Bijlage 2: Beveiligingsbijlage (Practicx)
Bijlage 2: Beveiligingsbijlage (Practicx)
Behorende bij verwerkersovereenkomst Digitale onderwijsmiddelen van Boom uitgevers Amsterdam B.V.
Versie: 01.08.2022
Boom uitgevers Amsterdam B.V. (Hierna: Boom) heeft, overeenkomstig de AVG en artikel 7 en 8 van de Model Verwerkersovereenkomst passende technische en organisatorische maatregelen genomen om de verwerking van persoonsgegevens aantoonbaar te beveiligen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
• Een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
• Een systeem van autorisatie waardoor enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie;
• Er is een coördinator informatiebeveiliging die de risico’s omtrent de verwerking van persoonsgegevens inventariseert, het beveiligingsbewustzijn stimuleert, voorzieningen controleert en maatregelen treft die zien op naleving van het informatiebeveiligingsbeleid. Deze coördinator is bereikbaar op het volgende emailadres: xxxxxxx@xxxx.xx
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid;
• Er is een proces ingericht voor communicatie over informatiebeveiligingsincidenten;
• Met medewerkers worden geheimhoudingsverklaringen afgesloten en worden informatiebeveiligingsafspraken gemaakt;
• Het bewustzijn, opleiding en training ten aanzien van informatiebeveiliging wordt gestimuleerd.
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden, zoals beschreven in het Certificeringsschema informatiebeveiliging en privacy ROSA. Zie: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/.
Toetsvorm | Self assessment | ||
Uitvoerder toets | Xxxx xxx xxx Xxx (Boom) Directeur IT / Coördinator Informatiebeveiliging | ||
Inlogpagina | |||
BIV-classificatie | Beschikbaarheid = M Integriteit = M Vertrouwelijkheid = M | ||
Categorie | Maatregelen | Compliance | Uitleg |
Beschikbaarheid | Ontwerp | voldaan | |
Capaciteit beheer | voldaan | ||
Onderhoud | voldaan | ||
Testen | voldaan | ||
Monitoring | voldaan | ||
Herstel | voldaan | ||
Integriteit | Herleidbaarheid (gebruikers) | voldaan | |
Backup | voldaan | ||
Application controls | voldaan | ||
Onweerlegbaarheid | Niet voldaan | Datum laatste inlog en wijziging is herleidbaar. Het is niet zo dat alle individuele wijzigingen van de afgelopen 13 maanden worden bewaard. | |
Herleidbaarheid (technisch beheer) | voldaan | ||
Controle integriteit | voldaan | ||
Onweerlegbaarheid (toepassing) | voldaan | ||
Vertrouwelijkheid | Levenscyclus gegevens | voldaan | |
Logische toegang | Alternatieve maatregel | Alle genoemde maatregelen behalve MFA voor de eind- gebruiker zijn geïmplementeerd. | |
Volledige implementatie van MFA zal in toekomst worden overwogen. | |||
Fysieke toegang | voldaan | ||
Netwerk toegang | voldaan | ||
Scheiding omgevingen | voldaan | ||
Transport en fysieke opslag | voldaan | ||
Logging | voldaan | ||
Omgaan met kwetsbaarheden | voldaan |
3. Afspraken over het informeren over beveiligingsincidenten en/of Datalekken
Xxxx heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging. In zo’n geval zullen wij de verwerkingsverantwoordelijke de volgende informatie ter hand stellen:
• De kenmerken van de inbreuk, zoals: datum en tijdstip ontdekken en duur inbreuk, samenvatting van de inbreuk waaronder de aard van de inbreuk en de aard en beschrijving van het beveiligingsincident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
• De oorzaak van de inbreuk;
• Hoe de inbreuk is ontdekt;
• De maatregelen die getroffen zijn om de inbreuk aan te pakken en eventuele (verdere en toekomstige) schade te voorkomen;
• Of de bij de inbreuk betrokken gegevens versleuteld, gehasht etc. waren;
• Benoemen van groep(en) Betrokkenen die gevolgen kunnen ondervinden van het incident, en de aantallen en omvang van de groep Betrokkenen;
• Wat de mogelijke gevolgen zijn van de inbreuk voor de Onderwijsinstelling en de Betrokkene(n), waaronder indien mogelijk een inschatting van het risico van de gevolgen voor betrokkene(n);
• De hoeveelheid en soort Persoonsgegevens betrokken bij de inbreuk (met name bijzondere gegevens zoals gegevens over gezondheid of godsdienst, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
In geval van een (vermoeden van) beveiligingsincident en/of Datalek zal onze coördinator informatiebeveiliging, in beginsel per email contact opnemen met de contactpersoon van de Onderwijsinstelling die is vermeld in bijlage 4. De coördinator informatiebeveiliging is tevens aanspreekpunt voor het geval de Onderwijsinstelling contact wil opnemen over een beveiligingsincident en/of Datalek. De coördinator informatiebeveiliging is bereikbaar op het volgende mailadres: xxxxxxx@xxxx.xx
Onderwijsinstelling Verwerker