CERTIFICATIESCHEMA Edukoppeling en SAAS
DATUM
8 januari 2014
STATUS
In ontwikkeling
VERSIE
1.0
INHOUDSOPGAVE Inhoudsopgave
2
1
Achtergrond en aanleiding
3
1.1
Achtergrond
3
1.2
Aanleiding
3
1.3
Doel
4
1.4
Scope en ambitie
4
1.5
Status van het schema
4
1.6
Eigenaarschap
5
1.7
Beheer van dit certificatieschema
5
1.8
Termen, definities en afkortingen
5
1.9
Brondocumenten
5
2
Aanwijzigingen voor het certificatieschema
6
2.1
Hoofdlijnen van het certificatieschema
6
3
Eisen aan de functionaliteit
8
3.1
Bron voor normen
8
3.2
Verantwoording voor selectie van normen
8
3.3
Interpretation notes
9
4
Onderhoud van dit certificatieschema
10
4.1
Periodieke evaluatie
10
A
Inhoudelijke normen en interpretation notes
11
B
Template voor bewerkersovereenkomst
31
C
Template voor zelfverklaring SAAS-leverancier
35
D
Template voor bijlage bij zelfverklaring
38
E
Veelgestelde vragen
39
2/40
1
ACHTERGROND EN AANLEIDING
1.1
Achtergrond Binnen Kennisnet is het programmabureau van het programma Samenwerkingsplatform Informatie Onderwijs (SION) belegd. Het SION is een samenwerkingsverband van de zes onderwijsraden (PO-raad, VO-raad, MBO-raad, AOC-raad, Vereniging Hoge scholen en VSNU) die zich bezighouden met het verbeteren van de informatiehuishouding voor wat betreft de gemeenschappelijke vraagstukken die de verschillende deelsectoren in het onderwijs overstijgen.
1.2
Aanleiding Een van de vraagstukken behelst een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein. Wanneer gegevens worden uitgewisseld met een onderwijsinstelling die gebruik maakt van een (multi tenant) SAAS-oplossing kan een probleem ontstaan in het berichtenverkeer wanneer de technische identiteit en de inhoudelijke identiteit van één van de ketenpartijen van elkaar verschilt. Technisch worden dan gegevens uitgewisseld met de SAAS-leverancier, terwijl inhoudelijk de gegevens bedoeld zijn voor of gevraagd worden van één van de scholen die gebruik maakt van die SAAS-oplossing. Vanuit het project Referentie Architectuur Onderwijs (RAO) is met ketenpartijen (DUO, leveranciers) gezocht naar een duurzame en standaardoplossing voor gegevensuitwisseling met SAAS-leveranciers die voldoet aan de benodigde beveiligingsnormen. Deze afspraak wordt binnen 1
de RAO geschaard bij andere (nog te ontwikkelen) ict-infrastructurele afspraken en voorzieningen 2
onder de noemer Edukoppeling . De oplossingsrichting die is geïdentificeerd om dit probleem aan te pakken, richt zich op de kwaliteit van en rechtstreekse uitwisseling met de SAAS-leverancier in plaats van met de onderwijsinstelling. Bij deze oplossingsrichting worden gegevens verstuurd 'aan SAAS-leverancier Y, ter attentie van onderwijsinstelling X'. Alle ketenpartijen moeten erop kunnen vertrouwen dat gegevens die aan de SAAS-leverancier worden geleverd op de juiste manier worden verwerkt. De SAAS-leverancier zal, via bijvoorbeeld het doen uitvoeren van onafhankelijke audits, aan alle ketenpartijen moeten kunnen aantonen dat dat vertrouwen gerechtvaardigd is. In dit scenario zijn vanuit het onderwijsdomein daarom gezamenlijk opgestelde 'aansluitcriteria' nodig op basis waarvan softwareproducten en leveranciers kunnen worden getoetst.
1
De Referentie Architectuur Onderwijs (RAO) zal vanaf 2014 overgaan in de ROSA 3.0.
2
Edukoppeling sluit aan bij Digikoppeling dat binnen het overheidsdomein gebruikt wordt.
3/40
1.3
Doel Het certificatieschema Edukoppeling en SAAS is bedoeld voor aanbieders van een (multi tenant) SAAS-oplossing. Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS-oplossing. Dit certificeringsschema: 1.
specificeert de minimale eisen waaraan een toepassing moet voldoen om te mogen worden ingezet als SAAS oplossing binnen; en
2.
beschrijft de eisen aan de wijze waarop wordt vastgesteld dat aan deze normen wordt voldaan.
Een SAAS-leverancier moet aan de eisen in dit schema voldoen, vóórdat de betreffende SAASdienst binnen de context van Edukoppeling mag worden ingezet. 1.4
Scope en ambitie Het huidige certificatieschema is er in eerste instantie op gericht om SAAS-leveranciers te certificeren die op basis van één PKI-certificaat met DUO wensen uit te wisselen. In een vervolg zal het certificatieschema uitgebreid worden, waarbij gestreefd wordt na een uniforme en gemeenschappelijk certificatieschema voor het gehele onderwijsdomein (waaronder ook overige leveranciers), en waarbij voor specifieke ketenprocessen aanvullende normen gesteld kunnen worden. Het huidige certificatieschema gaat niet in op de certificering van instellingen. Binnen het samenwerkingsplatform (Sion) wordt in 2014 gewerkt aan een beleidskatern privacy en beveiliging, waarin ook normen opgenomen worden waaraan de scholen (op termijn) dienen te voldoen.
1.5
Status van het schema Het toepassen van een certificeringsproces is binnen de context van Edukoppeling, haar gebruikers en de leveranciers nog niet gebruikelijk. Dit schema moet worden gezien als een eerste stap in een groeiproces. De inhoud van dit schema zal in onderling overleg tussen de betrokkenen in de komende periode verder worden ontwikkeld en/of aangevuld. Het huidige schema ziet toe op de inrichting van een basisniveau voor betrouwbaarheid. In volgende versies zullen zowel de minimale eisen als de toetsingsmethode zich verder ontwikkelen.
4/40
1.6
Eigenaarschap 3
Het eigenaarschap van dit certificatieschema is op dit moment nog niet belegd . Het is de verantwoordelijkheid van Kennisnet als uitvoerder van het programma om te zorgen voor de invulling van de rol van schemabeheerder en het publiceren van dit schema. 1.7
Beheer van dit certificatieschema Deze versie van het certificatieschema Edukoppeling en SAAS wordt namens de betrokkenen initieel en tijdelijk beheerd door het Samenwerkingsplatform Informatie Onderwijs. Bij de eerste evaluatie van het certificatieschema zal ook de invulling van de rol van schemabeheerder worden besproken.
1.8
Termen, definities en afkortingen De begrippen certificatie en accreditatie worden vaak door elkaar gebruikt. In de context van Edukoppeling wordt gebruik gemaakt van de volgende definities. Daarmee wordt gekozen voor ‘certificatie’ als leidende term.
Certificatie – Een certificaat is een schriftelijke verklaring, bedoeld als bewijsstuk voor de kwaliteit van een bedrijf, mens, dienst of product. Aan de afgifte van een certificaat liggen criteria ten grondslag, zoals normen, wettelijke eisen of brancheregels.
Accreditatie – Een accreditatieinstelling beoordeelt het managementsysteem als de technische competentie van de certificerende instelling. Daarbij houdt de accreditatieinstelling toezicht om de onpartijdigheid en deskundigheid van de instelling die de certificerende instelling te garanderen.
1.9
Brondocumenten Voor de samenstelling van dit schema is gebruik gemaakt van de volgende bronnen:
Cloud Control Matrix ‘CSA_CCM_v3.0’ 2013 – Cloud Security Alliance.
Edukoppeling transactiestandaard versie 0.92, datum 27-09-2013.
3
Initieel heeft Kennisnet vanuit het programma SION opdracht gegeven voor de ontwikkeling van het
certificatieschema en moet daarmee worden gezien als ‘acting’ eigenaar, totdat een permanente invulling van deze rol is gevonden.
5/40
2
AANWIJZIGINGEN VOOR HET CERTIFICATIESCHEMA
2.1
Hoofdlijnen van het certificatieschema Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS oplossing. Het certificeringsproces valt uiteen in twee onderdelen:
Inhoudelijke normen waartegen de betrouwbaarheid van de geboden dienstverlening wordt vastgesteld. Voor de inhoudelijke normen wordt gebruik gemaakt van een basisset van normen die door de markt als toonaangevend worden beschouwd, aangevuld met specifieke aanvullingen of interpretaties voor Edukoppeling.
Een beschrijving van de wijze waarop wordt vastgesteld dat de dienstverlening daadwerkelijk voldoet aan de gestelde eisen. In dit schema is in eerste instantie gekozen voor de systematiek van een zogenaamde ‘zelfverklaring’, waarbij de leverancier zelf vaststelt en verklaart dat zijn product of dienst aan de normen voldoet.
In de paragrafen hierna worden deze hoofdlijnen nader beschreven. 2.1.1
Verantwoordelijkheid van de SAAS-leveranciers
De SAAS-leveranciers worden geacht om de volgende activiteiten uit te voeren: 1.
Kennis nemen van de van toepassing zijnde normen en interpretation notes (zie Bijlage A).
2.
Voor zichzelf te bepalen in welke mate aan de betreffende normen en interpretation notes wordt voldaan.
3.
Voor zichzelf vast te stellen op welke wijze kan worden aangetoond dat aan de betreffende normen en interpretation notes wordt voldaan. Het wordt geadviseerd de bewijsvoering hiertoe vast te leggen, dit in verband met eventuele latere vragen om openheid van zaken te geven.
4.
De mate waarin wordt voldaan vast te leggen in de verplichte bijlage van de Management Letter (zie Bijlage D).
5.
Daar waar verbeterpotentieel aanwezig is deze expliciet te benoemen in de bijlage, aangevuld met een planning wanneer leverancier verwacht de verbetering te hebben gerealiseerd. Hierbij kan worden volstaan met een indicatieve planning per kwartaal (bijvoorbeeld ‘Q1’ of ‘Q2’).
6.
Een zelfverklaring op te stellen, die overeenkomt met de tekst zoals deze in Bijlage C is opgenomen.
2.1.2
Eisen aan de zelfverklaring
De tekst van de zelfverklaring moet overeenkomen met de tekst zoals deze in Bijlage C is opgenomen. Let op: afwijkingen in de tekst kunnen zonder voorafgaande toestemming van schemabeheerder niet worden geaccepteerd.
6/40
Een zelfverklaring moet altijd vergezeld gaan van een bijlage waarin wordt aangegeven of en in welke mate aan normen wordt voldaan (zie Bijlage D). De zelfverklaring is een fysiek document en moet worden ondertekend door een bij de KvK geregistreerde tekenbevoegde. De zelfverklaring wordt zowel elektronisch als fysiek verstrekt aan de schemabeheerder. Contactpersoon namens de schemabeheerder is Tonny Plas. De contactgegevens van de schemabeheerder zijn:
[email protected] en Paletsingel 2718 NT Zoetermeer. 2.1.3
Periode van geldigheid van de zelfverklaring
De zelfverklaring is maximaal één jaar geldig en dient jaarlijks te worden verstrekt. De zelfverklaring moet jaarlijks op de laatste werkdag vóór 31 januari worden verstrekt. 2.1.4
Steekproefsgewijze toetsing
De schemabeheerder heeft het recht om de SAAS-leveranciers steekproefsgewijs te vragen aantoonbaar te maken dat feitelijk aan de betreffende normen is voldaan. Ook bij gerede twijfel heeft de schemabeheerder het recht om dit te vragen. Hiertoe wordt door de schemabeheerder een onafhankelijke onderzoeker aangesteld die zal beoordelen of de SAAS-leverancier daadwerkelijk aan de normen voldoet. SAAS-leverancier is verplicht om binnen vier weken aan dit verzoek gehoor te geven en toegang te verlenen aan onderzoekers die door de schemabeheerder worden aangewezen. De tijd en middelen die de SAAS-leverancier hiervoor moet inzetten kunnen niet worden doorbelast aan de schemabeheerder. 2.1.5
Sancties
Het niet of niet tijdig overleggen van de zelfverklaring kan leiden tot passende sancties. Mocht gaandeweg een steekproefsgewijze toetsing blijken dat de feitelijke stand van zaken niet overeenstemt met de zelfverklaring en dat aannemelijk is dat de betreffende SAAS-leverancier dit had kunnen weten kan dit leiden tot passende sancties. In deze fase van de volwassenheid van dit certificatieschema is er geen behoefte om het sanctieregime verder uit te werken. Partijen zullen onderling moeten vaststellen wat een passende sanctie is. De schemabeheerder heeft hierbij de rol van liaison / intermediair.
7/40
3
EISEN AAN DE FUNCTIONALITEIT
3.1
Bron voor normen SAAS dienstverlening (of ook: cloud dienstverlening) is zodanig nieuw en veelomvattend type dienstverlening dat nog geen wereldwijd geaccepteerde set aan betrouwbaarheidseisen bestaat. Tegelijkertijd zijn er wel initiatieven vanuit de sector zelf (Cloud Security Alliance, Eurocloud) en vanuit andere belangenorganisaties (bijvoorbeeld ISACA of lokale overheden) om te komen tot een gemeenschappelijke standaard. Op het moment van de initiële totstandkoming van dit schema (Q4 2013) heeft de Cloud Security Alliance (CSA) een grote voorsprong op andere initiatieven. Dit is onder andere zichtbaar in de 4
uitwerking van een normenkader voor Cloud dienstverlening, de ‘Cloud Control Matrix’ . Versie 3.0 van de Cloud control matrix is de basis voor de in dit schema voorgestelde normen. 3.2
Verantwoording voor selectie van normen De Cloud Control Matrix (CCM) bestaat uit meer dan 130 normen, verdeeld over 16 domeinen. Op basis van de specifieke functionaliteit van EDU-koppeling en het specifieke risicoprofiel is de keuze gemaakt om uit de volledige set aan normen een minimale basis set te selecteren die als basis normenkader van toepassing is. De selectie van de normen heeft plaatsgevonden op basis van 2 criteria: 1.
Negen aspectgebieden die door CSA worden onderkend als meest cruciale dreigingen voor 5
een veilige cloud waartegen effectieve controls moeten worden ingezet : a.
Data Breaches
b.
Data Loss
c.
Account or Service Hijacking
d.
Insecure Interfaces and API’s
e.
Denial of Service
f.
Malicious Insiders
g.
Abuse of Cloud Services
h.
Insufficient Due Diligence
i.
Shared Technology Vulnerabilities
CSA heeft zelf een relatie gelegd tussen deze negen aspectgebieden en de maatregelen (‘controls’) die een effectieve bescherming vormen tegen deze dreigingen.
4
https://cloudsecurityalliance.org/research/ccm/
5
The Notorious Nine Cloud Computing Top Threats in 2013
8/40
2.
De samenwerkingspartners rondom Edukoppeling hebben daarnaast drie specifieke risicogebieden geïdentificeerd: interoperabiliteit, betrouwbaarheid en privacy. Er zijn hierbinnen vijf aspectgebieden die specifiek in de context van Edukoppeling aanvullend en specifiek als risicogebied worden gezien: a.
Interoperabiliteit: i. de services waarmee gegevens met andere ketenpartijen worden uitgewisseld moeten voldoen aan de Edukoppeling transactie-standaard;
b.
Betrouwbaarheid i. misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school; ii. vermenging van gegevens met die van andere klanten; iii. leverancier moet een log of audittrail vastleggen per klantomgeving om het uitvoeren van digitaal (forensisch) onderzoek en audits te ondersteunen;
c.
Privacy i. tussen SAAS-leverancier en de onderwijsinstelling moet een bewerkersovereenkomst (zie Bijlage B) worden afgesloten.
Voor deze aspecten heeft de schemabeheerder een relatie gelegd met de maatregelen (‘controls’) die een effectieve bescherming vormen tegen deze dreigingen. Op deze manier zijn enkele maatregelen / controls aan het nomenkader toegevoegd. 3.3
Interpretation notes Bij de toepassing van het normenkader kan het voorkomen dat onduidelijkheden bestaan over het begrijpen van de norm in relatie tot de specifieke context van Edukoppeling. In die gevallen waar het noodzakelijk is om een specifieke aanvulling of toelichting te geven worden door de schemabeheerder ‘interpretation notes’ aan de normbeschrijving toegevoegd. Hierbij wordt er bewust voor gekozen om restrictief te zijn in de aanvullingen, omdat er bij veel aanvullingen op de marktstandaard via een omweg een nieuwe markststandaard wordt gecreëerd.
9/40
4
ONDERHOUD VAN DIT CERTIFICATIESCHEMA
4.1
Periodieke evaluatie De eigenaar bespreekt de opzet en de werking van het certificatieschema met alle relevante stakeholders, waaronder minimaal: DUO, Leveranciers, saMBO-ICT en Kennisnet. Deze samenstelling bepaalt gezamenlijk hoe frequent de inhoud van het schema of het normenkader wordt geëvalueerd. In eerste instantie wordt uitgegaan van een evaluatiefrequentie van tweemaal per jaar (mei en november).
10/40
A
Inhoudelijke normen en interpretation notes
De gedachte achter de zelfverklaring is dat de leverancier transparant is over de mate waarin aan de eisen wordt voldaan. Dit in tegenstelling tot de een onafhankelijke toetsing, waarin deze vaststelling door een derde plaatsvindt. De leverancier dient daarom voor zichzelf te bepalen hoe hij een bepaalde control voor de eigen dienstverlening zou moeten toepassen. De formuleringen in kolommen ‘Control Domain’, ‘Control ID’ en ‘Control Specification’ zijn overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0. De controls waarvan het ‘control id’ eindigt op een a en de ‘control specification’ in het Nederlands is geschreven zijn specifiek toegevoegd. Toelichting kolom ‘Compliance eis’ Daar waar een control is gemarkeerd met ‘volledig’ betekent dit dat de leverancier volledig aan deze control moet voldoen en dat er geen verbeterpunten meer mogen zijn. Daar waar een control is gemarkeerd met ‘deels’ betekent dit dat verbeterpunten zijn toegestaan. De leverancier moet op termijn aan deze control moet voldoen en op dit moment al deze control in een bepaalde mate moet hebben ingericht. Voor alle controls geldt daarmee dat het niet acceptabel is als er nog helemaal geen maatregelen zijn getroffen om aan deze control te voldoen. De kolom ‘ISO27001:2005’ is overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0 en bevat een mapping naar de volgens CSA van toepassing zijnde paragrafen uit ISO 27001:2005.. De kolom ‘Interpretation note’ is toegevoegd door de schemabeheerder en dient als illustratie / achtergrondbeschrijving van de betreffende control.
Control Domain
Control Control Specification ID
Compli- ISO 270001: ance
Interpretation note
2005
eis Application &
AIS-01
Applications and interfaces (APIs) shall be designed,
Deels
A.11.5.6
Interface
developed, and deployed in accordance with industry
A.11.6.1
Security
acceptable standards (e.g., OWASP for web applications)
A.12.2.1
Application
and adhere to applicable legal, statutory, or regulatory
A.12.2.2
Security
compliance obligations.
A.12.2.3 A.12.2.4 A.12.5.2 A.12.5.4 A.12.5.5 A.12.6.1 A.15.2.1
AIS-01.a Daar waar partijen kiezen voor een gegevensuitwisseling
Volledig
Toegevoegd als specifieke eis vanuit
conform Edukoppeling moet de thans geldende versie van de
de schema eigenaar.
transactiestandaard zijn toegepast. Application &
AIS-04
Policies and procedures shall be established, and supporting
Deels
A.10.8.1
Interface
business processes and technical measures implemented, to
A.10.8.2
Security
ensure protection of confidentiality, integrity, and availability
A.11.1.1
Data Security /
of data exchanged between one or more system interfaces,
A.11.6.1
Integrity
jurisdictions, or external business relationships to prevent
A.11.4.6
improper disclosure, alteration, or destruction. These policies,
A.12.3.1
procedures, processes, and measures shall be in accordance
A.12.5.4
12/40
with known legal, statutory and regulatory compliance
A.15.1.4
obligations.
Audit
AAC-03
An inventory of the organization's external legal, statutory,
Deels
ISO/IEC
Organisatie houdt bij wat de impact is
Assurance &
and regulatory compliance obligations associated with (and
27001:2005
van nieuwe wet- en regelgeving. Ten
Compliance
mapped to) any scope and geographically-relevant presence
Clause 4.2.1 b)
aanzien van de impact van nieuwe
Information
of data or organizationally-owned or managed (physical or
2)
privacy wetgeving is de organisatie pro-
System
virtual) infrastructure network and systems components shall
Clause 4.2.1 c)
actief. Met pro-actief wordt bedoeld dat
Regulatory
be maintained and regularly updated as per the business
1)
een organisatie niet alleen
Mapping
need (e.g., change in impacted-scope and/or a change in any
Clause 4.2.1 g)
nieuwsbrieven maar ook met
compliance obligation).
Clause 4.2.3 d)
gespecialiseerde adviseurs of
6)
gesprekspartners afstemt hoe nieuwe
Clause 4.3.3
richtlijnen zich vertalen naar
Clause 5.2.1 a-f implementatie in de eigen Clause 7.3 c) 4) bedrijfsvoering. A.7.2.1 A.15.1.1 A.15.1.3 A.15.1.4 A.15.1.6 AAC03a
Onderdeel van deze norm is dat een passende
Volledig
bewerkersovereenkomst is afgesloten, conform het geldende
Toegevoegd als specifieke eis vanuit de schema eigenaar.
13/40
model. AAC-
Onderdeel van deze norm is dat persoonsgegevens door de
03b
leverancier op geen enkele wijze aan derden ter beschikking
Volledig
Toegevoegd als specifieke eis vanuit de schema eigenaar.
worden gesteld. Business
BCR-12 Policies and procedures shall be established, and supporting
Deels
Clause 4.3.3
Minimaal onderdeel van een retention policy moet zijn: welke data is onderdeel van de backup hoe lang mag welk type data worden bewaard op welke manier moet data worden vernietigd / verwijderd als deze data niet langer wordt gebruikt / mag worden gebruikt
Continuity
business processes and technical measures implemented,
A.10.5.1
Management &
for defining and adhering to the retention period of any critical
A.10.7.3
Operational
asset as per established policies and procedures, as well as
Resilience
applicable legal, statutory, or regulatory compliance
Retention Policy
obligations. Backup and recovery measures shall be incorporated as part of business continuity planning and tested accordingly for effectiveness.
Data Security &
DSI-02
Policies and procedures shall be established, and supporting
Deels
Doel van de policies en procedures
Information
business processes and technical measures implemented, to
moet zijn dat vermenging van gegevens
Lifecycle
inventory, document, and maintain data flows for data that is
met die van andere klanten wordt
Management
resident (permanently or temporarily) within the service's
voorkomen.
Data Inventory /
geographically distributed (physical and virtual) applications
Flows
and infrastructure network and systems components and/or
Het is hierbij belangrijk om dit enerzijds
shared with other third parties to ascertain any regulatory,
te bezien in de relatie tussen School en
statutory, or supply chain agreement (SLA) compliance
SAAS leverancier, maar ook in de
impact, and to address any other business risks associated
relatie tussen SAAS leverancier en
with the data. Upon request, provider shall inform customer
onderwijsketen.
(tenant) of compliance impact and risk, especially if customer data is used as part of the services.
14/40
Data Security &
A.7.2.2
Het labelen moet worden
Information
DSI-04
Policies and procedures shall be established for labeling, handling, and the security of data and objects which contain
Deels
A.10.7.1
geïnterpreteerd als fysiek of
Lifecycle
data. Mechanisms for label inheritance shall be implemented
A.10.7.3
elektronisch markeren van data.
Management
for objects that act as aggregate containers for data.
A.10.8.1
Handling / Labeling / Security Policy Data Security &
DSI-05
Information
Security mechanisms shall be implemented to prevent data
Deels
leakage.
A.10.6.2
Doel van de deze mechanismen moet
A.12.5.4
zijn dat vermenging van gegevens met
Lifecycle
die van andere klanten wordt
Management
voorkomen.
Information Leakage Data Security &
DSI-06
Information
Production data shall not be replicated or used in non-
Volledig
production environments.
A.7.1.3 A.10.1.4
Lifecycle
A.12.4.2
Management
A.12.5.1
Non-Production Data Data Security & Information
DSI-07
All data shall be designated with stewardship, with assigned
Deels
responsibilities defined, documented, and communicated.
Lifecycle
A.6.1.3
Het moet helder zijn wie de ‘steward’ is
A.7.1.2
van de data. Dit is een randvoorwaarde
A.15.1.4
om vermenging van gegevens met die
Management
van andere klanten te kunnen
Ownership /
voorkomen.
Stewardship
15/40
Data Security &
DSI-08
Policies and procedures shall be established, and supporting
Information
business processes and technical measures implemented,
Lifecycle
for the secure disposal and complete removal of data from all
Management
storage media, ensuring data is not recoverable by any
Secure Disposal Datacenter Security
Deels
A.9.2.6 A.10.7.2
computer forensic means. DCS-04 Authorization must be obtained prior to relocation or transfer
Deels
of hardware, software, or data to an offsite premises.
A.9.2.5 A.9.2.6
Off-Site Authorization Datacenter
DCS-08 Ingress and egress points such as service areas and other
Security
points where unauthorized personnel may enter the premises
Unauthorized
shall be monitored, controlled and, if possible, isolated from
Persons Entry
data storage and processing facilities to prevent unauthorized
Deels
A.9.2.7 A.10.1.2
data corruption, compromise, and loss. Datacenter Security
DCS-09 Physical access to information assets and functions by users
Deels
and support personnel shall be restricted.
User Access
16/40
A.9.1.1
Encryption &
Clause 4.3.3
Deze eis is specifiek van toepassing
Key
EKM-02 Policies and procedures shall be established, and supporting business processes and technical measures implemented,
Deels
A.10.7.3
voor de Key die de SAAS leverancier
Management
for the management of cryptographic keys in the service's
A.12.3.2
zelf gebruikt om gegevens met de
Key Generation
cryptosystem (e.g., lifecycle management from key
A.15.1.6
keten uit te wisselen.
generation to revocation and replacement, public key infrastructure, cryptographic protocol design and algorithms used, access controls in place for secure key generation, and exchange and storage including segregation of keys used for encrypted data or sessions). Upon request, provider shall inform the customer (tenant) of changes within the cryptosystem, especially if the customer (tenant) data is used as part of the service, and/or the customer (tenant) has some shared responsibility over implementation of the control. Encryption &
EKM-03 Policies and procedures shall be established, and supporting
Deels
A.10.6.1
Key
business processes and technical measures implemented,
A.10.8.3
Management
for the use of encryption protocols for protection of sensitive
A.10.8.4
Sensitive Data
data in storage (e.g., file servers, databases, and end-user
A.10.9.2
Protection
workstations) and data in transmission (e.g., system
A.10.9.3
interfaces, over public networks, and electronic messaging)
A.12.3.1
as per applicable legal, statutory, and regulatory compliance
A.15.1.3
obligations.
A.15.1.4
Governance and Risk
EKM-
Toegang tot (gegevens in) de clouddienst verloopt altijd via
03.a
een HTTPS (SSL/TLS)-verbinding.
GRM-01 Baseline security requirements shall be established for
Volledig Deels
developed or acquired, organizationally-owned or managed,
17/40
A.12.1.1
De SAAS leverancier stelt voor intern
A.15.2.2
gebruik dergelijke baselines op.
Management
physical or virtual, applications and infrastructure system and
Baseline
network components that comply with applicable legal,
Requirements
statutory and regulatory compliance obligations. Deviations from standard baseline configurations must be authorized following change management policies and procedures prior to deployment, provisioning, or use. Compliance with security baseline requirements must be reassessed at least annually unless an alternate frequency has been established and established and authorized based on business need.
Governance
GRM-02 Risk assessments associated with data governance
Deels
Clause 4.2.1 c)
and Risk
requirements shall be conducted at planned intervals and
& g)
Management
shall consider the following:
Clause 4.2.3d)
Data Focus Risk
• Awareness of where sensitive data is stored and
Clause 4.3.1 &
Assessments
transmitted across applications, databases, servers, and
4.3.3
network infrastructure
Clause 7.2 &
• Compliance with defined retention periods and end-of-life
7.3
disposal requirements
A.7.2
• Data classification and protection from unauthorized use,
A.15.1.1
access, loss, destruction, and falsification
A.15.1.3 A.15.1.4
Governance
GRM-07 A formal disciplinary or sanction policy shall be established
and Risk
for employees who have violated security policies and
Management
procedures. Employees shall be made aware of what action
Policy
might be taken in the event of a violation, and disciplinary
Enforcement
measures must be stated in the policies and procedures.
Volledig
18/40
A.8.2.3
Governance
GRM-10 Aligned with the enterprise-wide framework, formal risk
Deels
Clause 4.2.1 c)
and Risk
assessments shall be performed at least annually or at
through g)
Management
planned intervals, to determine the likelihood and impact of
Clause 4.2.3 d)
Risk
all identified risks using qualitative and quantitative methods.
Clause 5.1 f)
Assessments
The likelihood and impact associated with inherent and
Clause 7.2 &
residual risk shall be determined independently, considering
7.3
all risk categories (e.g., audit results, threat and vulnerability
A.6.2.1
analysis, and regulatory compliance).
A.12.5.2 A.12.6.1 A.14.1.2 A.15.1.1 A.15.2.1 A.15.2.2
Human
HRS-02 Pursuant to local laws, regulations, ethics, and contractual
Deels
A.8.1.2
Deze eis geldt specifiek in relatie tot de
Resources
constraints, all employment candidates, contractors, and third
eis dat misbruik door eigen (oud-)
Background
parties shall be subject to background verification
medewerkers die toegang kunnen
Screening
proportional to the data classification to be accessed, the
hebben tot de gegevens van de school
business requirements, and acceptable risk.
moet worden voorkomen.
Human
HRS-03 Employment agreements shall incorporate provisions and/or
Deels
A.6.1.5
Deze eis geldt specifiek in relatie tot de
A.8.1.3
eis dat misbruik door eigen (oud-)
Resources
terms for adherence to established information governance
Employment
and security policies and must be signed by newly hired or
medewerkers die toegang kunnen
Agreements
on-boarded workforce personnel (e.g., full or part-time
hebben tot de gegevens van de school
employee or contingent staff) prior to granting workforce
moet worden voorkomen.
personnel user access to corporate facilities, resources, and assets.
19/40
Human
HRS-04 Roles and responsibilities for performing employment
Deels
A.8.3.1
Deze eis geldt specifiek in relatie tot de
Resources
termination or change in employment procedures shall be
eis dat misbruik door eigen (oud-)
Employment
assigned, documented, and communicated.
medewerkers die toegang kunnen
Termination
hebben tot de gegevens van de school moet worden voorkomen.
Human
HRS-07 Requirements for non-disclosure or confidentiality
Deels
ISO/IEC
Deze eis geldt specifiek in relatie tot de
Resources
agreements reflecting the organization's needs for the
27001:2005
eis dat misbruik door eigen (oud-)
Non-Disclosure
protection of data and operational details shall be identified,
Annex A.6.1.5
medewerkers die toegang kunnen
Agreements
documented, and reviewed at planned intervals.
hebben tot de gegevens van de school moet worden voorkomen.
Human
HRS-08 Roles and responsibilities of contractors, employees, and
Deels
Clause 5.1 c)
Resources
third-party users shall be documented as they relate to
A.6.1.2
Roles /
information assets and security.
A.6.1.3
Responsibilities Identity &
A.8.1.1 IAM-01
Access to, and use of, audit tools that interact with the
Deels
A.15.3.2
Doel hiervan is dat vermenging van
Access
organization's information systems shall be appropriately
gegevens met die van andere klanten
Management
segmented and restricted to prevent compromise and misuse
wordt voorkomen.
Audit Tools
of log data.
Access Doel hiervan is tevens om vast te stellen dat SAAS-leverancier afdoende maatregelen heeft getroffen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal en/of forensisch onderzoek en audits te ondersteunen.
20/40
Identity &
A.11.1.1
Deze eis geldt specifiek in relatie tot de
Access
IAM-02
User access policies and procedures shall be established, and supporting business processes and technical measures
Deels
A.11.2.1
eis dat misbruik door eigen (oud-)
Management
implemented, for ensuring appropriate identity, entitlement,
A.11.2.4
medewerkers die toegang kunnen
Credential
and access management for all internal corporate and
A.11.4.1
hebben tot de gegevens van de school
Lifecycle /
customer (tenant) users with access to data and
A.11.5.2
moet worden voorkomen.
Provision
organizationally-owned or managed (physical and virtual)
A.11.6.1
Management
application interfaces and infrastructure network and systems
Met (oud-) medewerkers wordt
components. These policies, procedures, processes, and
specifiek gedoeld op de (oud-)
measures must incorporate the following:
medewerkers van de SAAS
• Procedures and supporting roles and responsibilities for
leverancier.
provisioning and de-provisioning user account entitlements following the rule of least privilege based on job function
Wel dient hier te worden vermeld
(e.g., internal employee and contingent staff personnel
welke generieke waarborgen
changes, customer-controlled access, suppliers' business
leverancier heeft getroffen ter
relationships, or other third-party business relationships)
ondersteuning van het beheer van
• Business case considerations for higher levels of
gebruikersrechten door
assurance and multi-factor authentication secrets (e.g.,
aangesloten onderwijsinstellingen.
management interfaces, key generation, remote access,
Denk bijvoorbeeld aan bijvoorbeeld
segregation of duties, emergency access, large-scale
blokkeren van inactieve accounts,
provisioning or geographically-distributed deployments, and
specifieke aanvraag- / wijzigings- /
personnel redundancy for critical systems)
intrekkingsprocedures en het
• Access segmentation to sessions and data in multi-tenant
mogelijk maken periodieke review
architectures by any third party (e.g., provider and/or other
toegangsrechten door het
customer (tenant))
verstrekken van overzichten.
• Identity trust verification and service-to-service application (API) and information processing interoperability (e.g., SSO
21/40
and federation) • Account credential lifecycle management from instantiation through revocation • Account credential and/or identity store minimization or reuse when feasible • Authentication, authorization, and accounting (AAA) rules for access to data and sessions (e.g., encryption and strong/multi-factor, expireable, non-shared authentication secrets) • Permissions and supporting capabilities for customer (tenant) controls over authentication, authorization, and accounting (AAA) rules for access to data and sessions • Adherence to applicable legal, statutory, or regulatory compliance requirements Identity &
IAM-04
Policies and procedures shall be established to store and
Deels
Deze eis geldt specifiek in relatie tot de
Access
manage identity information about every person who
eis dat misbruik door eigen (oud-)
Management
accesses IT infrastructure and to determine their level of
medewerkers die toegang kunnen
Policies and
access. Policies shall also be developed to control access to
hebben tot de gegevens van de school
Procedures
network resources based on user identity.
moet worden voorkomen.
Identity &
IAM-05
User access policies and procedures shall be established,
Deels
A.10.1.3
Deze eis geldt specifiek in relatie tot de
Access
and supporting business processes and technical measures
eis dat misbruik door eigen (oud-)
Management
implemented, for restricting user access as per defined
medewerkers die toegang kunnen
Segregation of
segregation of duties to address business risks associated
hebben tot de gegevens van de school
Duties
with a user-role conflict of interest.
moet worden voorkomen.
22/40
Identity &
A.6.2.1
Deze eis geldt specifiek in relatie tot de
Access
IAM-07
The identification, assessment, and prioritization of risks posed by business processes requiring third-party access to
Deels
A.8.3.3
eis dat misbruik door eigen (oud-)
Management
the organization's information systems and data shall be
A.11.1.1
medewerkers die toegang kunnen
Third Party
followed by coordinated application of resources to minimize,
A.11.2.1
hebben tot de gegevens van de school
Access
monitor, and measure likelihood and impact of unauthorized
A.11.2.4
moet worden voorkomen.
or inappropriate access. Compensating controls derived from the risk analysis shall be implemented prior to provisioning access. Identity &
IAM-08
Policies and procedures are established for permissible
Deels
Deze eis geldt specifiek in relatie tot de
Access
storage and access of identities used for authentication to
eis dat misbruik door eigen (oud-)
Management
ensure identities are only accessible based on rules of least
medewerkers die toegang kunnen
Trusted Sources
privilege and replication limitation only to users explicitly
hebben tot de gegevens van de school
defined as business necessary.
moet worden voorkomen.
Identity &
A.11.2.1
Deze eis geldt specifiek in relatie tot de
Access
IAM-09
Provisioning user access (e.g., employees, contractors, customers (tenants), business partners and/or supplier
Volledig
A.11.2.2
eis dat misbruik door eigen (oud-)
Management
relationships) to data and organizationally-owned or
A.11.4.1
medewerkers die toegang kunnen
User Access
managed (physical and virtual) applications, infrastructure
A 11.4.2
hebben tot de gegevens van de school
Authorization
systems, and network components shall be authorized by the
A.11.6.1
moet worden voorkomen.
organization's management prior to access being granted and appropriately restricted as per established policies and procedures. Upon request, provider shall inform customer (tenant) of this user access, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.
23/40
Identity &
IAM-10
User access shall be authorized and revalidated for
Deels
A.11.2.4
Deze eis geldt specifiek in relatie tot de
Access
entitlement appropriateness, at planned intervals, by the
eis dat misbruik door eigen (oud-)
Management
organization's business leadership or other accountable
medewerkers die toegang kunnen
User Access
business role or function supported by evidence to
hebben tot de gegevens van de school
Reviews
demonstrate the organization is adhering to the rule of least
moet worden voorkomen.
privilege based on job function. For identified access violations, remediation must follow established user access policies and procedures. Identity &
A.8.3.3
Deze eis geldt specifiek in relatie tot de
Access
IAM-11
Timely de-provisioning (revocation or modification) of user access to data and organizationally-owned or managed
Deels
A.11.1.1
eis dat misbruik door eigen (oud-)
Management
(physical and virtual) applications, infrastructure systems, and
A.11.2.1
medewerkers die toegang kunnen
User Access
network components, shall be implemented as per
A.11.2.2
hebben tot de gegevens van de school
Revocation
established policies and procedures and based on user's
moet worden voorkomen.
change in status (e.g., termination of employment or other business relationship, job change or transfer). Upon request, provider shall inform customer (tenant) of these changes, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.
24/40
Identity &
A.8.3.3
Deze eis geldt specifiek in relatie tot de
Access
IAM-12
credentials shall be restricted as per the following, ensuring
A.11.1.1
eis dat misbruik door eigen (oud-)
Management
appropriate identity, entitlement, and access management
A.11.2.1
medewerkers die toegang kunnen
User ID
and in accordance with established policies and procedures:
A.11.2.3
hebben tot de gegevens van de school
• Identity trust verification and service-to-service application
A.11.2.4
moet worden voorkomen.
(API) and information processing interoperability (e.g., SSO
A.11.5.5
Credentials
Internal corporate or customer (tenant) user account
Deels
and Federation) • Account credential lifecycle management from instantiation through revocation • Account credential and/or identity store minimization or reuse when feasible • Adherence to industry acceptable and/or regulatory compliant authentication, authorization, and accounting (AAA) rules (e.g., strong/multi-factor, expireable, non-shared authentication secrets) Infrastructure &
IVS-01
Higher levels of assurance are required for protection,
Deels
A.10.10.1
Doel hiervan is vast te stellen dat
Virtualization
retention, and lifecyle management of audit logs, adhering to
A.10.10.2
SAAS-leverancier afdoende
Security
applicable legal, statutory or regulatory compliance
A.10.10.3
maatregelen heeft getroffen om per
Audit Logging /
obligations and providing unique user access accountability
A.10.10.4
klantomgeving een log of audittrail vast
Intrusion
to detect potentially suspicious network behaviors and/or file
A.10.10.5
te leggen om het uitvoeren van digitaal
Detection
integrity anomalies, and to support forensic investigative
A.11.2.2
en/of forensisch onderzoek en audits te
capabilities in the event of a security breach.
A.11.5.4
ondersteunen.
A.11.6.1 A.13.1.1 A.13.2.3 A.15.2.2
25/40
A.15.1.3
Infrastructure &
IVS-08
Production and non-production environments shall be
Volledig
A.10.1.4
Virtualization
separated to prevent unauthorized access or changes to
A.10.3.2
Security
information assets.
A.11.1.1
Production /
A.12.5.1
Non-Production
A.12.5.2
Environments
A.12.5.3
Infrastructure &
IVS-09
Multi-tenant organizationally-owned or managed (physical
Deels
A.11.4.5
Doel hiervan is dat vermenging van
Virtualization
and virtual) applications, and infrastructure system and
A.11.6.1
gegevens met die van andere klanten
Security
network components, shall be designed, developed,
A.11.6.2
wordt voorkomen.
Segmentation
deployed and configured such that provider and customer
A.15.1.4
(tenant) user access is appropriately segmented from other
Doel hiervan is tevens vast te stellen
tenant users, based on the following considerations:
dat SAAS-leverancier afdoende
• Established policies and procedures
maatregelen heeft getroffen om per
• Isolation of business critical assets and/or sensitive user
klantomgeving een log of audittrail vast
data and sessions that mandate stronger internal controls
te leggen om het uitvoeren van digitaal
and high levels of assurance
en/of forensisch onderzoek en audits te
• Compliance with legal, statutory and regulatory compliance
ondersteunen.
obligations
26/40
Security
Clause 4.3.3
Doel hiervan is vast te stellen dat
Incident
SEF-02
Policies and procedures shall be established, and supporting business processes and technical measures implemented, to
Deels
A.13.1.1
SAAS-leverancier afdoende
Management, E-
triage security-related events and ensure timely and thorough
A.13.2.1
maatregelen heeft getroffen om per
Discovery &
incident management, as per established IT service
klantomgeving een log of audittrail vast
Cloud
management policies and procedures.
te leggen om het uitvoeren van digitaal
Forensics
en/of forensisch onderzoek en audits te
Incident
ondersteunen.
Management Security
Clause 4.3.3
Doel hiervan is vast te stellen dat
Incident
SEF-04
In the event a follow-up action concerning a person or organization after an information security incident requires
Deels
Clause 5.2.2
SAAS-leverancier afdoende
Management, E-
legal action, proper forensic procedures, including chain of
A.8.2.2
maatregelen heeft getroffen om per
Discovery &
custody, shall be required for the preservation and
A.8.2.3
klantomgeving een log of audittrail vast
Cloud
presentation of evidence to support potential legal action
A.13.2.3
te leggen om het uitvoeren van digitaal
Forensics
subject to the relevant jurisdiction. Upon notification,
A.15.1.3
en/of forensisch onderzoek en audits te
Incident
customers (tenants) and/or other external business
Response Legal
relationships impacted by a security breach shall be given the
Preparation
opportunity to participate as is legally permissible in the
ondersteunen.
forensic investigation. Supply Chain
STA-05
Supply chain agreements (e.g., SLAs) between providers and Deels
A.6.2.3
Management,
customers (tenants) shall incorporate at least the following
A10.2.1
Transparency
mutually-agreed upon provisions and/or terms:
A.10.8.2
and
• Scope of business relationship and services offered (e.g.,
A.11.4.6
Accountability
customer (tenant) data acquisition, exchange and usage,
A.11.6.1
Supply Chain
feature sets and functionality, personnel and infrastructure
A.12.3.1
Agreements
network and systems components for service delivery and
A.12.5.4
support, roles and responsibilities of provider and customer
27/40
(tenant) and any subcontracted or outsourced business relationships, physical geographical location of hosted services, and any known regulatory compliance considerations) • Information security requirements, provider and customer (tenant) primary points of contact for the duration of the business relationship, and references to detailed supporting and relevant business processes and technical measures implemented to enable effectively governance, risk management, assurance and legal, statutory and regulatory compliance obligations by all impacted business relationships • Notification and/or pre-authorization of any changes controlled by the provider with customer (tenant) impacts • Timely notification of a security incident (or confirmed breach) to all customers (tenants) and other business relationships impacted (i.e., up- and down-stream impacted supply chain) • Assessment and independent verification of compliance with agreement provisions and/or terms (e.g., industryacceptable certification, attestation audit report, or equivalent forms of assurance) without posing an unacceptable business risk of exposure to the organization being assessed • Expiration of the business relationship and treatment of customer (tenant) data impacted • Customer (tenant) service-to-service application (API) and data interoperability and portability requirements for
28/40
application development and information exchange, usage, and integrity persistence STA05a
Specifiek ten aanzien van het eerste punt en de interpretatie
Volledig
Toegevoegd als specifieke eis vanuit
van “physical geographical location of hosted services”: de
de schema eigenaar.
leverancier geeft volledige transparantie over de locatie van de data door aan te geven in welke plaats / land de data zich bevindt. Supply Chain
STA-07
Policies and procedures shall be established, and supporting
Management,
business processes and technical measures implemented,
Transparency
for maintaining complete, accurate, and relevant agreements
and
(e.g., SLAs) between providers and customers (tenants), with
Accountability
an ability to measure and address non-conformance of
Supply Chain
provisions and/or terms across the entire supply chain
Metrics
(upstream/downstream), and for managing service-level
Deels
conflicts or inconsistencies resulting from disparate supplier relationships. Supply Chain
STA-09
Third-party service providers shall demonstrate compliance
Deels
A.6.2.3
Management,
with information security and confidentiality, service
A.10.2.1
Transparency
definitions, and delivery level agreements included in third-
A.10.2.2
and
party contracts. Third-party reports, records, and services
A.10.6.2
Accountability
shall undergo audit and review at planned intervals to govern
Third Party
and maintain compliance with the service delivery
Audits
agreements.
Threat and Vulnerability
TVM-02 Policies and procedures shall be established, and supporting
Deels
business processes and technical measures implemented,
A.12.5.1 A.12.5.2
29/40
Management
for timely detection of vulnerabilities within organizationally-
Vulnerability /
owned or managed (physical and virtual) applications and
Patch
infrastructure network and system components, applying a
Management
risk-based model for prioritizing remediation through change-
A.12.6.1
controlled, vender-supplied patches, configuration changes, or secure software development for the organization's own software. Upon request, provider shall inform customer (tenant) of policies and procedures, especially if customer (tenant) data is used as part the service and/or customer (tenant) has some shared responsibility over implementation of control.
30/40
B
Template voor bewerkersovereenkomst Dit is een modelovereenkomst die dient als voorbeeld.
Onderwijsinstellingen en SAAS-leveranciers kunnen met dit model zelf nadere afspraken maken naar aanleiding van iedere specifieke SAAS-dienst. Aan de inhoud van dit model kunnen geen garanties of rechten worden ontleend. In dit model is niet ingegaan op de concept Europese “Algemene Verordening Gegevensbescherming”.
Ondergetekenden: [Onderwijsinstelling], gevestigd en kantoorhoudende @ADRES@, hierbij vertegenwoordigd door @vertegenwoordigingsbevoegde@, @functie@, hierna te noemen: “Onderwijsinstelling”, en [SAAS-leverancier], gevestigd en kantoorhoudende aan de @ADRES@, hierbij rechtsgeldig vertegenwoordigd door @vertegenwoordigingsbevoegde@, @functie@, hierna te noemen: “Leverancier”, hierna gezamenlijk te noemen: “Partijen”,
overwegende dat: a)
b)
c)
Onderwijsinstelling gebruik wenst te maken van de Software-as-a-Service dienstverlening van Leverancier [OPTIONEEL:] en daartoe een Overeenkomst van [datum] (hierna: Overeenkomst) met Leverancier heeft afgesloten; Onderwijsinstelling in het kader van de uitvoering van de Overeenkomst (persoons)gegevens van de leerlingen, diens ouders en/of relaties van Onderwijsinstelling plaatst in de SaaS-oplossing van Leverancier; Partijen afspraken rondom uitwisseling van (persoons)gegegevens in deze Bewerkersovereenkomst willen vastleggen;
verklaren te zijn overeengekomen als volgt: Artikel 1. DEFINITIES 1.1 1.2 1.3
Persoonsgegevens: elk gegeven betreffende of herleidbaar tot een geïdentificeerde of identificeerbare natuurlijke persoon; Gegevens: alle andere gegevens (data) niet zijnde persoonsgegevens; Betrokkene: degene op wie de Persoonsgegevens betrekking hebben;
1.4 1.5 1.6 1.7
SaaS-oplossing: de door Leverancier geboden dienst; [naam SaaS-oplossing]: [omschrijving dienst van Leverancier]. Overeenkomst: Overeenkomst tussen Leverancier en Onderwijsinstellig betrekking hebbend op de door Leverancier aan Onderwijsinstelling geleverde dienst(en). Verwerken: elk soort handeling (of deel daarvan) met betrekking tot Persoonsgegevens.
Artikel 2. Voorwerp van deze overeenkomst 2.1 2.2
2.3
2.4 2.5
2.6
2.7
Leverancier levert [naam Saas-oplossing] aan Onderwijsinstelling. Onderwijsinstelling is verantwoordelijke ten aanzien van de aan Leverancier verstrekte en te verstrekken (persoons)gegevens. Leverancier handelt als bewerker in opdracht van Onderwijsinstelling en verwerkt de (persoons)gegevens slechts in opdracht van Onderwijsinstelling. De door Onderwijsinstelling aan Leverancier geleverde (persoons)gegevens worden geleverd ten behoeve van [naam Saas-oplossing]. Voor zover Partijen reeds een Overeenkomst hebben gesloten ten aanzien van de Saas-dienst, gelden de bepalingen van deze bewerkersovereenkomst als aanvulling daarop. [OPTIONEEL:]De in het kader van deze overeenkomst uitgewisselde (persoons)gegevens zijn beperkt tot [OMSCHRIJVING of OPSOMMING IN APARTE BIJLAGE]. Leverancier zal de ontvangen (persoons)gegevens uitsluitend verwerken ten behoeve van de levering van [naam Saas-oplossing] aan Onderwijsinstelling en alleen voor zover het verwerken van die gegevens strikt noodzakelijk is ten behoeve van de dienstverlening van Leverancier. Alle (intellectuele) eigendomsrechten, auteursrecht en databankenrecht inbegrepen, op de geleverde (persoons)gegevens, blijven te allen tijde berusten bij de Onderwijsinstelling (dan wel de docent/ouders/leerling). Partijen komen de Wet bescherming persoonsgegevens na. Voor zover de afspraken tussen Partijen niet voorzien in wettelijk vereiste regelingen, komen Partijen overeen te handelen in overeenstemming met de toepasselijke wet- en regelgeving op het gebied van de bescherming van (persoons)gegevens.
Artikel 3. Looptijd overeenkomst 3.1
3.2 3.3
De looptijd van deze overeenkomst is gelijk aan de tussen partijen gesloten Overeenkomst. In het geval dat de dienstverlening van Leverancier aan Onderwijsinstelling (nog) voortduurt, loopt deze overeenkomst door. Na (tussentijdse) beëindiging van deze overeenkomst, blijven de bepalingen van artikelen 2, 3 en 4 onverkort van toepassing. Na beëindiging van de Overeenkomst, en/of na beëindiging van de dienstverlening aan Onderwijsinstelling, is Leverancier gehouden om binnen 30 dagen na beëindiging de door Leverancier verstrekte (persoons)gegevens terug te geven (dan wel om Onderwijsinstelling in de gelegenheid te stellen deze gegevens te exporteren). Eventuele resterende (kopieën van) (persoons)gegevens en/of backups dienen daarop door Leverancier te worden vernietigd.
Artikel 4. Beveiligingseisen 4.1
Leverancier zal zorgdragen voor passende technische en organisatorische maatregelen om (persoons)gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
32/40
4.2 4.3 4.4 4.5 4.6
4.7
De te nemen maatregelen sluiten aan bij de stand van de techniek en de kosten van de tenuitvoerlegging. De veiligheidsmaatregelen bieden een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De beveiligingsmaatregelen zijn adequaat en voldoen aan de relevante standaarden en kwaliteitseisen. [OPTIONEEL:]Leverancier heeft de volgende beveiligingsmaatregelen geïmplementeerd: [opsomming]. Leverancier is verantwoordelijk voor het regelen van adequaat beveiligde toegang tot de (persoons)gegevens door Onderwijsinstelling. Onderwijsinstelling heeft het recht om in overleg met Leverancier de door Leverancier genomen technische en organisatorische (beveiligings)maatregelen - op kosten van Onderwijsinstelling - te (laten) toetsen door een daartoe gecertificeerd en onafhankelijk auditor. Leverancier heeft alsdan het recht om deze audit – al dan niet op eigen initiatief – uit te laten voeren door een door Leverancier in te schakelen onafhankelijk gecertificeerd auditor die een derdenverklaring afgeeft. Onderwijsinstelling wordt – al dan niet op hoofdlijnen - geïnformeerd over de uitkomsten. Leverancier stelt Onderwijsinstelling omgaand op de hoogte over ieder veiligheidsincident.
Artikel 5. Geheimhouding en vertrouwelijkheid 5.1
5.2
5.3
5.4
5.5
5.6
5.7
Op Leverancier rust ingevolge artikel 12 van de Wet Bescherming Persoonsgegevens een wettelijke geheimhoudingsverplichting. Leverancier is gehouden de ontvangen gegevens als vertrouwelijk te behandelen. Leverancier verplicht zijn (oud) werknemers en/of onderaannemers tot geheimhouding met betrekking tot alle (persoons)gegevens waarvan zij met betrekking tot de levering van [naam SaaSoplossing] kennis nemen. Ingeval Leverancier een derde inschakelt bij de dienstverlening, dan dient de Onderwijsinstelling hier uitdrukkelijk mee in te stemmen, voorafgaand aan het sluiten van een overeenkomst met de derde. De verstrekte (persoons)gegevens worden door Leverancier niet zonder voorafgaande toestemming van Onderwijsinstelling aan derden ter beschikking gesteld, tenzij Leverancier daartoe krachtens enige wetsbepaling, voorschrift of andere regelgeving verplicht is, of indien de bekendmaking en/of verstrekking in het kader van dienstverlening noodzakelijk is. Indien Leverancier een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) (persoons)gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA Patriot Act, dan zal Leverancier de Onderwijsinstelling onverwijld informeren. Bij de behandeling van het verzoek of bevel zal de Leverancier alle instructies van de Onderwijsinstelling in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan de Instelling over te laten) en alle redelijkerwijs benodigde medewerking verlenen. Voor zover Leverancier (persoons)gegevens aan anderen dan Onderwijsinstelling levert, zal Leverancier met deze derde gelijksoortige bepalingen als in deze bewerkersovereenkomst omtrent de verwerking van (persoons)gegevens overeenkomen, tenzij sprake is van een omstandigheid als genoemd in artikel 5.4. Leverancier zal haar volledige medewerking verlenen in geval dat een Betrokkene zijn rechten uitoefent op grond van de Wbp of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. Indien deze Betrokkene met betrekking tot de uitvoering van zijn rechten onder
33/40
5.8
5.9
5.10
de Wbp direct contact opneemt met Leverancier, dan verwijst Leverancier Betrokkene in eerste instantie door naar Onderwijsinstelling. Leverancier draagt er zorg voor dat de ontvangen (persoons)gegevens worden verwerkt (opgeslagen) binnen de Europese Economische Ruimte. Indien dit niet het geval is, mogen de (persoons)gegevens slechts worden verwerkt in een veilig derde land voor zover de wet dit toestaat (een land dat een passend beschermingsniveau biedt). Leverancier zal Onderwijsinstelling (vooraf) actief informeren indien de gegevens buiten de Europese Economische Ruimte worden verwerkt. Bij elke schending van de geheimhoudingsverplichting van Leverancier, is deze aan Onderwijsinstelling een direct opeisbare boete van (maximaal) € 50.000,= per overtreding verschuldigd, onverlet de overige rechten op schadevergoeding. Leverancier zal Onderwijsinstelling terstond op de hoogte stellen van iedere kennisneming, verstrekking of andere vorm van verwerken van de gegevens, die plaatsvindt in strijd met dit artikel.
Artikel 6. Aansprakelijkheid 6.1
6.2 6.3
Leverancier is aansprakelijk voor schade of nadeel, voortvloeiende uit het niet-nakomen van deze overeenkomst, voorschriften bij of krachtens wet- en regelgeving aangaande de bescherming van (persoons)gegevens, voor zover de schade of het nadeel is ontstaan door de werkzaamheid als Leverancier voor Onderwijsinstelling. Leverancier is gehouden tot het (onmiddellijk) beperken van schade en/of voorkomen van verder nadeel van Onderwijsinstelling. [OPTIONEEL:]De totale aansprakelijk van Opdrachtgever is beperkt tot het bedrag dat in het respectievelijke geval door de aansprakelijkheidsverzekeraar van Leverancier wordt vergoed.
Artikel 7. Algemeen 7.1
7.2
Bepalingen in de algemene voorwaarden, overeenkomsten of (mondelinge) afspraken tussen Partijen, met betrekking tot de bescherming van de verstrekte (persoons)gegevens, die afwijken van hetgeen in deze overeenkomst is geregeld, zijn niet van toepassing. Op deze overeenkomst is Nederlands recht van toepassing. Bij een dispuut over de toepasselijkheid van Nederlands recht, zijn de bepalingen van de Dataprotectierichtlijn 95/46/EG (aanvullend) van toepassing.
Aldus overeengekomen, in tweevoud opgemaakt en ondertekend, Onderwijsinstelling,
Leverancier,
Naam: Functie: Datum:
Naam: Functie: Datum:
34/40
C
Template voor zelfverklaring SAAS-leverancier
MANAGEMENTVERKLARING CERTIFICERING EDUKOPPELING Verklaring behorend bij het Certificatieschema Edukoppeling en SAAS
Inleiding Een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein is van groot belang. Hiervoor is de Edukoppeling transactiestandaard ontwikkeld die beschrijft hoe de gestructureerde elektronische informatie-uitwisseling in het onderwijs is ingericht. Edukoppeling is een standaard waarmee onderwijsinstellingen, uitvoeringsorganisaties en andere ketenpartijen eenvoudiger nieuwe gegevensuitwisselingen kunnen opzetten. Edukoppeling richt zich op de koppelvlakken tussen de applicaties van de verschillende partijen. Bij gegevensuitwisseling met een onderwijsinstelling die gebruik maakt van een SAAS-oplossing, is het mogelijk dat de technische identiteit afwijkt van de inhoudelijke identiteit. Technisch worden dan gegevens uitgewisseld met de SAAS-leverancier, terwijl inhoudelijk de gegevens bedoeld zijn voor of gevraagd worden van één van de scholen die gebruik maakt van die SAAS-oplossing. Binnen de Referentie Architectuur Onderwijs is met ketenpartijen gezocht naar een duurzame en standaardoplossing die voldoet aan de benodigde beveiligingsnormen. Dit heeft geresulteerd in een certificeringsproces als onderdeel van Edukoppeling. Als eerste stap in dit certificeringsproces moet de SAAS-leverancier verklaren dat aan een aantal juridische en technische voorwaarden wordt voldaan. Doel hiervan is om vertrouwen te creëren in de betrouwbaarheid van de geleverde SAAS-oplossing waarbij voldaan wordt aan de minimale eisen waaraan een SAAS-toepassing moet voldoen om te mogen worden ingezet als SAAS-oplossing. In deze managementverklaring legt de vertegenwoordigingsbevoegde bestuurder en/of manager vast dat naar zijn of haar oordeel de (multi tenant) SAAS-oplossing van aanvrager voldoet aan het Certificatieschema. Dit oordeel van aanvrager is tot stand gekomen na toetsing van de SAASoplossing aan de normen en uitgangspunten zoals beschreven in het Certificatieschema.
Verklaring Aanvrager ________________________________________________________ (naam SAASleverancier), hierbij rechtsgeldig vertegenwoordigd door ______________________________ (naam vertegenwoordiger), __________________________ (functie), verklaart dat de SAASoplossing van aanvrager, genaamd ________________________________ (naam SAAS-oplossing), 6
voldoet aan de normen en uitgangspunten zoals genoemd in het Certificatieschema .
6
Certificatieschema Edukoppeling en SAAS, versie 0.4, d.d. 2 december 2013, gepubliceerd XXX.
35/40
Aanvrager heeft het Certificatieschema ingevuld waarop tevens is aangegeven of en in welke mate aan de beschreven normen wordt voldaan, of dat aanvrager daar op termijn aan zal voldoen. Aanvrager voldoet aan alle onderdelen van het Certificatieschema waar in de kolom “Compliance eis” is gemeld dat daar “volledig” aan moet worden voldaan. Het Certificatieschema is als bijlage bij deze verklaring gevoegd en maakt daar onlosmakelijk onderdeel van uit. Aanvrager verklaart voorts dat: 1.
de services waarmee gegevens conform Edukoppeling met andere ketenpartijen worden 7
uitgewisseld, voldoen aan de Edukoppeling transactie-standaard (interoperabiliteit); 2.
voldoende maatregelen zijn genomen om onrechtmatige en/of onbevoegde toegang door derden en/of eigen (oud-)medewerkers tot de in de SAAS-oplossing aanwezige gegevens te voorkomen;
3.
maatregelen zijn genomen om vermenging van gegevens van verschillende gebruikers van de SAAS-oplossing te voorkomen;
4.
een log of audittrail wordt vastgelegd per klantomgeving ten behoeve van het eventueel uitvoeren van digitaal (forensisch) onderzoek en audits;
5.
de (toegang tot de) SAAS-oplossing, alsmede opslag van gegevens in die SAAS-oplossing, voldoet aan de eisen van de Wet bescherming persoonsgegevens en de Dataprotectierichtlijn (95/46/EC);
6.
tussen aanvrager en de onderwijsinstellingen die gebruik maken van de SAAS-oplossing, een (model) bewerkersovereenkomst is gesloten (zie Bijlage B bij het Certificatieschema);
7.
een nieuwe Managementverklaring (met bijlage) zal worden ingediend in geval van ingrijpende wijzigingen of updates aan de SAAS-oplossing, indien die aanpassingen van invloed (kunnen) zijn op de normen en uitgangspunten zoals opgenomen in het Certificatieschema.
Aanvrager gaat er mee akkoord dat DUO en/of Kennisnet – bij wijze van steekproef - kunnen besluiten om de SAAS-oplossing van aanvrager te laten toetsen door een onafhankelijk en gecertificeerd ICT-auditor. Indien uit deze audit blijkt dat de SAAS-oplossing niet voldoet aan de normen en uitgangspunten van het Certificatieschema, kan deze verklaring worden geweigerd en vervalt de certificering van aanvrager. Bij gebreke van een geldige certificering, worden er dan via aanvrager geen gegevens meer uitgewisseld. Aldus opgemaakt en getekend op _______________ (datum) te _________________ (plaats), _________________________ (handtekening) (naam voluit) (functie) Bijlage: ingevuld Certificatieschema
7
Edukoppeling Transactiestandaard versie 0.92, d.d. 27-09-2013, gepubliceerd XXX
36/40
Deze ingevulde en getekende verklaring (met bijlage) dient •
per post te worden toegezonden aan @ADRES@, én
•
per e-mail aan @MAILADRES@.
37/40
D
Template voor bijlage bij zelfverklaring
Bijlage D - invullen bij zelfverklaring.docx
38/40
E
Veelgestelde vragen Vraag: is de Cloud Control Matrix (CCM) van Cloud Security Alliance wel een passend kader Antwoord: De CCM een specifieke normenkader voor cloud dienstverlening. Het vakgebied is zeker nog niet volwassen en er is nog geen algemeen geaccepteerde marktstandaard. Wereldwijd wordt het CCM normenkader het meest gebruikt en het actiefst beheerd / doorontwikkeld. De toonaangevende cloudbedrijven hebben dit normenkader omarmd. Vraag: aan welke eisen moet nu minimaal wel of niet worden voldaan / Wat is nu de echte baseline van alle normen / Hoe moet ik norm XYZ interpreteren. Diverse vragen zijn ontvangen over prioriteiten en formuleringen. Deze vragen zijn begrijpelijk en passen bij het initiële stadium waarin het schema zit en de pioniersrol die wordt vervuld. Op dit moment is de ervaring met het toepassen van de norm nog beperkt, bij alle partijen (leveranciers, afnemers en andere stakeholders). De praktijk zal moeten uitwijzen welke normen helder en duidelijk zijn en aan welke normen leveranciers kunnen voldoen. Bij een eerste evaluatieronde onderling moet worden besproken welke balans tussen generieke CCM formuleringen en specifieke ‘interpretation notes’ die aan de normen worden toegevoegd. Ook moet bijvoorbeeld worden vastgesteld:
welke normen als baseline moeten dienen,
welke toegevoegde waarde hebben,
welke moeten worden aangescherpt en
waar aanvullende normering op zijn plaats zou zijn.
Vraag: Wat is de overlap met ISO 27001 en ISAE 3402 Korte antwoord: de overlap is beperkt, een self-assessment tegen het CCM normenkader kan naadloos worden geïntegreerd in een ISO 27001: 2013 certificering of ISAE 3402. Uitgebreide inhoudelijke toelichting: De ISO 27001 standaard is een wereldwijd leidende standaard op het gebied van informatiebeveiliging. De standaard stelt eisen aan een management systeem voor informatiebeveiliging (een ‘ISMS’). Daarbij worden in een Annex A specifieke controls genoemd. 8
ISO 27001 : 2013 kent een significante wijziging: “The two primary sources for the Statement of
8
http://www.neupart.com/media/142730/how_to_develop_a_statement_of_applicability_accordi ng_ to_iso_27001-2013-eng.pdf.
39/40
Applicability are the risk assessment and Annex A of the standard (in reality the Table of Contents of the ISO 27002 standard). Other sources are the controls that currently exist in the organization and external security requirement that the organization has to comply with.” Dit is een belangrijke doorbraak: in eerdere versies van 27001 waren de controls uit Annex A niet specifiek genoeg om te passen bij de dienstverlening van de te certificeren organisatie. In de nieuwe versie kunnen ook specifieke controls kunnen worden toegevoegd, voor zover zij als relevante controls worden benoemd in de risico-analyse. Dit betekent dat voor cloud dienstverleners relevante cloud gebaseerde normenkaders onder de ISO 27001 kunnen worden opgenomen en (bij certificering) door een onafhankelijke auditor worden getoetst. Hiermee kunnen leveranciers de CCM control matrix adopteren en later in een ISO 27001 certificeringstraject laten toetsen. Een onafhankelijk ISO27001 certificaat waarbij tevens de CCM controls zijn getoetst kan daarmee de zelfverklaring vervangen. 9
Wat is ISAE 3402 : ISAE3402 is een internationale assurance standaard uitgegeven door de International Federation of Accountants (IFAC). In een ISAE3402 rapport is opgenomen hoe de accountant heeft getest en zijn uiteindelijke accountantsverklaring bij het ISAE3402-rapport. In ISAE3402 type I rapport wordt uitsluitend gerapporteerd over het bestaan van het control framework (de beheersmaatregelen) op een moment. In een ISAE3402 type II rapport wordt over zowel het bestaan als de werking gerapporteerd over een periode van minimaal zes maanden. ISAE bevat geen specifiek normenkader. Het CCM normenkader kan als normenkader aan de (onafhankelijke) ISAE 3402 kan worden toegevoegd. Een ISAE3402 verklaring (type I of II) kan daarmee als vervanger van de eigenverklaring dienen. Verschil / overeenkomst tussen ISO 27001 en ISAE 3402 Informatiebeveiliging is een integraal onderdeel van ISAE3402. Deze informatiebeveiliging moet zodanig ingericht zijn dat deze 'veilig' is voor de gebruikersorganisatie. ISO27001 wordt feitelijk volledig 'gedekt' door ISAE3402. Aan de andere kant heeft ISAE3402 alleen betrekking op de processen die een organisatie uitbesteedt en niet op de 'eigen' bedrijfsprocessen, deze vallen buiten de scope. De vraag is dan wel in hoeverre afnemers belang hechten aan de eigen processen van een organisatie, want ook ISO27001 wordt voornamelijk gebruikt voor profilering richting 'derden'. Het belangrijkste verschil is eigenlijk dat ISO27001 beperkt bruikbaar is voor externe accountants. Een belangrijk pluspunt van ISO27001 is dat er wel gedetailleerde voorschriften zijn die bij ISAE3402 ontbreken. De kwaliteit van een ISAE3402 rapport is daardoor afhankelijk van degene die hem opstelt en de uiteindelijke controleur.
9
Bron: www.isae3402.nl
40/40