Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

4.2.2.1. Minimale algemene maatregelen

Het behandelen van serviceaanvragen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van behandelen van serviceaanvragen’):

  • Indienen van de aanvraag;

  • Registratie van de aanvraag;

  • Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag);

  • Impact serviceaanvraag bepalen;

  • Urgentie van de serviceaanvraag bepalen;

  • Inplannen van de serviceaanvraag;

  • Uitvoeren van de serviceaanvraag;

  • Validatie van de serviceaanvraag;

  • Afsluiten van de serviceaanvraag.

...

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Indienen van de aanvraag bij een centraal meldpunt (helpdesk, team leader, ICT-correspondent);

  • Registratie van de aanvraag in een logboek;

  • Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag);

  • Serviceaanvraag heeft geen of lage impact;

  • Urgentie van de serviceaanvraag bepalen;

  • Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB is goedgekeurd en gedocumenteerd;

  • Inplannen van de serviceaanvraag;

  • Uitvoeren van de serviceaanvraag;

  • Post-validatie van de serviceaanvraag verplicht voor P1 serviceaanvragen;

  • Afsluiten van de serviceaanvraag.

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Registratie van de aanvraag in een centraal beheerd logboek;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 – toepassen van de minimale maatregelen voor deze klasse;

  • Impact serviceaanvraag minstens medium.

Image RemovedImage Added

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Impact van serviceaanvraag is altijd hoog;

  • Rapportering van uitgevoerde serviceaanvragen naar CAB;

  • Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB. 

Image RemovedImage Added

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Geen vooraf goedgekeurde wijzigingen toegelaten;

  • Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie;

  • Altijd post-validatie met rapportering naar CAB/ DPO.

...

IC klasse

Minimale maatregelen

  • Indienen van de aanvraag bij een centraal meldpunt (helpdesk, team leader, ICT-correspondent);

  • Registratie van de aanvraag in een logboek;

  • Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag);

  • Serviceaanvraag heeft geen of lage impact;

  • Urgentie van de serviceaanvraag bepalen;

  • Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB is goedgekeurd en gedocumenteerd;

  • Inplannen van de serviceaanvraag;

  • Uitvoeren van de serviceaanvraag;

  • Post-validatie van de serviceaanvraag verplicht voor P1 serviceaanvragen;

  • Afsluiten van de serviceaanvraag. 

Alle maatregelen van Klasse 1 +

  • De informatie in het logboek krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse.

Alle maatregelen van Klasse 1 + Klasse 2 +

  • Registratie van de aanvraag in een centraal beheerd logboek;

  • Impact serviceaanvraag minstens medium.

Alle maatregelen van Klasse 1 + Klasse 2 +Klasse 3 +

  • Impact van serviceaanvraag is altijd hoog;

  • Rapportering van uitgevoerde serviceaanvragen naar CAB;

  • Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB. 

Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +

  • Geen vooraf goedgekeurde wijzigingen toegelaten;

  • Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie;

  • Altijd post-validatie met rapportering naar CAB/ DPO

...

IC klasse

Minimale maatregelen

Alle

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces behandelen van serviceaanvragen is minimaal kantooruren (5d x 10u) 

...

IC klasse

Minimale maatregelen

Image RemovedImage AddedImage Removed

Er zijn geen GDPR maatregelen voor Klasse 1, Klasse 2 en

Image Added

Maatregelen voor Klasse 3 kennen dezelfde maatregelen:

  • Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB inclusief DPO is goedgekeurd en gedocumenteerd;

  • Rapportering van uitgevoerde serviceaanvragen naar CAB;

  • Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB/ DPO

Image RemovedImage RemovedImage Added

Maatregelen voor Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

  • Geen vooraf goedgekeurde wijzigingen toegelaten;

  • Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie;

  • Altijd post-validatie met rapportering naar CAB/ DPO.

Image Added

Er zijn geen GDPR maatregelen voor klasse 5.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid. 

...

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige op deze pagina ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

...

De Minimale Normen van de Kruispuntbank Sociale Zekerheid zijn van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen informatieveiligheid en privacy moeten echter ook worden toegepast wanneer instellingen gemachtigd zijn om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te
gebruiken.

De minimale algemene maatregelen voor fysieke maatregelen moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’).

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van beheer van aanvragen toegepast worden: TBAEr zijn geen KSZ specifieke maatregelen gedefinieerd.