DATUM] verwerkersovereenkomst tussen [entiteit] en Digitaal Vlaanderen

[DATUM]

------------

verwerkersovereenkomst

tussen

[entiteit]

en

Digitaal Vlaanderen

DEZE VERWERKINGSOVEREENKOMST WORDT AANGEGAAN TUSSEN:

[ENTITEIT]

(hierna de "opdrachtgevende instantie")

EN

HET VLAAMS GEWEST, vertegenwoordigd door de Vlaamse Regering, bij delegatie, in de persoon van de leidend ambtenaar van het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid agentschap Digitaal Vlaanderen, administrateur-generaal Xxxxxxx Xxx Xxx Haute, gevestigd te Xxxxxxxxx 00, 0000 Xxxxxxx, ingeschreven in het KBO met nummer 0316.380.841 (hierna “Digitaal Vlaanderen”)

(hierna "Digitaal Vlaanderen")

De opdrachtgevende instantie en Digitaal Vlaanderen worden gezamenlijk ook aangeduid als de "partijen" of afzonderlijk als de "partij".

OVERWEGENDE dat

1. Digitaal Vlaanderen is een intern verzelfstandigd agentschap van de Vlaamse overheid met onder meer de taak om instanties te ondersteunen in hun contacten met burgers, ondernemingen en organisaties en hun digitalisering en vereenvoudiging van dienstverlening en processen , dit overeenkomstig artikels 4,6° en 4,8° van het besluit van de Vlaamse regering van 18 maart 2016 houdende de oprichting van het intern verzelfstandigd agentschap Digitaal Vlaanderen, de bepaling van diverse maatregelen voor de ontbinding zonder vereffening van het AGIV, de regeling van de overdracht van de activiteiten en het vermogen van het AGIV aan het agentschap Digitaal Vlaanderen en de vaststelling van de werking, het beheer en de boekhouding van het Eigen Vermogen Digitaal Vlaanderen. In dat kader biedt Digitaal Vlaanderen een dienstverlening aan waarbij ze de aansluiting voorziet met het door entiteiten die digitaal documenten wensen te versturen gewenste kanaal, zijnde hetzij een beveiligde elektronische brievenbus (de eBox voor natuurlijke personen en/of de eBox voor houders van een ondernemingsnummer), hetzij een print- en leverdienstenleverancier om digitale documenten via een analoge postdienst te verzenden (hierna: de “MAGDA documentendienst”).

2. De opdrachtgevende instantie wenst beroep te doen op de XXXXX documentendienst en heeft hiervoor op [DATUM] het aansluitingsformulier ingevuld.

3. In het kader van de XXXXX documentendienst zal Digitaal Vlaanderen bepaalde persoonsgegevens verwerken ten behoeve van de opdrachtgevende instantie. De partijen wensen nu hun afspraken met betrekking tot de uitvoering en organisatie van deze verwerking van persoonsgegevens te formaliseren in deze verwerkersovereenkomst.

werd het volgende OVEREENGEKOMEN:

1. Verwerkingsopdracht

1.1. Digitaal Vlaanderen zal de persoonsgegevens uitsluitend verwerken overeenkomstig de in het aansluitingsformulier aangeduide verwerkingsopdracht en overeenkomstig de in deze verwerkersovereenkomst vastgelegde verplichtingen.

1.2. De verwerkingsopdracht wordt nader omschreven in bijlage 1 bij deze overeenkomst.

1.3. De verwerkingsopdracht is alleszins steeds beperkt tot het voorzien van de aansluiting met de dienstverleners van de opdrachtgevende instantie. De opdrachtgevende instantie moet met deze dienstverleners zelf een afzonderlijke verwerkersovereenkomst sluiten.

2. Naleving van de wetgeving

1. Digitaal Vlaanderen verbindt zich er toe om de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens na te leven.

2. De opdrachtgevende instantie verbindt er zich toe de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens na te leven.

3. Indien Digitaal Vlaanderen van oordeel is dat de verwerkingsopdracht niet of niet meer in overeenstemming is met de relevante wet- of regelgeving, licht ze de opdrachtgevende instantie daarover in en kan ze de verwerking tijdelijk of permanent stopzetten.

3. Instructies

1. Digitaal Vlaanderen zal de persoonsgegevens enkel overeenkomstig de verwerkingsopdracht en deze verwerkersovereenkomst verwerken. Digitaal Vlaanderen beschouwt de verwerkingsopdracht als de volledige instructie van de opdrachtgevende instantie.

2. Digitaal Vlaanderen zal de persoonsgegevens die verwerkt worden niet doorgeven aan enige derde partij anders dan noodzakelijk voor de uitvoering van de verwerkingsopdracht, tenzij dit noodzakelijk is om te voldoen aan een Vlaamse, federale of Europese verplichting. In dat geval zal Digitaal Vlaanderen de opdrachtgevende instantie voorafgaandelijk aan de doorgifte in kennis stellen van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4. Vertrouwelijkheid personeel

Alle medewerkers van Digitaal Vlaanderen, zowel intern als extern, gemachtigd tot het uitvoeren van de verwerkingsopdracht, zijn gehouden tot een wettelijke dan wel contractuele vertrouwelijkheidsverplichting.

5. Technische en organisatorische maatregelen

Digitaal Vlaanderen treft alle passende technische en organisatorische maatregelen om het beveiligingsniveau van de verwerking te waarborgen, hierbij rekening houdende met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

De technische en organisatorische maatregelen die door Digitaal Vlaanderen worden getroffen worden als bijlage 3 aan deze verwerkersovereenkomst gehecht.

6. Onderverwerking

1. De opdrachtgevende instantie gaat akkoord met het gebruik van de onderverwerker(s) zoals vermeld in bijlage 2.

2. Digitaal Vlaanderen kan onderverwerkers toevoegen of vervangen. Desgevallend waarborgt Digitaal Vlaanderen dat deze nieuwe onderverwerkers voldoende garanties bieden opdat de verwerking aan de vereisten van de verordening 2016/679 van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna de ‘algemene verordening gegevensbescherming’) voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De opdrachtgevende instantie krijgt ten minste dertig dagen voor een wijziging van de onderverwerker een notificatie.

3. De opdrachtgevende instantie kan gedurende deze dertig dagen gemotiveerd bezwaar aantekenen tegen een aanstelling van een nieuwe onderverwerker. In dat geval zullen Digitaal Vlaanderen en de opdrachtgevende instantie gezamenlijk tot een oplossing proberen komen en zal derhalve overeengekomen worden dat:

• de onderverwerker alsnog zal worden ingeschakeld; of

• de onderverwerker zal worden vervangen door een andere door Digitaal Vlaanderen voorgestelde onderverwerker; of

• de onderverwerker die Digitaal Vlaanderen heeft voorgesteld, niet zal worden aangesteld.

Bij gebrek aan enig akkoord heeft de opdrachtgevende instantie het recht om de verwerkingsopdracht kosteloos te beëindigen.

4. Indien Digitaal Vlaanderen beroep doet op een onderverwerker, is het volgende altijd van toepassing:

• de aanstelling van een onderverwerker doet geen afbreuk aan de verplichtingen die op Digitaal Vlaanderen rusten overeenkomstig de verwerkingsopdracht of deze verwerkersovereenkomst;

• Digitaal Vlaanderen zal met haar aangestelde onderverwerkers een overeenkomst afsluiten waarin minstens de verplichtingen inzake gegevensbescherming van deze verwerkersovereenkomst zijn opgenomen; en

• Digitaal Vlaanderen blijft ten aanzien van de opdrachtgevende instantie volledig verantwoordelijk voor de verplichtingen waarvoor zij beroep doet op een onderverwerker.

7. Rechten betrokkene

Digitaal Vlaanderen staat de opdrachtgevende instantie bij in haar verplichting te antwoorden op verzoeken van een betrokkene tot uitoefening van zijn rechten zoals vastgesteld in de toepasselijke wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. In het bijzonder zal Digitaal Vlaanderen de opdrachtgevende instantie zo snel mogelijk op de hoogte stellen indien zij dergelijk verzoek ontvangt.

8. Inbreuken

1. In geval van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (de ‘inbreuk in verband met persoonsgegevens’) brengt Digitaal Vlaanderen de opdrachtgevende instantie daarvan zonder onredelijke vertraging op de hoogte.

2. De melding omvat, voor zover deze informatie voor Digitaal Vlaanderen beschikbaar is:

• de aard van de inbreuk in verband met persoonsgegevens, indien mogelijk met vermelding van de categorieën van betrokkenen en, bij benadering, het aantal betrokkenen;

• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

• de maatregelen die Digitaal Vlaanderen voorstelt te nemen en/of reeds heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

• de naam en de contactgegevens van de functionaris voor gegevensbescherming van Digitaal Vlaanderen.

3. De melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en eventueel aan de betrokkene blijft uitsluitend de verantwoordelijkheid van de opdrachtgevende instantie. Digitaal Vlaanderen zal hier wel indien gevraagd de nodige bijstand bij verlenen.

9. Audits

Digitaal Vlaanderen zal op vraag van de opdrachtgevende instantie alle informatie ter beschikking stellen die redelijkerwijs is vereist in het kader van een audit of inspectie door de opdrachtgevende instantie of een door de opdrachtgevende instantie gemachtigde controleur. Elke audit die door een opdrachtgevende instantie gevraagd of uitgevoerd wordt, zal volledig op kosten van deze opdrachtgevende instantie gebeuren.

10. Internationale doorgifte van de gegevens

Digitaal Vlaanderen zal de persoonsgegevens niet doorgeven of bewaren buiten de landen van de Europese Economische Ruimte (EER), tenzij dit uitdrukkelijk in de verwerkingsopdracht gevraagd wordt.

11. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Digitaal Vlaanderen zal – rekening houdende met de aard van de verwerking en de ter haar beschikking staande informatie – de opdrachtgevende instantie desgevallend bijstaan in haar verplichting tot het opstellen van een gegevensbeschermingseffectbeoordeling, inzonderheid om te komen tot een volwaardige en correcte risicobeoordeling en -beheersing. Desgevallend zal Digitaal Vlaanderen eveneens haar bijstand verlenen bij een voorafgaande raadpleging aan de toezichthoudende autoriteit.

12. Inwerkingtreding, duur en beëindiging

1. Deze verwerkersovereenkomst treedt in werking op datum van ondertekening en is van onbepaalde duur. Ze eindigt van rechtswege na beëindiging van de verwerkingsopdracht.

2. Na beëindiging van de verwerkingsopdracht zal Digitaal Vlaanderen, naar keuze van de opdrachtgevende instantie, alle persoonsgegevens met betrekking tot de verwerkingsopdracht verwijderen of terugbezorgen en bestaande kopieën verwijderen. Digitaal Vlaanderen kan kopieën bewaren indien de opslag van persoonsgegevens verplicht is ingevolge Vlaamse, federale of Europese wet- of regelgeving.

13. Aansprakelijkheid

Digitaal Vlaanderen kan alleen aansprakelijk worden gesteld voor de bewezen schade die door een toerekenbare fout van Digitaal Vlaanderen of een onderverwerker van Digitaal Vlaanderen werd veroorzaakt ingevolge het bij de verwerking niet voldoen aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, deze verwerkingsovereenkomst of ingevolge het buiten dan wel in strijd met de rechtmatige instructies van de opdrachtgevende instantie handelen.

14. Diversen

1. Indien een bepaling van deze verwerkingsovereenkomst geheel of gedeeltelijk ongeldig of niet-afdwingbaar wordt geacht, wordt deze (voor zover deze ongeldig of niet-afdwingbaar is) als scheidbaar beschouwd en wordt de geldigheid van de andere bepalingen van deze verwerkingsovereenkomst niet aangetast.

2. Aanvullingen en wijzigingen op deze verwerkersovereenkomst dienen schriftelijk te gebeuren door middel van een addendum dat als bijlage aan deze verwerkersovereenkomst zal worden gehecht.

Deze verwerkersovereenkomst werd op [DATUM] te Brussel opgesteld in evenveel exemplaren als er partijen zijn. Aan elke partij wordt één ondertekend exemplaar van de verwerkersovereenkomst overhandigd.

Voor de opdrachtgevende instantie Voor Digitaal Vlaanderen

_______________________________ _____________________________

Xxxxxxx Xxx Xxx Haute

administrateur-generaal

Digitaal Vlaanderen

Bijlagen:

• Bijlage 1: verwerkingsopdracht

• Bijlage 2: onderverwerkers

• Bijlage 3: technische en organisatorische maatregelen

Bijlage 1: verwerkingsopdracht

[INSTRUCTIE: enkel de in het inschrijfformulier aangevinkte diensten moeten hier vermeld worden. De rest (incl. deze instructie) moet worden geschrapt.]

De verwerkingsopdracht bestaat uit onderstaande dienst(en):

• aansluiting eBox voor natuurlijke personen.

Doel van de verwerking:

Digitaal Vlaanderen zorgt voor de technische integratie met de document provider van de eBox voor natuurlijke personen. Om de authenticiteit en integriteit van de berichten te waarborgen worden metadata over het document en metadata over iedere individuele transactie bijgehouden.

Soort persoonsgegevens:

Digitaal Vlaanderen verwerkt onderstaande persoonsgegevens in het kader van de aansluiting op de eBox voor natuurlijke personen:

• het INSZ-nummer van de bestemmeling;

• alle informatie vervat in het document dat de opdrachtgevende instantie via de eBox voor natuurlijke personen wenst te versturen.

Duur van de verwerking:

Het document zelf wordt niet bewaard.

Metadata over het document en metadata over iedere individuele transactie worden gedurende 10 jaar bewaard in een logdatabank.

Categorieën van betrokken:

Het betreft de burgers waarnaar de opdrachtgevende instantie een document wenst te sturen via de eBox voor natuurlijke personen.

• aansluiting eBox voor houders van een ondernemingsnummer

Doel van de verwerking:

Digitaal Vlaanderen zorgt voor de technische integratie met de document provider van de eBox voor houders van een ondernemingsnummer. Om de authenticiteit en integriteit van de berichten te waarborgen worden metadata over het document en metadata over iedere individuele transactie bijgehouden.

Soort persoonsgegevens:

Digitaal Vlaanderen verwerkt onderstaande persoonsgegevens in het kader van de aansluiting op de eBox voor houders van een ondernemingsnummer:

• de naam van ondernemingen waarbij een natuurlijke persoon kan worden geïdentificeerd.

• alle informatie vervat in het document dat de opdrachtgevende instantie via de eBox voor houders van een ondernemingsnummer wenst te versturen

Duur van de verwerking:

Het document zelf wordt niet bewaard.

Metadata over het document en metadata over iedere individuele transactie worden gedurende 10 jaar bewaard in een logdatabank.

Categorieën van betrokken:

Het betreft de burgers waarnaar de opdrachtgevende instantie een document wenst te sturen via de eBox voor houders van een ondernemingsnummer die omwille van de ondernemingsnaam kunnen geïdentificeerd worden (zoals eenmanszaken).

• Aansluiting print- en leverdienstenleverancier

Doel van de verwerking:

Digitaal Vlaanderen zorgt voor de technische integratie met de print- en leverdienstenleverancier. Daarnaast houdt Digitaal Vlaanderen de authentieke digitale documenten gedurende de door de opdrachtgevende instantie bepaalde termijn in een beveiligde omgeving bij zodat deze binnen deze termijn door de bestemmeling kunnen worden opgevraagd. Om de authenticiteit en integriteit van de berichten te waarborgen worden metadata over het document en metadata over iedere individuele transactie bijgehouden.

Soort persoonsgegevens:

Digitaal Vlaanderen verwerkt onderstaande persoonsgegevens in het kader van deze dienstverlening:

• de naam en het adres van de bestemmeling;

• alle informatie vervat in het document dat de opdrachtgevende instantie via de print- en leverdienstenleverancier wenst te sturen.

Duur van de verwerking:

De authentieke digitale documenten worden gedurende de door de opdrachtgevende instantie bepaalde termijn bewaard zodat deze door de bestemmeling kunnen worden opgevraagd.

Metadata over het document en metadata over iedere individuele transactie worden gedurende 10 jaar bewaard in een logdatabank.

Categorieën van betrokken:

Het betreft de burgers waarnaar de opdrachtgevende instantie een document wenst te sturen.

• bezorgen van de documenten via MAGDA Online

De opdrachtgevende instantie bezorgt de documenten in het kader van de hierboven omschreven dienstverlening(en) aan Digitaal Vlaanderen via de webapplicatie MAGDA Online. Voor auditdoeleinden wordt het verzonden document met inbegrip van de metadata over iedere individuele transactie bewaard door Digitaal Vlaanderen, dit conform de afspraken tussen de opdrachtgevende instantie en FOD BOSA bij het gebruik van de eBox. Deze logdata kan enkel worden ingezien of opgevraagd door de opdrachtgevende instantie.

Soort persoonsgegevens:

Digitaal Vlaanderen verwerkt naast alle persoonsgegevens die in het kader van bovenstaande dienst(en) verwerkt worden ook:

• het INSZ-nummer van de persoon bij de opdrachtgevende instantie die het bericht verstuurd

Duur van de verwerking:

Het/de verzonden document(en), persoonsgegevens in het kader van bovenstaande diensten en de metadata over iedere individuele transactie worden gedurende 10 jaar bewaard in een logdatabank die enkel voor de opdrachtgevende instantie toegankelijk is.

Categorieën van betrokken:

Het betreft dezelfde categorieën van betrokkenen zoals bepaald voor bovenstaande dienst(en).

Bijlage 2: onderverwerkers

Digitaal Vlaanderen doet beroep op volgende onderverwerkers voor de verwerking van persoonsgegevens zoals uiteengezet in deze verwerkersovereenkomst:

• CRONOS PUBLIC SERVICES NV (ondernemingsnummer 0458.085.765)

• GOOGLE IRELAND LIMITED

[INSTRUCTIE : onderstaande enkel laten staan indien de opdrachtgevende instantie gebruik maakt van XXXXX Online, xxxxxx xxxxxxxxx.]

• AMAZON WEB SERVICES INC

Bijlage 3: technische en organisatorische maatregelen

1. Veiligheidskader

Digitaal Vlaanderen maakt gebruik van de informatieclassificatie van de Vlaamse overheid als kompas voor het implementeren van de nodige technische en organisatorische maatregelen om het beveiligingsniveau van de verwerking te waarborgen, hierbij rekening houdende met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen:

De classificatie die van toepassing is, is de hoogste classificatie die uit de inventaris van alle geïdentificeerde persoonsgegevens kan afgeleid worden. Het is die classificatie die de informatieclassificatie van het volledige platform bepaalt. De gegevens die via de MAGDA Documentendienst verwerkt worden, zijn na analyse volgens dit model ingedeeld in informatieklasse 4.

Om de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens tijdens de verwerking te garanderen worden, op basis van deze indeling, de hierna beschreven technische en organisatorische veiligheidsmaatregelen genomen.

2. Organisatorische veiligheidsmaatregelen

   1. op niveau van het agentschap Digitaal Vlaanderen (AIV)

• Er is een functionaris voor gegevensbescherming aangesteld. De functionaris voor gegevensbescherming controleert of de verwerkingen gebeuren in overeenstemming met de bepalingen van de algemene verordening gegevensbescherming (AVG), met de bepalingen van de federale en Vlaamse regelgeving over de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en met de verwerkersopdracht.

• Het AIV beschikt over een informatieveiligheidsbeleid en –plan.

• Conform de AVG:

  • Xxxxx een geheimhoudingsverklaring ondertekend door alle relevante interne en externe medewerkers, inclusief onderverwerkers;

  • Is er een incidentenbeheerprocedure opgesteld en naar alle relevante medewerkers gecommuniceerd;

  • Zijn er procedures opgesteld en gecommuniceerd naar alle relevante medewerkers met betrekking tot volgende aspecten:

    • Recht van inzage,

    • Recht op rectificatie,

    • Recht op gegevenswissing,

    • Recht op beperking van de verwerking,

    • Recht op overdraagbaarheid van de persoonsgegevens,

    • Recht van bezwaar;

• Maatregelen zijn getroffen voor de fysieke beveiliging van de omgeving.

2. specifiek voor de XXXXX documentendienst

• Conform de AVG:

  • Is er een register van verwerkingen opgesteld;

  • Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van AIV.

  • Processen zijn uitgeschreven en geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.

• In lijn met de verwerkersovereenkomst zijn verplichtingen inzake de verwerking van persoonsgegevens contractueel vastgelegd met de respectieve onderverwerkers.

• Een regelmatige security audit wordt minstens één keer per drie jaar uitgevoerd door een onafhankelijke, ISO27001-gecertifieerde instantie.

[INSTRUCTIE : onderstaande enkel laten staan indien de opdrachtgevende instantie gebruik maakt van XXXXX Online, xxxxxx xxxxxxxxx.]

3. Specifiek voor MAGDA Online

• XXXXX Online is uitvoering gedocumenteerd voor interne doeleinden op Confluence, Azure Devops en SharePoint

• Conform de AVG:

  • Is er een register van verwerkingen opgesteld;

  • Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van de opdrachtgevende instantie.

  • Processen zijn uitgeschreven en geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.

• In lijn met de verwerkersovereenkomst zijn verplichtingen inzake de verwerking van persoonsgegevens contractueel vastgelegd met de respectieve onderverwerkers.

3. Technische veiligheidsmaatregelen

1. specifiek voor de XXXXX documentendienst

1. Least privileged principe bij het toekennen van functioneel noodzakelijke toegangen

• Het Least privileged principe wordt bewaakt door een aangestelde toegangsbeheerder.

1. Verzender

• De opdrachtgevende instantie kan slechts documenten van een bepaalde categorie van persoonsgegevens versturen voor de opdrachtgevende instantie gemachtigd is voor het versturen van deze persoonsgegevens.

• De opdrachtgevende instantie kan slechts persoonsgegevens aangaande een bepaalde persoon versturen voor zover deze een dossier van deze persoon in behandeling heeft en daarvoor gemachtigd is.

2. Systeembeheerder

• Het toegangsbeheer wordt ingeregeld door middel van een security matrix. Deze maakt onderscheid tussen de verschillende componenten, rollen en granulariteit van toegangen (lezen, schrijven, wijzigen).

• De toegangen worden per rol bepaald op basis van de minimale autorisatie noodzakelijk in functie van de uitvoering van de taak.

3. Applicatie

• De verschillende componenten hebben elk dedicated credentials nodig om te functioneren en toegang te vragen tot andere componenten en externe bronnen.

• Communicatie tussen componenten binnen het platform verloopt steeds over HTTPS.

2. Encryptie ter afscherming van de persoonsgegevens

• Communicatie tussen partijen verloopt steeds over HTTPS met message signing.

• De connectie met en de toegang tot de MAGDA documentendienst gebeurt altijd op basis van authenticatie via certificaten.

• Deze certificaten worden afgeleverd door het Digitaal Certificatenbeheer platform van de Vlaamse overheid (VODCB), gekoppeld aan het Toegangs- en gebruikersbeheer van de Vlaamse overheid (via de Federal Authentication Service – FAS) of via een andere Certificate Authority.

• De toegangsbeveiliging voor externe applicaties is ingeregeld via de Autorisatie server van AIV en de controles via een Policy Enforcement Point van het API-beheerplatform APIGEE onder het beheer van onderverwerker Google Ireland Limited.

• Communicatie tussen AIV en de onderverwerker Cronos Public Services verloopt steeds via een beveiligde site-to-site VPN-tunnel (IPSEC).

• Enkel geautoriseerde medewerkers van AIV kunnen certificaten beheren.

• De certificatenbeheerder is niet de ontwikkelaar of operator zelf.

• AIV heeft de volledige controle over de levenscyclus van de eigen certificaten.

• Alle documenten, metadata en logbestanden die door de MAGDA documentendienst worden behandeld zijn altijd in een versleutelde opslag bewaard.

3. Logging

• Diverse aspecten van de XXXXX documentendienst worden gelogd om verschillende redenen:

  • Technische logging van de beschikbaarheid en performantie van de onderliggende infrastructuur met het oog op bedrijfszekerheid;

  • Traffic logging van alle transacties die via de MAGDA documentendienst verlopen met het oog op probleem- en incidentanalyse;

  • Privacylogging voor auditing doeleinden van alle transacties die via de MAGDA documentendienst verlopen in lijn met de wettelijke bepalingen en best practices (wie heeft welk gegeven op welk tijdstip geraadpleegd over wie en met welke finaliteit).

4. Veiligheidscontroles

• Interne security regressie testen

  • Continue code vulnerability testen zijn ingeregeld via code build & release pipelines.

  • Een regelmatige audit wordt uitgevoerd door een onafhankelijke, ISO27001-gecertifieerde instantie.

• Externe security testen

  • Statische code vulnerability scans (Source Code Review) zijn recurrent ingepland.

  • Dynamische penetratietesten worden recurrent ingepland.

• Externe applicatie architectuur analyse

  • Een regelmatige analyse wordt uitgevoerd door een onafhankelijke, ISO27001-gecertifieerde instantie.

[INSTRUCTIE : onderstaande enkel laten staan indien de opdrachtgevende instantie gebruik maakt van XXXXX Online, xxxxxx xxxxxxxxx.]

2. Specifiek voor MAGDA Online

1. Hosting – privacy by design

• MAGDA Online wordt in de AWS-cloud gehosted. Het “AWS GDPR DATA PROCESSING ADDENDUM”, welke de verwerkingsovereenkomst tussen Cronos Public Services NV en AWS uitmaakt, kan worden teruggevonden op de website van AWS [xxxxx://x0.xxxxxxxxx.xxx/xxxxx/xxx-xxxx/XXX_XXXX_XXX.xxx].

• een studie werd uitgevoerd voor de veilige inrichting van XXXXX Online op AWS, rekening houdend met de vereisten van de informatieklasse 4. Resultaat van deze studie zijn design documenten voor applicatie management, architectuur, DevOps, en security.

• AIV heeft binnen het MAGDA Onlineteam een voorstudie uitgevoerd waarbij de design veiligheidsaspecten technisch uitgewerkt zijn.

• AIV heeft vanuit de MAGDA Online architectuur werkgroep 4 AWS referentie architecturen als basis design vooropgesteld:

  • AWS VPC Architecture

  • AWS Web application hosting architecture

  • AWS standardized architecture for NIST high-impact controls

  • AWS Fault Tolerance & High Availability

2. Data Privacy Impact Assessment (DPIA)

• De functionaris voor gegevensbescherming van AIV heeft in nauwe samenwerking met het MAGDA Online team een Data Privacy Impact Assessment oefening doorgevoerd.

3. Enkel functioneel noodzakelijke toegangen

   1. Medewerker van een opdrachtgevende instantie

• kan enkel zijn eigen gegevens inzien na authenticatie via toegangsbeheer (ACM) met eIDAS betrouwbaarheidsniveau "High" of "Substantial“

• Kan zich authentiseren via de FAS middelen hiervoor beschikbaar.

2. Beheerder

• wordt geauthentiseerd middels 2 factor identificatie via AWS Multi-Factor Authentication

• wordt geautoriseerd middels gesloten doelgroepen via AWS Identity and Access Management (IAM) rollen.

• Het functie gescheiden beheer van deze gesloten doelgroepen gebeurt middels AWS Identity and Access Management (IAM).

3. Applicatie (proces & systeem)

• De verschillende applicatie-onderdelen hebben elk dedicated AWS credentials nodig om te functioneren en toegang te vragen tot andere applicatie onderdelen, databanken & externe bronnen.

• Via AWS Identity and Access Management (IAM) beveiligen we deze functionaliteiten via “gesloten doelgroepen” en bijhorende policies opdat elk applicatie onderdeel enkel toegang krijgt tot de resources die nodig zijn om correct te functioneren.

4. Encryptie ter afscherming van de data naar systeembeheerders toe

• De data in alle databanken alsook in hun afgeleide back-ups, lees kopijen & snapshots zijn versleuteld met het AES-256 encryptie algoritme.

• Het resultaat is dat de neergeschreven data (“data at rest”) steeds geëncrypteerd is. Systeembeheerders kunnen de data niet onversleuteld raadplegen.

• Voor het aanmaken en beheren van de sleutels alsook het uitvoeren van de encryptie bewerking maken we gebruik van de AWS Key Management Service (AWS KMS) en het “envelope encryption” principe waarbij de Master key separaat van de encrypted data wordt opgeslagen.

5. Encryptie ter afscherming van onderschepping van gegevens tijdens het transport over het netwerk

Browser MAGDA Online MAGDA

• Communicatie tussen browser & MAGDA Online verloopt steeds over HTTPS

• Communicatie tussen XXXXX Online en de Xxxxx documentendienst verloopt volgens de beveiligingsstandaarden van de XXXXX documentendienst.

6. Encryptie sleutelbeheer

• AIV stelt de beheerder aan van de omgeving en van de toegangen tot de omgeving en de encryptie sleutels.

• De beheerder is niet de ontwikkelaar of operator zelf.

• De beheerder bepaalt de toegangen op basis van het least privilege principe.

• AIV voert het sleutelbeheer uit gebruik makend van de KMS infrastructuur om een volledige “separation of duties” (functiescheiding) te realiseren.

• AIV heeft de volledige controle over de levenscyclus, het key rotatie proces en de duurzaamheid van de master sleutels die separaat van de versleutelde data opgeslagen worden.

• Enkel geautoriseerde gebruikers van AIV kunnen de sleutels beheren.

• AIV monitoring proces via het opvolgen van AWS Cloudtrail logs & CloudWatch events binnen het AIV SoC.

7. Monitoring en opvolging

• Wie, wanneer, welk request type, op welke resource uitgevoerd heeft wordt als events gelogd op AWS Cloudtrail.

• Deze events zijn afkomstig van API-oproepen, AWS SDK-oproepen, oproepen van command line tools alsook events van AWS dienst specifieke acties.

• Zo worden ook de authenticaties & autorisaties van AWS IAM gelogd voor accounting doeleinden.

• Deze logging wordt historisch raadpleegbaar bijgehouden wat beveiligingsanalyse, tracking van bronwijziging en audit daarvan vereenvoudigt.

• AIV Security Operations Center (SoC) processen worden ingericht voor opvolging

• SIEM via AWS Cloudwatch (Root account toegang & master key beheer)

• Manuele opvolging AWS Audit log (Cloudtrail) + configuratie van extra Cloudwatch events “on the job”

8. Privileged access management (PAM)

• De MAGDA Online PAM beheerprocessen zijn in kaart gebracht en zowel functioneel als technisch beschreven.

• De MAGDA Online PAM-processen zijn technisch ingericht gebruik makend van AWS platform diensten (AWS IAM).

• Audit logs van deze PAM processen zijn beschikbaar via AWS CloudTrail.

• Standaard AWS PAM implementatie

• 2-factor authenticatie

• Least privileged principe via AWS IAM

9. Veiligheidscontroles

• Interne security regressie testen

  • Code vulnerability OWASP checks, continu ingeregeld via code build & release pipelines

• Externe security testen

  • Statische code vulnarability scan (Source Code Review) zijn recurrent ingepland

  • Dynamische penetration testen zijn recurrent ingepland

• Externe applicatie architectuur analyse

  • CATA – een Comprehensive Application Threat Analysis is uitgevoerd

20