Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Een duidelijk afsprakenkader met leveranciers en partners over de informatiebeveiligingseisen, alsook het monitoren, evalueren en beoordelen ervan. Contractueel dient er een afgesproken niveau van informatiebeveiliging en dienstverlening in leveranciersovereenkomsten te worden overeengekomen en gehandhaafd. Dit beleid is gericht op de interne organisatie. In het bijzonder de afdelingen en teams die de relaties met leveranciers beheren.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

Dit beleid legt de maatregelen en principes vast voor de verwerking van persoonsgegevens en andere bedrijfsinformatie in het beheer van leveranciers en partners. Deze maatregelen en principes houden rekening met de wettelijke verplichtingen volgend uit de Algemene Verordening Gegevensbescherming (“AVG”) en de Belgische wetgeving die daarmee samenhangtHet doel van het beheer van leveranciersrelaties is om een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten in stand te houden en te handhaven.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
showSpacefalse
excerptTyperich content
cqllabel = "doelstellingen" and label = "leveranciersrelaties"

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Filter by label (Content by label)
showLabelsfalse
sorttitle
showSpacefalse
cqllabel = "dreiging" and label = "leveranciersrelaties"

Beleid

DONE >>

Risicobeheer in leveranciersrelaties

Informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van leveranciers dienen te worden beoordeeld en behandeld middels het risicobeheerproces.

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Risicobeheer\""

Adresseren van informatiebeveiliging in leveranciersovereenkomsten

Relevante informatiebeveiligingseisen dienen te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie contractueel te worden overeengekomen. Het informatieveiligheidsbeleid en de implementatiemaatregelen van onze organisatie is leidend in de vaststelling van de eisen. Hierbij dient het volgende in ogenschouw te worden genomen:

  • Stuur leveranciers zo veel mogelijk op doelstellingen (“WAT ze moeten doen”)

  • Stuur leveranciers zo min mogelijk op operationele uitvoering (“HOE ze het moeten doen”)

  • Stuur leveranciers op het aantoonbaar voldoen aan industriestandaarden voor informatiebeveiliging middels certificering of attesten (bijv. ISO 27001, NIST, ISAE, SSAE)

  • Bij uitzondering kan, gebaseerd op de een risicoanalyse, worden gestuurd op HOE. Bijvoorbeeld in het geval van hoge (wettelijke) eisen, kritieke informatieveiligheidsrisico’s, of de verwerking van zeer vertrouwelijke informatie.

Er dient te worden vastgelegd wat de procedure is voor het voortzetten of het herstel van de verwerking van informatie of toegang tot de informatie, indien de leverancier zijn producten of diensten niet meer kan leveren. Bijvoorbeeld als gevolg van een calamiteit, of omdat de leverancier zijn bedrijf heeft gestaakt, of omdat bepaalde onderdelen niet meer leverbaar of vernieuwbaar zijn als gevolg van technologische ontwikkelingen.

De leverancier zal zich bij het verlenen van de diensten houden aan de beveiligingsrichtlijnen van de organisatie en de voor elk van hen aangegeven toegangsprivileges en -rechten waarbij de nodige voorzorgs- en veiligheidsmaatregelen in acht worden genomen. Niet-naleving van deze richtlijnen kan leiden tot beëindiging van de overeenkomst en/of opeising van aansprakelijkheid/schade als gevolg van niet-naleving van deze instructies.

De toegang van externe partijen tot informatie, informatiesystemen of informatieverwerkende faciliteiten moet gebaseerd zijn op een formele overeenkomst die de nodige informatiebeveiligingseisen bevat.

DONE >> Overeenkomsten over de toegang van externe partijen

Product owners moeten ervoor zorgen dat externe partijen pas toegang krijgen tot bedrijfsmiddelen en informatieverwerkende faciliteiten nadat een toegangsovereenkomst is ingevuld en ondertekend. De toegangsovereenkomsten moeten het volgende omvatten:

  • Rollen en verantwoordelijkheden van binnen de organisatie en de externe partij.

  • Geheimhoudingsovereenkomsten.

  • Vereisten voor uitbesteding.

  • Gespecialiseerde beveiligingsmaatregelen (d.w.z. voldoen aan bijzondere bedrijfs- en beveiligingsregelingen, wettelijke of regelgevende vereisten).

  • Voorwaarden voor beëindiging van het contract.

  • Rechten, verantwoordelijkheden en processen over audit en toezicht op de naleving.

  • Rapportageverplichtingen voor vermeende of daadwerkelijke beveiligings- en privacy incidenten.

  • Voorwaarden voor verlenging en hernieuwing van de overeenkomst.

  • Vereisten voor regelmatige beoordelingen van de naleving.

Goedgekeurde vormen van overeenkomsten zijn onder meer:

  • Algemene dienstverleningsovereenkomst voor de aankoop van goederen of diensten;

  • Overeenkomsten voor alternatieve dienstverlening;

  • Overeenkomst voor het delen van informatie; of,

  • Andere vormen van overeenkomsten zoals goedgekeurd door de Juridische Dienst.

DONE >> Vereisten over beveiliging

Product owners moeten ervoor zorgen dat de informatiebeveiligingseisen van toegangsovereenkomsten met externe partijen het volgende omvatten:

  • Kennisgeving van verplichtingen van de partijen om de wet- en regelgeving na te leven.

  • Vereisten om zich te houden aan overeengekomen informatieveiligheidsbeleid en -procedures.

  • Processen voor het wijzigen van de overeenkomst.

  • Erkenning door de externe partij dat de organisatie eigenaar blijft van de informatie.

  • Vertrouwelijkheidsverplichtingen van de externe partij en haar werknemers of vertegenwoordigers.

  • Vereisten voor het gebruik van unieke gebruikersidentificatiemiddelen.

  • Processen voor het uitvoeren van audits en het toezicht op de naleving.

  • Verantwoordelijkheden en processen voor het melden van beveiligings- en privacy incidenten.

  • De verzekering dat disciplinaire maatregelen zullen worden toegepast op werknemers of contractanten die de voorwaarden van de overeenkomst niet naleven.

DONE >> Continuïteit van het dienstverleningsniveau

Product owners moeten ervoor zorgen dat dienstverleningsovereenkomsten met leveranciers de vereisten over continuïteit van de dienstverlening documenteren en processen omvatten voor:

  • Voortdurende beoordeling van servicelevel vereisten met eigenaren van bedrijfsprocessen.

  • Rechten en verantwoordelijkheden voor controle en toezicht op de naleving.

  • Het communiceren van vereisten aan dienstverleners.

  • Het verzamelen van periodieke bevestiging van dienstverleners dat voldoende capaciteit wordt voorzien.

  • Het beoordelen van de geschiktheid van de noodplannen van de dienstverlener om te reageren op calamiteiten of grote dienststoringen.

  • Vaststellen van de indicatoren voor het niveau van dienstverlening (met inbegrip van risicoprofielen en niveaus voor het starten van audits).

DONE >> Beëindiging van de dienstverleningsovereenkomst

Afspraken over veilige beëindiging van de leveranciersrelatie dienen vooraf contractueel te worden gemaakt met inbegrip van:

  • Het intrekken van toegangsrechten.

  • Het omgaan met informatie.

  • Het vaststellen van intellectuele eigendom die tijdens de verbintenis is ontwikkeld.

  • De overdraagbaarheid van informatie in geval van verandering van leverancier.

  • Beheer van registraties.

  • Het retourneren van bedrijfsmiddelen.

  • Veilige verwijdering van informatie.

  • Voortdurende geheimhoudingseisen.

DONE >>

Tot slot, overeenkomsten met externe partijen dienen regelmatig te worden beoordeeld en gevalideerd, en indien nodig, geactualiseerd te worden om te garanderen dat voldaan wordt aan (veranderende) informatiebeveiligingseisen. Overeenkomsten voor clouddiensten zijn vaak vooraf gedefinieerd door de leveranciers, zonder dat het mogelijk is erover te onderhandelen. Voor alle clouddiensten geldt dat deze standaard cloud-overeenkomsten dienen te worden beoordeeld in welke mate ze conform zijn met ons informatieveiligheidsbeleid en dient te worden vastgesteld of eventuele restrisico’s gemitigeerd of geaccepteerd dienen te worden.

Minimale algemene voorwaarden

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Minimale algemene voorwaarden\""

Overeenkomsten over de toegang van externe partijen

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Overeenkomsten over de toegang van externe partijen\""

Vereisten over beveiliging

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Vereisten over beveiliging\""

Continuïteit van het dienstverleningsniveau

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Continuïteit van het dienstverleningsniveau\""

Beëindiging van de dienstverleningsovereenkomst

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Beëindiging van de dienstverleningsovereenkomst\""

Beheren van informatiebeveiliging in de ICT-keten (onderaannemers)

Informatiebeveiligingsrisico’s vanwege de toeleveringsketen van producten en diensten dienen te worden beheerd. Leveranciers kunnen onderleveranciers onderaannemers hebben en de volgende voorwaarden dienen te worden overwogen om op te nemen in overeenkomsten met de hoofdleveranciers:

  • Eisen dat voor onderleveranciers dezelfde informatiebeveiligingseisen gelden als voor de hoofdleverancier

  • Eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert

  • Eisen dat leveranciers de beveiligingsvereisten in de gehele toeleveringsketen bekendmaken bij uitbesteding

  • Een monitoringproces en aanvaardbare methoden (bijv. penetratietests, security certificaten, attesten) voor het valideren dat de geleverde producten en diensten door onderaannemers voldoen aan de gestelde beveiligingseisen

  • Een proces implementeren voor het vaststellen en documenteren van componenten van producten of diensten die essentieel zijn voor het handhaven van de functionaliteit en daarom verhoogde aandacht, toezicht en verdere opvolging vereisen als deze door onderleveranciers worden geleverd

  • Regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en potentiële kwesties en compromissen tussen onze organisatie en onderleveranciers via de hoofdleverancier    

DONE >> Risicobeheer in leveranciersrelaties

Informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van leveranciers dienen te worden beoordeeld en behandeld middels het risicobeheerproces. Hierbij dient minimaal het volgende te worden vastgesteld:

  • De geleverde producten en/of diensten en de mogelijke impact op vertrouwelijkheid, integriteit en beschikbaarheid van informatie(verwerking), met als uitkomst een informatieklassebepaling en risicorating

  • De informatie, ICT-diensten en fysieke infrastructuur van onze organisatie waartoe leveranciers toegang hebben

  • Veiligheidscriteria hoe leveranciers worden geëvalueerd en geselecteerd

  • Juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen IM - Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten

  • Beoordeling en beheersing van informatiebeveiligingsrisico’s in verband met het gebruik door leveranciers van informatie en bedrijfsmiddelen van onze organisatie en storingen en kwetsbaarheden van de door de leverancier geleverde producten of diensten

DONE >>

daarmee dienen ook duidelijke afspraken te worden gemaakt.

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Beheren van informatiebeveiliging\""

Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten

Leveranciers dienen regelmatig te worden gemonitord, beoordeeld en geëvalueerd op het voldoen aan contractueel vastgestelde informatiebeveiligingseisen. Hierbij dient het volgende te worden overwogen en vastgesteld:

  • De verantwoordelijkheid voor het beheer van een of meerdere leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of team binnen de organisatie.

  • De implementatie van een proces en metrieken voor het monitoren en meten van de prestaties.

  • Het monitoren van door leveranciers aangebrachte veranderingen, waaronder: Verbeteringen en ontwikkelingen van toepassingen en systemen, wijzigingen in of updates van beleid en procedures van de leverancier, nieuwe of gewijzigde beheersmaatregelen, veranderingen en verbeteringen van netwerken, gebruik van nieuwe technologieën, veranderingen in fysieke locatie van dienstverleningsfaciliteiten, verandering van onderleveranciers, et cetera.

  • Informatie te verkrijgen over informatiebeveiligingsincidenten en -kwetsbaarheden en deze informatie te beoordelen en opvolging aan te geven indien nodig, middels procedures voor het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers.

  • Informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen onderleveranciers te beoordelen. (zie IM - Beheren van informatiebeveiliging in de ICT-keten)

  • Procedures voor het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen.

Met betrekking tot bewijs dat leveranciers voldoen aan de informatiebeveiligingseisen, dient het volgende te worden overwogen en contractueel vastgelegd:

  • Het recht om beheerprocessen en beheersmaatregelen van de leverancier te auditen door onze eigen of een externe auditor.

  • De verplichting van de leverancier om vast te stellen of geleverde producten en diensten voldoen aan de gestelde technologische informatiebeveiligingseisen middels security reviews en/of penetratietesten door een gecertificeerde en onafhankelijke specialist.

  • De verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld.

  • De verplichting van de leverancier om haar onderleveranciers te auditen door een onafhankelijke auditor, indien dit noodzakelijk wordt geacht op basis van de risicoanalyse

  • Optioneel, de verplichting van de leverancier om te certificeren conform een informatiebeveiligingsstandaard en/of het verstrekken door de leverancier van formele attesten - zie maatregel “Verantwoording” (verder hieronder)

DONE >> Verantwoording

Toelichting: Monitoring is veelal detecteren na de feiten. Het is aan te bevelen goede afspraken te maken met leveranciers rondom ingrijpende wijzigingen in de dienstverlening alvorens deze uit te voeren.

Monitoringproces

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Monitoringproces\""

Bewijs

Page Properties Report
firstcolumnID
headingsImplementatiemaatregel
sortByTitle
idIM
cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Bewijs\""

Verantwoording

Deze maatregel is optioneel maar ten sterkste aan te bevelen in situaties waar vertrouwelijke informatie wordt verwerkt en/of de dienstverlening kritieke bedrijfsprocessen ondersteunt.

Relevante eisen rondom formele verantwoording middels certificering en/of attesten dienen te worden vastgesteld en met de leverancier contractueel te worden overeengekomen. Hierbij dient het volgende in ogenschouw te worden genomen:

  • De verplichting van de leverancier om een industrie informatiebeveiligingscertificaat te hebben of te behalen voor de diensten en producten in scope van de overeenkomst, zoals ISO/IEC 27001 of equivalent

  • Aanvullend op de plicht van ISO/IEC 27001 certificering: Voor producten en diensten van informatieklasse 3 of hoger, de verplichting van de leverancier om de doeltreffendheid van beheersmaatregelen te laten toetsen en rapporteren middels een industrie-gebaseerde attest door een onafhankelijke geaccrediteerde auditor

  • Richtlijn voor attesten rapportage:

  • Informatieklasse 1: Geen specifieke eisen voor attesten

  • Informatieklasse 2: SSAE SOC 3, ISO 27001 certificaat of equivalent

  • Informatieklasse 3: Type 1 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

  • Informatieklasse 4: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

  • Informatieklasse 5: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of maatwerkattest als de standaard rapportage niet de gehele scope of risico afdekt
    Page Properties Report
    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Verantwoording\""

    Uitbestede systeemontwikkeling

    Als softwareontwikkeling wordt uitbesteed, dienen eisen en verwachtingen te worden vastgesteld en overeengekomen met de leverancier. De volgende punten behoren voor de gehele externe toeleveringsketen van de leverancier in overweging te worden genomen:

    >> Noot Vincent: veel van deze bullets zijn weer andere maatregelen waar naartoe gelinkt moet worden in Confluence en/of hier weghalen?

  • Licentieovereenkomsten, eigendom van de broncode en intellectuele-eigendomsrechten in verband met de uitbestede inhoud

  • Eisen voor beveiligde ontwikkel-, coderings- en testpraktijken

  • Acceptatietests voor de kwaliteit en nauwkeurigheid van de leveringen

  • Bewijs leveren dat de beveiligings- en privacycapaciteiten aan een minimaal aanvaardbaar niveau voldoen

  • Bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de (zowel opzettelijke als onbedoelde) aanwezigheid van kwaadaardige inhoud op het tijdstip van levering

  • Bewijs leveren dat voldoende tests zijn uitgevoerd om te waken voor de aanwezigheid van bekende kwetsbaarheden

  • Escrowovereenkomsten voor de broncode van het systeem (bijv. indien de leverancier failliet gaat)

  • Contractueel recht om ontwikkelprocessen en beheersmaatregelen te auditen

  • Beveiligingseisen voor de ontwikkelomgeving

  • Rekening houden met toepasselijke wetgeving (bijv. bescherming van persoonsgegevens)

    Page Properties Report
    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Uitbestede systeemontwikkeling\""

    Vertrouwelijkheids- of geheimhoudingsovereenkomsten

    Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door de leverancier, en indien noodzakelijk geacht, door individuele personeelsleden van de leverancier (bijv. individuen die toegang hebben tot zeer vertrouwelijke informatie).

    Bij het vaststellen van de eisen behoren de volgende elementen in overweging te worden genomen: >> Noot Vincent: deze lijst zou in een template kunnen en niet in deze policy?

    • Een definitie van de te beschermen informatie volgens de informatieklassebepaling [Conlfuence link]

    • De verwachte looptijd van de overeenkomst, met inbegrip van gevallen waarin het nodig kan zijn de vertrouwelijkheid onbeperkt te handhaven of tot de informatie openbaar beschikbaar wordt

    • De vereiste acties als een overeenkomst is beëindigd

    • De verantwoordelijkheden en acties van de ondertekenaars betreffende het vermijden van onbevoegd openbaar maken van informatie

    • Het eigendom van informatie, handelsgeheimen en intellectuele eigendom, en hoe dit zich verhoudt tot de bescherming van vertrouwelijke informatie

    • Het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om de informatie te gebruiken

    • Het recht om activiteiten waar vertrouwelijke informatie voor uiterst gevoelige omstandigheden bij is betrokken, te auditen en te monitoren

    • De procedure voor het notificeren en melden van ongeoorloofde openbaarmaking of lekken van vertrouwelijke informatie

    • De voorwaarden voor retourneren of vernietigen van informatie na beëindiging van de overeenkomst

    • De verwachte te treffen maatregelen indien niet wordt voldaan aan de overeenkomst

    Panel
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    Conformiteitstoetsing

    Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.

    Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.

    Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.

    Type

    Controle

    Status
    colourYellow
    titleOPZET

    Status
    colourBlue
    titleBESTAAN

    Status
    colourGreen
    titleWERKING

    Page Properties Report
    firstcolumnID
    headingsImplementatiemaatregel
    sortByTitle
    idIM
    cqllabel = "im" and label = "leveranciersrelaties" and space = currentSpace ( ) and text ~ "\"Onderwerp: Vertrouwelijkheids\""

    Appendix

    Relatie van het beleid met andere richtlijnen en standaarden

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

    Page Properties Report
    firstcolumnTitel
    headingsBeheersmaatregel
    sortByTitle
    cqllabel = "iso" and label = "leveranciersrelaties" and space = currentSpace ( ) and ancestor = "6329502795"

    Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

    Zie voor meer informatie.

    Uitvoering van het beleid

    Processen

    Oplossingen

    Document status

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Eerste versie

    Vincent Alwicher, Fabrice Meunier

    03 juni 2024

    1.0

    FINAAL CONCEPT

    Page Properties
    hiddentrue
    idDS

    Document status (Metadata)

    Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

    Auteur

    Fabrice MeunierVincent Alwicher

    Status

    Status
    colourYellowPurple
    titleFINAAL CONCEPT

    Versie

    1.0.1

    status opties:

    Status
    colourYellow
    titleCONCEPT
    Status
    colourBlue
    titleIN REVIEW
    Status
    colourPurple
    titleFINAAL CONCEPT
    Status
    colourGreen
    titleGEVALIDEERD
    Status
    colourRed
    titleTE REVISEREN

    status eveneens aanpassen bovenaan deze pagina