Beveiliging behandelen in overeenkomsten met een derde partij (organisatie)

Architectuurmodel: Omgevingswet (Projectmodel)
GEMMA/Project-element: Organisatie (geen GEMMA element)
GEMMA proces:
Beheersmaatregel(en):
  • 6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij (Beheersmaatregel)
    • 06.2.3.1 De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.
    • 06.2.3.2 Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.
    • 06.2.3.3 In contracten met externe partijen is vastgelegd hoe men om dient te gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.
    • 06.2.3.4 In contracten met externe partijen is vastgelegd hoe wordt omgegaan met geheimhouding en de geheimhoudingsverklaring.
    • 06.2.3.5 Er is een plan voor beëindiging van de ingehuurde diensten waarin aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.
    • 06.2.3.6 In contracten met externe partijen is vastgelegd hoe escalaties en aansprakelijkheid geregeld zijn.
    • 06.2.3.7 Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar dezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken.
    • 06.2.3.8 De producten, diensten en daarbij geldende randvoorwaarden, rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst. Verbeteracties worden geïnitieerd wanneer onder het afgesproken niveau wordt gepresteerd.
Relevantie:De meeste gemeenten besteden delen van de ICT uit bij externe leveranciers. Ook voor de Omgevingswet zal dit in de toekomst het geval zijn.
Impact:Externe leveranciers/inhuur voeren in opdracht van gemeenten het beheer van en/of werkzaamheden op de informatiesystemen uit, zowel functioneel als technisch. Zij hebben daarmee de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving voor gemeenten. Deze verantwoordelijkheid moet contractueel geborgd worden, zie ook norm 6.2.1. Binnen de Omgevingswet worden persoonsgegevens verwerkt. Om deze reden moet is met gehouden aan de geldende wetgeving. Dit is de Algemene Verordening Gegevensbescherming (AVG, Europees ook bekend als GDPR).
OplossingsrichtingIndien er een contract gesloten wordt met een nieuwe leverancier is het van belang om de in bovenstaande norm beschreven risico’s en verplichtingen in het contract op te nemen. Op deze manier verplicht de leverancier zich voor het naleven van de voor gemeenten geldende wet- en regelgeving. Indien er een contact met een bestaande leverancier wordt uitgebreid is een controle op het huidige contract noodzakelijk. Gezien het feit dat deze leverancier al werkzaamheden verricht voor een gemeente zou deze zich al verplicht moeten hebben voor de conformatie aan de normen in de BIG. Toch blijkt dit niet altijd geborgd te zijn. Indien dit niet in het huidige contract is opgenomen, dient dit toegevoegd te worden.
Toelichting:
Impact BIO: Deze norm is in de BIO opgesplitst over verschillende BIO-normen, zoals 14.2.7, 15.1.2 en 15.1.3 en de volgende maatregelen zijn komen te vervallen 6.2.3.[1,3,4,6 en 8].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

Alle uitspraken

Een weergave van een bepaald onderwerp. Een architectuurmodel geeft een kleinschalige, vereenvoudigde en/of abstracte weergave van het onderwerp.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Beveiliging_behandelen_in_overeenkomsten_met_een_derde_partij_(organisatie)&oldid=654881"
Deze pagina is het laatst bewerkt op 21 feb 2019 om 10:02.