Het handhaven van de beveiliging van de IT-voorzieningen en informatie van de GSD, waar derden toegang toe hebben.

De toegang tot de IT-voorzieningen van de GSD door derden dient te worden beheerst.

 

Het identificeren van de risico’s die door de verlening van toegang aan derden ontstaan zodat passende beveiligingsmaatregelen genomen kunnen worden.

• Indien er contracten worden afgesloten met externe dienstverleners dient eerst een risicoanalyse te worden uitgevoerd. Derden dienen pas (fysieke) toegang tot IT- voorzieningen te verkrijgen, wanneer er passende maatregelen zijn geïmplementeerd en een contract is ondertekend, waarin de voorwaarden voor de verbinding of toegang zijn vastgelegd;
• De toegankelijkheid van de persoonsgegevens door derden moet zo veel mogelijk beperkt zijn. Indien het in de toekomst noodzakelijk wordt geacht een verbinding te maken met derden, dan dient door middel van een risicoanalyse te worden bepaald welke speciale beveiligingsmaatregelen noodzakelijk zijn;
  • Risicoanalyses moeten periodiek worden herhaald teneinde tijdig in te spelen op ontwikkelingen binnen én buiten de GSD.

In contracten met derden, die op enige wijze derden toegang geven tot de ICT voorzieningen van de gemeente c.q. de GSD, zullen de noodzakelijke beveiligingsvoorwaarden worden vastgelegd en nageleefd.

• In contractbesprekingen wordt expliciet gewezen op de beveiligingseisen; in de af te sluiten contracten worden opgenomen de volgende beveiligingsvoorwaarden:
  • Iedere gecontracteerde ondertekent de beveiligingsnormen;
  • Toegang tot ruimten en ICT wordt uitsluitend toegestaan voor de duur van de te verrichten werkzaamheden. Aanvang, pauzering en beëindiging van werkzaamheden worden direct gemeld bij de toegangsverantwoordelijke;
  • De (namens derden) werkzame medewerker(s) onthouden zich van enige vorm van dataopslag en kennisneming van data, anders dan die voor de uitvoering van de werkzaamheden strikt noodzakelijk is.
• Overeenkomsten die betrekking hebben op de toegang tot de ICT- voorzieningen door externe gebruikers, moeten gebaseerd zijn op een schriftelijk contract waarin alle noodzakelijke beveiligingseisen zijn opgenomen;
• In overeenkomsten dient de volgende clausule te zijn opgenomen:
  • De persoonsgegevens worden behoudens afwijkende wettelijke bepalingen, slechts in opdracht van de GSD verwerkt;
  • Een verplichting tot geheimhouding van de persoonsgegevens waarvan kennis genomen wordt, behoudens voor zover enig wettelijk voorschrift haar tot mededeling verplicht, of uit haar taak de noodzaak tot mededeling voortvloeit of na toestemming van de GSD (BXIV 8.6, CBP 4.12);
  • Een verplichting tot vernietiging van de persoonsgegevens bij vervanging van gegevensdragers (BXIV 8.6, CBP 4.12);
  • Verplichtingen worden opgelegd aan de uitvoering van de werkzaamheden betrokken medewerkers en aan alle derden die bij de uitvoering van de diensten worden ingeschakeld.
• In het contract moet per item worden opgenomen tot welke systemen derden toegang krijgen en tot welke (soort) bestanden; de toegankelijkheid tot de persoonsgegevens voor derden moet zoveel mogelijk zijn beperkt (BXIV 4.2, CBP 4.2);
• Controle op naleving van de clausules vindt periodiek plaats, eventueel uitgevoerd door een externe partij;
• Met schoonmaakbedrijven, mediaverwerkende ophaaldiensten, bewakingsdiensten en tijdelijke arbeidskrachten dienen soortgelijke clausules te zijn overeengekomen; indien deze clausules ontbreken moeten ze alsnog worden toegevoegd aan de contracten.