Bijlage 4: Beveiligingsbijlage
Bijlage 4: Beveiligingsbijlage
Behorende bij verwerkersovereenkomst lesmateriaal onder de merknaam Proeftuin en/of Grondstof, van LesLab Holding B.V.
Versie: 4-7-2022
LesLab Holding B.V. heeft, overeenkomstig de AVG en artikel 7 en 8 van de Model Verwerkersovereenkomst passende technische en organisatorische maatregelen genomen om de verwerking van persoonsgegevens aantoonbaar te beveiligen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
1. Maatregelen die LesLab Holding B.V. heeft genomen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking.
• Een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
• Een systeem van autorisatie waardoor enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie;
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid;
• Er is een proces ingericht voor communicatie over informatiebeveiligingsincidenten;
• Met medewerkers worden geheimhoudingsverklaringen afgesloten en worden informatiebeveiligingsafspraken gemaakt;
• Het bewustzijn, opleiding en training ten aanzien van informatiebeveiliging wordt gestimuleerd.
2. Maatregelen om de Persoonsgegevens te beveiligen en continuïteit van de middelen, het netwerk, de server en de applicatie te waarborgen.
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden, zoals beschreven in het Certificeringsschema informatiebeveiliging en privacy ROSA. Zie: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx- informatiebeveiliging-en-privacy-rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/.
Toetsvorm | Self assessment | ||
Uitvoerder toets | PAQT b.v. in samenwerking met LesLab | ||
Inlogpagina | xxxxx://xxxxxxxxxxxxx.xx/xxxxx | ||
BIV-classificatie | Beschikbaarheid = H Integriteit = M Vertrouwelijkheid = M | ||
Categorie | Maatregelen | Compliance | Uitleg |
Beschikbaarheid | Ontwerp | voldaan | Bouwer en beheerder data: ISO27001 gecertificeerd. |
Capaciteit beheer | voldaan | ||
Onderhoud | voldaan | ||
Testen | voldaan | ||
Monitoring | voldaan | ||
Herstel | voldaan | ||
Integriteit | Herleidbaarheid (gebruikers) | voldaan | Bouwer en beheerder data: ISO27001 gecertificeerd. |
Backup | voldaan | ||
Application controls | voldaan | ||
Onweerlegbaarheid | voldaan | ||
Herleidbaarheid (technisch beheer) | voldaan | ||
Controle integriteit | voldaan | ||
Onweerlegbaarheid (toepassing) | voldaan | ||
Vertrouwelijkheid | Levenscyclus gegevens | voldaan | Bouwer en beheerder data: ISO27001 gecertificeerd. |
Logische toegang | voldaan | ||
Fysieke toegang | voldaan | ||
Netwerk toegang | voldaan | ||
Scheiding omgevingen | voldaan | ||
Transport en fysieke opslag | voldaan | ||
Logging | voldaan | ||
Omgaan met kwetsbaarheden | voldaan |
3. Afspraken over het informeren over beveiligingsincidenten en/of Datalekken
LesLab Holding B.V. heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Datalekken en/of incidenten met betrekking tot beveiliging. In zo’n geval zullen wij de verwerkingsverantwoordelijke de volgende informatie ter hand stellen:
• De kenmerken van de inbreuk, zoals: datum en tijdstip ontdekken en duur inbreuk, samenvatting van de inbreuk waaronder de aard van de inbreuk en de aard en beschrijving van het beveiligingsincident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
• De oorzaak van de inbreuk;
• Hoe de inbreuk is ontdekt;
• De maatregelen die getroffen zijn om de inbreuk aan te pakken en eventuele (verdere en toekomstige) schade te voorkomen;
• Of de bij de inbreuk betrokken gegevens versleuteld, gehasht etc. waren;
• Benoemen van groep(en) Betrokkenen die gevolgen kunnen ondervinden van het incident, en de aantallen en omvang van de groep Betrokkenen;
• Wat de mogelijke gevolgen zijn van de inbreuk voor de Onderwijsinstelling en de Betrokkene(n), waaronder indien mogelijk een inschatting van het risico van de gevolgen voor betrokkene(n);
• De hoeveelheid en soort Persoonsgegevens betrokken bij de inbreuk (met name bijzondere gegevens zoals gegevens over gezondheid of godsdienst, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Paraaf
Onderwijsinstelling Verwerker