Informatiebeveiliging en Privacy

Beleid voor informatiebeveiliging — Dit document bevat het beleid voor informatiebeveiliging dat onderdeel is van het Afsprakenstelsel Elektronische Toegangsdiensten.

• Organisatie van verantwoordelijkheid voor informatiebeveiliging
• Specifieke beleidsuitgangspunten voor informatiebeveiliging
• Generieke beleidsuitgangspunten voor informatiebeveiliging

Privacybeleid — Om Herkenningsdiensten te kunnen leveren worden persoonsgegevens verwerkt. De verwerking van persoonsgegevens is alleen rechtmatig als wordt voldaan aan de voorwaarden die de Algemene verordening gegevensbescherming (AVG) of andere toepasselijke specifieke privacy wet- en regelgeving hieraan stelt.

• Invulling voorwaarden voor rechtmatige verwerking — In dit hoofdstuk wordt, per beginsel zoals beschreven in de AVG, concreet aangegeven wat de deelnemers als verantwoordelijke voor de verwerking van persoonsgegevens dienen vast te leggen en te regelen om aan deze beginselen te voldoen.
• Beleidsuitgangspunten voor de naleving van de AVG — Het afsprakenstelsel kent de volgende generieke beleidsuitgangspunten voor de naleving van de AVG. Deze beleidsuitgangspunten volgen mede uit de AVG.
• Controle op de naleving en privacy managementcyclus — Voor de controle van de naleving van de AVG wordt een aantal instrumenten gehanteerd
• Verantwoordelijkheden partijen afsprakenstelsel elektronische toegangsdiensten — In dit hoofdstuk wordt voor de verschillende in netwerk van het afsprakenstelsel elektronische toegangdiensten te onderscheiden partijen aangegeven wat hun rol is bij de verwerking van persoonsgegevens.

Gemeenschappelijk normenkader informatiebeveiliging o.b.v. ISO 27001:2013 — Beschrijft de beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

• A.5 Informatiebeveiligingsbeleid
• A.6 Organiseren van informatiebeveiliging
• A.7 Veilig personeel
• A.8 Beheer van bedrijfsmiddelen
• A.9 Toegangsbeveiliging
• A.10 Cryptografie
• A.11 Fysieke beveiliging en beveiliging van de omgeving
• A.12 Beveiliging bedrijfsvoering
• A.13 Communicatiebeveiliging
• A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
• A.15 Leveranciersrelaties
• A.16 Beheer van informatiebeveiligingsincidenten
• A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
• A.18 Naleving

Normenkader betrouwbaarheidsniveaus — Beschrijft de wijze waarop middelen en machtigingen geclassificeerd worden op betrouwbaarheidsniveau en de normen die daarbij worden toegepast.

• Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme — Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme,paragraaf 2.1.1 en 2.1.2 hebben betrekking op de registratie en identificatie van natuurlijke personen. De paragrafen 2.1.3 en 2.1.4 hebben betrekking op het registratie en identificatie van rechtspersonen en beroepsbeoefenaren. Daar waar in het kader van registratie van de rechtspersoon een vertegenwoordiger van die rechtspersoon als individu moet worden geïdentificeerd wordt verwezen naar de eisen voor identificatie van natuurlijke personen. De overige paragrafen behandelen de (technische) kwaliteiten van middelen, het uitgifteproces, eisen aan beveiliging, organisatie en compliance.
• 3. Vereisten voor de kwaliteit van registratie van machtigingen — Vereisten voor de kwaliteit van registratie van machtigingen bevat de specificaties voor het beheer van bevoegdheden (machtigingen) van natuurlijke personen die namens een rechtspersoon optreden.
• 4. Eisen voor geldigheid van verklaringen voor Dienstverleners — Eisen voor geldigheid van verklaringen voor Dienstverleners bevat de specificaties voor de geldigheid van verklaringen die aan Dienstverleners worden verstrekt.
• Handreikingen