BIJLAGE 2: BEVEILIGINGSBIJLAGE – DE SCHOOLWEBWINKEL B.V.
BIJLAGE 2: BEVEILIGINGSBIJLAGE – DE SCHOOLWEBWINKEL B.V.
De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
Normen informatiebeveiliging
Verwerker is verplicht om aan Onderwijsinstelling aan te tonen of en op welke wijze passende technische en organisatorische maatregelen zijn genomen om te waarborgen en te kunnen aantonen dat de verwerking plaatsvindt in overeenstemming met de AVG en de Model Verwerkersovereenkomst.
Voor het toepassen en aantonen van de technische maatregelen, kan Verwerker gebruik maken van (zo snel als redelijkerwijs mogelijk de meest recente versie van) het in het onderwijs ontwikkelde ‘Certificeringsschema informatiebeveiliging en privacy ROSA’1. Dat schema voorziet in een baseline van (beveiligings)maatregelen waarmee organisaties dit aantoonbaar kunnen maken.
Verwerker kan ook gebruik maken van andere certificeringsmechanismen en/of (inter)nationaal erkende normen en standaarden voor informatiebeveiliging, mits die een gelijkwaardig of hoger niveau van beveiliging bieden en de door Verwerker genomen maatregelen aan de Onderwijsinstelling inzichtelijk worden gemaakt.
Minimale beveiligingsmaatregelen en aantoonbaarheid
Verwerker plaatst op deze plek in de bijlage een verklaring waaruit blijkt dat voldaan wordt aan passende technische maatregelen voor de beveiliging van de Verwerking van Persoonsgegevens. Deze verklaring bevat ten minste:
a. Een classificatie van het product of de dienst op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid;
b. Een beschrijving in welke mate aan de hieronder genoemde minimale beveiligingsmaatregelen in het kader van artikel 32 AVG wordt voldaan;
i. Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
ii. Verwerker heeft de Persoonsgegevens die worden Verwerkt geclassificeerd op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en heeft op basis van die classificatie beveiligingsmaatregelen genomen om de risico’s voor de Verwerking van Persoonsgegevens te beperken;
iii. Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Hierbij heeft Verwerker procedures vastgesteld en gedeeld met de Onderwijsinstelling voor de identificatie, autorisatie en authenticatie van medewerkers alsmede rondom de registratie, aanmelding en afmelding van de medewerkers;
iv. Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek;
v. Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen (vergelijkbaar met de toepasselijke ISO-normering en/of vergelijkbaar met het Certificeringsschema informatiebeveiliging en privacy ROSA). De Onderwijsinstelling wordt in de gelegenheid gesteld om deze logbestanden periodiek te controleren;
vi. Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
vii. Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
viii. Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
c. Een toetsing van getroffen maatregelen aan (inter)nationaal erkende normen en standaarden voor informatiebeveiliging.
1 xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxx-xx-xxxxxxx- rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/
Verklaring technische maatregelen
Organisatie | De Schoolwebwinkel BV | ||
Ict-toepassing | Elektronische Leeromgeving / webshop platform | ||
Omschrijving | Leerlingen/docenten loggen in met naam en e-mailadres welke gekoppeld zijn aan een school om de lessen van De Schoolwebwinkel te kunnen volgen. Theorie, praktijkopdrachten, theorievragen/antwoorden worden gelezen / gemaakt. | ||
Datum | 27-8-2018 | ||
Toetsvorm | Self-assessment | ||
Uitvoerder toets | De Schoolwebwinkel, X.X. xx Xxxx, operationeel directeur | ||
BIV-classificatie | (Beschikbaarheid=3, Integriteit=1, Vertrouwelijkheid=2) | ||
Categorie | Maatregelen | Compliance | Uitleg |
Voldaan/ niet voldaan/ alternatieve maatregel | (Bij niet voldaan aangeven hoe/wanneer dit wordt gecorrigeerd. Bij alternatieve maatregel deze beschrijven) | ||
Beschikbaarheid | Overbelasting | Voldaan | |
Business continuity | Voldaan | ||
Ontwerp | Voldaan | ||
Monitoring | Voldaan | ||
Testen | Voldaan | ||
Software | Voldaan | ||
Actuele dreigingen | Voldaan | ||
Integriteit | Herleidbaarheid (gebruikers) | Voldaan | |
Backup | Voldaan | ||
Application controls | Voldaan | ||
Onweerlegbaarheid | Voldaan | ||
Herleidbaarheid (technisch beheer) | Voldaan | ||
Controle integriteit | Voldaan | ||
Onweerlegbaarheid | Voldaan | ||
Actuele dreigingen | Voldaan | ||
Vertrouwelijkheid | Levenscyclus gegevens | Voldaan | |
Logische toegang | Voldaan | ||
Fysieke toegang | Voldaan | ||
Netwerk toegang | Voldaan | ||
Scheiding omgevingen | Voldaan | ||
Transport en fysieke opslag | Voldaan | ||
Logging | Voldaan | ||
Toetsing | Voldaan | ||
Actuele dreigingen | Voldaan |
Beveiligingsincidenten en/of datalekken:
In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Onderwijsinstelling contact opnemen met: De Schoolwebwinkel BV, X.X. xx Xxxx, 06-83990800, xxxx@xxxxxxxxxxxxxxx.xx
De contactpersoon voor Verwerker is: [contactgegevens Onderwijsinstelling voor beveiligingsincidenten]
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Er is een procedure over het informeren in geval van datalekken en/of incidenten met betrekking tot beveiliging, en bevat ten minste te volgende punten:
▪ De wijze waarop monitoring en identificatie van incidenten plaatsvindt,
▪ De wijze waarop informatie wordt gedeeld:
▪ Op welke manier (via e-mail, telefoon);
▪ Aan wie gericht (contactpersonen en contactgegevens);
▪ Met wie kan (bij vervolgacties) contact worden opgenomen.
▪ Informatie die in ieder geval over een incident gedeeld moet worden
▪ De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
▪ De oorzaak van het beveiligingsincident;
▪ De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
▪ Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
▪ De omvang van de groep betrokkenen;
▪ Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
▪ Eventuele afspraken of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten.
Versie
Januari 2021
Deze Beveiligingsbijlage maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 3.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (GEU, KBb-E en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.