IBP

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
Overzicht
Type  :  IV-domein

Zie IV-domeinen voor een overzicht van alle informatievoorzieningsdomeinen

Dit IV-domein komt voor in de volgende scenario's:

Komt voor inScenariotype
IBPOndersteuningsscenario
View

Deze pagina bevat een concepttekst die momenteel in bewerking is.

ROSA

Deze pagina toont de conceptuitwerking voor het informatievoorzieningsdomein IBP (Informatiebeveiliging en Privacy). De scope van dit IV-domein is Informatiebeveiliging en privacy van ict-toepassingen (of 'diensten'). IBP is in de basis breder, en omvat bijvoorbeeld ook zaken als fysieke beveiliging en awareness die buiten scope van dit IV-domein vallen. Merk op dat, conform de scope van ROSA, IBP hier beschouwd wordt vanuit de keten. Organisaties binnen de keten moeten als organisatie zelf ook hun informatiebeveiliging en privacybescherming op orde hebben. Die - organisatiespecifieke - invulling is gestoeld op een interne plan-do-check-act-cyclus van risicoanalyse, beheersmaatregelen en controles. Zo'n managementinstrument wordt ook wel een ISMS (information security management system) genoemd - waarbij 'systeem' overigens niet staat voor een softwaresysteem maar voor een manier van werken gericht op sturing en beheersing. In de uitwerking wordt ook de relatie gelegd met rollen Verwerker, Verwerkingsverantwoordelijke en Betrokkene die in de AVG zijn benoemd, en van toepassing zijn indien er sprake is van verwerking van persoonsgegevens. De invulling van die rollen, en de precieze correspondentie tussen de AVG en de algemenere IBP-rollen Aanbieder, Afnemer en Gebruiker, kan per situatie anders zijn ingevuld. De rol van 'Verantwoordelijke' kan bijvoorbeeld worden ingevuld door een Onderwijsinstelling, een Leverancier die rechtstreeks aanbiedt, een overheidspartij, etc. De relaties in het model drukken dit als volgt uit:

  • Een Aanbieder van een Ict-toepassing kan een Verwerker zijn (indien de verwerking van persoonsgegevens in opdracht / onder verantwoordelijkheid van een andere partij plaats vindt) en/of een Verwerkingsverantwoordelijke (indien de aanbieder zelf het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
  • Een Afnemer van een Ict-toepassing die persoonsgegevens verwerkt kan, indien de afnemer het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, Verwerkingsverantwoordelijke zijn in de zin van de AVG.
  • Een Gebruiker van een Ict-toepassing zal in de regel ook één van de Betrokkenen zijn in de zin van de AVG, omdat bij het gebruik van een Ict-toepassing vaak sprake is van persoonsgegevens (namelijk gebruiksgegevens aan de hand waarvan de gebruiker direct of indirect kan worden geïdentificeerd). Merk op dat een betrokkene zelf geen gebruiker van de toepassing hoeft te zijn - denk bijvoorbeeld aan de registratie van informatie over een Onderwijsdeelnemer in een administratiesysteem.

Grouping IBP BusinessProcess BIV-classificatie bepalen BusinessObject BIV-classificatie BusinessProcess Beheersmaatregelen implementeren BusinessObject Beheersmaatregelen BusinessProcess Beheersmaatregelen controleren Een aanbieder van een ict-toepassing. (BusinessRole) Aanbieder Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker BusinessProcess IBP-eisen stellen BusinessProcess Beheersmaatregelen bepalen Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsverantwo- ordelijke Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (Bron: AVG) (BusinessRole) Betrokkene Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsverantwo- ordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (Bron: AVG) (BusinessRole) Verwerker BusinessObject Persoonsgegevens Een gegevenssoort is een conceptueel gegevenselement dat gelezen en geschreven wordt door functies of processen in de keten. Referentiegegevens zijn gerelateerd aan KOI begrippen. ==Attributen== * Voorbeeld * Toelichting (BusinessObject) Gegevenssoort Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensverwerkend Systeem ApplicationService Gegevensverwerking Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling (Requirement) Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisen en verwachtingen Ketenpartijen gebruiken technieken voor veilig programmeren (Requirement) Gebruik technieken voor veilig programmeren Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Requirement) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Binnen het basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 als kaders voor informatiebeveiliging door individuele ketenpartijen. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Ketenpartijen voeren proactief technisch beheer uit (Requirement) Proactief technisch beheer Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen (Requirement) Transparantie over maatregelen Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen voorkomen aantasting van de integriteit van gegevens (Requirement) Voorkom aantasting van integriteit Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Requirement) Voorkom onrechtmatige toegang of verspreiding InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship W AccessRelationship R InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship R AssignmentRelationship AssignmentRelationship AssignmentRelationship SpecializationRelationship SpecializationRelationship AssociationRelationship biedt aan AssignmentRelationship AssignmentRelationship SpecializationRelationship AssociationRelationship neemt af SpecializationRelationship AccessRelationship W AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship SpecializationRelationship AssociationRelationship betreft InfluenceRelationship InfluenceRelationship InfluenceRelationship ServingRelationship AccessRelationship RW InfluenceRelationship Deze svg is op 20-12-2022 21:34:22 CET gegenereerd door ArchiMedes™ © 2016-2022 ArchiXL. ArchiMedes 20-12-2022 21:34:22 CET
Meer informatie
ROSA
Grouping IBP Publieke dient waarmee onderwijsinstellingen op een veilige manier een uniek identificerend nummer (het ECK iD) voor leerlingen en docenten kunnen aanmaken. In de praktijk wordt dit proces uitgevoerd tussen het administratiesysteem van de onderwijsinstelling en de Nummervoorziening. (ApplicationComponent) Nummervoorzi- ening BusinessObject Beheersmaatr- egelen BusinessProcess Beheersmaatr- egelen controleren Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsve- rantwoordelijke Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken overte realiseren ambitieniveaus BusinessProcess IBP-eisen stellen BusinessObject BIV- classificatie Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (Bron: AVG) (BusinessRole) Verwerker Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines Een aanbieder van een ict-toepassing. (BusinessRole) Aanbieder BusinessProcess BIV- classificatie bepalen BusinessProcess Beheersmaatr- egelen implementeren Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (Bron: AVG) (BusinessRole) Betrokkene Een gegevenssoort is een conceptueel gegevenselement dat gelezen en geschreven wordt door functies of processen in de keten. Referentiegegevens zijn gerelateerd aan KOI begrippen. ==Attributen== * Voorbeeld * Toelichting (BusinessObject) Gegevenssoort Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisenen verwachtingen BusinessObject Persoonsgege- vens Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker Binnen het basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 als kaders voor informatiebeveiliging door individuele ketenpartijen. (Requirement) Ketenpartijen hebben een kwaliteitssyste- em voor IBP BusinessProcess Beheersmaatr- egelen bepalen Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensver- werkend Systeem AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship Deze svg is op 23-11-2022 10:29:22 CET gegenereerd door ArchiMedes™ © 2016-2022 ArchiXL. ArchiMedes 23-11-2022 10:29:22 CET


Komt voor in
Relaties
Komt voor in andere modellen
Zie ook:
Details IBP
Elementtype  : Grouping
Element-id  : Id-225ebca8097947a99121c278e18126a0
Element URI  : https://rosa.wikixl.nl/index.php/Id-225ebca8097947a99121c278e18126a0
ArchiMate-model  : ROSA
Label  : IBP