IBP

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
Overzicht
Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen.

Zie voor meer informatie en achtergronden het ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)

Type  :  Ontwerpgebied

ROSA

Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebaseerde BIV- classificatie en maatregelen Ketenpartners delen relevante beveiligingsinformatie. (Principle) Transparantie over beveiligingsinformatie Ketenpartners zorgen voor transparantie en afstemming over incidenten en incident responses (Requirement) Samenwerking rond incidentbeheersing Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities. (Requirement) Samenwerking rond incidentpreventie Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier. (Principle) Sectorbrede sturing op IBP Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen. (Principle) Samen optrekken in IBP Individuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiliging (Principle) Informatiebeveiliging door ketenpartijen Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Functionele en foundational identity passend bij betrouwbaarheidsniveau. Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Authenticatiemiddel passend bij betrouwbaarheidsniveau. Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API) (Principle) Bevoegdheden als zeggenschappen en/of toegangsrechten Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie. (Requirement) Lifecyclemanagement van bevoegdheden namens een entiteit Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol. (Requirement) Lifecyclemanagement van bevoegdheden van een entiteit Verwerking van persoonsgegevens moet toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is. (Principle) Dataminimalisatie Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Principle) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartners zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar (Principle) De juiste gegevens op het juiste moment op de juiste plaats Ketenpartners maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Principle) Duidelijke eisen en verwachtingen De mate waarin de persoonlijke levenssfeer van onderwijsdeelnemers en/of medewerkers wordt beschermd Duiding: Het recht op bescherming van de persoonlijke levenssfeer (‘privacy’) is een grondrecht. (Goal) Privacy De mate waarin de juistheid, volledigheid en tijdigheid van informatie zijn gewaarborgd. (Goal) Integriteit De mate waarin informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. (Goal) Vertrouwelijkheid De mate waarin het inwinnen of uitwisselen van informatie beperkt is tot die situaties waarin en waarvoor die informatie nodig is (Goal) Noodzakelijkheid De mate waarin de transparantie van gegevensverwerking wordt gewaarborgd. Duiding: Integriteit betekent onder meer dat wat er gebeurt in het onderwijs betrouwbaar, transparant en controleerbaar is, net zoals de data en de systemen die gebruikt worden. Dit impliceert dat partijen transparant zijn over de soorten gegevens die zij verwerken, de wijze van verwerking, het doel waartoe die gegevens worden verwerkt en de manier waarop die gegevens tot beslissingen leiden. (Goal) Transparantie De mate waarin de mogelijkheid tot democratische controle op de activiteiten en resultaten is gewaarborgd Duiding: Het ‘democratische’ aspect van deze controle impliceert dat er controle kan plaatsvinden door stakeholders, met andere woorden: dat iedereen gehoord wordt / zich gehoord kan voelen. Dit kan eventueel in hiervoor ingerichte (governance) structuren. Het betekent dus niet dat ‘de meeste (of luidste) stemmen gelden’ (Goal) Democratische controleerbaarheid Ketenpartners voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Principle) Voorkom onrechtmatige toegang of verspreiding Ketenpartners voorkomen aantasting van de integriteit van gegevens (Principle) Voorkom aantasting van gegevensintegriteit Ketenpartners waarborgen de continuïteit van dienstverlening (ook bij calamiteiten) (Principle) Continuïteit van de dienstverlening De mate waarin geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Aantasting van beschikbaarheid kan bijvoorbeeld leiden tot aantasting van de continuïteit van bedrijfs- en/of ketenprocessen. (Goal) Beschikbaarheid De mate waarin wordt voldaan aan vooraf bepaalde normen en informatie tijdig wordt verstrekt en correct, compleet en actueel is. -- implicaties: Dit raakt inhoud en proces (en daarmee (ook) diensten). (Onderscheid inhoud / proces is hier van belang) (Goal) Betrouwbaarheid Ketensamenwerkingen hanteren een stelsel van afspraken op juridisch, organisatorisch, financieel, communicatief, semantisch en/of technisch gebied, zodat ketenpartners op een veilige en efficiënte manier kunnen samenwerken. (Principle) Ketensamenwerkingen hanteren een passend afsprakenstelsel De mate waarin inrichtingsopties zoals patronen onderling vergelijkbaar zijn (Goal) Vergelijkbaarheid Ketenpartners in het onderwijsdomein streven naar harmonisatie en standaardisatie in de informatiehuishouding. (Principle) Harmonisatie en standaardisatie We streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen. (Goal) Gemeenschappelijkheid in informatiehuishouding Van gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben. (Principle) Zeggenschap in kaart InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship Deze svg is op 05-07-2024 01:09:35 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-07-2024 01:09:35 CEST

Toon de view op ware grootte

Ontwerpprincipes

OntwerpprincipeStellingBeschrijvingRationaleImplicaties
Bevoegdheden als zeggenschappen en/of toegangsrechtenDruk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API)Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API)
Informatiebeveiliging door ketenpartijenIndividuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiligingIndividuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiligingVan alle partijen in het onderwijsdomein mag worden verwacht dat zij serieus met informatiebeveiliging omgaan.Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging'
Risicogebaseerde BIV-classificatie en maatregelenKetenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie.Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie.Ketensamenwerkingen (en voorzieningen die binnen ketensamenwerkingen gebruikt worden) omvatten IBP-maatregelen en -afspraken die zijn toegespitst op (risico's binnen) de ketensamenwerking
Samen optrekken in IBPOm informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen.Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen.Ketenpartners bieden inzage in de normenkaders en beheersmaatregelen die zij toepassen, en bieden de mogelijkheid die toepassing te (laten) controleren. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen verifieerbaar.
Sectorbrede sturing op IBPHet onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier.Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier.Ketenpartners werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines
Transparantie over beveiligingsinformatieKetenpartners delen relevante beveiligingsinformatie.Ketenpartners delen relevante beveiligingsinformatie.Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen verifieerbaar.Ketenpartners bieden inzage in de normenkaders en beheersmaatregelen die zij toepassen, en bieden de mogelijkheid die toepassing te (laten) controleren.

Ontwerpkaders

OntwerpkaderStellingBeschrijvingRationaleImplicaties
Afspraken over te realiseren ambitieniveausKetenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aanKetenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aanDe ambities met betrekking tot het te realiseren niveau van informatiebeveiliging kunnen in de tijd per onderwijssector of toepassingsgebied verschillen. Het afstemmen van de ambitie vindt binnen de verschillende onderwijssectoren plaats. Om betrouwbaar gegevens te kunnen uitwisselen en in ketens te kunnen samenwerken moeten partijen een vergelijkbaar ambitieniveau hebben. Waar mogelijk wordt met het realiseren van de ambities vaart gemaakt, zonder organisaties te overvragen. Er wordt nadrukkelijk rekening gehouden met de huidige stand van zaken, de mogelijke verbeterpunten en een groeipad naar een steeds hoger daadwerkelijk gerealiseerd niveau ten opzichte van de ambitie. Dit gerealiseerde ´volwassenheidsniveau´ kan worden vastgesteld middels toetsingskaders. Die maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen valideerbaar
Authenticatiemiddel passend bij betrouwbaarheidsniveau.Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven.Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven.
Functionele en foundational identity passend bij betrouwbaarheidsniveau.Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven.Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven.
Gebruik UBVMaak gebruik van de Uniforme BeveiligingsvoorschriftenMaak gebruik van de Uniforme Beveiligingsvoorschriften
Handelingen zijn herleidbaarKetenpartijen zorgen dat handelingen herleidbaar zijnKetenpartijen zorgen dat handelingen herleidbaar zijnHandelingen rondom gegevens zijn te herleiden naar personen.
Hanteer Certificeringsschema ROSAHanteer het Certificeringsschema ROSAHanteer het Certificeringsschema ROSA
Ketenpartijen hebben een kwaliteitssysteem voor IBPKetenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming.Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming.Individuele ketenpartijen zijn zelf verantwoordelijk voor het op orde zijn van informatiebeveiliging en privacybescherming in relatie tot hun bedrijfsprocessen.Ketenpartijen implementeren een managementsysteem voor informatiebeveiliging en privacybescherming gericht op het vaststellen, implementeren, bijhouden en continu verbeteren van beheersmaatregelen die beveiligings- en privacyrisico's mitigeren.
Lifecyclemanagement van bevoegdheden namens een entiteitLeg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie.Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie.
Lifecyclemanagement van bevoegdheden van een entiteitLeg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol.Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol.
Samenwerking rond incidentbeheersingKetenpartners zorgen voor transparantie en afstemming over incidenten en incident responsesKetenpartners zorgen voor transparantie en afstemming over incidenten en incident responsesVoorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.
Samenwerking rond incidentpreventieKetenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities.Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities.Voorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.
Valideer persoonsgebonden gegevensKetenpartijen waarborgen de toewijzing van persoonsgebonden gegevensKetenpartijen waarborgen de toewijzing van persoonsgebonden gegevensIn elk ketenproces zijn waarborgen geïmplementeerd waardoor binnen dat proces met voldoende mate vastgesteld en verzekerd kan worden dat persoonsgebonden gegevens aan de juiste persoon zijn toegewezen
Voldoende meet- en controlepuntenKetenpartijen zorgen voor voldoende meet- en controlepuntenKetenpartijen zorgen voor voldoende meet- en controlepuntenKetenpartijen monitoren, waar mogelijk geautomatiseerd, in welke mate voldaan wordt aan de privacy- en beveiligingskaders en de daaruit voortvloeiende afspraken. Zij delen de resultaten met andere partijen in de onderwijsketen. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen meetbaar
Voorkom ongewenste traceerbaarheid en vindbaarheidKetenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personenKetenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personenIn ontwerpen van processen en informatiesystemen wordt uitgegaan van het principe van 'privacy by design', en er is aandacht voor privacybevorderende voorzieningen zoals een nummervoorziening die het gebruik van pseudoniemen in de onderwijsketen mogelijk maakt. Persoonsgegevens worden slechts gebruikt indien dat strikt noodzakelijk is.

ROSA Architectuurprincipes

ROSA ArchitectuurprincipeStellingBeschrijvingRationaleImplicaties
Continuïteit van de dienstverleningKetenpartners waarborgen de continuïteit van dienstverlening (ook bij calamiteiten)Ketenpartners waarborgen de continuïteit van dienstverlening (ook bij calamiteiten)Voor gegevens waarvoor onderling een kritieke tijdsafhankelijke relatie bestaat, worden maatregelen genomen die de continuïteit van de dienstverlening waarborgen.
DataminimalisatieVerwerking van persoonsgegevens moet toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is.Verwerking van persoonsgegevens moet toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is.
  • Er zijn afspraken gemaakt over minimale gegevensverwerking. Hierbij wordt altijd een afweging gemaakt tussen het nut en de impact op de privacy. Daarbij spelen proportionaliteit (mate waarin het doel opweegt tegen de impact op de privacy) en subsidiariteit (in hoeverre hetzelfde doel te bereiken is met een alternatief middel dat minder impact op de privacy heeft) een belangrijke rol.
  • Er wordt onderscheid gemaakt in de te gebruiken categorieën van persoonsgegevens.
  • Er zijn afspraken gemaakt over de wijze waarop verificatie (off-line of real-time) op dataminimalisatie uitgevoerd kan worden.
De juiste gegevens op het juiste moment op de juiste plaatsKetenpartners zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaarKetenpartners zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaarDe verschillende schakels in een ketenproces zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar zijn.
Duidelijke eisen en verwachtingenKetenpartners maken duidelijk welke eisen en verwachtingen ze van elkaar hebbenKetenpartners maken duidelijk welke eisen en verwachtingen ze van elkaar hebbenKetenpartners zijn open en transparant over onderlinge afhankelijkheden. Zij maken aan elkaar duidelijk: * de eisen en verwachtingen die zij hebben ten aanzien van procesuitvoering en informatievoorziening door andere ketenpartijen, en * de mate waarin zij zelf aan de verwachtingen en eisen van andere ketenpartijen kunnen voldoen Op basis hiervan worden afspraken gemaakt over ieders rol en taak. Ieder komt de bij zijn rol en taak behorende verplichtingen na, en is daarop aan te spreken. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketens testbaar.
Gegevens worden niet langer bewaard dan strikt noodzakelijkKetenpartijen bewaren gegevens niet langer dan strikt noodzakelijkKetenpartijen bewaren gegevens niet langer dan strikt noodzakelijk
  • Zodra het, vanuit het oogpunt van (keten)procesuitvoering, mogelijk is worden gegevens direct vernietigd. Wanneer gegevens in een andere (primaire) bron beschikbaar zijn, worden de gegevens in beginsel uit die bron geraadpleegd; het 'lokaal' opslaan van die gegevens wordt zo veel mogelijk vermeden. Daar waar de wet restricties of verplichtingen oplegt met betrekking tot bewaar- en archieftermijnen worden die gevolgd.
  • Voor de verschillende soorten persoongegevens worden bewaartermijnen vastgelegd.
  • Van actoren die deze persoonsgegevens verwerken is opgenomen op welke wijze geverifieerd kan worden dat de afspraken ten aanzien van de bewaartermijn worden nageleefd.
Harmonisatie en standaardisatieKetenpartners in het onderwijsdomein streven naar harmonisatie en standaardisatie in de informatiehuishouding.Ketenpartners in het onderwijsdomein streven naar harmonisatie en standaardisatie in de informatiehuishouding.Harmonisatie en standaardisatie is gericht op het bereiken van gemeenschappelijkheid in de organisatie van informatie binnen het onderwijsdomein. Het doel is om consistente en gestandaardiseerde processen, gegevensformaten en technologieën te implementeren, waardoor gegevensuitwisseling, samenwerking en efficiëntie worden bevorderd. Dit principe erkent het belang van uniformiteit en compatibiliteit in de informatiehuishouding om gemeenschappelijke doelstellingen te bereiken.
Ketensamenwerkingen hanteren een passend afsprakenstelselKetensamenwerkingen hanteren een stelsel van afspraken op juridisch, organisatorisch, financieel, communicatief, semantisch en/of technisch gebied, zodat ketenpartners op een veilige en efficiënte manier kunnen samenwerken.Ketensamenwerkingen hanteren een stelsel van afspraken op juridisch, organisatorisch, financieel, communicatief, semantisch en/of technisch gebied, zodat ketenpartners op een veilige en efficiënte manier kunnen samenwerken.Om de complexe eisen en wensen die aan de dienstverlening in het onderwijs domein te voldoen is samenwerking nodig. Een afsprakenstelsel geeft richting aan deze samenwerking.
  • Binnen de architectuuraanpak moet binnen een toepassingspatroon beschreven worden hoe zelfbeschikking ingericht kan worden.
Voorkom aantasting van gegevensintegriteitKetenpartners voorkomen aantasting van de integriteit van gegevensKetenpartners voorkomen aantasting van de integriteit van gegevensGegevens worden zo opgeslagen en getransporteerd dat aantasting van de juistheid, volledigheid en/of tijdigheid onmogelijk worden gemaakt. Daarbij worden maatregelen genomen die passen bij de integriteitsclassificatie van die gegevens.
Voorkom onrechtmatige toegang of verspreidingKetenpartners voorkomen onrechtmatige toegang tot of verspreiding van gegevensKetenpartners voorkomen onrechtmatige toegang tot of verspreiding van gegevensGegevens worden zo opgeslagen en getransporteerd dat onrechtmatige toegang of verspreiding onmogelijk wordt gemaakt. Daarbij worden maatregelen genomen die passen bij de vertrouwelijkheidsclassificatie van die gegevens.
Zeggenschap in kaartVan gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben.Van gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben.We streven er naar dat beschikbare informatie niet opnieuw wordt uitgevraagd. Hiervoor is het noodzakelijk om een overzicht op te stellen van alle voor de levering van een dienst noodzakelijke gegevens. Verschillende partijen hebben verschillende rechten en plichten jegens die gegevens. Zo is uitwisseling in sommige gevallen wettelijk geregeld, en vereist het in andere gevallen de toestemming van het onderwerp of de 'eigenaar' van de gegevens. De zeggenschap van verschillende partijen over de gegevens bepaalt in belangrijke mate hoe de gegevens in de keten gebruikt kunnen worden.Van elk gegeven is vastgesteld waar het geregistreerd staat, welke partij het gegeven voor hergebruik aan de keten ter beschikking stelt, wie de gegevens bij die bron mogen inwinnen, wiens toestemming vereist is voor uitwisseling, welke partijen inzagerecht hebben, wie de gegevens mogen corrigeren en/of bijwerken, en onder wiens verantwoordelijkheid vernietiging van de gegevens kan geschieden.

Doelen

DoelBeschrijving
BeschikbaarheidDe mate waarin geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Aantasting van beschikbaarheid kan bijvoorbeeld leiden tot aantasting van de continuïteit van bedrijfs- en/of ketenprocessen.
BetrouwbaarheidDe mate waarin wordt voldaan aan vooraf bepaalde normen en informatie tijdig wordt verstrekt en correct, compleet en actueel is.

--

implicaties: Dit raakt inhoud en proces (en daarmee (ook) diensten). (Onderscheid inhoud / proces is hier van belang)
Democratische controleerbaarheidDe mate waarin de mogelijkheid tot democratische controle op de activiteiten en resultaten is gewaarborgd Duiding: Het ‘democratische’ aspect van deze controle impliceert dat er controle kan plaatsvinden door stakeholders, met andere woorden: dat iedereen gehoord wordt / zich gehoord kan voelen. Dit kan eventueel in hiervoor ingerichte (governance) structuren. Het betekent dus niet dat ‘de meeste (of luidste) stemmen gelden’
Gemeenschappelijkheid in informatiehuishoudingWe streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen.
IntegriteitDe mate waarin de juistheid, volledigheid en tijdigheid van informatie zijn gewaarborgd.
NoodzakelijkheidDe mate waarin het inwinnen of uitwisselen van informatie beperkt is tot die situaties waarin en waarvoor die informatie nodig is
PrivacyDe mate waarin de persoonlijke levenssfeer van onderwijsdeelnemers en/of medewerkers wordt beschermd Duiding: Het recht op bescherming van de persoonlijke levenssfeer (‘privacy’) is een grondrecht.
TransparantieDe mate waarin de transparantie van gegevensverwerking wordt gewaarborgd. Duiding: Integriteit betekent onder meer dat wat er gebeurt in het onderwijs betrouwbaar, transparant en controleerbaar is, net zoals de data en de systemen die gebruikt worden. Dit impliceert dat partijen transparant zijn over de soorten gegevens die zij verwerken, de wijze van verwerking, het doel waartoe die gegevens worden verwerkt en de manier waarop die gegevens tot beslissingen leiden.
VergelijkbaarheidDe mate waarin inrichtingsopties zoals patronen onderling vergelijkbaar zijn
VertrouwelijkheidDe mate waarin informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.
View
ROSA

Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebaseerde BIV- classificatie en maatregelen Ketenpartners delen relevante beveiligingsinformatie. (Principle) Transparantie over beveiligingsinformatie Ketenpartners zorgen voor transparantie en afstemming over incidenten en incident responses (Requirement) Samenwerking rond incidentbeheersing Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities. (Requirement) Samenwerking rond incidentpreventie Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier. (Principle) Sectorbrede sturing op IBP Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen. (Principle) Samen optrekken in IBP Individuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiliging (Principle) Informatiebeveiliging door ketenpartijen Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Functionele en foundational identity passend bij betrouwbaarheidsniveau. Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Authenticatiemiddel passend bij betrouwbaarheidsniveau. Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API) (Principle) Bevoegdheden als zeggenschappen en/of toegangsrechten Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie. (Requirement) Lifecyclemanagement van bevoegdheden namens een entiteit Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol. (Requirement) Lifecyclemanagement van bevoegdheden van een entiteit Verwerking van persoonsgegevens moet toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is. (Principle) Dataminimalisatie Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Principle) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartners zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar (Principle) De juiste gegevens op het juiste moment op de juiste plaats Ketenpartners maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Principle) Duidelijke eisen en verwachtingen De mate waarin de persoonlijke levenssfeer van onderwijsdeelnemers en/of medewerkers wordt beschermd Duiding: Het recht op bescherming van de persoonlijke levenssfeer (‘privacy’) is een grondrecht. (Goal) Privacy De mate waarin de juistheid, volledigheid en tijdigheid van informatie zijn gewaarborgd. (Goal) Integriteit De mate waarin informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. (Goal) Vertrouwelijkheid De mate waarin het inwinnen of uitwisselen van informatie beperkt is tot die situaties waarin en waarvoor die informatie nodig is (Goal) Noodzakelijkheid De mate waarin de transparantie van gegevensverwerking wordt gewaarborgd. Duiding: Integriteit betekent onder meer dat wat er gebeurt in het onderwijs betrouwbaar, transparant en controleerbaar is, net zoals de data en de systemen die gebruikt worden. Dit impliceert dat partijen transparant zijn over de soorten gegevens die zij verwerken, de wijze van verwerking, het doel waartoe die gegevens worden verwerkt en de manier waarop die gegevens tot beslissingen leiden. (Goal) Transparantie De mate waarin de mogelijkheid tot democratische controle op de activiteiten en resultaten is gewaarborgd Duiding: Het ‘democratische’ aspect van deze controle impliceert dat er controle kan plaatsvinden door stakeholders, met andere woorden: dat iedereen gehoord wordt / zich gehoord kan voelen. Dit kan eventueel in hiervoor ingerichte (governance) structuren. Het betekent dus niet dat ‘de meeste (of luidste) stemmen gelden’ (Goal) Democratische controleerbaarheid Ketenpartners voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Principle) Voorkom onrechtmatige toegang of verspreiding Ketenpartners voorkomen aantasting van de integriteit van gegevens (Principle) Voorkom aantasting van gegevensintegriteit Ketenpartners waarborgen de continuïteit van dienstverlening (ook bij calamiteiten) (Principle) Continuïteit van de dienstverlening De mate waarin geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Aantasting van beschikbaarheid kan bijvoorbeeld leiden tot aantasting van de continuïteit van bedrijfs- en/of ketenprocessen. (Goal) Beschikbaarheid De mate waarin wordt voldaan aan vooraf bepaalde normen en informatie tijdig wordt verstrekt en correct, compleet en actueel is. -- implicaties: Dit raakt inhoud en proces (en daarmee (ook) diensten). (Onderscheid inhoud / proces is hier van belang) (Goal) Betrouwbaarheid Ketensamenwerkingen hanteren een stelsel van afspraken op juridisch, organisatorisch, financieel, communicatief, semantisch en/of technisch gebied, zodat ketenpartners op een veilige en efficiënte manier kunnen samenwerken. (Principle) Ketensamenwerkingen hanteren een passend afsprakenstelsel De mate waarin inrichtingsopties zoals patronen onderling vergelijkbaar zijn (Goal) Vergelijkbaarheid Ketenpartners in het onderwijsdomein streven naar harmonisatie en standaardisatie in de informatiehuishouding. (Principle) Harmonisatie en standaardisatie We streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen. (Goal) Gemeenschappelijkheid in informatiehuishouding Van gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben. (Principle) Zeggenschap in kaart InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship Deze svg is op 05-07-2024 01:09:35 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-07-2024 01:09:35 CEST
Toon de view op ware grootte
Meer informatie
ROSA
Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie. (Requirement) Lifecyclemana- gement van bevoegdhede- n namens een entiteit Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Authenticatie- middel passend bij betrouwbaarh- eidsniveau. Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringss- chema ROSA Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebase- erde BIV- classificatie en maatregelen Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API) (Principle) Bevoegdhede- n als zeggenschap- pen en/of toegangsrecht- en Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol. (Requirement) Lifecyclemana- gement van bevoegdhede- n van een entiteit Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen. (Principle) Samen optrekken in IBP Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssyste- em voor IBP Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Functionele en foundational identity passend bij betrouwbaarh- eidsniveau. Ketenpartners zorgen voor transparantie en afstemming over incidenten en incident responses (Requirement) Samenwerkin- g rond incidentbehee- rsing Ketenpartners delen relevante beveiligingsinformatie. (Principle) Transparantie over beveiligingsinf- ormatie Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarhei- d en vindbaarheid Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities. (Requirement) Samenwerkin- g rond incidentpreven- tie Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Individuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiliging (Principle) Informatiebeve- iliging door ketenpartijen Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebo- nden gegevens Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier. (Principle) Sectorbrede sturing op IBP AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship Deze svg is op 13-07-2024 00:32:32 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 13-07-2024 00:32:32 CEST


Komt voor in
Relaties
Komt voor in andere modellen
Zie ook:
Details IBP
Elementtype  : Grouping
Element-id  : Id-3df6275b-e706-4ec2-bc08-33ba7a21d4e9
Element URI  : https://rosa.wikixl.nl/index.php/Id-3df6275b-e706-4ec2-bc08-33ba7a21d4e9
ArchiMate-model  : ROSA
Label  : IBP