Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ICTU at TOPdesk Café 31 01-2019

515 views

Published on

BIR-compliance en PIA met TOPdesk SaaS door Stichting ICTU. De Adviseur ICT Bedrijfsvoering vertelt over dit proces bij hun organisatie.

Published in: Software
  • Be the first to comment

  • Be the first to like this

ICTU at TOPdesk Café 31 01-2019

  1. 1. Welkom bij het eerste TOPdesk Café voor de Rijksoverheid De Resident, Den Haag 31 januari 2019
  2. 2. BIR-compliance en PIA met TOPdesk SaaS
  3. 3. Even voorstellen Stichting ICTU Adviseur ICT Bedrijfsvoering: Coördinator Wijzigingen Coach
  4. 4. Stichting ICTU • Werkt aan een betere digitale overheid • Onafhankelijke advies en projectorganisatie binnen de overheid • Overtuigd dat ICT de overheid helpt bij maatschappelijke vraagstukken • Opgericht in 2001 als overheidsstichting zonder winstdoel
  5. 5. TOPdesk & ICTU • De SaaS-oplossing van TOPdesk past binnen de ICT visie van ICTU om minder in eigen beheer te hebben • SaaS-klant sinds oktober 2016 • < 2016 TOPdesk on-premises • O.a. Meldingen/ Wijzigingen/ Reserveringen/ Bezoekers/ Contract
  6. 6. BIR - Baseline Informatiebeveiliging Rijksdienst • De Baseline Informatiebeveiliging Rijksdienst (BIR) 2017 biedt 1 normenkader voor de beveiliging van de informatiehuishouding van de Rijksoverheid. Hierdoor is het mogelijk om veilig samen te werken en onderling gegevens uit te wisselen. - Vertrouwelijkheid - Integriteit - Beschikbaarheid
  7. 7. BIR - Baseline Informatiebeveiliging Rijksdienst • BIR is een afgeleide van de ISO27001 en ISO27002 • BIR2017 is de opvolger van de BIR2012 • De BIR2017 wordt per 1 januari 2018 van kracht voor alle nieuwe informatiesystemen • De BIR is gepubliceerd in het Rijksportaal
  8. 8. BIR - Toegepast • ICTU heeft MFA toegepast via ADFS • Audit op toegangsprocessen jaarlijks • Maandelijks account controle
  9. 9. ICTU 3rd Party AD FS Cloud, Office 365 Relying Party Trust ICTU Domain controller User Gebuiker logt aan bij ICTU Client verstuurt token naar app App stuurt token voorwaarden toe Client vraagt token aan bij sts.ictu.nl Client ontvangt token van sts.ictu.nl Poging tot opzetten van sessie met app 1 64 237 5
  10. 10. (D)PIA – Data Privacy Impact Analyse • Waarom ook alweer? • Een Data Protection Impact Assessment (DPIA) is een document waarin vastgelegd is wat de gevolgen zijn van een wijziging van verwerken van persoonsgegevens • Als organisatie wordt je van tevoren geacht na te denken over de privacy en de security
  11. 11. PIA en TOPdesk • Het begint met de vraag… Waar staat TOPdesk in je omgeving • Basisgegevens van personen essentieel in TOPdesk • Basisgegevens van categorieën en objecten • Registreer je niet alles in TOPdesk, dan is er misschien een koppeling?
  12. 12. Wanneer (D)PIA - 9 criteria toets • evaluatie van personen of scoretoekenning; • geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg; • stelselmatige monitoring; • gevoelige gegevens of gegevens van zeer persoonlijke aard; • op grote schaal verwerkte gegevens; • matching of samenvoeging van datasets; • gegevens met betrekking tot kwetsbare betrokkenen; • innovatieve toepassing van nieuwe technologische of organisatorische oplossing; • blokkering van een recht, dienst of contract.
  13. 13. ICTU hanteert open tenzij… • Door het open karakter van ICTU en de kleine schaal is het beheer eenvoudig • Security en Privacy groepen afgeschermd van “normale” beheerders • ICTU heeft geen salarisgegevens of overige “bijzondere” kenmerken van medewerkers en gebruikers • Bezoekers na 90 dagen geanonimiseerd, maar kan op alle kaarten worden toegepast!
  14. 14. Is TOPdesk SaaS er klaar voor • Elke dag een automatische PEN test door externe partij • Elk kwartaal security tests door een externe expert • En uiteraard de jaarlijkse audits
  15. 15. Hoe blijft de SaaS BIR compliant • TOPdesk heeft de ISAE 3000 certificering. Daarbij wordt gekeken of processen afdoende zijn om de beschreven risico's af te dekken • De auditor controleert achteraf of wijzigingen aan de gestelde criteria voldoen. • Wijzigingen aan klantomgevingen via Extranetformulieren. Zo is de juiste informatie om de wijziging goed uit te voeren direct compleet aanwezig en weten we dat de aanvraag door de juiste persoon gedaan is.
  16. 16. Langs de zijlijn • ICTU heeft 4 uren downtime gehad met omzetting naar SaaS • ICTU heeft 2 uren downtime gehad sinds de overstap naar SaaS • Implementatie traject van 9 weken doorlooptijd • Beheerlast verlaagd met 12 uur per maand
  17. 17. De rode draad Alle richtlijnen zijn bekend en worden beschreven in de BIR en de AVG! Het is een kwestie van pas toe… of leg uit… Maar, ga doordacht van start!
  18. 18. Vragen Telefoon/ WhatsApp/ Signal: 06 2036.1725 Mail: dennis.haeck@ictu.nl LinkedIn: linkedin.com/in/dennishaeck Rijksoverheid@topdesk.com

×