Beoordelingen

Beoordeling

test

De beoordeling is nog in concept en kan worden bewerkt of ingediend voor review.

Naar dashboard
ConceptAfdeling: I&IEigenaar: Marieke
Projectgegevens

test

Inwonersgegevens importeren

Eigenaar
Marieke
E-mailadres
Aangemaakt
29 april 2026 om 19:42
Laatst bijgewerkt
29 april 2026 om 19:48

Adviesroute

BIV 3 — review door CISO/security officer verplicht

Het beveiligingsniveau is hoog. Een review door de CISO of security officer is verplicht voordat het systeem of de wijziging in gebruik wordt genomen. Restrisico's vereisen expliciete risicoacceptatie door de proceseigenaar.

Beveiligingsniveau (overall BIV 3)
Hoog
Ernstige impact: kritieke processen, gevoelige gegevens of grote groepen betrokkenen. Het overall niveau is de hoogste deelscore over de drie assen.
Beschikbaarheid
3
Hoog
Integriteit
3
Hoog
Vertrouwelijkheid
3
Hoog
Toelichting per as
Begrijpelijke uitleg van hoe de score per as tot stand is gekomen, inclusief de antwoorden en regels die de doorslag gaven.

Beschikbaarheid

Basis 3 → eindscore 3
  • BASEBasisscore 3 op basis van uw antwoord(en) bij: impact-uitval-werkdag, maximale-uitval.
  • R8Onderdeel van een vitale of kritieke keten — beschikbaarheid is minimaal 3.

Integriteit

Basis 3 → eindscore 3
  • BASEBasisscore 3 op basis van uw antwoord(en) bij: ai-besluitvorming, verkeerde-besluiten, audit-trail.
  • R10Onjuiste data kan leiden tot verkeerde besluiten — integriteit is minimaal 2.
  • R12Verstoring kan zich voortplanten via ketens of basisregistraties — integriteit is minimaal 3.

Vertrouwelijkheid

Basis 3 → eindscore 3
  • BASEBasisscore 3 op basis van uw antwoord(en) bij: bijzondere-persoonsgegevens, gevoelige-doelgroepen, impact-lek, datalek-meldplicht.
  • R2Bijzondere persoonsgegevens worden verwerkt — vertrouwelijkheid is minimaal 3.
  • R3Gegevens over zorg — vertrouwelijkheid is minimaal 3.
  • R4Persoonsgegevens worden verwerkt — vertrouwelijkheid is minimaal 2.
Aanvullende kenmerken (12)
Deze kenmerken zijn afgeleid uit uw antwoorden en activeren extra eisen of governance-stappen.

Privacy

Bijzondere persoonsgegevens
Gevoelige gegevenscategorieën (zorg)
Persoonsgegevens (AVG)
Datalek-meldplicht waarschijnlijk

AI-governance

AI-governance vereist

Leveranciers

Leveranciersbeoordeling (cloud/SaaS)
Beheer door externe leverancier

Datalocatie

Datalocatie-toets (cloud/SaaS)

Continuïteit

Vitale/kritieke keten

Keten

Keten-impact

Internet-facing

Toegankelijk vanaf internet

Mobiele toegang

Mobiele toegang

Beveiligingseisen

27

Verplicht: 2 · Afgedekt: 0 / 27

AI-governance
1 eis in deze categorie
AVG-AIAlgoritme-impactanalyse en transparantieOpenstaand

Voer een algoritme-impactanalyse (IAMA of vergelijkbaar) uit en voorzie in transparantie over geautomatiseerde besluitvorming.

Eigenaar:
Privacy Officer
Bewijs:
IAMA-rapport en publicatie in algoritmeregister.
Gekoppeld omdat AI-governance vereist actief is.
Gekoppeld omdat Wordt AI of een algoritme gebruikt bij verwerking of besluitvorming? actief is.
Awareness en incident
2 eisen in deze categorie
BIO-5.24Procedure voor beveiligingsincidentenOpenstaand

Hanteer een gedocumenteerd incidentproces inclusief meldplicht, escalatie en evaluatie.

Eigenaar:
Security Officer
Bewijs:
Vastgestelde incidentprocedure + meldregister.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-6.3Bewustwording en trainingOpenstaand

Zorg dat betrokken medewerkers periodiek bewustwordingstraining krijgen over hun rol in de beveiliging.

Eigenaar:
HR / Security Officer
Bewijs:
Trainingsregistratie per medewerker.
Gekoppeld omdat totaalniveau BIV 3 is.
Beleid en organisatie
2 eisen in deze categorie
BIO-5.1Vastgesteld informatiebeveiligingsbeleid
Verplicht
Openstaand

Stel een actueel informatiebeveiligingsbeleid op, laat het vaststellen door het bestuur en communiceer het binnen de organisatie.

Eigenaar:
CISO
Bewijs:
Vastgesteld beleidsdocument met versie en datum.
Verplichte eis voor elke beoordeling.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.2Rollen en verantwoordelijkheden
Verplicht
Openstaand

Wijs eigenaarschap toe voor het proces of systeem en beleg verantwoordelijkheden voor beveiliging expliciet.

Eigenaar:
Proceseigenaar
Bewijs:
RACI-overzicht of vergelijkbare rolverdeling per proces of systeem.
Verplichte eis voor elke beoordeling.
Gekoppeld omdat totaalniveau BIV 3 is.
Beschikbaarheid en continuïteit
4 eisen in deze categorie
BIO-5.30ICT-continuïteitsplanOpenstaand

Stel een continuïteitsplan op voor het systeem of proces, inclusief uitwijk- en herstelprocedures.

Eigenaar:
Proceseigenaar
Bewijs:
Vastgesteld continuïteitsplan met RTO/RPO.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.30-OEFENPeriodiek oefenen van uitwijkOpenstaand

Oefen het continuïteits- en uitwijkplan minimaal jaarlijks en evalueer de uitkomst.

Eigenaar:
Proceseigenaar
Bewijs:
Verslag van laatste uitwijkoefening.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.30-VITAALVerzwaarde continuïteit voor vitale ketensOpenstaand

Pas verzwaarde RTO/RPO toe en zorg voor afspraken met ketenpartners over wederzijdse afhankelijkheden.

Eigenaar:
Proceseigenaar
Bewijs:
Vastgelegde RTO/RPO + ketenafspraken over crisisrespons.
Gekoppeld omdat Vitale/kritieke keten actief is.
BIO-8.13Back-up van gegevensOpenstaand

Maak periodiek back-ups van gegevens en configuraties en test het terugzetten ervan.

Eigenaar:
Architect / IT
Bewijs:
Back-upschema + bewijs van laatste restore-test.
Gekoppeld omdat totaalniveau BIV 3 is.
Cryptografie
1 eis in deze categorie
BIO-8.24Versleuteling van gevoelige gegevensOpenstaand

Versleutel gegevens in opslag en transport volgens de geldende cryptografische standaarden.

Eigenaar:
Architect / IT
Bewijs:
Configuratie TLS- en at-rest encryptie.
Gekoppeld omdat totaalniveau BIV 3 is.
Integriteit en wijzigingsbeheer
3 eisen in deze categorie
BIO-8.32WijzigingsbeheerOpenstaand

Wijzigingen aan het systeem of de gegevens verlopen via een gecontroleerd proces met goedkeuring en testen.

Eigenaar:
Functioneel beheerder
Bewijs:
Change-managementproces en CAB-notulen.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-8.32-AUDITOnveranderbare audittrailOpenstaand

Wijzigingen aan kritieke gegevens worden vastgelegd in een onveranderbare audittrail die voldoende lang wordt bewaard.

Eigenaar:
Architect / IT
Bewijs:
Configuratie van append-only logging en periodieke verificatie.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-KETENAfspraken in keten en met basisregistratiesOpenstaand

Leg gegevenskwaliteit en foutafhandeling met ketenpartners vast in werkafspraken of een DAP.

Eigenaar:
Proceseigenaar
Bewijs:
Dienstverlenings- of ketenafspraken (DAP).
Gekoppeld omdat Keten-impact actief is.
Leveranciers en cloud
2 eisen in deze categorie
BIO-5.19Beveiliging in leveranciersrelatiesOpenstaand

Leg beveiligingseisen vast in contracten en SLA's met leveranciers en monitor de naleving.

Eigenaar:
Inkoop / Contractbeheer
Bewijs:
Beveiligingsbijlage in contract + SLA-rapportage.
Gekoppeld omdat Beheer door externe leverancier actief is.
BIO-5.23Beveiliging bij gebruik van cloud-dienstenOpenstaand

Beoordeel cloud-leveranciers (locatie, certificering, exit-strategie) en leg dit vast in een verwerkers- of dienstenovereenkomst.

Eigenaar:
Architect / IT
Bewijs:
Cloud-assessment incl. exitstrategie en datalocatie-bewijs.
Gekoppeld omdat Maakt de oplossing gebruik van cloud- of SaaS-diensten? actief is.
Gekoppeld omdat Leveranciersbeoordeling (cloud/SaaS) actief is.
Gekoppeld omdat Datalocatie-toets (cloud/SaaS) actief is.
Logging en monitoring
2 eisen in deze categorie
BIO-8.15Logging van gebeurtenissenOpenstaand

Leg relevante gebeurtenissen vast (toegang, wijzigingen, fouten). Bewaar logs zodanig dat herleiden mogelijk is.

Eigenaar:
Security Officer
Bewijs:
Logging-configuratie en bewaartermijn.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-8.16Monitoring en alertingOpenstaand

Bewaak verdachte gebeurtenissen actief en zorg dat alarmeringen bij de juiste rol terechtkomen.

Eigenaar:
Security Officer
Bewijs:
SIEM/monitoring-rapportage en escalatieprocedure.
Gekoppeld omdat totaalniveau BIV 3 is.
Netwerkbeveiliging
2 eisen in deze categorie
BIO-8.20Netwerkbeveiliging voor extern bereikbare systemenOpenstaand

Pas segmentatie, hardening en periodieke kwetsbaarhedenscans toe op alle vanaf het internet bereikbare componenten.

Eigenaar:
Architect / IT
Bewijs:
Netwerkdiagram + laatste scanrapport.
Gekoppeld omdat Toegankelijk vanaf internet actief is.
BIO-8.29Onafhankelijke beveiligingstest (pentest)Openstaand

Laat het systeem periodiek (minimaal jaarlijks) onafhankelijk testen op beveiligingskwetsbaarheden.

Eigenaar:
Security Officer
Bewijs:
Pentestrapport van afgelopen 12 maanden.
Gekoppeld omdat totaalniveau BIV 3 is.
Gekoppeld omdat Toegankelijk vanaf internet actief is.
Privacy en gegevensbescherming
3 eisen in deze categorie
AVG-BPGVerzwaarde maatregelen voor bijzondere persoonsgegevensOpenstaand

Voer een DPIA uit en pas extra waarborgen toe (zoals pseudonimisering, strikte autorisatie en logging).

Eigenaar:
Privacy Officer
Bewijs:
DPIA-rapport vastgesteld door Privacy Officer.
Gekoppeld omdat Bijzondere persoonsgegevens actief is.
AVG-DATALEKDatalekprocedure (AVG)Openstaand

Beschrijf en oefen de datalekprocedure inclusief 72-uurs meldplicht aan de Autoriteit Persoonsgegevens.

Eigenaar:
Privacy Officer
Bewijs:
Datalekprocedure + bewijs van laatste oefening.
Gekoppeld omdat Datalek-meldplicht waarschijnlijk actief is.
Gekoppeld omdat Persoonsgegevens (AVG) actief is.
AVG-PGBescherming van persoonsgegevens (AVG)Openstaand

Tref technische en organisatorische maatregelen die voldoen aan de AVG, inclusief verwerkingsregister en grondslag.

Eigenaar:
Privacy Officer
Bewijs:
Inschrijving in verwerkingsregister + vastgestelde grondslag.
Gekoppeld omdat Persoonsgegevens (AVG) actief is.
Toegang en identiteit
5 eisen in deze categorie
BIO-5.15Toegangsbeleid op basis van need-to-knowOpenstaand

Verleen alleen toegang aan medewerkers die de gegevens nodig hebben voor hun functie. Documenteer de keuzes.

Eigenaar:
Functioneel beheerder
Bewijs:
Autorisatiematrix per rol, periodieke review.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.16Identiteitsbeheer (lifecycle)Openstaand

Voer een proces voor in-, door- en uitstroom uit zodat accounts tijdig worden aangemaakt, aangepast en ingetrokken.

Eigenaar:
Functioneel beheerder
Bewijs:
Procesbeschrijving in-, door- en uitstroom.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.17Sterke authenticatieOpenstaand

Gebruik meervoudige authenticatie (MFA) voor toegang tot het systeem of de gegevens.

Eigenaar:
Security Officer
Bewijs:
MFA-configuratie aantoonbaar uit IAM-systeem.
Gekoppeld omdat totaalniveau BIV 3 is.
BIO-5.17-INTERNETVerplichte MFA voor toegang vanaf internetOpenstaand

Voor elke vorm van toegang vanaf het internet is meervoudige authenticatie verplicht.

Eigenaar:
Security Officer
Bewijs:
Authenticatie-instellingen op de internet-facing component.
Gekoppeld omdat Toegankelijk vanaf internet actief is.
BIO-5.17-MOBIELBeveiligde toegang op mobiele apparatenOpenstaand

Pas device-beveiliging, sterke authenticatie en mogelijkheid tot remote wipe toe op mobiele toegang.

Eigenaar:
Functioneel beheerder
Bewijs:
MDM-beleid en device-compliance-rapport.
Gekoppeld omdat Mobiele toegang actief is.
Acties
Status: u kunt deze beoordeling nog bewerken of indienen voor review.
Bewerken
Reviewhistorie
Alle acties op deze beoordeling — formele reviewbesluiten, status-overgangen, opmerkingen en eis-statuswijzigingen.

Audittrail

  1. Beoordeling aangemaakt

    29 april 2026 om 19:42

Opmerking plaatsen