Norm ID.01 Toegangsrechten toewijzen
Waarom is dit nodig?
Door toegangsrechten toe te wijzen aan groepen of rollen, maak je scheiding van functies mogelijk en schep je een duidelijke grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. voor de toekenning van rechten aan personen. Als je alle activiteiten kunt herleiden tot een persoon, kun je bij incidenten nagaan wie wat wanneer gedaan heeft. Dit komt de betrouwbaarheid van gegevens en continuïteit ten goede.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor informatietoegang.
- Er is geen SOLL-autorisatiematrix.
- Niet alle activiteiten kunnen getraceerd worden naar uniek identificeerbare gebruikers.
2 Herhaalbaar
- Er is informeel beleid voor informatietoegang ingevoerd.
- Er is een SOLL-autorisatiematrix gedefinieerd, maar niet formeel vastgesteld.
- Activiteiten van gebruikers met veel rechten kunnen getraceerd worden naar uniek identificeerbare gebruikers.
- De gedefinieerde rollen en toegangsrechten van gebruikers zijn volgens organisatiebehoeften.
- Functie-eisen zijn verbonden aan gebruiker-ID’s.
3 Bepaald (streefniveau)
- Het beleid en de SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn gedefinieerd, formeel vastgesteld en gecommuniceerd en worden nauwgezet onderhouden.
- De identificatie, authenticatieAuthenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt. en autorisatie van gebruikers zijn ingevoerd en worden afgedwongen.
- Toegangsrechten toegekend op basis van de SOLL-matrix worden periodiek vergeleken met de IST-situatie.
- Activiteiten van gebruikers kunnen worden getraceerd naar uniek identificeerbare gebruikers.
- Gebruiker-ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
4 Beheerst
Aanvullend op niveau 3:
- (Kosteneffectieve) technische en beleidsmatige maatregelen voor gebruikersidentificatie, gebruikersauthenticatie en het afdwingen van gebruikersrechten worden up-to-date gehouden en periodiek geëvalueerd en gedocumenteerd.
- Op basis van de evaluaties worden verbeteringen bepaald.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De werking en verbeteringen van de procedures rondom toegangsrechten en toepassingen worden voortdurend gevolgd.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm ID.01 Toegangsrechten toewijzen is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema ROSA.
ISO 27001/2:2022
- A5.2
- A5.3
- A5.15
- A5.16,
- A5.17
- A5.18
- A8.2
Certificeringsschema ROSA
- Integriteit van de gegevens/Herleidbaarheid