Het handhaven van de beveiliging van informatie, wanneer de verantwoordelijkheid voor informatieverwerking is uitbesteed aan een andere organisatie.

De regelingen betreffende de uitbesteding van de verwerking van informatie dienen in te gaan op de risico’s, beveiligingsmaatregelen en procedures voor informatiesystemen, netwerken en / of werkstations in het contract tussen de partijen.

 

Het vastleggen van de normen waaraan de gecontracteerde leveranciers van externe beheersdiensten met betrekking tot gegevens, hardware en netwerkfunctionaliteiten moeten voldoen.

• De GSD heeft haar normen duidelijk en contractueel vastgelegd met de ICT- leverancier;
• De GSD contracteert geen derden die naar verwachting niet aan die normen kunnen voldoen.
• In contractuele overeenkomsten met de ICT-leverancier is vastgelegd dat beide partijen zich aan de, op de risicoklasse betrekking hebbende, eisen uit de Regeling Suwi zullen houden (BXIV 4.3, CBP 4.14). Minimaal is voorzien in:
  • Procedures rondom autorisaties;
  • Procedures rondom het bijhouden van logbestanden;
  • Procedures rondom de opslag van gegevensdragers met persoonsgegevens;
  • Procedures rondom de toegang tot en het verstrekken van persoonsgegevens aan derden;
• De GSD dient op de hoogte te zijn van het beveiligingsniveau waaronder de verwerking van persoonsgegevens door de ICT-leverancier wordt gedaan en de normen die daarbij gehanteerd worden (BXIV 4.3, CBP 4.14);
• De GSD moet het niveau van het beleid voor de beveiliging van cliëntgegevens bij de ICT- leverancier (laten) controleren; de controle en rapportage geschieden jaarlijks (BXIV 4.3, CBP 4.14).