Beschrijving van de technische- en organisatorische beveiligingsmaatregelen die door Bewerker zijn getroffen.
1. ALGEMEEN:
Kadasterdata beschikt over een actief informatiebeveiligingsbeleid. Kadasterdata heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid. Informatiebeveiligingsincidenten
worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid. Kadasterdata heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
2. OMSCHRIJVING VAN DE MAATREGELEN OM TE WAARBORGEN DAT ENKEL BEVOEGD PERSONEELTOEGANG HEEFT TOT DE VERWERKING VAN PERSOONSGEGEVENS.
Kadasterdata hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
- Medewerkers van de klantenservice hebben toegang tot relevante klantinformatie zuiver ten behoeve van de uitvoer van hun taken. De klantenservice heeft geen inzage in brondata en/of persoonsdata.
- Administratieve medewerkers verrichten handelingen ten behoeve van het voeren van een deugdelijk administratie alleen binnen het kader van de werking van de oplossingen en services van Kadasterdata en/of ondersteuning van de eindgebruiker.
- IT-databasebeheerders hebben toegang tot de databases. De handelingen van IT-database beheerders zijn gericht op continuïteit en optimalisatie van ICT systemen.
- Sales en accountmanagement hebben toegang tot klantgegevens ten behoeve van een adequate uitvoer van hun functie. De gegevens opgeslagen in het klantinformatiesysteem zijn van de klant verkregen.
3. OMSCHRIJVING VAN DE MAATREGELEN OM DE PERSOONSGEGEVENS TE BESCHERMEN TEGEN ONOPZETTELIJKE OF ONRECHTMATIGE VERNIETIGING, ONOPZETTELIJK VERLIES OF WIJZIGING, ONBEVOEGDE OF ONRECHTMATIGE OPSLAG, VERWERKING, TOEGANG OF OPENBAARMAKING.
Met medewerkers van Kadasterdata worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt. Kadasterdata stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging. Medewerkers van Kadasterdata hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren. Er worden periodiek backups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze backups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving. De locaties waar gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s. Kadasterdata beschikt over bedrijfscontinuïteitsplannen waarin uitwijklocaties zijn opgenomen.
De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen. De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord. Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen. Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement. Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s. Penetratietests en vulnerability assessments worden periodiek uitgevoerd. Niet (meer) gebruikte persoonsgegevens worden permanent verwijderd. Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen. De uitwisseling van persoonsgegevens aan derden vindt versleuteld plaats.
4. OMSCHRIJVING VAN DE MAATREGELEN OM ZWAKKE PLEKKEN TE IDENTIFICEREN TEN AANZIEN VAN DE VERWERKING VAN PERSOONSGEGEVENS IN DE SYSTEMEN DIE WORDEN INGEZET VOOR HET VERLENEN VAN DIENSTEN AAN DERDEN.
De systemen van Kadasterdata worden jaarlijks gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van Kadasterdata in interne processen om kwetsbaarheden te identificeren.
Rapportage:
Kadasterdata in de hoedanigheid van Bewerker actualiseert deze informatie voortdurend en informeert gebruikers over wijzigingen in de getroffen maatregelen om persoonsgegevens te beschermen tegen misbruik via de websites van Kadasterdata.
De wijze waarop monitoring en identificatie van Datalekken plaatsvindt:
Kadasterdata monitort 24/7 haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een Datalek worden beoordeeld door de security officer van Kadasterdata, die analyseert of sprake kan zijn van een Datalek.
De wijze waarop informatie wordt gedeeld:
Wanneer zich een Datalek voordoet, worden belanghebbenden door of namens Kadasterdata binnen 24 uur na vaststelling dat sprake is van een Datalek per e-mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via de Kadasterdata website en/of sociale media kanalen. Voor vervolgacties of vragen kan telefonisch of per e-mail contact worden opgenomen met onze
helpdesk support@kadasterdata.nl.
Kadasterdata deelt ten minste de volgende informatie wanneer zich een Datalek voordoet:
De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens); De oorzaak van het beveiligingsincident; De maatregelen die
getroffen zijn om eventuele/verdere schade te voorkomen; Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin; De omvang van de groep betrokkenen; Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens).Indien een concrete situatie zich daartoe leent, dan kan Kadasterdata een (eerste) melding van een Datalek doen aan de Autoriteit Persoonsgegevens.
