen nooit per e-mail of telefoon vragen om vertrouwelijke gegevens zoals wachtwoord gegevens.
Toegangsbeveiliging. We hanteren een autorisatiebeleid op basis waarvan alleen bevoegde gebruikers toegang tot de informatiesystemen hebben en alleen tot data die noodzakelijk voor hun functie zijn.
Toegangsbeveiliging. 16.1. Elke gebruiker heeft zijn eigen unieke gebruikersnaam en bijbehorend wachtwoord. Het wachtwoord is alleen bekend bij de gebruiker zelf. Alleen de gebruiker en de daartoe geautoriseerde systeembeheerders van de Software kunnen het wachtwoord veranderen. Een wachtwoord is uitsluitend voor individueel gebruik. De gebruiker is zelf verantwoordelijk om het toegekende, dan wel door hem of haar ingevoerde wachtwoord geheim te houden.
16.2. De toegang tot ContactEngine staat onder strak ingestelde controle middels een hardwarematig en softwarematig firewallsysteem. Daardoor kunnen alleen die toegangen worden gepasseerd en die activiteiten van buiten het systeem worden uitgevoerd, die door dit firewallsysteem zijn toegestaan.
Toegangsbeveiliging. Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam. Zo kun je een Excel- bestand beveiligen met een wachtwoord en een PC voorzien van een gebruikersnaam en een wachtwoord. Zorg er dus voor dat je altijd minimaal één keer een wachtwoord moet weten voordat je de persoonsgegevens van jouw organisatie kunt inzien of bewerken. Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord. Wij als organisatie hebben persoonsgegevens niet altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord. Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen toegangsbeveiliging.
7.1 Software en antivirussoftware up-to-date. Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken met al je softwareleveranciers. Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren. Wij als organisatie hebben de persoonsgegevens niet alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren. Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen software updates.
8.1 Opslaan alleen binnen de EU. Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten moeten voldoen aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een partij buiten de EU of een internationale organisatie, moet je kijken of er een adequaatheidsbesluit van de Europese Commissie bestaat. Je moet ook weten en kunnen aantonen dat er passende of geschikte waarborgen zijn, en hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. De wetgever is dus extra streng als je persoonsgegevens wilt verwerken...