Technische en organisatorische maatregelen (TOM's) van Arthrex
1. Controle van toegang tot gebouwen
De term 'toegangscontrole' verwijst naar de fysieke toegang van personen tot gebouwen en ruimten waarin voor verwerking van persoonsgegevens gebruikte IT-systemen worden beheerd en gebruikt. Dit kunnen bijvoorbeeld datacenters zijn waar webservers, applicatieservers, databases, centrale computers en opslagsystemen worden beheerd en kantoorruimten waar medewerkers pc's gebruiken.
|
Technische maatregelen
|
Organisatorische maatregelen
|
| • Er worden geschikte technische maatregelen (bijv. intrusiedetectiesystemen, beveiligingssystemen met geïndividualiseerde toegang en vergrendelsystemen) genomen ter bescherming van veiligheidszones en hun toegangspunten. |
• In hoeverre het nodig is om een gebouw of ruimte te beschermen wordt bepaald op basis van de gegevensverwerkingssystemen die er zich in bevinden.
• Er wordt een groep personen met machtiging tot algemene toegang gedefinieerd en de machtigingen voor toegang tot beveiligingsrelevante zones worden beperkt tot absolute noodzakelijkheid (principe van minimale machtiging); aan iedereen zonder machtiging wordt de toegang ontzegd.
• Er is een proces ingesteld voor aanvragen, goedkeuren, verstrekken, beheren en terugnemen van toegangsmiddelen, of voor intrekking van toegangsrechten (inclusief het beheer van sleutels, visuele ID-middelen, transponders, chipkaarten, etc.); alle sleutels worden geregistreerd.
• Er is een proces ingesteld voor het regelen van de toegang van mensen van buiten het bedrijf, zoals gasten en leveranciers; externe bezoekers worden geregistreerd; als er sterkere bescherming nodig is, worden externe medewerkers vergezeld en wordt er toezicht op hen gehouden tijdens de uitvoering van hun werkzaamheden. |
2. Controle van toegang tot hardware
Maatregelen om te voorkomen dat ongemachtigde personen toegang krijgen tot hardware of gebruikmaken van hardware die wordt gebruikt om persoonsgegevens te verwerken:
|
Technische maatregelen
|
Organisatorische maatregelen
|
|
• Toegang tot gegevensverwerkingssystemen waarop persoonsgegevens worden verwerkt, is alleen mogelijk nadat de gemachtigde persoon is geïdentificeerd en geauthenticeerd (bijv. met een gebruikersnaam en wachtwoord of chipkaart / pincode), waarbij geavanceerde beveiligingsmaatregelen worden gebruikt.
• Sterke authenticatie is altijd op meerdere (minstens 2) factoren gebaseerd, zoals iets wat iemand bezit, iets bekends of iets wat is gebaseerd op een eenmalige factor die specifiek is voor de gebruiker (gewoonlijk biometrische processen); voorbeelden zijn:
• chipkaart met certificaten en pincode;
• eenmalige wachtwoorden (OTP-generator, sms-TAN-code, chip-TAN-code) en gebruikerswachtwoord;
• beveiligingsvragen.
• Alle geslaagde en afgewezen toegangspogingen worden geregistreerd (gebruikers-ID, computer, het IP-adres dat is gebruikt) en voor een periode van 1 jaar gearchiveerd in een nalevingsauditformulier; voor vaststelling van ongeoorloofd gebruik worden door middel van steekproeven regelmatig evaluaties uitgevoerd.
• De authenticatiegegevens (zoals gebruikers-ID en wachtwoord) mogen nooit onbeschermd over het netwerk worden verzonden.
• Na herhaalde, onjuiste authenticatiepogingen wordt de toegang geblokkeerd; er is een proces ingesteld voor het opnieuw instellen of ontgrendelen van geblokkeerde toegangs-ID's;
• gebruikers-ID's die een lange tijd (maximaal 180 dagen) niet worden gebruikt, worden automatisch geblokkeerd of op inactief ingesteld.
|
• De toegang van mensen die zijn gemachtigd voor toegang tot IT-systemen moet worden beperkt tot het absolute minimum dat nodig is voor de uitvoering van specifieke taken en functies van de betreffende persoon binnen de lopende operationele organisatie.
• Wachtwoorden moeten voldoen aan de betreffende minimumregels (bijv. een minimale lengte en complexiteit van een wachtwoord); wachtwoorden moetenregelmatig worden gewijzigd; initiële wachtwoorden moeten direct worden gewijzigd; de toepassing van de vereiste lengte, complexiteit en geldigheid van wachtwoorden wordt afgedwongen door middel van technische instellingen. |
3. Controle van toegang tot gegevens (beperkte toegang)
3.1. Beperkte toegangsrechten
Maatregelen om ervoor te zorgen dat de toegang tot systemen en gegevens is beperkt tot gemachtigde medewerkers die binnen de reikwijdte van hun machtiging handelen:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• De persoon die is gemachtigd tot toegang tot de gegevens, moet zich ook identificeren en authenticeren in het gegevensverwerkingssysteem op basis van unieke, verifieerbare factoren, zoals gebruikers-ID en wachtwoord.
• Alle schermen van computers en apparaten zijn ingesteld op automatische schermbeveiliging met wachtwoordbescherming.
• In zoverre gegevens van meerdere partijen in dezelfde database zijn opgeslagen of met hetzelfde gegevensverwerkingssysteem worden verwerkt, wordt voorzien in logische toegangsbeperkingen die exclusief zijn gericht op verwerking van de gegevens van de betreffende partij (multitenancy).
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Een machtigingsconcept (gebruikers- en beheerrechten) zorgt ervoor dat toegang tot de gegevens in het systeem alleen wordt toegestaan voor zover dat nodig is om de gebruiker de relevante taak te laten uitvoeren in overeenstemming met de interne verdeling van taken en scheiding van functies onder gebruikers; er worden in overeenstemming met de regels voor gegevensbescherming regels en procedures gedefinieerd voor het maken, wijzigen en verwijderen van machtigingsprofielen en gebruikersfuncties; er wordt bepaald wie verantwoordelijk is voor wat.
• Toegangsrechten worden op verschillende niveaus volgens een schriftelijk toegangsrechtenbeleid beperkt op basis van wat een specifieke medewerker moet weten.
• Ongeacht technische beperkingen worden medewerkers geïnstrueerd geen gegevens te raadplegen die niet nodig zijn voor hun functie.
• Wachtwoorden moeten voldoen aan de betreffende minimumregels (bijv. een minimale lengte en complexiteit van een wachtwoord); wachtwoorden moetenregelmatig worden gewijzigd; initiële wachtwoorden moeten direct worden gewijzigd; de toepassing van de vereiste lengte, complexiteit en geldigheid van wachtwoorden wordt afgedwongen door middel van technische instellingen.
• Gegevens en bestanden worden regelmatig vernietigd of gewist in overeenstemming met het beleid voor bewaring en wissen van gegevens, zodanig dat een reconstructie onmogelijk is of niet mogelijk is zonder buitenproportionele inspanningen; vernietiging en wissen worden geprotocolleerd; deze protocollen bevatten geen persoonsgegevens, maar alleen verwijzingen naar borderellen of bestanden.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
3.2. Controle van gegevensmedia
Maatregelen om ongemachtigde toegang tot gegevensmedia te voorkomen:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Gegevens worden tijdens transport versleuteld of door een wachtwoord beschermd. Gevoelige gegevens worden ook tijdens gebruik versleuteld of door een wachtwoord beschermd.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Er zijn records van alle gegevensmedia.
• Gegevensmedia worden buiten kantooruren bewaard in een afgesloten kast.
• Gegevensmedia worden veilig getransporteerd.
• Gegevensmedia en documenten worden intern of door een gecertificeerde dienstverlener in overeenstemming met DIN 66399 vernietigd.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
3.3. Controle van wijzigingen
Maatregelen om ongemachtigde toegang tot of verwerking van gegevens te voorkomen:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Toegang tot gegevens wordt in een logboek geregistreerd; exemplaren van logboekbestanden worden regelmatig beoordeeld.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
Het volgende wordt vastgelegd:
• wijzigingen van wachtwoorden / toegangsrechten / functies;
• schrijfmachtiging met de volgende gegevens: gebruiker, gegevens, bestand en software;
• voor gevoelige gegevens, ook leesmachtiging;
• er is een schriftelijk beleid met betrekking tot de reikwijdte en aard van logboekregistratie, en het bewaren en beoordelen van logboeken; • verdere maatregelen in overeenstemming met de voorgaande paragrafen.
|
3.4. Controle van export
Maatregelen om ongemachtigde export van gegevens uit de IT- systemen te voorkomen:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Het interne netwerk is beveiligd door toepassing van beveiligde gateways op de overgangspunten in het netwerk (bijv. een firewall,
virusbeveiliging en intrusiedetectie (IDS)).
• Gegevens worden alleen via e-mail verzonden of versleuteld (VPN, SSL).
• E-mails worden op een veilige manier geprotocolleerd.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Bij gebruik van een cloud of andere verwerkingsdiensten dient een verwerkingsovereenkomst te zijn gesloten en de verwerker aan een audit te zijn onderworpen.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
4. Controle van verzending en transport
Om ervoor te zorgen dat persoonsgegevens tijdens transport of elektronische overdracht, of bij vastlegging op opslagmedia, niet zonder machtiging kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd. En ook om te kunnen vaststellen en controleren aan welke personen en instanties met gegevensverzendingsmiddelen persoonsgegevens moeten worden overgedragen.
4.1. Controle van verzending
Maatregelen om ervoor te zorgen dat de ontvangers van alle gegevensexporten worden vastgelegd:
|
Technische maatregelen
|
Organisatorische maatregelen
|
| • Maatregelen in overeenstemming met de voorgaande paragrafen |
• Alle toegangsrechten en verzendingen worden in records van verwerkingsactiviteiten gedocumenteerd.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
4.2. Controle van transport
Maatregelen om ervoor te zorgen dat gegevens tijdens verzending en transport worden beschermd:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Als persoonsgegevens naar externe systemen worden verzonden, is versleuteling absoluut noodzakelijk.
• Maatregelen in overeenstemming met de voorgaande paragrafen |
• Maatregelen in overeenstemming met de voorgaande paragrafen |
5. Verwerkingsprotocollen
Maatregelen om ervoor te zorgen dat vastlegging of wijziging van persoonsgegevens is geprotocolleerd:
|
Technische maatregelen
|
Organisatorische maatregelen
|
| • Maatregelen in overeenstemming met de voorgaande paragrafen |
• Maatregelen in overeenstemming met de voorgaande paragrafen |
6. Controle van de naleving door verwerkers
Maatregelen om ervoor te zorgen dat verwerkers of verdere verwerkers de gegevens alleen volgens de instructies van de verwerkingsverantwoordelijke verwerken:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Fysieke of logische scheiding van gegevens
• Verdere maatregelen in overeenstemming met de voorgaande paragafen |
• Opleiding van medewerkers. Medewerkers moeten een formele verbintenis ondertekenen.
• Schriftelijke documentatie van instructies
• Selectie van (sub)verwerkers en opstellen van (sub)contracten met gepaste zorgvuldigheid; initiële en regelmatige auditing van technische en organisatorische maatregelen
• Externe dienstverleners moeten wanneer ze aan IT-systemen werken onder doorlopend toezicht worden gehouden.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
7. Controle van schade
7.1. Controle van beschikbaarheid
Maatregelen om ervoor te zorgen dat gegevens worden beveiligd tegen vernietiging of verlies:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Alle serverruimten zijn uitgerust met apparatuur voor klimaatbeheersing en rookdetectie, alsmede met brandblusapparaten; de temperatuur en luchtvochtigheid worden regelmatig gecontroleerd
• Alle servers hebben een niet-onderbreekbare stroomvoorziening (UPS) en worden beschermd tegen elektrische overbelasting; alle servers zijn zo geconfigureerd dat ze automatisch worden uitgeschakeld in het geval van een langer durende stroomuitval.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Aanwezigheid van back-up- en herstelmogelijkheden; de gebruikers, logboekbestanden en virusscan van servers worden dagelijks beoordeeld.
• Het volgende wordt regelmatig beoordeeld:
niet-onderbreekbare stroomvoorziening (UPS), sloten van de serverruimte.
• Er is voorzien in een rampherstelplan en een bedrijfscontinuïteitsplan om de bedrijfscontinuïteit te garanderen in het geval van voorzienbare (elektriciteit, brand, water, etc.) tegenspoed.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen
|
7.2. Herstel van systemen
Maatregelen om ervoor te zorgen dat systemen na tegenspoed snel worden hersteld:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Er worden van alle gegevens regelmatig back-ups gemaakt.
• Belangrijke back-ups worden op een andere locatie opgeslagen.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Er is een schriftelijk back-upbeleid met specificatie van de omvang, de tussenpozen, de back-upmethoden, het aantal generaties, de gegevensmedia, het transport en de opslag, en ook de interne verantwoordelijkheden met betrekking tot de back-upprocedures.
• De back-ups worden regelmatig beoordeeld.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
7.3. Betrouwbaarheid
Maatregelen om ervoor te zorgen dat alle systemen goed functioneren en fouten worden gedetecteerd:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Om fouten te detecteren worden er door de systemen automatische plausibiliteits- en integriteitscontroles (bijv. controlesomprocedures) uitgevoerd.
• Fouten en overbelasting van applicaties (bijv. opslagproblemen of afgebroken processen) worden door de systemen geprotocolleerd.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Alle software wordt voorafgaand aan de installatie door de IT-afdeling gecontroleerd en goedgekeurd.
• Systemen, gegevenskenmerken en procesinformatie, en ook andere, materiële configuraties, worden regelmatig aan een handmatig beoordelingsproces onderworpen om fouten te detecteren.
• Er is een beleid ingesteld waarbij alle fouten van de IT-systemen of communicatiesystemen dienen te worden gerapporteerd en gedocumenteerd (behalve fouten die automatisch door de systemen worden gedetecteerd en gecorrigeerd).
• Er is een beleid ingesteld dat bepaalt dat fouten alleen door IT-medewerkers mogen worden gecorrigeerd en dat grote veranderingen voorafgaand aan implementatie in een sandbox worden getest.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
7.4. Gegevensintegriteit
Maatregelen om ervoor te zorgen dat gegevens niet worden beschadigd door functiestoornissen van het systeem:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Er worden controles op gegevensintegriteit uitgevoerd en die vinden standaard plaats via de back-upstrategie en toolset.
• Er worden penetratietesten en beveiligingsaudits uitgevoerd.
• Maatregelen in overeenstemming met de voorgaande paragrafen |
• Er zijn beveiligingsbeleidslijnen en beveiligingsprocedures ingesteld.
• Opleiding voor medewerkers waarin de regels voor het invoeren en onderhouden van gegevens worden behandeld
• Maatregelen in overeenstemming met de voorgaande paragrafen |
8. Controle van scheiding
Maatregelen om ervoor te zorgen dat gegevens die voor verschillende doeleinden worden verzameld, duidelijk worden gescheiden:
|
Technische maatregelen
|
Organisatorische maatregelen
|
• Fysieke of logische scheiding van gegevens
• Bedrijfsbestanden worden gescheiden op basis van toegewezen opslaglocatie, zowel op de vestiging als in de cloud.
• Opslaglocaties kunnen alleen worden gezien en/of bereikt door personen met een machtiging voor toegang tot de betreffende gegevens.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
• Er is een beveiligingsbeleid en er zijn beveiligingsprocedures ingesteld.
• Verdere maatregelen in overeenstemming met de voorgaande paragrafen |
9. Algemene organisatie
- Er is een functionaris voor de gegevensbescherming aangesteld, voor zover de wet dit vereist. Een of meer personen in het management of die direct rapporteren aan het management hebben de verantwoordelijkheid voor de gegevensbescherming en de naleving van de gegevensbeveiliging op zich genomen. Een of meer personen van de IT-afdeling hebben de verantwoordelijkheid voor de implementering van alle technische en organisatorische maatregelen op zich genomen, inclusief doorlopend onderhoud van het betreffende beleid. Er zijn duidelijke bepalingen met betrekking tot de betreffende verantwoordelijkheden binnen de IT-afdeling.
- Er is een schriftelijke, gedocumenteerde risicobeoordeling en bepaling van gepaste maatregelen met betrekking tot gegevensbescherming (inclusief Privacy by Design) en gegevensbeveiliging voor alle systemen en processen.
- Naast de voorgaande vereisten zijn er schriftelijke, gedocumenteerde beleidslijnen en bepalingen die ervoor zorgen dat alle verwerking in overeenstemming is met de principes van rechtmatigheid, behoorlijkheid, transparantie, doelbinding, gegevensminimalisering, juistheid, opslagbeperking, vertrouwelijkheid en integriteit. De verwerker voldoet aan alle wettelijke verantwoordings- en/of documentatievereisten.
- Alle medewerkers zijn geïnstrueerd en opgeleid met betrekking tot wat er op een basaal niveau moet worden gedaan om gegevens te beschermen en beveiligen, en hebben toegezegd om dit in aanmerking te nemen.
- Er zijn schriftelijke, gedocumenteerde procedures om ervoor te zorgen dat (a) betrokkenen met betrekking tot hun gegevens hun wettelijke rechten kunnen uitoefenen en dat (b) incidenten of inbreuken meteen worden gemeld.
- De IT-afdeling voert, in samenwerking met de functionaris voor de gegevensbescherming, regelmatig (in ieder geval één keer per jaar) een volledige risico- en beveiligingsanalyse uit van alle technische en organisatorische maatregelen, en dient een schriftelijk rapport in bij het management. Het management kan zo nodig verdere audits laten uitvoeren. In gevallen waarin niet-naleving is vastgesteld, worden de maatregelen om de niet-naleving op te lossen ook gedocumenteerd.
