Bijlage 2: Beveiligingsbijlage (Boom Testcentrum)
Bijlage 2: Beveiligingsbijlage (Boom Testcentrum)
Behorende bij verwerkersovereenkomst Digitale onderwijsmiddelen van Boom uitgevers Amsterdam B.V.
Versie: 01.01.2023
Boom uitgevers Amsterdam B.V. (Hierna: Boom) heeft, overeenkomstig de AVG en artikel 7 en 8 van de Model Verwerkersovereenkomst passende technische en organisatorische maatregelen genomen om de verwerking van persoonsgegevens aantoonbaar te beveiligen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
ISO/NEN normering
Boom voldoet aan de voorwaarden gesteld in de ISO/ IEC 27001: 2013 en NEN-EN-ISO/IEC 27001:2017 normering. Dit is van toepassing op het management systeem van Boom uitgevers Amsterdam B.V. en het toepassingsgebied ontwikkeling en beheer van de webapplicatie Boom Testcentrum, ondersteuning van gebruikers, verwerking van testresultaten en ter beschikking stellen van testresultaten aan gebruikers.
• Een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
• Een systeem van autorisatie waardoor enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie;
• Er is een coördinator informatiebeveiliging die de risico’s omtrent de verwerking van persoonsgegevens inventariseert, het beveiligingsbewustzijn stimuleert, voorzieningen controleert en maatregelen treft die zien op naleving van het informatiebeveiligingsbeleid. Deze coördinator is bereikbaar op het volgende emailadres: xxxxxxx@xxxx.xx
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid;
• Er is een proces ingericht voor communicatie over informatiebeveiligingsincidenten;
• Met medewerkers worden geheimhoudingsverklaringen afgesloten en worden informatiebeveiligingsafspraken gemaakt;
• Het bewustzijn, opleiding en training ten aanzien van informatiebeveiliging wordt gestimuleerd.
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden, zoals beschreven in het Certificeringsschema informatiebeveiliging en privacy ROSA. Zie: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/.
Toetsvorm | Self assessment | ||
Uitvoerder toets | Xxxx xxx xxx Xxx (Boom) Directeur IT / Coördinator Informatiebeveiliging | ||
Inlogpagina | |||
BIV-classificatie | Beschikbaarheid = M Integriteit = M Vertrouwelijkheid = H | ||
Categorie | Maatregelen | Compliance | Uitleg |
Beschikbaarheid | Ontwerp | voldaan | |
Capaciteit beheer | voldaan | ||
Onderhoud | voldaan | ||
Testen | voldaan | ||
Monitoring | voldaan | ||
Herstel | voldaan | ||
Integriteit | Herleidbaarheid (gebruikers) | voldaan | |
Backup | voldaan | ||
Application controls | voldaan | ||
Onweerlegbaarheid | Niet voldaan | Datum laatste inlog en wijziging is herleidbaar. Het is niet zo dat alle individuele wijzigingen van de afgelopen 13 maanden worden bewaard. | |
Herleidbaarheid (technisch beheer) | voldaan | ||
Controle integriteit | voldaan | ||
Onweerlegbaarheid (toepassing) | voldaan | ||
Vertrouwelijkheid | Levenscyclus gegevens | voldaan | |
Logische toegang | Alternatieve maatregel | Alle genoemde maatregelen behalve MFA voor de eind- gebruiker zijn geïmplementeerd. Volledige implementatie van MFA zal in toekomst worden overwogen. | |
Fysieke toegang | voldaan | ||
Netwerk toegang | voldaan | ||
Scheiding omgevingen | voldaan | ||
Transport en fysieke opslag | voldaan | ||
Logging | voldaan | ||
Omgaan met kwetsbaarheden | voldaan |
3. Afspraken over het informeren over beveiligingsincidenten en/of Datalekken
Xxxx heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging. In zo’n geval zullen wij de verwerkingsverantwoordelijke de volgende informatie ter hand stellen:
• De kenmerken van de inbreuk, zoals: datum en tijdstip ontdekken en duur inbreuk, samenvatting van de inbreuk waaronder de aard van de inbreuk en de aard en beschrijving van het beveiligingsincident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
• De oorzaak van de inbreuk;
• Hoe de inbreuk is ontdekt;
• De maatregelen die getroffen zijn om de inbreuk aan te pakken en eventuele (verdere en toekomstige) schade te voorkomen;
• Of de bij de inbreuk betrokken gegevens versleuteld, gehasht etc. waren;
• Benoemen van groep(en) Betrokkenen die gevolgen kunnen ondervinden van het incident, en de aantallen en omvang van de groep Betrokkenen;
• Wat de mogelijke gevolgen zijn van de inbreuk voor de Onderwijsinstelling en de Betrokkene(n), waaronder indien mogelijk een inschatting van het risico van de gevolgen voor betrokkene(n);
• De hoeveelheid en soort Persoonsgegevens betrokken bij de inbreuk (met name bijzondere gegevens zoals gegevens over gezondheid of godsdienst, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
In geval van een (vermoeden van) beveiligingsincident en/of Datalek zal onze coördinator informatiebeveiliging, in beginsel per email contact opnemen met de contactpersoon van de Onderwijsinstelling die is vermeld in bijlage 4. De coördinator informatiebeveiliging is tevens
aanspreekpunt voor het geval de Onderwijsinstelling contact wil opnemen over een beveiligingsincident en/of Datalek. De coördinator informatiebeveiliging is bereikbaar op het volgende mailadres: xxxxxxx@xxxx.xx
Onderwijsinstelling Verwerker