Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

1.4.2.2.1. Minimale algemene maatregelen

Vertrouwelijkheid - Integriteit - Beschikbaarheid

IC klasse

Minimale maatregelen

Image RemovedImage Removed

 Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Bij verwerking van persoonsgegevens van klasse 2 (contactgegevens) is een risicoafweging gewenst.

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 +

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek,

  • Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR.

  • Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen.

  • Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden.

  • Het management moet formeel de beslissingen over de behandeling van risico’s aanvaarden.

  • Formele acceptatie van het restrisico door het management.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Bij ontsluiting buiten de perimeter: uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is verplicht. 

IC klasse

Minimale maatregelen

PAS TOE

Image AddedImage Added

 Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Bij verwerking van persoonsgegevens van klasse 2 (contactgegevens) is een risicoafweging gewenst.

Image Removed

Image Removed

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Overdracht van risico's is niet toegestaan.

 Integriteit

Image AddedImage AddedImage AddedImage AddedImage Added

 Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR.

  • Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen.

  • Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden.

  • Het management moet formeel de beslissingen over de behandeling van risico’s aanvaarden.

  • Formele acceptatie van het restrisico door het management.

    • Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    • Bij ontsluiting buiten de perimeter: uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is verplicht. 

    Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

    • Overdracht van risico's is niet toegestaan.

    Beschikbaarheid

    IC klasse

    Minimale maatregelen

    Image RemovedImage Removed

     Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    • Bij verwerking van persoonsgegevens van klasse 2 (contactgegevens) is een risicoafweging gewenst.

    Image Removed

    Alle maatregelen van Klasse 1 / Klasse 2 +

    Uitvoeren van risicoanalyses conform de Vo risicoanalyse methodiek,

    • .

      • Risicoanalyse moet gedocumenteerd worden en verspreid naar relevante stakeholders.

    • Uitvoeren van een risicoanalyse minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen) na validatie van de minimale maatregelen voorzien in het ICR.

    • Uitvoeren pentest of vulnerability scan om de kwetsbaarheden in kaart te brengen is aanbevolen.

    • Risico’s moeten behandeld (mitigatie of overdracht), geaccepteerd of vermeden worden.

    Het management moet formeel de beslissingen over de

    • Formele acceptatie van de behandeling van risico’s

    aanvaarden

    PAS TOE OF LEG UIT

    Image AddedImage AddedImage Modified

    Alle maatregelen van Klasse 1 / Klasse 2

    +

    / Klasse 3 +

    • Bij ontsluiting buiten de perimeter: uitvoeren pentest

    of

    • en vulnerability scan om de kwetsbaarheden in kaart te brengen is verplicht. 

    Image AddedImage AddedImage Modified

    Alle maatregelen van Klasse 1 / Klasse 2

    +

    / Klasse 3 +

     Klasse

     Klasse 4 +

    • Overdracht van risico's is niet toegestaan.

    1.4.2.2.2. Minimale specifieke (GDPR) maatregelen

    De minimale algemene maatregelen voor risicoanalyse moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

    Vertrouwelijkheid en integriteit

    IC klasse

    Minimale maatregelen

     

    Er zijn geen GDPR specifieke maatregelen voor Klasse 1.

    Er zijn geen GDPR specifieke maatregelen voor Klasse 2.

     

     

     

    Klasse 3 en Klasse 4 kennen dezelfde maatregelen: 

     

    • Uitvoeren van een DPIA conform GDPR is verplicht in het geval van:

      • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering, waarop besluiten worden gebaseerd die een natuurlijke persoon wezenlijk treffen,

      • Grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten,

      • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

    • De DPIA moet volgende elementen bevatten:

      • Een gedetailleerde en duidelijke beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden. Het register van verwerkingsactiviteiten kan hier richtinggevend zijn,

      • Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen in functie van de doeleinden,

      • Een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen,

      • De beoogde maatregelen om de risico's aan te pakken.

    Er zijn geen GDPR maatregelen voor klasse 5.

    ...

    Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

    1.4.2.2.3. Minimale specifieke (

    ...

    NIS2) maatregelen

    In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelenEr zijn geen bijkomende specifieke maatregelen voor NIS2 gedefinieerd.

    1.4.2.2.4. Minimale specifieke (KSZ) maatregelen

    Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van een risicoanalyse:  

    ...