CERTIFICATIESCHEMA. Edukoppeling en SAAS. In ontwikkeling. DATUM 8 januari 2014 STATUS VERSIE 1.0

CERTIFICATIESCHEMA Edukoppeling en SAAS

DATUM

8 januari 2014

STATUS

In ontwikkeling

VERSIE

1.0

INHOUDSOPGAVE Inhoudsopgave

2

1

Achtergrond en aanleiding

3

1.1

Achtergrond

3

1.2

Aanleiding

3

1.3

Doel

4

1.4

Scope en ambitie

4

1.5

Status van het schema

4

1.6

Eigenaarschap

5

1.7

Beheer van dit certificatieschema

5

1.8

Termen, definities en afkortingen

5

1.9

Brondocumenten

5

2

Aanwijzigingen voor het certificatieschema

6

2.1

Hoofdlijnen van het certificatieschema

6

3

Eisen aan de functionaliteit

8

3.1

Bron voor normen

8

3.2

Verantwoording voor selectie van normen

8

3.3

Interpretation notes

9

4

Onderhoud van dit certificatieschema

10

4.1

Periodieke evaluatie

10

A

Inhoudelijke normen en interpretation notes

11

B

Template voor bewerkersovereenkomst

31

C

Template voor zelfverklaring SAAS-leverancier

35

D

Template voor bijlage bij zelfverklaring

38

E

Veelgestelde vragen

39

2/40

1

ACHTERGROND EN AANLEIDING

1.1

Achtergrond Binnen Kennisnet is het programmabureau van het programma Samenwerkingsplatform Informatie Onderwijs (SION) belegd. Het SION is een samenwerkingsverband van de zes onderwijsraden (PO-raad, VO-raad, MBO-raad, AOC-raad, Vereniging Hoge scholen en VSNU) die zich bezighouden met het verbeteren van de informatiehuishouding voor wat betreft de gemeenschappelijke vraagstukken die de verschillende deelsectoren in het onderwijs overstijgen.

1.2

Aanleiding Een van de vraagstukken behelst een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein. Wanneer gegevens worden uitgewisseld met een onderwijsinstelling die gebruik maakt van een (multi tenant) SAAS-oplossing kan een probleem ontstaan in het berichtenverkeer wanneer de technische identiteit en de inhoudelijke identiteit van één van de ketenpartijen van elkaar verschilt. Technisch worden dan gegevens uitgewisseld met de SAAS-leverancier, terwijl inhoudelijk de gegevens bedoeld zijn voor of gevraagd worden van één van de scholen die gebruik maakt van die SAAS-oplossing. Vanuit het project Referentie Architectuur Onderwijs (RAO) is met ketenpartijen (DUO, leveranciers) gezocht naar een duurzame en standaardoplossing voor gegevensuitwisseling met SAAS-leveranciers die voldoet aan de benodigde beveiligingsnormen. Deze afspraak wordt binnen 1

de RAO geschaard bij andere (nog te ontwikkelen) ict-infrastructurele afspraken en voorzieningen 2

onder de noemer Edukoppeling . De oplossingsrichting die is geïdentificeerd om dit probleem aan te pakken, richt zich op de kwaliteit van en rechtstreekse uitwisseling met de SAAS-leverancier in plaats van met de onderwijsinstelling. Bij deze oplossingsrichting worden gegevens verstuurd 'aan SAAS-leverancier Y, ter attentie van onderwijsinstelling X'. Alle ketenpartijen moeten erop kunnen vertrouwen dat gegevens die aan de SAAS-leverancier worden geleverd op de juiste manier worden verwerkt. De SAAS-leverancier zal, via bijvoorbeeld het doen uitvoeren van onafhankelijke audits, aan alle ketenpartijen moeten kunnen aantonen dat dat vertrouwen gerechtvaardigd is. In dit scenario zijn vanuit het onderwijsdomein daarom gezamenlijk opgestelde 'aansluitcriteria' nodig op basis waarvan softwareproducten en leveranciers kunnen worden getoetst.

1

De Referentie Architectuur Onderwijs (RAO) zal vanaf 2014 overgaan in de ROSA 3.0.

2

Edukoppeling sluit aan bij Digikoppeling dat binnen het overheidsdomein gebruikt wordt.

3/40

1.3

Doel Het certificatieschema Edukoppeling en SAAS is bedoeld voor aanbieders van een (multi tenant) SAAS-oplossing. Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS-oplossing. Dit certificeringsschema: 1.

specificeert de minimale eisen waaraan een toepassing moet voldoen om te mogen worden ingezet als SAAS oplossing binnen; en

2.

beschrijft de eisen aan de wijze waarop wordt vastgesteld dat aan deze normen wordt voldaan.

Een SAAS-leverancier moet aan de eisen in dit schema voldoen, vóórdat de betreffende SAASdienst binnen de context van Edukoppeling mag worden ingezet. 1.4

Scope en ambitie Het huidige certificatieschema is er in eerste instantie op gericht om SAAS-leveranciers te certificeren die op basis van één PKI-certificaat met DUO wensen uit te wisselen. In een vervolg zal het certificatieschema uitgebreid worden, waarbij gestreefd wordt na een uniforme en gemeenschappelijk certificatieschema voor het gehele onderwijsdomein (waaronder ook overige leveranciers), en waarbij voor specifieke ketenprocessen aanvullende normen gesteld kunnen worden. Het huidige certificatieschema gaat niet in op de certificering van instellingen. Binnen het samenwerkingsplatform (Sion) wordt in 2014 gewerkt aan een beleidskatern privacy en beveiliging, waarin ook normen opgenomen worden waaraan de scholen (op termijn) dienen te voldoen.

1.5

Status van het schema Het toepassen van een certificeringsproces is binnen de context van Edukoppeling, haar gebruikers en de leveranciers nog niet gebruikelijk. Dit schema moet worden gezien als een eerste stap in een groeiproces. De inhoud van dit schema zal in onderling overleg tussen de betrokkenen in de komende periode verder worden ontwikkeld en/of aangevuld. Het huidige schema ziet toe op de inrichting van een basisniveau voor betrouwbaarheid. In volgende versies zullen zowel de minimale eisen als de toetsingsmethode zich verder ontwikkelen.

4/40

1.6

Eigenaarschap 3

Het eigenaarschap van dit certificatieschema is op dit moment nog niet belegd . Het is de verantwoordelijkheid van Kennisnet als uitvoerder van het programma om te zorgen voor de invulling van de rol van schemabeheerder en het publiceren van dit schema. 1.7

Beheer van dit certificatieschema Deze versie van het certificatieschema Edukoppeling en SAAS wordt namens de betrokkenen initieel en tijdelijk beheerd door het Samenwerkingsplatform Informatie Onderwijs. Bij de eerste evaluatie van het certificatieschema zal ook de invulling van de rol van schemabeheerder worden besproken.

1.8

Termen, definities en afkortingen De begrippen certificatie en accreditatie worden vaak door elkaar gebruikt. In de context van Edukoppeling wordt gebruik gemaakt van de volgende definities. Daarmee wordt gekozen voor ‘certificatie’ als leidende term. 

Certificatie – Een certificaat is een schriftelijke verklaring, bedoeld als bewijsstuk voor de kwaliteit van een bedrijf, mens, dienst of product. Aan de afgifte van een certificaat liggen criteria ten grondslag, zoals normen, wettelijke eisen of brancheregels.



Accreditatie – Een accreditatieinstelling beoordeelt het managementsysteem als de technische competentie van de certificerende instelling. Daarbij houdt de accreditatieinstelling toezicht om de onpartijdigheid en deskundigheid van de instelling die de certificerende instelling te garanderen.

1.9

Brondocumenten Voor de samenstelling van dit schema is gebruik gemaakt van de volgende bronnen: 

Cloud Control Matrix ‘CSA_CCM_v3.0’ 2013 – Cloud Security Alliance.



Edukoppeling transactiestandaard versie 0.92, datum 27-09-2013.

3

Initieel heeft Kennisnet vanuit het programma SION opdracht gegeven voor de ontwikkeling van het

certificatieschema en moet daarmee worden gezien als ‘acting’ eigenaar, totdat een permanente invulling van deze rol is gevonden.

5/40

2

AANWIJZIGINGEN VOOR HET CERTIFICATIESCHEMA

2.1

Hoofdlijnen van het certificatieschema Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS oplossing. Het certificeringsproces valt uiteen in twee onderdelen: 

Inhoudelijke normen waartegen de betrouwbaarheid van de geboden dienstverlening wordt vastgesteld. Voor de inhoudelijke normen wordt gebruik gemaakt van een basisset van normen die door de markt als toonaangevend worden beschouwd, aangevuld met specifieke aanvullingen of interpretaties voor Edukoppeling.



Een beschrijving van de wijze waarop wordt vastgesteld dat de dienstverlening daadwerkelijk voldoet aan de gestelde eisen. In dit schema is in eerste instantie gekozen voor de systematiek van een zogenaamde ‘zelfverklaring’, waarbij de leverancier zelf vaststelt en verklaart dat zijn product of dienst aan de normen voldoet.

In de paragrafen hierna worden deze hoofdlijnen nader beschreven. 2.1.1

Verantwoordelijkheid van de SAAS-leveranciers

De SAAS-leveranciers worden geacht om de volgende activiteiten uit te voeren: 1.

Kennis nemen van de van toepassing zijnde normen en interpretation notes (zie Bijlage A).

2.

Voor zichzelf te bepalen in welke mate aan de betreffende normen en interpretation notes wordt voldaan.

3.

Voor zichzelf vast te stellen op welke wijze kan worden aangetoond dat aan de betreffende normen en interpretation notes wordt voldaan. Het wordt geadviseerd de bewijsvoering hiertoe vast te leggen, dit in verband met eventuele latere vragen om openheid van zaken te geven.

4.

De mate waarin wordt voldaan vast te leggen in de verplichte bijlage van de Management Letter (zie Bijlage D).

5.

Daar waar verbeterpotentieel aanwezig is deze expliciet te benoemen in de bijlage, aangevuld met een planning wanneer leverancier verwacht de verbetering te hebben gerealiseerd. Hierbij kan worden volstaan met een indicatieve planning per kwartaal (bijvoorbeeld ‘Q1’ of ‘Q2’).

6.

Een zelfverklaring op te stellen, die overeenkomt met de tekst zoals deze in Bijlage C is opgenomen.

2.1.2

Eisen aan de zelfverklaring

De tekst van de zelfverklaring moet overeenkomen met de tekst zoals deze in Bijlage C is opgenomen. Let op: afwijkingen in de tekst kunnen zonder voorafgaande toestemming van schemabeheerder niet worden geaccepteerd.

6/40

Een zelfverklaring moet altijd vergezeld gaan van een bijlage waarin wordt aangegeven of en in welke mate aan normen wordt voldaan (zie Bijlage D). De zelfverklaring is een fysiek document en moet worden ondertekend door een bij de KvK geregistreerde tekenbevoegde. De zelfverklaring wordt zowel elektronisch als fysiek verstrekt aan de schemabeheerder. Contactpersoon namens de schemabeheerder is Tonny Plas. De contactgegevens van de schemabeheerder zijn: [email protected] en Paletsingel 2718 NT Zoetermeer. 2.1.3

Periode van geldigheid van de zelfverklaring

De zelfverklaring is maximaal één jaar geldig en dient jaarlijks te worden verstrekt. De zelfverklaring moet jaarlijks op de laatste werkdag vóór 31 januari worden verstrekt. 2.1.4

Steekproefsgewijze toetsing

De schemabeheerder heeft het recht om de SAAS-leveranciers steekproefsgewijs te vragen aantoonbaar te maken dat feitelijk aan de betreffende normen is voldaan. Ook bij gerede twijfel heeft de schemabeheerder het recht om dit te vragen. Hiertoe wordt door de schemabeheerder een onafhankelijke onderzoeker aangesteld die zal beoordelen of de SAAS-leverancier daadwerkelijk aan de normen voldoet. SAAS-leverancier is verplicht om binnen vier weken aan dit verzoek gehoor te geven en toegang te verlenen aan onderzoekers die door de schemabeheerder worden aangewezen. De tijd en middelen die de SAAS-leverancier hiervoor moet inzetten kunnen niet worden doorbelast aan de schemabeheerder. 2.1.5

Sancties

Het niet of niet tijdig overleggen van de zelfverklaring kan leiden tot passende sancties. Mocht gaandeweg een steekproefsgewijze toetsing blijken dat de feitelijke stand van zaken niet overeenstemt met de zelfverklaring en dat aannemelijk is dat de betreffende SAAS-leverancier dit had kunnen weten kan dit leiden tot passende sancties. In deze fase van de volwassenheid van dit certificatieschema is er geen behoefte om het sanctieregime verder uit te werken. Partijen zullen onderling moeten vaststellen wat een passende sanctie is. De schemabeheerder heeft hierbij de rol van liaison / intermediair.

7/40

3

EISEN AAN DE FUNCTIONALITEIT

3.1

Bron voor normen SAAS dienstverlening (of ook: cloud dienstverlening) is zodanig nieuw en veelomvattend type dienstverlening dat nog geen wereldwijd geaccepteerde set aan betrouwbaarheidseisen bestaat. Tegelijkertijd zijn er wel initiatieven vanuit de sector zelf (Cloud Security Alliance, Eurocloud) en vanuit andere belangenorganisaties (bijvoorbeeld ISACA of lokale overheden) om te komen tot een gemeenschappelijke standaard. Op het moment van de initiële totstandkoming van dit schema (Q4 2013) heeft de Cloud Security Alliance (CSA) een grote voorsprong op andere initiatieven. Dit is onder andere zichtbaar in de 4

uitwerking van een normenkader voor Cloud dienstverlening, de ‘Cloud Control Matrix’ . Versie 3.0 van de Cloud control matrix is de basis voor de in dit schema voorgestelde normen. 3.2

Verantwoording voor selectie van normen De Cloud Control Matrix (CCM) bestaat uit meer dan 130 normen, verdeeld over 16 domeinen. Op basis van de specifieke functionaliteit van EDU-koppeling en het specifieke risicoprofiel is de keuze gemaakt om uit de volledige set aan normen een minimale basis set te selecteren die als basis normenkader van toepassing is. De selectie van de normen heeft plaatsgevonden op basis van 2 criteria: 1.

Negen aspectgebieden die door CSA worden onderkend als meest cruciale dreigingen voor 5

een veilige cloud waartegen effectieve controls moeten worden ingezet : a.

Data Breaches

b.

Data Loss

c.

Account or Service Hijacking

d.

Insecure Interfaces and API’s

e.

Denial of Service

f.

Malicious Insiders

g.

Abuse of Cloud Services

h.

Insufficient Due Diligence

i.

Shared Technology Vulnerabilities

CSA heeft zelf een relatie gelegd tussen deze negen aspectgebieden en de maatregelen (‘controls’) die een effectieve bescherming vormen tegen deze dreigingen.

4

https://cloudsecurityalliance.org/research/ccm/

5

The Notorious Nine Cloud Computing Top Threats in 2013

8/40

2.

De samenwerkingspartners rondom Edukoppeling hebben daarnaast drie specifieke risicogebieden geïdentificeerd: interoperabiliteit, betrouwbaarheid en privacy. Er zijn hierbinnen vijf aspectgebieden die specifiek in de context van Edukoppeling aanvullend en specifiek als risicogebied worden gezien: a.

Interoperabiliteit: i. de services waarmee gegevens met andere ketenpartijen worden uitgewisseld moeten voldoen aan de Edukoppeling transactie-standaard;

b.

Betrouwbaarheid i. misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school; ii. vermenging van gegevens met die van andere klanten; iii. leverancier moet een log of audittrail vastleggen per klantomgeving om het uitvoeren van digitaal (forensisch) onderzoek en audits te ondersteunen;

c.

Privacy i. tussen SAAS-leverancier en de onderwijsinstelling moet een bewerkersovereenkomst (zie Bijlage B) worden afgesloten.

Voor deze aspecten heeft de schemabeheerder een relatie gelegd met de maatregelen (‘controls’) die een effectieve bescherming vormen tegen deze dreigingen. Op deze manier zijn enkele maatregelen / controls aan het nomenkader toegevoegd. 3.3

Interpretation notes Bij de toepassing van het normenkader kan het voorkomen dat onduidelijkheden bestaan over het begrijpen van de norm in relatie tot de specifieke context van Edukoppeling. In die gevallen waar het noodzakelijk is om een specifieke aanvulling of toelichting te geven worden door de schemabeheerder ‘interpretation notes’ aan de normbeschrijving toegevoegd. Hierbij wordt er bewust voor gekozen om restrictief te zijn in de aanvullingen, omdat er bij veel aanvullingen op de marktstandaard via een omweg een nieuwe markststandaard wordt gecreëerd.

9/40

4

ONDERHOUD VAN DIT CERTIFICATIESCHEMA

4.1

Periodieke evaluatie De eigenaar bespreekt de opzet en de werking van het certificatieschema met alle relevante stakeholders, waaronder minimaal: DUO, Leveranciers, saMBO-ICT en Kennisnet. Deze samenstelling bepaalt gezamenlijk hoe frequent de inhoud van het schema of het normenkader wordt geëvalueerd. In eerste instantie wordt uitgegaan van een evaluatiefrequentie van tweemaal per jaar (mei en november).

10/40

A

Inhoudelijke normen en interpretation notes

De gedachte achter de zelfverklaring is dat de leverancier transparant is over de mate waarin aan de eisen wordt voldaan. Dit in tegenstelling tot de een onafhankelijke toetsing, waarin deze vaststelling door een derde plaatsvindt. De leverancier dient daarom voor zichzelf te bepalen hoe hij een bepaalde control voor de eigen dienstverlening zou moeten toepassen. De formuleringen in kolommen ‘Control Domain’, ‘Control ID’ en ‘Control Specification’ zijn overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0. De controls waarvan het ‘control id’ eindigt op een a en de ‘control specification’ in het Nederlands is geschreven zijn specifiek toegevoegd. Toelichting kolom ‘Compliance eis’  Daar waar een control is gemarkeerd met ‘volledig’ betekent dit dat de leverancier volledig aan deze control moet voldoen en dat er geen verbeterpunten meer mogen zijn.  Daar waar een control is gemarkeerd met ‘deels’ betekent dit dat verbeterpunten zijn toegestaan. De leverancier moet op termijn aan deze control moet voldoen en op dit moment al deze control in een bepaalde mate moet hebben ingericht. Voor alle controls geldt daarmee dat het niet acceptabel is als er nog helemaal geen maatregelen zijn getroffen om aan deze control te voldoen. De kolom ‘ISO27001:2005’ is overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0 en bevat een mapping naar de volgens CSA van toepassing zijnde paragrafen uit ISO 27001:2005.. De kolom ‘Interpretation note’ is toegevoegd door de schemabeheerder en dient als illustratie / achtergrondbeschrijving van de betreffende control.

Control Domain

Control Control Specification ID

Compli- ISO 270001: ance

Interpretation note

2005

eis Application &

AIS-01

Applications and interfaces (APIs) shall be designed,

Deels

A.11.5.6

Interface

developed, and deployed in accordance with industry

A.11.6.1

Security

acceptable standards (e.g., OWASP for web applications)

A.12.2.1

Application

and adhere to applicable legal, statutory, or regulatory

A.12.2.2

Security

compliance obligations.

A.12.2.3 A.12.2.4 A.12.5.2 A.12.5.4 A.12.5.5 A.12.6.1 A.15.2.1

AIS-01.a Daar waar partijen kiezen voor een gegevensuitwisseling

Volledig

Toegevoegd als specifieke eis vanuit

conform Edukoppeling moet de thans geldende versie van de

de schema eigenaar.

transactiestandaard zijn toegepast. Application &

AIS-04

Policies and procedures shall be established, and supporting

Deels

A.10.8.1

Interface

business processes and technical measures implemented, to

A.10.8.2

Security

ensure protection of confidentiality, integrity, and availability

A.11.1.1

Data Security /

of data exchanged between one or more system interfaces,

A.11.6.1

Integrity

jurisdictions, or external business relationships to prevent

A.11.4.6

improper disclosure, alteration, or destruction. These policies,

A.12.3.1

procedures, processes, and measures shall be in accordance

A.12.5.4

12/40

with known legal, statutory and regulatory compliance

A.15.1.4

obligations.

Audit

AAC-03

An inventory of the organization's external legal, statutory,

Deels

ISO/IEC

Organisatie houdt bij wat de impact is

Assurance &

and regulatory compliance obligations associated with (and

27001:2005

van nieuwe weten regelgeving. Ten

Compliance

mapped to) any scope and geographically-relevant presence

Clause 4.2.1 b)

aanzien van de impact van nieuwe

Information

of data or organizationally-owned or managed (physical or

2)

privacy wetgeving is de organisatie pro-

System

virtual) infrastructure network and systems components shall

Clause 4.2.1 c)

actief. Met pro-actief wordt bedoeld dat

Regulatory

be maintained and regularly updated as per the business

1)

een organisatie niet alleen

Mapping

need (e.g., change in impacted-scope and/or a change in any

Clause 4.2.1 g)

nieuwsbrieven maar ook met

compliance obligation).

Clause 4.2.3 d)

gespecialiseerde adviseurs of

6)

gesprekspartners afstemt hoe nieuwe

Clause 4.3.3

richtlijnen zich vertalen naar

Clause 5.2.1 a-f implementatie in de eigen Clause 7.3 c) 4) bedrijfsvoering. A.7.2.1 A.15.1.1 A.15.1.3 A.15.1.4 A.15.1.6 AAC03a

Onderdeel van deze norm is dat een passende

Volledig

bewerkersovereenkomst is afgesloten, conform het geldende

Toegevoegd als specifieke eis vanuit de schema eigenaar.

13/40

model. AAC-

Onderdeel van deze norm is dat persoonsgegevens door de

03b

leverancier op geen enkele wijze aan derden ter beschikking

Volledig

Toegevoegd als specifieke eis vanuit de schema eigenaar.

worden gesteld. Business

BCR-12 Policies and procedures shall be established, and supporting

Deels

Clause 4.3.3

Minimaal onderdeel van een retention policy moet zijn: welke data is onderdeel van de backup hoe lang mag welk type data worden bewaard op welke manier moet data worden vernietigd / verwijderd als deze data niet langer wordt gebruikt / mag worden gebruikt

Continuity

business processes and technical measures implemented,

A.10.5.1

Management &

for defining and adhering to the retention period of any critical

A.10.7.3

Operational

asset as per established policies and procedures, as well as

Resilience

applicable legal, statutory, or regulatory compliance

Retention Policy

obligations. Backup and recovery measures shall be incorporated as part of business continuity planning and tested accordingly for effectiveness.

Data Security &

DSI-02


Deels

Doel van de policies en procedures

Information

business processes and technical measures implemented, to

moet zijn dat vermenging van gegevens

Lifecycle

inventory, document, and maintain data flows for data that is

met die van andere klanten wordt

Management

resident (permanently or temporarily) within the service's

voorkomen.

Data Inventory /

geographically distributed (physical and virtual) applications

Flows

and infrastructure network and systems components and/or

Het is hierbij belangrijk om dit enerzijds

shared with other third parties to ascertain any regulatory,

te bezien in de relatie tussen School en

statutory, or supply chain agreement (SLA) compliance

SAAS leverancier, maar ook in de

impact, and to address any other business risks associated

relatie tussen SAAS leverancier en

with the data. Upon request, provider shall inform customer

onderwijsketen.

(tenant) of compliance impact and risk, especially if customer data is used as part of the services.

14/40

Data Security &

A.7.2.2

Het labelen moet worden

Information

DSI-04

Policies and procedures shall be established for labeling, handling, and the security of data and objects which contain

Deels

A.10.7.1

geïnterpreteerd als fysiek of

Lifecycle

data. Mechanisms for label inheritance shall be implemented

A.10.7.3

elektronisch markeren van data.

Management

for objects that act as aggregate containers for data.

A.10.8.1

Handling / Labeling / Security Policy Data Security &

DSI-05

Information

Security mechanisms shall be implemented to prevent data

Deels

leakage.

A.10.6.2

Doel van de deze mechanismen moet

A.12.5.4

zijn dat vermenging van gegevens met

Lifecycle

die van andere klanten wordt

Management

voorkomen.

Information Leakage Data Security &

DSI-06

Information

Production data shall not be replicated or used in non-

Volledig

production environments.

A.7.1.3 A.10.1.4

Lifecycle

A.12.4.2

Management

A.12.5.1

Non-Production Data Data Security & Information

DSI-07

All data shall be designated with stewardship, with assigned

Deels

responsibilities defined, documented, and communicated.

Lifecycle

A.6.1.3

Het moet helder zijn wie de ‘steward’ is

A.7.1.2

van de data. Dit is een randvoorwaarde

A.15.1.4

om vermenging van gegevens met die

Management

van andere klanten te kunnen

Ownership /

voorkomen.

Stewardship

15/40

Data Security &

DSI-08


Information


Lifecycle

for the secure disposal and complete removal of data from all

Management

storage media, ensuring data is not recoverable by any

Secure Disposal Datacenter Security

Deels

A.9.2.6 A.10.7.2

computer forensic means. DCS-04 Authorization must be obtained prior to relocation or transfer

Deels

of hardware, software, or data to an offsite premises.

A.9.2.5 A.9.2.6

Off-Site Authorization Datacenter

DCS-08 Ingress and egress points such as service areas and other

Security

points where unauthorized personnel may enter the premises

Unauthorized

shall be monitored, controlled and, if possible, isolated from

Persons Entry

data storage and processing facilities to prevent unauthorized

Deels

A.9.2.7 A.10.1.2

data corruption, compromise, and loss. Datacenter Security

DCS-09 Physical access to information assets and functions by users

Deels

and support personnel shall be restricted.

User Access

16/40

A.9.1.1

Encryption &

Clause 4.3.3

Deze eis is specifiek van toepassing

Key

EKM-02 Policies and procedures shall be established, and supporting business processes and technical measures implemented,

Deels

A.10.7.3

voor de Key die de SAAS leverancier

Management

for the management of cryptographic keys in the service's

A.12.3.2

zelf gebruikt om gegevens met de

Key Generation

cryptosystem (e.g., lifecycle management from key

A.15.1.6

keten uit te wisselen.

generation to revocation and replacement, public key infrastructure, cryptographic protocol design and algorithms used, access controls in place for secure key generation, and exchange and storage including segregation of keys used for encrypted data or sessions). Upon request, provider shall inform the customer (tenant) of changes within the cryptosystem, especially if the customer (tenant) data is used as part of the service, and/or the customer (tenant) has some shared responsibility over implementation of the control. Encryption &

EKM-03 Policies and procedures shall be established, and supporting

Deels

A.10.6.1

Key


A.10.8.3

Management

for the use of encryption protocols for protection of sensitive

A.10.8.4

Sensitive Data

data in storage (e.g., file servers, databases, and end-user

A.10.9.2

Protection

workstations) and data in transmission (e.g., system

A.10.9.3

interfaces, over public networks, and electronic messaging)

A.12.3.1

as per applicable legal, statutory, and regulatory compliance

A.15.1.3

obligations.

A.15.1.4

Governance and Risk

EKM-

Toegang tot (gegevens in) de clouddienst verloopt altijd via

03.a

een HTTPS (SSL/TLS)-verbinding.

GRM-01 Baseline security requirements shall be established for

Volledig Deels

developed or acquired, organizationally-owned or managed,

17/40

A.12.1.1

De SAAS leverancier stelt voor intern

A.15.2.2

gebruik dergelijke baselines op.

Management

physical or virtual, applications and infrastructure system and

Baseline

network components that comply with applicable legal,

Requirements

statutory and regulatory compliance obligations. Deviations from standard baseline configurations must be authorized following change management policies and procedures prior to deployment, provisioning, or use. Compliance with security baseline requirements must be reassessed at least annually unless an alternate frequency has been established and established and authorized based on business need.

Governance

GRM-02 Risk assessments associated with data governance

Deels

Clause 4.2.1 c)

and Risk

requirements shall be conducted at planned intervals and

& g)

Management

shall consider the following:

Clause 4.2.3d)

Data Focus Risk

• Awareness of where sensitive data is stored and

Clause 4.3.1 &

Assessments

transmitted across applications, databases, servers, and

4.3.3

network infrastructure

Clause 7.2 &

• Compliance with defined retention periods and end-of-life

7.3

disposal requirements

A.7.2

• Data classification and protection from unauthorized use,

A.15.1.1

access, loss, destruction, and falsification

A.15.1.3 A.15.1.4

Governance

GRM-07 A formal disciplinary or sanction policy shall be established

and Risk

for employees who have violated security policies and

Management

procedures. Employees shall be made aware of what action

Policy

might be taken in the event of a violation, and disciplinary

Enforcement

measures must be stated in the policies and procedures.

Volledig

18/40

A.8.2.3

Governance

GRM-10 Aligned with the enterprise-wide framework, formal risk

Deels

Clause 4.2.1 c)

and Risk

assessments shall be performed at least annually or at

through g)

Management

planned intervals, to determine the likelihood and impact of

Clause 4.2.3 d)

Risk

all identified risks using qualitative and quantitative methods.

Clause 5.1 f)

Assessments

The likelihood and impact associated with inherent and

Clause 7.2 &

residual risk shall be determined independently, considering

7.3

all risk categories (e.g., audit results, threat and vulnerability

A.6.2.1

analysis, and regulatory compliance).

A.12.5.2 A.12.6.1 A.14.1.2 A.15.1.1 A.15.2.1 A.15.2.2

Human

HRS-02 Pursuant to local laws, regulations, ethics, and contractual

Deels

A.8.1.2

Deze eis geldt specifiek in relatie tot de

Resources

constraints, all employment candidates, contractors, and third

eis dat misbruik door eigen (oud-)

Background

parties shall be subject to background verification

medewerkers die toegang kunnen

Screening

proportional to the data classification to be accessed, the

hebben tot de gegevens van de school

business requirements, and acceptable risk.

moet worden voorkomen.

Human

HRS-03 Employment agreements shall incorporate provisions and/or

Deels

A.6.1.5


A.8.1.3


Resources

terms for adherence to established information governance

Employment

and security policies and must be signed by newly hired or


Agreements

on-boarded workforce personnel (e.g., full or part-time


employee or contingent staff) prior to granting workforce


personnel user access to corporate facilities, resources, and assets.

19/40

Human

HRS-04 Roles and responsibilities for performing employment

Deels

A.8.3.1


Resources

termination or change in employment procedures shall be


Employment

assigned, documented, and communicated.


Termination

hebben tot de gegevens van de school moet worden voorkomen.

Human

HRS-07 Requirements for non-disclosure or confidentiality

Deels

ISO/IEC


Resources

agreements reflecting the organization's needs for the

27001:2005


Non-Disclosure

protection of data and operational details shall be identified,

Annex A.6.1.5


Agreements

documented, and reviewed at planned intervals.

hebben tot de gegevens van de school moet worden voorkomen.

Human

HRS-08 Roles and responsibilities of contractors, employees, and

Deels

Clause 5.1 c)

Resources

third-party users shall be documented as they relate to

A.6.1.2

Roles /

information assets and security.

A.6.1.3

Responsibilities Identity &

A.8.1.1 IAM-01

Access to, and use of, audit tools that interact with the

Deels

A.15.3.2

Doel hiervan is dat vermenging van

Access

organization's information systems shall be appropriately

gegevens met die van andere klanten

Management

segmented and restricted to prevent compromise and misuse

wordt voorkomen.

Audit Tools

of log data.

Access Doel hiervan is tevens om vast te stellen dat SAAS-leverancier afdoende maatregelen heeft getroffen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal en/of forensisch onderzoek en audits te ondersteunen.

20/40

Identity &

A.11.1.1


Access

IAM-02

User access policies and procedures shall be established, and supporting business processes and technical measures

Deels

A.11.2.1


Management

implemented, for ensuring appropriate identity, entitlement,

A.11.2.4


Credential

and access management for all internal corporate and

A.11.4.1


Lifecycle /

customer (tenant) users with access to data and

A.11.5.2


Provision

organizationally-owned or managed (physical and virtual)

A.11.6.1

Management

application interfaces and infrastructure network and systems

Met (oud-) medewerkers wordt

components. These policies, procedures, processes, and

specifiek gedoeld op de (oud-)

measures must incorporate the following:

medewerkers van de SAAS

• Procedures and supporting roles and responsibilities for

leverancier.

provisioning and de-provisioning user account entitlements following the rule of least privilege based on job function

Wel dient hier te worden vermeld

(e.g., internal employee and contingent staff personnel

welke generieke waarborgen

changes, customer-controlled access, suppliers' business

leverancier heeft getroffen ter

relationships, or other third-party business relationships)

ondersteuning van het beheer van

• Business case considerations for higher levels of

gebruikersrechten door

assurance and multi-factor authentication secrets (e.g.,

aangesloten onderwijsinstellingen.

management interfaces, key generation, remote access,

Denk bijvoorbeeld aan bijvoorbeeld

segregation of duties, emergency access, large-scale

blokkeren van inactieve accounts,

provisioning or geographically-distributed deployments, and

specifieke aanvraag- / wijzigings- /

personnel redundancy for critical systems)

intrekkingsprocedures en het

• Access segmentation to sessions and data in multi-tenant

mogelijk maken periodieke review

architectures by any third party (e.g., provider and/or other

toegangsrechten door het

customer (tenant))

verstrekken van overzichten.

• Identity trust verification and service-to-service application (API) and information processing interoperability (e.g., SSO

21/40

and federation) • Account credential lifecycle management from instantiation through revocation • Account credential and/or identity store minimization or reuse when feasible • Authentication, authorization, and accounting (AAA) rules for access to data and sessions (e.g., encryption and strong/multi-factor, expireable, non-shared authentication secrets) • Permissions and supporting capabilities for customer (tenant) controls over authentication, authorization, and accounting (AAA) rules for access to data and sessions • Adherence to applicable legal, statutory, or regulatory compliance requirements Identity &

IAM-04

Policies and procedures shall be established to store and

Deels


Access

manage identity information about every person who


Management

accesses IT infrastructure and to determine their level of


Policies and

access. Policies shall also be developed to control access to


Procedures

network resources based on user identity.


Identity &

IAM-05

User access policies and procedures shall be established,

Deels

A.10.1.3


Access

and supporting business processes and technical measures


Management

implemented, for restricting user access as per defined


Segregation of

segregation of duties to address business risks associated


Duties

with a user-role conflict of interest.


22/40

Identity &

A.6.2.1


Access

IAM-07

The identification, assessment, and prioritization of risks posed by business processes requiring third-party access to

Deels

A.8.3.3


Management

the organization's information systems and data shall be

A.11.1.1


Third Party

followed by coordinated application of resources to minimize,

A.11.2.1


Access

monitor, and measure likelihood and impact of unauthorized

A.11.2.4


or inappropriate access. Compensating controls derived from the risk analysis shall be implemented prior to provisioning access. Identity &

IAM-08

Policies and procedures are established for permissible

Deels


Access

storage and access of identities used for authentication to


Management

ensure identities are only accessible based on rules of least


Trusted Sources

privilege and replication limitation only to users explicitly


defined as business necessary.


Identity &

A.11.2.1


Access

IAM-09

Provisioning user access (e.g., employees, contractors, customers (tenants), business partners and/or supplier

Volledig

A.11.2.2


Management

relationships) to data and organizationally-owned or

A.11.4.1


User Access

managed (physical and virtual) applications, infrastructure

A 11.4.2


Authorization

systems, and network components shall be authorized by the

A.11.6.1


organization's management prior to access being granted and appropriately restricted as per established policies and procedures. Upon request, provider shall inform customer (tenant) of this user access, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.

23/40

Identity &

IAM-10

User access shall be authorized and revalidated for

Deels

A.11.2.4


Access

entitlement appropriateness, at planned intervals, by the


Management

organization's business leadership or other accountable


User Access

business role or function supported by evidence to


Reviews

demonstrate the organization is adhering to the rule of least


privilege based on job function. For identified access violations, remediation must follow established user access policies and procedures. Identity &

A.8.3.3


Access

IAM-11

Timely de-provisioning (revocation or modification) of user access to data and organizationally-owned or managed

Deels

A.11.1.1


Management

(physical and virtual) applications, infrastructure systems, and

A.11.2.1


User Access

network components, shall be implemented as per

A.11.2.2


Revocation

established policies and procedures and based on user's


change in status (e.g., termination of employment or other business relationship, job change or transfer). Upon request, provider shall inform customer (tenant) of these changes, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.

24/40

Identity &

A.8.3.3


Access

IAM-12

credentials shall be restricted as per the following, ensuring

A.11.1.1


Management

appropriate identity, entitlement, and access management

A.11.2.1


User ID

and in accordance with established policies and procedures:

A.11.2.3


• Identity trust verification and service-to-service application

A.11.2.4


(API) and information processing interoperability (e.g., SSO

A.11.5.5

Credentials

Internal corporate or customer (tenant) user account

Deels

and Federation) • Account credential lifecycle management from instantiation through revocation • Account credential and/or identity store minimization or reuse when feasible • Adherence to industry acceptable and/or regulatory compliant authentication, authorization, and accounting (AAA) rules (e.g., strong/multi-factor, expireable, non-shared authentication secrets) Infrastructure &

IVS-01

Higher levels of assurance are required for protection,

Deels

A.10.10.1

Doel hiervan is vast te stellen dat

Virtualization

retention, and lifecyle management of audit logs, adhering to

A.10.10.2

SAAS-leverancier afdoende

Security

applicable legal, statutory or regulatory compliance

A.10.10.3

maatregelen heeft getroffen om per

Audit Logging /

obligations and providing unique user access accountability

A.10.10.4

klantomgeving een log of audittrail vast

Intrusion

to detect potentially suspicious network behaviors and/or file

A.10.10.5

te leggen om het uitvoeren van digitaal

Detection

integrity anomalies, and to support forensic investigative

A.11.2.2

en/of forensisch onderzoek en audits te

capabilities in the event of a security breach.

A.11.5.4

ondersteunen.

A.11.6.1 A.13.1.1 A.13.2.3 A.15.2.2

25/40

A.15.1.3

Infrastructure &

IVS-08

Production and non-production environments shall be

Volledig

A.10.1.4

Virtualization

separated to prevent unauthorized access or changes to

A.10.3.2

Security

information assets.

A.11.1.1

Production /

A.12.5.1

Non-Production

A.12.5.2

Environments

A.12.5.3

Infrastructure &

IVS-09

Multi-tenant organizationally-owned or managed (physical

Deels

A.11.4.5

Doel hiervan is dat vermenging van

Virtualization

and virtual) applications, and infrastructure system and

A.11.6.1

gegevens met die van andere klanten

Security

network components, shall be designed, developed,

A.11.6.2

wordt voorkomen.

Segmentation

deployed and configured such that provider and customer

A.15.1.4

(tenant) user access is appropriately segmented from other

Doel hiervan is tevens vast te stellen

tenant users, based on the following considerations:

dat SAAS-leverancier afdoende

• Established policies and procedures


• Isolation of business critical assets and/or sensitive user


data and sessions that mandate stronger internal controls


and high levels of assurance


• Compliance with legal, statutory and regulatory compliance

ondersteunen.

obligations

26/40

Security

Clause 4.3.3


Incident

SEF-02

Policies and procedures shall be established, and supporting business processes and technical measures implemented, to

Deels

A.13.1.1


Management, E-

triage security-related events and ensure timely and thorough

A.13.2.1


Discovery &

incident management, as per established IT service


Cloud

management policies and procedures.


Forensics


Incident

ondersteunen.

Management Security

Clause 4.3.3


Incident

SEF-04

In the event a follow-up action concerning a person or organization after an information security incident requires

Deels

Clause 5.2.2


Management, E-

legal action, proper forensic procedures, including chain of

A.8.2.2


Discovery &

custody, shall be required for the preservation and

A.8.2.3


Cloud

presentation of evidence to support potential legal action

A.13.2.3


Forensics

subject to the relevant jurisdiction. Upon notification,

A.15.1.3


Incident

customers (tenants) and/or other external business

Response Legal

relationships impacted by a security breach shall be given the

Preparation

opportunity to participate as is legally permissible in the

ondersteunen.

forensic investigation. Supply Chain

STA-05

Supply chain agreements (e.g., SLAs) between providers and Deels

A.6.2.3

Management,

customers (tenants) shall incorporate at least the following

A10.2.1

Transparency

mutually-agreed upon provisions and/or terms:

A.10.8.2

and

• Scope of business relationship and services offered (e.g.,

A.11.4.6

Accountability

customer (tenant) data acquisition, exchange and usage,

A.11.6.1

Supply Chain

feature sets and functionality, personnel and infrastructure

A.12.3.1

Agreements

network and systems components for service delivery and

A.12.5.4

support, roles and responsibilities of provider and customer

27/40

(tenant) and any subcontracted or outsourced business relationships, physical geographical location of hosted services, and any known regulatory compliance considerations) • Information security requirements, provider and customer (tenant) primary points of contact for the duration of the business relationship, and references to detailed supporting and relevant business processes and technical measures implemented to enable effectively governance, risk management, assurance and legal, statutory and regulatory compliance obligations by all impacted business relationships • Notification and/or pre-authorization of any changes controlled by the provider with customer (tenant) impacts • Timely notification of a security incident (or confirmed breach) to all customers (tenants) and other business relationships impacted (i.e., up- and down-stream impacted supply chain) • Assessment and independent verification of compliance with agreement provisions and/or terms (e.g., industryacceptable certification, attestation audit report, or equivalent forms of assurance) without posing an unacceptable business risk of exposure to the organization being assessed • Expiration of the business relationship and treatment of customer (tenant) data impacted • Customer (tenant) service-to-service application (API) and data interoperability and portability requirements for

28/40

application development and information exchange, usage, and integrity persistence STA05a

Specifiek ten aanzien van het eerste punt en de interpretatie

Volledig

Toegevoegd als specifieke eis vanuit

van “physical geographical location of hosted services”: de

de schema eigenaar.

leverancier geeft volledige transparantie over de locatie van de data door aan te geven in welke plaats / land de data zich bevindt. Supply Chain

STA-07


Management,


Transparency

for maintaining complete, accurate, and relevant agreements

and

(e.g., SLAs) between providers and customers (tenants), with

Accountability

an ability to measure and address non-conformance of

Supply Chain

provisions and/or terms across the entire supply chain

Metrics

(upstream/downstream), and for managing service-level

Deels

conflicts or inconsistencies resulting from disparate supplier relationships. Supply Chain

STA-09

Third-party service providers shall demonstrate compliance

Deels

A.6.2.3

Management,

with information security and confidentiality, service

A.10.2.1

Transparency

definitions, and delivery level agreements included in third-

A.10.2.2

and

party contracts. Third-party reports, records, and services

A.10.6.2

Accountability

shall undergo audit and review at planned intervals to govern

Third Party

and maintain compliance with the service delivery

Audits

agreements.

Threat and Vulnerability

TVM-02 Policies and procedures shall be established, and supporting

Deels


A.12.5.1 A.12.5.2

29/40

Management

for timely detection of vulnerabilities within organizationally-

Vulnerability /

owned or managed (physical and virtual) applications and

Patch

infrastructure network and system components, applying a

Management

risk-based model for prioritizing remediation through change-

A.12.6.1

controlled, vender-supplied patches, configuration changes, or secure software development for the organization's own software. Upon request, provider shall inform customer (tenant) of policies and procedures, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.

30/40

B

Template voor bewerkersovereenkomst Dit is een modelovereenkomst die dient als voorbeeld.

Onderwijsinstellingen en SAAS-leveranciers kunnen met dit model zelf nadere afspraken maken naar aanleiding van iedere specifieke SAAS-dienst. Aan de inhoud van dit model kunnen geen garanties of rechten worden ontleend. In dit model is niet ingegaan op de concept Europese “Algemene Verordening Gegevensbescherming”.

Ondergetekenden: [Onderwijsinstelling], gevestigd en kantoorhoudende @ADRES@, hierbij vertegenwoordigd door @vertegenwoordigingsbevoegde@, @functie@, hierna te noemen: “Onderwijsinstelling”, en [SAAS-leverancier], gevestigd en kantoorhoudende aan de @ADRES@, hierbij rechtsgeldig vertegenwoordigd door @vertegenwoordigingsbevoegde@, @functie@, hierna te noemen: “Leverancier”, hierna gezamenlijk te noemen: “Partijen”,

overwegende dat: a)

b)

c)

Onderwijsinstelling gebruik wenst te maken van de Software-as-a-Service dienstverlening van Leverancier [OPTIONEEL:] en daartoe een Overeenkomst van [datum] (hierna: Overeenkomst) met Leverancier heeft afgesloten; Onderwijsinstelling in het kader van de uitvoering van de Overeenkomst (persoons)gegevens van de leerlingen, diens ouders en/of relaties van Onderwijsinstelling plaatst in de SaaS-oplossing van Leverancier; Partijen afspraken rondom uitwisseling van (persoons)gegegevens in deze Bewerkersovereenkomst willen vastleggen;

verklaren te zijn overeengekomen als volgt: Artikel 1. DEFINITIES 1.1 1.2 1.3

Persoonsgegevens: elk gegeven betreffende of herleidbaar tot een geïdentificeerde of identificeerbare natuurlijke persoon; Gegevens: alle andere gegevens (data) niet zijnde persoonsgegevens; Betrokkene: degene op wie de Persoonsgegevens betrekking hebben;

1.4 1.5 1.6 1.7

SaaS-oplossing: de door Leverancier geboden dienst; [naam SaaS-oplossing]: [omschrijving dienst van Leverancier]. Overeenkomst: Overeenkomst tussen Leverancier en Onderwijsinstellig betrekking hebbend op de door Leverancier aan Onderwijsinstelling geleverde dienst(en). Verwerken: elk soort handeling (of deel daarvan) met betrekking tot Persoonsgegevens.

Artikel 2. Voorwerp van deze overeenkomst 2.1 2.2

2.3

2.4 2.5

2.6

2.7

Leverancier levert [naam Saas-oplossing] aan Onderwijsinstelling. Onderwijsinstelling is verantwoordelijke ten aanzien van de aan Leverancier verstrekte en te verstrekken (persoons)gegevens. Leverancier handelt als bewerker in opdracht van Onderwijsinstelling en verwerkt de (persoons)gegevens slechts in opdracht van Onderwijsinstelling. De door Onderwijsinstelling aan Leverancier geleverde (persoons)gegevens worden geleverd ten behoeve van [naam Saas-oplossing]. Voor zover Partijen reeds een Overeenkomst hebben gesloten ten aanzien van de Saas-dienst, gelden de bepalingen van deze bewerkersovereenkomst als aanvulling daarop. [OPTIONEEL:]De in het kader van deze overeenkomst uitgewisselde (persoons)gegevens zijn beperkt tot [OMSCHRIJVING of OPSOMMING IN APARTE BIJLAGE]. Leverancier zal de ontvangen (persoons)gegevens uitsluitend verwerken ten behoeve van de levering van [naam Saas-oplossing] aan Onderwijsinstelling en alleen voor zover het verwerken van die gegevens strikt noodzakelijk is ten behoeve van de dienstverlening van Leverancier. Alle (intellectuele) eigendomsrechten, auteursrecht en databankenrecht inbegrepen, op de geleverde (persoons)gegevens, blijven te allen tijde berusten bij de Onderwijsinstelling (dan wel de docent/ouders/leerling). Partijen komen de Wet bescherming persoonsgegevens na. Voor zover de afspraken tussen Partijen niet voorzien in wettelijk vereiste regelingen, komen Partijen overeen te handelen in overeenstemming met de toepasselijke weten regelgeving op het gebied van de bescherming van (persoons)gegevens.

Artikel 3. Looptijd overeenkomst 3.1

3.2 3.3

De looptijd van deze overeenkomst is gelijk aan de tussen partijen gesloten Overeenkomst. In het geval dat de dienstverlening van Leverancier aan Onderwijsinstelling (nog) voortduurt, loopt deze overeenkomst door. Na (tussentijdse) beëindiging van deze overeenkomst, blijven de bepalingen van artikelen 2, 3 en 4 onverkort van toepassing. Na beëindiging van de Overeenkomst, en/of na beëindiging van de dienstverlening aan Onderwijsinstelling, is Leverancier gehouden om binnen 30 dagen na beëindiging de door Leverancier verstrekte (persoons)gegevens terug te geven (dan wel om Onderwijsinstelling in de gelegenheid te stellen deze gegevens te exporteren). Eventuele resterende (kopieën van) (persoons)gegevens en/of backups dienen daarop door Leverancier te worden vernietigd.

Artikel 4. Beveiligingseisen 4.1

Leverancier zal zorgdragen voor passende technische en organisatorische maatregelen om (persoons)gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

32/40

4.2 4.3 4.4 4.5 4.6

4.7

De te nemen maatregelen sluiten aan bij de stand van de techniek en de kosten van de tenuitvoerlegging. De veiligheidsmaatregelen bieden een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De beveiligingsmaatregelen zijn adequaat en voldoen aan de relevante standaarden en kwaliteitseisen. [OPTIONEEL:]Leverancier heeft de volgende beveiligingsmaatregelen geïmplementeerd: [opsomming]. Leverancier is verantwoordelijk voor het regelen van adequaat beveiligde toegang tot de (persoons)gegevens door Onderwijsinstelling. Onderwijsinstelling heeft het recht om in overleg met Leverancier de door Leverancier genomen technische en organisatorische (beveiligings)maatregelen - op kosten van Onderwijsinstelling - te (laten) toetsen door een daartoe gecertificeerd en onafhankelijk auditor. Leverancier heeft alsdan het recht om deze audit – al dan niet op eigen initiatief – uit te laten voeren door een door Leverancier in te schakelen onafhankelijk gecertificeerd auditor die een derdenverklaring afgeeft. Onderwijsinstelling wordt – al dan niet op hoofdlijnen - geïnformeerd over de uitkomsten. Leverancier stelt Onderwijsinstelling omgaand op de hoogte over ieder veiligheidsincident.

Artikel 5. Geheimhouding en vertrouwelijkheid 5.1

5.2

5.3

5.4

5.5

5.6

5.7

Op Leverancier rust ingevolge artikel 12 van de Wet Bescherming Persoonsgegevens een wettelijke geheimhoudingsverplichting. Leverancier is gehouden de ontvangen gegevens als vertrouwelijk te behandelen. Leverancier verplicht zijn (oud) werknemers en/of onderaannemers tot geheimhouding met betrekking tot alle (persoons)gegevens waarvan zij met betrekking tot de levering van [naam SaaSoplossing] kennis nemen. Ingeval Leverancier een derde inschakelt bij de dienstverlening, dan dient de Onderwijsinstelling hier uitdrukkelijk mee in te stemmen, voorafgaand aan het sluiten van een overeenkomst met de derde. De verstrekte (persoons)gegevens worden door Leverancier niet zonder voorafgaande toestemming van Onderwijsinstelling aan derden ter beschikking gesteld, tenzij Leverancier daartoe krachtens enige wetsbepaling, voorschrift of andere regelgeving verplicht is, of indien de bekendmaking en/of verstrekking in het kader van dienstverlening noodzakelijk is. Indien Leverancier een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) (persoons)gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA Patriot Act, dan zal Leverancier de Onderwijsinstelling onverwijld informeren. Bij de behandeling van het verzoek of bevel zal de Leverancier alle instructies van de Onderwijsinstelling in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan de Instelling over te laten) en alle redelijkerwijs benodigde medewerking verlenen. Voor zover Leverancier (persoons)gegevens aan anderen dan Onderwijsinstelling levert, zal Leverancier met deze derde gelijksoortige bepalingen als in deze bewerkersovereenkomst omtrent de verwerking van (persoons)gegevens overeenkomen, tenzij sprake is van een omstandigheid als genoemd in artikel 5.4. Leverancier zal haar volledige medewerking verlenen in geval dat een Betrokkene zijn rechten uitoefent op grond van de Wbp of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Indien deze Betrokkene met betrekking tot de uitvoering van zijn rechten onder

33/40

5.8

5.9

5.10

de Wbp direct contact opneemt met Leverancier, dan verwijst Leverancier Betrokkene in eerste instantie door naar Onderwijsinstelling. Leverancier draagt er zorg voor dat de ontvangen (persoons)gegevens worden verwerkt (opgeslagen) binnen de Europese Economische Ruimte. Indien dit niet het geval is, mogen de (persoons)gegevens slechts worden verwerkt in een veilig derde land voor zover de wet dit toestaat (een land dat een passend beschermingsniveau biedt). Leverancier zal Onderwijsinstelling (vooraf) actief informeren indien de gegevens buiten de Europese Economische Ruimte worden verwerkt. Bij elke schending van de geheimhoudingsverplichting van Leverancier, is deze aan Onderwijsinstelling een direct opeisbare boete van (maximaal) € 50.000,= per overtreding verschuldigd, onverlet de overige rechten op schadevergoeding. Leverancier zal Onderwijsinstelling terstond op de hoogte stellen van iedere kennisneming, verstrekking of andere vorm van verwerken van de gegevens, die plaatsvindt in strijd met dit artikel.

Artikel 6. Aansprakelijkheid 6.1

6.2 6.3

Leverancier is aansprakelijk voor schade of nadeel, voortvloeiende uit het niet-nakomen van deze overeenkomst, voorschriften bij of krachtens weten regelgeving aangaande de bescherming van (persoons)gegevens, voor zover de schade of het nadeel is ontstaan door de werkzaamheid als Leverancier voor Onderwijsinstelling. Leverancier is gehouden tot het (onmiddellijk) beperken van schade en/of voorkomen van verder nadeel van Onderwijsinstelling. [OPTIONEEL:]De totale aansprakelijk van Opdrachtgever is beperkt tot het bedrag dat in het respectievelijke geval door de aansprakelijkheidsverzekeraar van Leverancier wordt vergoed.

Artikel 7. Algemeen 7.1

7.2

Bepalingen in de algemene voorwaarden, overeenkomsten of (mondelinge) afspraken tussen Partijen, met betrekking tot de bescherming van de verstrekte (persoons)gegevens, die afwijken van hetgeen in deze overeenkomst is geregeld, zijn niet van toepassing. Op deze overeenkomst is Nederlands recht van toepassing. Bij een dispuut over de toepasselijkheid van Nederlands recht, zijn de bepalingen van de Dataprotectierichtlijn 95/46/EG (aanvullend) van toepassing.

Aldus overeengekomen, in tweevoud opgemaakt en ondertekend, Onderwijsinstelling,

Leverancier,

Naam: Functie: Datum:

Naam: Functie: Datum:

34/40

C

Template voor zelfverklaring SAAS-leverancier

MANAGEMENTVERKLARING CERTIFICERING EDUKOPPELING Verklaring behorend bij het Certificatieschema Edukoppeling en SAAS

Inleiding Een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein is van groot belang. Hiervoor is de Edukoppeling transactiestandaard ontwikkeld die beschrijft hoe de gestructureerde elektronische informatie-uitwisseling in het onderwijs is ingericht. Edukoppeling is een standaard waarmee onderwijsinstellingen, uitvoeringsorganisaties en andere ketenpartijen eenvoudiger nieuwe gegevensuitwisselingen kunnen opzetten. Edukoppeling richt zich op de koppelvlakken tussen de applicaties van de verschillende partijen. Bij gegevensuitwisseling met een onderwijsinstelling die gebruik maakt van een SAAS-oplossing, is het mogelijk dat de technische identiteit afwijkt van de inhoudelijke identiteit. Technisch worden dan gegevens uitgewisseld met de SAAS-leverancier, terwijl inhoudelijk de gegevens bedoeld zijn voor of gevraagd worden van één van de scholen die gebruik maakt van die SAAS-oplossing. Binnen de Referentie Architectuur Onderwijs is met ketenpartijen gezocht naar een duurzame en standaardoplossing die voldoet aan de benodigde beveiligingsnormen. Dit heeft geresulteerd in een certificeringsproces als onderdeel van Edukoppeling. Als eerste stap in dit certificeringsproces moet de SAAS-leverancier verklaren dat aan een aantal juridische en technische voorwaarden wordt voldaan. Doel hiervan is om vertrouwen te creëren in de betrouwbaarheid van de geleverde SAAS-oplossing waarbij voldaan wordt aan de minimale eisen waaraan een SAAS-toepassing moet voldoen om te mogen worden ingezet als SAAS-oplossing. In deze managementverklaring legt de vertegenwoordigingsbevoegde bestuurder en/of manager vast dat naar zijn of haar oordeel de (multi tenant) SAAS-oplossing van aanvrager voldoet aan het Certificatieschema. Dit oordeel van aanvrager is tot stand gekomen na toetsing van de SAASoplossing aan de normen en uitgangspunten zoals beschreven in het Certificatieschema.

Verklaring Aanvrager ________________________________________________________ (naam SAASleverancier), hierbij rechtsgeldig vertegenwoordigd door ______________________________ (naam vertegenwoordiger), __________________________ (functie), verklaart dat de SAASoplossing van aanvrager, genaamd ________________________________ (naam SAAS-oplossing), 6

voldoet aan de normen en uitgangspunten zoals genoemd in het Certificatieschema .

6

Certificatieschema Edukoppeling en SAAS, versie 0.4, d.d. 2 december 2013, gepubliceerd XXX.

35/40

Aanvrager heeft het Certificatieschema ingevuld waarop tevens is aangegeven of en in welke mate aan de beschreven normen wordt voldaan, of dat aanvrager daar op termijn aan zal voldoen. Aanvrager voldoet aan alle onderdelen van het Certificatieschema waar in de kolom “Compliance eis” is gemeld dat daar “volledig” aan moet worden voldaan. Het Certificatieschema is als bijlage bij deze verklaring gevoegd en maakt daar onlosmakelijk onderdeel van uit. Aanvrager verklaart voorts dat: 1.

de services waarmee gegevens conform Edukoppeling met andere ketenpartijen worden 7

uitgewisseld, voldoen aan de Edukoppeling transactie-standaard (interoperabiliteit); 2.

voldoende maatregelen zijn genomen om onrechtmatige en/of onbevoegde toegang door derden en/of eigen (oud-)medewerkers tot de in de SAAS-oplossing aanwezige gegevens te voorkomen;

3.

maatregelen zijn genomen om vermenging van gegevens van verschillende gebruikers van de SAAS-oplossing te voorkomen;

4.

een log of audittrail wordt vastgelegd per klantomgeving ten behoeve van het eventueel uitvoeren van digitaal (forensisch) onderzoek en audits;

5.

de (toegang tot de) SAAS-oplossing, alsmede opslag van gegevens in die SAAS-oplossing, voldoet aan de eisen van de Wet bescherming persoonsgegevens en de Dataprotectierichtlijn (95/46/EC);

6.

tussen aanvrager en de onderwijsinstellingen die gebruik maken van de SAAS-oplossing, een (model) bewerkersovereenkomst is gesloten (zie Bijlage B bij het Certificatieschema);

7.

een nieuwe Managementverklaring (met bijlage) zal worden ingediend in geval van ingrijpende wijzigingen of updates aan de SAAS-oplossing, indien die aanpassingen van invloed (kunnen) zijn op de normen en uitgangspunten zoals opgenomen in het Certificatieschema.

Aanvrager gaat er mee akkoord dat DUO en/of Kennisnet – bij wijze van steekproef - kunnen besluiten om de SAAS-oplossing van aanvrager te laten toetsen door een onafhankelijk en gecertificeerd ICT-auditor. Indien uit deze audit blijkt dat de SAAS-oplossing niet voldoet aan de normen en uitgangspunten van het Certificatieschema, kan deze verklaring worden geweigerd en vervalt de certificering van aanvrager. Bij gebreke van een geldige certificering, worden er dan via aanvrager geen gegevens meer uitgewisseld. Aldus opgemaakt en getekend op _______________ (datum) te _________________ (plaats), _________________________ (handtekening) (naam voluit) (functie) Bijlage: ingevuld Certificatieschema

7

Edukoppeling Transactiestandaard versie 0.92, d.d. 27-09-2013, gepubliceerd XXX

36/40

Deze ingevulde en getekende verklaring (met bijlage) dient •

per post te worden toegezonden aan @ADRES@, én

•

per e-mail aan @MAILADRES@.

37/40

D

Template voor bijlage bij zelfverklaring

Bijlage D - invullen bij zelfverklaring.docx

38/40

E

Veelgestelde vragen Vraag: is de Cloud Control Matrix (CCM) van Cloud Security Alliance wel een passend kader Antwoord: De CCM een specifieke normenkader voor cloud dienstverlening. Het vakgebied is zeker nog niet volwassen en er is nog geen algemeen geaccepteerde marktstandaard. Wereldwijd wordt het CCM normenkader het meest gebruikt en het actiefst beheerd / doorontwikkeld. De toonaangevende cloudbedrijven hebben dit normenkader omarmd. Vraag: aan welke eisen moet nu minimaal wel of niet worden voldaan / Wat is nu de echte baseline van alle normen / Hoe moet ik norm XYZ interpreteren. Diverse vragen zijn ontvangen over prioriteiten en formuleringen. Deze vragen zijn begrijpelijk en passen bij het initiële stadium waarin het schema zit en de pioniersrol die wordt vervuld. Op dit moment is de ervaring met het toepassen van de norm nog beperkt, bij alle partijen (leveranciers, afnemers en andere stakeholders). De praktijk zal moeten uitwijzen welke normen helder en duidelijk zijn en aan welke normen leveranciers kunnen voldoen. Bij een eerste evaluatieronde onderling moet worden besproken welke balans tussen generieke CCM formuleringen en specifieke ‘interpretation notes’ die aan de normen worden toegevoegd. Ook moet bijvoorbeeld worden vastgesteld: 

welke normen als baseline moeten dienen,



welke toegevoegde waarde hebben,



welke moeten worden aangescherpt en



waar aanvullende normering op zijn plaats zou zijn.

Vraag: Wat is de overlap met ISO 27001 en ISAE 3402 Korte antwoord: de overlap is beperkt, een self-assessment tegen het CCM normenkader kan naadloos worden geïntegreerd in een ISO 27001: 2013 certificering of ISAE 3402. Uitgebreide inhoudelijke toelichting: De ISO 27001 standaard is een wereldwijd leidende standaard op het gebied van informatiebeveiliging. De standaard stelt eisen aan een management systeem voor informatiebeveiliging (een ‘ISMS’). Daarbij worden in een Annex A specifieke controls genoemd. 8

ISO 27001 : 2013 kent een significante wijziging: “The two primary sources for the Statement of

8

http://www.neupart.com/media/142730/how_to_develop_a_statement_of_applicability_accordi ng_ to_iso_27001-2013-eng.pdf.

39/40

Applicability are the risk assessment and Annex A of the standard (in reality the Table of Contents of the ISO 27002 standard). Other sources are the controls that currently exist in the organization and external security requirement that the organization has to comply with.” Dit is een belangrijke doorbraak: in eerdere versies van 27001 waren de controls uit Annex A niet specifiek genoeg om te passen bij de dienstverlening van de te certificeren organisatie. In de nieuwe versie kunnen ook specifieke controls kunnen worden toegevoegd, voor zover zij als relevante controls worden benoemd in de risico-analyse. Dit betekent dat voor cloud dienstverleners relevante cloud gebaseerde normenkaders onder de ISO 27001 kunnen worden opgenomen en (bij certificering) door een onafhankelijke auditor worden getoetst. Hiermee kunnen leveranciers de CCM control matrix adopteren en later in een ISO 27001 certificeringstraject laten toetsen. Een onafhankelijk ISO27001 certificaat waarbij tevens de CCM controls zijn getoetst kan daarmee de zelfverklaring vervangen. 9

Wat is ISAE 3402 : ISAE3402 is een internationale assurance standaard uitgegeven door de International Federation of Accountants (IFAC). In een ISAE3402 rapport is opgenomen hoe de accountant heeft getest en zijn uiteindelijke accountantsverklaring bij het ISAE3402-rapport. In ISAE3402 type I rapport wordt uitsluitend gerapporteerd over het bestaan van het control framework (de beheersmaatregelen) op een moment. In een ISAE3402 type II rapport wordt over zowel het bestaan als de werking gerapporteerd over een periode van minimaal zes maanden. ISAE bevat geen specifiek normenkader. Het CCM normenkader kan als normenkader aan de (onafhankelijke) ISAE 3402 kan worden toegevoegd. Een ISAE3402 verklaring (type I of II) kan daarmee als vervanger van de eigenverklaring dienen. Verschil / overeenkomst tussen ISO 27001 en ISAE 3402 Informatiebeveiliging is een integraal onderdeel van ISAE3402. Deze informatiebeveiliging moet zodanig ingericht zijn dat deze 'veilig' is voor de gebruikersorganisatie. ISO27001 wordt feitelijk volledig 'gedekt' door ISAE3402. Aan de andere kant heeft ISAE3402 alleen betrekking op de processen die een organisatie uitbesteedt en niet op de 'eigen' bedrijfsprocessen, deze vallen buiten de scope. De vraag is dan wel in hoeverre afnemers belang hechten aan de eigen processen van een organisatie, want ook ISO27001 wordt voornamelijk gebruikt voor profilering richting 'derden'. Het belangrijkste verschil is eigenlijk dat ISO27001 beperkt bruikbaar is voor externe accountants. Een belangrijk pluspunt van ISO27001 is dat er wel gedetailleerde voorschriften zijn die bij ISAE3402 ontbreken. De kwaliteit van een ISAE3402 rapport is daardoor afhankelijk van degene die hem opstelt en de uiteindelijke controleur.

9

Bron: www.isae3402.nl

40/40

CERTIFICATIESCHEMA. Edukoppeling en SAAS. In ontwikkeling. DATUM 8 januari 2014 STATUS VERSIE 1.0

Recommend Documents