4. Stichting ICTU
• Werkt aan een betere digitale overheid
• Onafhankelijke advies en projectorganisatie binnen de overheid
• Overtuigd dat ICT de overheid helpt bij maatschappelijke vraagstukken
• Opgericht in 2001 als overheidsstichting zonder winstdoel
5. TOPdesk & ICTU
• De SaaS-oplossing van TOPdesk past binnen de ICT visie van ICTU om
minder in eigen beheer te hebben
• SaaS-klant sinds oktober 2016
• < 2016 TOPdesk on-premises
• O.a. Meldingen/ Wijzigingen/ Reserveringen/ Bezoekers/ Contract
6. BIR - Baseline Informatiebeveiliging Rijksdienst
• De Baseline Informatiebeveiliging Rijksdienst (BIR) 2017
biedt 1 normenkader voor de beveiliging van de
informatiehuishouding van de Rijksoverheid. Hierdoor is
het mogelijk om veilig samen te werken en onderling
gegevens uit te wisselen.
- Vertrouwelijkheid
- Integriteit
- Beschikbaarheid
7. BIR - Baseline Informatiebeveiliging Rijksdienst
• BIR is een afgeleide van de ISO27001 en ISO27002
• BIR2017 is de opvolger van de BIR2012
• De BIR2017 wordt per 1 januari 2018 van kracht
voor alle nieuwe informatiesystemen
• De BIR is gepubliceerd in het Rijksportaal
8. BIR - Toegepast
• ICTU heeft MFA toegepast via ADFS
• Audit op toegangsprocessen jaarlijks
• Maandelijks account controle
9. ICTU 3rd Party
AD FS
Cloud, Office 365 Relying Party
Trust
ICTU Domain
controller
User
Gebuiker logt
aan bij ICTU
Client verstuurt
token naar app
App stuurt token
voorwaarden toe
Client vraagt token
aan bij sts.ictu.nl
Client ontvangt token
van sts.ictu.nl
Poging tot opzetten
van sessie met app
1
64
237
5
10. (D)PIA – Data Privacy Impact Analyse
• Waarom ook alweer?
• Een Data Protection Impact Assessment (DPIA) is een document waarin
vastgelegd is wat de gevolgen zijn van een wijziging van verwerken van
persoonsgegevens
• Als organisatie wordt je van tevoren geacht na te denken over de privacy
en de security
11. PIA en TOPdesk
• Het begint met de vraag… Waar staat TOPdesk in je omgeving
• Basisgegevens van personen essentieel in TOPdesk
• Basisgegevens van categorieën en objecten
• Registreer je niet alles in TOPdesk, dan is er misschien een
koppeling?
12. Wanneer (D)PIA - 9 criteria toets
• evaluatie van personen of scoretoekenning;
• geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar
wezenlijk gevolg;
• stelselmatige monitoring;
• gevoelige gegevens of gegevens van zeer persoonlijke aard;
• op grote schaal verwerkte gegevens;
• matching of samenvoeging van datasets;
• gegevens met betrekking tot kwetsbare betrokkenen;
• innovatieve toepassing van nieuwe technologische of organisatorische
oplossing;
• blokkering van een recht, dienst of contract.
13. ICTU hanteert open tenzij…
• Door het open karakter van ICTU en de kleine schaal is het beheer
eenvoudig
• Security en Privacy groepen afgeschermd van “normale” beheerders
• ICTU heeft geen salarisgegevens of overige “bijzondere” kenmerken
van medewerkers en gebruikers
• Bezoekers na 90 dagen geanonimiseerd, maar kan op alle kaarten
worden toegepast!
14. Is TOPdesk SaaS er klaar voor
• Elke dag een automatische PEN test door externe partij
• Elk kwartaal security tests door een externe expert
• En uiteraard de jaarlijkse audits
15. Hoe blijft de SaaS BIR compliant
• TOPdesk heeft de ISAE 3000 certificering.
Daarbij wordt gekeken of processen afdoende zijn om de
beschreven risico's af te dekken
• De auditor controleert achteraf of wijzigingen aan de gestelde
criteria voldoen.
• Wijzigingen aan klantomgevingen via Extranetformulieren.
Zo is de juiste informatie om de wijziging goed uit te voeren
direct compleet aanwezig en weten we dat de aanvraag door de
juiste persoon gedaan is.
16. Langs de zijlijn
• ICTU heeft 4 uren downtime gehad met
omzetting naar SaaS
• ICTU heeft 2 uren downtime gehad sinds de
overstap naar SaaS
• Implementatie traject van 9 weken
doorlooptijd
• Beheerlast verlaagd met 12 uur per maand
17. De rode draad
Alle richtlijnen zijn bekend en worden
beschreven in de BIR en de AVG!
Het is een kwestie van pas toe… of leg uit…
Maar, ga doordacht van start!