Inrichten IBP-maatregelen
Type | : | IV-toepassingsscenario |
Ondersteunende processen
BIV-classificatie bepalen
Beheersmaatregelen bepalen
Beheersmaatregelen controleren
Beheersmaatregelen implementeren
IBP-eisen stellen
Informatieobjecten
BIV-classificatie
Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V).Beheersmaatregelen
Maatregelen waarmee een risico wordt gemitigeerd.Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Rollen
Afnemer
Een afnemer van een ict-toepassing.Betrokkene
Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt.Dienstverlener
De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).
Het gaat in het kader van de ROSA vooral om ict-diensten die zowel door private als publieke leveranciers geleverd kunnen worden.Gebruiker
Een gebruiker van een ict-toepassing.Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Referentiecomponenten
Gegevensverwerkend Systeem
Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn)Deze pagina toont de conceptuitwerking voor het informatievoorzieningsdomein IBP (Informatiebeveiliging en Privacy). De scope van dit IV-domein is Informatiebeveiliging en privacy van ict-toepassingen (of 'diensten'). IBP is in de basis breder, en omvat bijvoorbeeld ook zaken als fysieke beveiliging en awareness die buiten scope van dit IV-domein vallen. Merk op dat, conform de scope van ROSA, IBP hier beschouwd wordt vanuit de keten. Organisaties binnen de keten moeten als organisatie zelf ook hun informatiebeveiliging en privacybescherming op orde hebben. Die - organisatiespecifieke - invulling is gestoeld op een interne plan-do-check-act-cyclus van risicoanalyse, beheersmaatregelen en controles. Zo'n managementinstrument wordt ook wel een ISMS (information security management system) genoemd - waarbij 'systeem' overigens niet staat voor een softwaresysteem maar voor een manier van werken gericht op sturing en beheersing. In de uitwerking wordt ook de relatie gelegd met rollen Verwerker, Verwerkingsverantwoordelijke en Betrokkene die in de AVG zijn benoemd, en van toepassing zijn indien er sprake is van verwerking van persoonsgegevens. De invulling van die rollen, en de precieze correspondentie tussen de AVG en de algemenere IBP-rollen Aanbieder, Afnemer en Gebruiker, kan per situatie anders zijn ingevuld. De rol van 'Verantwoordelijke' kan bijvoorbeeld worden ingevuld door een Onderwijsinstelling, een Leverancier die rechtstreeks aanbiedt, een overheidspartij, etc. De relaties in het model drukken dit als volgt uit:
- Een Aanbieder van een Ict-toepassing kan een Verwerker zijn (indien de verwerking van persoonsgegevens in opdracht / onder verantwoordelijkheid van een andere partij plaats vindt) en/of een Verwerkingsverantwoordelijke (indien de aanbieder zelf het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
- Een Afnemer van een Ict-toepassing die persoonsgegevens verwerkt kan, indien de afnemer het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, Verwerkingsverantwoordelijke zijn in de zin van de AVG.
- Een Gebruiker van een Ict-toepassing zal in de regel ook één van de Betrokkenen zijn in de zin van de AVG, omdat bij het gebruik van een Ict-toepassing vaak sprake is van persoonsgegevens (namelijk gebruiksgegevens aan de hand waarvan de gebruiker direct of indirect kan worden geïdentificeerd). Merk op dat een betrokkene zelf geen gebruiker van de toepassing hoeft te zijn - denk bijvoorbeeld aan de registratie van informatie over een Onderwijsdeelnemer in een administratiesysteem.
- AggregationRelationship naar Beheersmaatregelen (BusinessObject)
- AggregationRelationship naar Beheersmaatregelen controleren (BusinessProcess)
- AggregationRelationship naar Verwerkingsverantwoordelijke (BusinessRole)
- InfluenceRelationship naar Afspraken over te realiseren ambitieniveaus (Requirement)
- AggregationRelationship naar IBP-eisen stellen (BusinessProcess)
- AggregationRelationship naar BIV-classificatie (BusinessObject)
- AggregationRelationship naar Verwerker (BusinessRole)
- InfluenceRelationship naar Sectorbrede frameworks en baselines (Requirement)
- AggregationRelationship naar Dienstverlener (BusinessRole)
- AggregationRelationship naar BIV-classificatie bepalen (BusinessProcess)
- AggregationRelationship naar Beheersmaatregelen implementeren (BusinessProcess)
- AggregationRelationship naar Afnemer (BusinessRole)
- AggregationRelationship naar Betrokkene (BusinessRole)
- AggregationRelationship naar Informatieobject (BusinessObject)
- InfluenceRelationship naar Voldoende meet- en controlepunten (Requirement)
- InfluenceRelationship naar Duidelijke eisen en verwachtingen (Requirement)
- AggregationRelationship naar Persoonsgegevens (BusinessObject)
- InfluenceRelationship naar Incident response (Requirement)
- AggregationRelationship naar Gebruiker (BusinessRole)
- InfluenceRelationship naar Ketenpartijen hebben een kwaliteitssysteem voor IBP (Requirement)
- AggregationRelationship naar Beheersmaatregelen bepalen (BusinessProcess)
- AggregationRelationship naar Gegevensverwerkend Systeem (ApplicationComponent)
- AggregationRelationship vanaf IBP (Grouping)
Elementtype | : | Grouping |
Element-id | : | Id-225ebca8097947a99121c278e18126a0 |
Element URI | : | https://rosa.wikixl.nl/index.php/Id-225ebca8097947a99121c278e18126a0 |
ArchiMate-model | : | ROSA |
Label | : | Inrichten IBP-maatregelen |