Beheer
Vragenlijst
Beheer de vragen die in de Security Impact Assessment worden gesteld. Wijzigingen gelden voor nieuwe beoordelingen — bestaande beoordelingen behouden hun historische antwoorden.
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
1010 | proces-naam | Wat is de naam van het proces of systeem? Gebruik de naam waaraan collega's het proces of systeem herkennen. | Vrije tekst | v1 | 1 | Bewerken | |
1020 | proces-doel | Wat is het doel van dit proces of systeem? Beschrijf in een paar zinnen waar het voor dient en wie er gebruik van maakt. | Vrije tekst | v1 | 1 | Bewerken | |
1030 | proces-eigenaar-rol | Wie is verantwoordelijk voor dit proces of systeem? Naam of rol van de proces-eigenaar binnen de organisatie. | Vrije tekst | v1 | 1 | Bewerken | |
1040 | proces-afdeling | Welke afdeling of organisatieonderdeel is hiervan eigenaar? Helpt om beoordelingen te clusteren en gericht aan de juiste reviewer toe te wijzen. | Vrije tekst | v1 | 1 | Bewerken | |
1050 | proces-fase | In welke fase bevindt het proces zich? Helpt bij het bepalen van het juiste moment voor maatregelen. | Eén keuze | v1 | 1 | Bewerken | |
1060 | proces-omvang | Hoeveel mensen werken structureel met dit proces of systeem? Geef een grove inschatting van de groep gebruikers binnen of buiten de organisatie. | Eén keuze | v1 | 1 | Bewerken |
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
2010 | persoonsgegevens | Worden persoonsgegevens verwerkt? Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een persoon, zoals naam, adres of e-mailadres. | Ja / Nee | v1 | 1 | Bewerken | |
2020 | bijzondere-persoonsgegevens | Worden bijzondere persoonsgegevens verwerkt? Denk aan medische gegevens, BSN, religie, etniciteit, seksuele geaardheid of strafrechtelijke gegevens. | Ja / Nee | v1 | 1 | Bewerken | |
2030 | gevoelige-doelgroepen | Gaat het om gegevens over kinderen, zorg, inkomen, schulden of veiligheid? Meerdere antwoorden zijn mogelijk. Selecteer 'Geen van bovenstaande' als geen van de categorieën van toepassing is. | Meerdere keuzes | v1 | 1 | Bewerken | |
2040 | gegevens-extern-delen | Worden gegevens gedeeld met externe partijen? Bijv. ketenpartners, leveranciers, andere overheden of toezichthouders. | Ja / Nee | v1 | 1 | Bewerken | |
2050 | gegevens-buiten-eer | Worden gegevens buiten Nederland of de EER verwerkt of opgeslagen? Bijv. door een leverancier of cloud-dienst die servers buiten Europa gebruikt. | Ja / Nee | v1 | 1 | Bewerken | |
2060 | documentopslag | Worden documenten of bestanden opgeslagen? Denk aan bijlagen, scans, contracten, foto's of beeld-/geluidsopnames. | Ja / Nee | v1 | 1 | Bewerken | |
2070 | ai-besluitvorming | Wordt AI of een algoritme gebruikt bij verwerking of besluitvorming? Inclusief geautomatiseerde besluitvorming en AI-modellen die de uitkomst beïnvloeden. | Ja / Nee | v1 | 1 | Bewerken |
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
3010 | impact-uitval-werkdag | Wat gebeurt er als deze oplossing één werkdag niet beschikbaar is? Denk aan de gevolgen voor inwoners, medewerkers en bedrijfsvoering. | Eén keuze | v1 | 1 | Bewerken | |
3020 | handmatige-terugval | Kan het proces tijdelijk handmatig of op een andere manier doorgaan? Bijvoorbeeld via papier, telefoon of een ander systeem als terugvaloptie. | Ja / Nee | v1 | 1 | Bewerken | |
3030 | uitval-doelgroep | Raakt uitval inwoners, bedrijven of wettelijke termijnen? Denk aan dienstverlening waar mensen op moeten kunnen rekenen of wettelijke deadlines. | Eén keuze | v1 | 1 | Bewerken | |
3040 | tijdkritisch | Is het proces tijdkritisch? Bijvoorbeeld piekmomenten, betaalrondes, deadlines of crisissituaties. | Eén keuze | v1 | 1 | Bewerken | |
3050 | maximale-uitval | Hoe lang mag dit proces of systeem maximaal niet beschikbaar zijn? Hoe sneller herstel nodig is, hoe hoger de eisen aan continuïteit. | Eén keuze | v1 | 1 | Bewerken |
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
4010 | impact-onjuiste-gegevens | Wat is de impact als gegevens onjuist zijn? Denk aan verkeerde besluiten, financiële fouten of onbetrouwbare rapportages. | Eén keuze | v1 | 1 | Bewerken | |
4020 | verkeerde-besluiten | Kunnen onjuiste gegevens leiden tot verkeerde besluiten? Bijvoorbeeld beschikkingen, contracten, financiële overzichten of medische gegevens. | Eén keuze | v1 | 1 | Bewerken | |
4030 | fouten-zichtbaar-herstelbaar | Zijn fouten in de gegevens snel zichtbaar en eenvoudig te herstellen? Hoe lastiger fouten op te merken of terug te draaien zijn, hoe hoger de eisen aan integriteit. | Ja / Nee | v1 | 1 | Bewerken | |
4040 | ketenkoppeling | Worden gegevens gebruikt in andere systemen of ketens? Bijvoorbeeld koppelingen met basisregistraties, ketenpartners of andere afdelingen. | Ja / Nee | v1 | 1 | Bewerken | |
4050 | audit-trail | Hoe belangrijk is het dat alle wijzigingen herleidbaar zijn? Voor sommige processen moet je achteraf kunnen aantonen wie wat wanneer heeft gedaan. | Eén keuze | v1 | 1 | Bewerken |
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
5010 | impact-lek | Wat zou de impact zijn als deze gegevens uitlekken? Denk aan reputatieschade, juridische gevolgen en gevolgen voor betrokkenen. | Eén keuze | v1 | 1 | Bewerken | |
5020 | schade-inwoners | Kan openbaarmaking schade opleveren voor inwoners? Bijvoorbeeld veiligheidsrisico, financiële schade of psychische gevolgen. | Eén keuze | v1 | 1 | Bewerken | |
5030 | bestuurlijke-reputatie | Kan openbaarmaking bestuurlijke of reputatieschade opleveren? Bijvoorbeeld negatieve media-aandacht, vragen vanuit de raad of toezichthouder. | Ja / Nee | v1 | 1 | Bewerken | |
5040 | datalek-meldplicht | Is bij een incident een datalekmelding aan de Autoriteit Persoonsgegevens waarschijnlijk? Bijvoorbeeld omdat het gaat om persoonsgegevens van veel mensen of om gevoelige categorieën. | Ja / Nee | v1 | 1 | Bewerken | |
5050 | toegang-doelgroep | Voor wie zijn de gegevens binnen dit proces toegankelijk? Hoe kleiner en specifieker de groep, hoe strenger de toegang moet zijn. | Eén keuze | v1 | 1 | Bewerken |
| Volg. | Code | Vraag | Type | v. | Antwoorden | Actief | Acties |
|---|---|---|---|---|---|---|---|
6010 | internet-facing | Is de oplossing toegankelijk vanaf het internet? Bijvoorbeeld een portaal voor inwoners of een API die buiten ons interne netwerk benaderbaar is. | Ja / Nee | v1 | 1 | Bewerken | |
6020 | cloud-saas | Maakt de oplossing gebruik van cloud- of SaaS-diensten? De gegevens of de verwerking liggen geheel of deels bij een externe leverancier. | Ja / Nee | v1 | 1 | Bewerken | |
6030 | vitale-keten | Is dit proces onderdeel van een vitale of maatschappelijk kritieke keten? Uitval heeft directe gevolgen voor maatschappelijk kritieke dienstverlening (energie, zorg, openbare orde, betalingsverkeer). | Ja / Nee | v1 | 1 | Bewerken | |
6040 | externe-leverancier | Wordt het beheer (geheel of deels) uitgevoerd door een externe leverancier? Bijvoorbeeld functioneel, technisch of applicatiebeheer door een externe partij. | Ja / Nee | v1 | 1 | Bewerken | |
6050 | mobiele-toegang | Wordt de oplossing gebruikt op mobiele of persoonlijke apparaten? Bijvoorbeeld smartphones, tablets of thuiswerklaptops buiten het kantoornetwerk. | Ja / Nee | v1 | 1 | Bewerken |