Het voorkomen van schending van strafrechtelijke of civielrechtelijke wetgeving, wettelijke, reglementaire of contractuele verplichtingen of beveiligingsnormen.

Er dient deskundig advies over de specifieke juridische eisen te worden ingewonnen waaraan het ontwerp, de bediening, het gebruik en het beheer van informatiesystemen zijn onderworpen.

Voorkomen dat wettelijke, reglementaire en contractuele vereisten worden overtreden omdat het bestaan ervan niet of niet voldoende bekend is.

• Er is (per informatiesysteem) een overzicht beschikbaar met de van toepassing zijnde wettelijke en contractuele vereisten waaraan de GSD moet voldoen. In dit overzicht zijn tenminste opgenomen de Wet SUWI, het Besluit SUWI, de Regeling SUWI, de Wet bescherming persoonsgegevens (WBP), de Auteurswet, de Archiefwet alsmede de overeenkomsten die aan het gebruik van het informatiesysteem ten grondslag liggen;
• Er is per informatiesysteem een overzicht beschikbaar met daarin in ieder geval de volgende informatie:
  • Korte omschrijving van het doel van het informatiesysteem (waartoe dient het);
  • Eigenaar van de software;
  • Op grond waarvan de GSD gerechtigd is tot het gebruik van de software;
  • Eigenaar van de hardware waarop de applicatie draait;
  • Op grond waarvan de GSD gerechtigd is tot het gebruik van de hardware;
  • Verantwoordelijke voor het beheer en onderhoud van de software en de hardware en de contractuele basis daarvoor;
  • Verantwoordelijke voor het gebruik van het informatiesysteem;
  • Overzicht van de aard van gegevens die met het informatiesysteem worden verwerkt samen met een overzicht van de verwerkingsgrondslagen.
• 
  

Het voorkomen dat inbreuk wordt gemaakt op intellectuele eigendomsrechten.

• Slechts aangewezen functionarissen hebben de bevoegdheid tot het kopiëren van programmatuur, wijzigen van programmatuur, installeren van programmatuur en het bepalen van de reikwijdte van de inzet van de programmatuur;
• Er zijn software- en hardwarematige beveiligingen die het voor niet geautoriseerde werknemers onmogelijk maken om programmatuur op het netwerk te kopiëren, installeren of wijzigen;
• Er is een richtlijn opgesteld en gepubliceerd omtrent het gebruik, de aankoop en de installatie van programmatuur met daarin de waarschuwing dat disciplinaire maatregelen (kunnen) worden genomen indien in strijd hiermee wordt gehandeld;
• Er wordt een register bijgehouden van de bedrijfsmiddelen van de GSD (hardware, zie hiervoor 5.1.1, en software) en de grondslag voor het gebruik (eigenaarschap, lease, licentie etc.); hiertoe is vereist het beschikbaar hebben van een database met alle bestaande software gekoppeld aan de hardwarenummers;
• Bewijzen en het bewijsmateriaal waaruit blijkt over welke licenties, originele diskettes en of schijven, handboeken etc. de GSD beschikt, moeten centraal worden opgeslagen in een beveiligde omgeving (bijv. kluis);
• Er wordt een register bijgehouden van het actuele aantal gebruikers van een licentie gekoppeld aan het overzicht van het maximale aantal gebruikers voor die licentie;
• Het netwerk en de werkstations worden regelmatig (steekproefsgewijs) gescreend op programmatuur die niet rechtmatig is geïnstalleerd;

Het waarborgen dat belangrijke bedrijfsdocumenten, indien daartoe de noodzaak bestaat, op tijd en volledig kunnen worden ontsloten.

• Binnen de GSD is een regeling omtrent het archiveren van bedrijfsdocumenten beschikbaar;
• Aanvullend aan de regeling dienen er adequate informatiebeveiligings-maatregelen gedefinieerd en geïmplementeerd te zijn, welke o.a. de nodige procedurele en technische voorzieningen beschrijven voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van gearchiveerde bedrijfsdocumenten door onbevoegde derden.

Het voorkomen dat persoonsgegevens worden gebruikt in strijd met de wettelijke voorschriften.

• Persoonsgegevens mogen slechts worden gebruikt op een wijze die in overeenstemming is met de Wet bescherming persoonsgegevens (WBP) en de wet SUWI;
• Voor het verstrekken of openbaar maken van persoonsgegevens zijn aparte richtlijnen binnen de GSD beschikbaar, die door de medewerkers moeten worden nageleefd;
• Bij het verstrekken of openbaar maken van persoonsgegevens in gevallen waarin de richtlijnen niet voorzien, moet bedrijfsjuridische advisering worden geraadpleegd;
• Voor het afhandelen van verzoeken om inzage en correctie van gegevens door betrokkenen zijn aparte richtlijnen binnen de GSD beschikbaar;
• Binnen de GSD is een procedure beschikbaar waarin wordt ingegaan op de privacy- aspecten bij het gebruik van Suwi- applicaties;

Het voorkomen van het gebruik van IT-voorzieningen voor ongewenste doeleinden of door daartoe niet bevoegde personen.

• De gebruiker van de ICT-voorzieningen moet zich houden aan de gedragscode Internet en e-mailgebruik, die binnen de GSD beschikbaar en voor elke GSD- medewerker van toepassing is;
• Er is een protocol beschikbaar voor het loggen van het gebruik van ICT- voorzieningen binnen de GSD; het protocol legt vast onder welke voorwaarden logging is toegestaan en welke maatregelen van toepassing zijn indien ongeoorloofd gebruik van IT-voorzieningen wordt geconstateerd;
• Tijdens het aanloggen bij de applicatie moet de gebruiker door middel van een melding die moet worden bevestigd door de gebruiker, duidelijk worden gemaakt dat toegang door onbevoegden niet is toegestaan en dat inloggen alleen onder zijn/haar eigen naam is toegestaan;
• Bij het verlenen van een gebruiksrecht aan een medewerker wordt een overzicht verstrekt van de op dat gebruiksrecht (specifiek) van toepassing zijnde ‘spelregels’;
• De bevoegdheden van een functionaris om het gebruik van een applicatie door medewerkers in te zien, zijn in een apart protocol beschreven.

Er moeten maatregelen worden genomen om zeker te stellen dat bepalingen om de toegang tot of het gebruik van cryptografische voorzieningen te controleren, worden nageleefd.

• Niet van toepassing. Er zijn in Nederland geen wettelijke bepalingen die het gebruik van cryptografische middelen verbieden of beperken.

Het beschikbaar hebben van relevant en rechtsgeldig bewijsmateriaal, wanneer op enig moment disciplinaire of juridische actie dient te worden ondernomen.

• Verzameling van bewijsmateriaal gebeurt waar mogelijk gezamenlijk door twee personen;
• Bewijsmateriaal wordt gedocumenteerd (datum, plaats, vinder, getuige, etc.);
• Bewijsmateriaal wordt op legale wijze verkregen;
• Van elektronische gegevensverzameling wordt een uitgebreid logboek aangelegd en voor minstens zes maanden bewaard;
• De ICT-leverancier bewaart de productieverslagen en het productielogboek van de bulkverwerking van persoonsgegevens tenminste zes maanden voor bewijs- en analysedoeleinden (BXIV 12.1, CBP 4.10);
• De GSD-medewerkers worden op de hoogte gehouden van de toelaatbare en de ontoelaatbare handelingen inzake het gebruik van het systeem en de ter beschikking stelling van gegevens in het systeem;
• Naast de wettelijke bepalingen terzake, zorgt de GSD ook voor protocollen inzake het gebruik van de functionaliteit van het systeem.