Information Security Management System
Een Information Security Management System (ISMS), behelst het totaalplaatje aan systematiek, maatregelen en afspraken om die informatieveiligheid te garanderen. Als CISO of FG beheerst u dit proces voor uw organisatie. Alles om te voldoen aan de belangrijkste normenkaders, ofwel (inter)nationale standaarden. Zo raakt u als organisatie in control over verantwoordelijkheden, risico's en beleid.
Privacy Management System
Als Privacy Officer of Functionaris Gegevensbescherming zult u het herkennen: wet- en regelgeving, zoals de AVG, zorgt voor veel verantwoordelijkheden. Om daaraan als organisatie te voldoen heeft u een tool nodig waarin u dit digitaal kunt verantwoorden. Privacy management wordt behapbaar, met de PMS-module (Privacy Management Systeem) van Pepperflow!
De classificaties DPIA en BBN en vragenlijsten met BIO- en AVG-maatregelen zijn vooraf ingericht en klaar om uitgevoerd te worden. Pepperflow zorgt dat deze actueel blijven. Daarnaast staat het systeem voor u klaar om gevuld te worden met alle belangrijke afdelingen, applicaties, processen en leveranciers.
Input van klanten en experts uit het vakgebied heeft geleid tot een gebruiksvriendelijke opzet. Alle werkzaamheden worden op een eenduidige manier uitgevraagd zodat informatiebeveiliging en privacybescherming gemakkelijk samenwerken. De inhoud van de tool wordt actueel gehouden op basis van wet- en regelgeving.
De fases uit de PDCA-cyclus zijn met elkaar geïntegreerd. Zo bepaalt de uitkomst van de DPIA of BBN welke maatregelen van toepassing zijn, komen alle maatregelen waar niet aan wordt voldaan op de actielijst terecht en worden aan de hand van de status van de BIO maatregelen de zelfevaluaties van ENSIA ingevuld.
Met het centrale dashboard heeft u volledig inzicht in de status van uw belangrijkste afdelingen, applicaties, processen en leveranciers. Daarnaast biedt het dashboard helderheid over de mate waarin uw organisatie voldoet aan de BIO- en AVG-vereisten. Met de rapportagefunctie kunt u eenvoudig rapporteren aan ENSIA.
DPIA
Data Protection
Impact Assessment
Pepperflow heeft DPIA (Data Protection Impact Assessment) van de IBD opgesplitst in twee delen. Allereerst worden alle vragen over welke persoonsgegevens er binnen het proces verwerkt worden gesteld tijdens de classificatiefase. Op basis van de gegeven antwoorden worden alleen de relevante maatregelen van toepassing. Of aan de maatregelen is voldaan wordt in de volgende controlefase getoetst.
Algemene Verordening
Gegevensbescherming
Alle eisen die gesteld worden vanuit de AVG zijn vertaald in het Borgingsproduct van de IBD. Elke relevante afdeling bepaalt allereerst met behulp van de Quickscan het gewenste volwassenheidsniveau. Op basis van dit niveau worden bepaalde maatregelen van kracht. Vervolgens geven alle afdelingen aan of deze maatregelen voldoen.
Basis Beveiligings
Niveau
De BBN-Toets is voor elke applicatie het startpunt. De informatie wordt getoetst op basis van 7 vragen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Op basis van het hoogst gegeven antwoord wordt de classificatie bepaald en daarmee welke maatregelen uit de BIO van toepassing zijn. Zo zijn bij het eerste beveiligingsniveau (BBN1) alleen de basis-maatregelen van kracht, bij de tweede (BBN2) ook de standaard-maatregelen en bij de hoogste (BBN2+) ook alle aanvullende eisen die gesteld worden.
Baseline Informatie-
veiligheid Overheid
Alle overheidsmaatregelen uit de BIO zijn geplaatst op verschillende checklists in de ISMS-tool. Deze checklist worden verstuurd naar degene die hiervoor verantwoordelijk is. Wanneer de maatregelen door een afdeling generiek voor de hele organisatie worden uitgevoerd worden de vragenlijsten naar de afdelingshoofden van ICT, HR, FZ of Inkoop verstuurd. Gaat het om specifieke eisen waar een applicatie of een leverancier aan moet voldoen dan worden deze verzameld op een checklist die periodiek door de eigenaar moet worden ingevuld. Bij het invullen van de checklist kan worden aangegeven of wordt voldaan aan de gestelde eis. Hier kan toelichting op gegeven worden en wanneer nodig de bewijslast aan worden toegevoegd.
Alle belangrijke processen waarbinnen persoonsgegevens worden verwerkt staan standaard in Pepperflow. Op deze “verwerkingen” kan allereerst tijdens de classificatiefase een PIA worden uitgevoerd om in kaart te brengen om welke persoonsgegevens het gaat. Tijdens de controlefase wordt getoetst of dit proces aan alle eisen van AVG voldoet. Hiermee wordt, met behulp van een score, inzichtelijk in hoeverre het proces voldoet aan de eisen uit de AVG. Het verwerkingsregister kan met een druk op knop worden getoond en eventueel geëxporteerd worden naar Excel.
De Leveranciers zijn ook opgenomen in Pepperflow. De Leveranciers hebben zoals de andere objecten geen classificatietool maar het is wel nodig om van de “verwerkers” de contactinformatie te registreren. Dit kan worden uitgevraagd en geactualiseerd worden. Daarnaast worden er vanuit de BIO en AVG ook verschillende eisen gesteld, zoals het overeenkomen van een verwerkersovereenkomst. Deze informatie wordt driejaarlijks en bij belangrijke wijzigingen uitgevraagd bij de verantwoordelijk medewerker. Zo houdt u eenvoudig het verwerkersregister actueel.
Burgers hebben de mogelijkheid om een verzoek in te dienen met betrekking tot de persoonsgegevens die de gemeente in beheer heeft. Deze verzoeken komen vaak binnen via een portaal of e-formulier op de website. Binnen Pepperflow kunnen deze verzoeken worden aangemaakt, ingevuld en kunnen alle benodigde vervolgacties worden gecoördineerd. Zo is ook het (AVG-Rechts-)verzoekenregister opgenomen.
Medewerkers moeten een beveiligingsincident tijdig melden. Dit gebeurt meestal op een centrale plek waar alle medewerkers bij kunnen zoals een ticketingsysteem. Het doorzetten van deze incidenten en het toetsen of aan alle maatregelen is voldaan kan binnen Pepperflow worden gedaan. Het invullen van de classificatie om te beoordelen of het een beveiligingsincident, datalek of ernstig datalek is. Het invullen van de incidentinformatie en tot slot het toetsen of aan de juiste maatregelen is voldaan.
FAQ
Tijdens de controlefase worden alle eisen uit de BIO beantwoord door de verschillende verantwoordelijken. Wanneer een afdeling heeft aangegeven aan welke generieke maatregelen wordt voldaan, is de gerelateerde ENSIA-vraag daarmee automatisch beantwoord. Zodoende zijn de meeste vragen tijdens de jaarlijkse evaluatiefase ingevuld. Alle ENSIA-zelfevaluaties kunnen met behulp van Pepperflow naar de verantwoordelijk medewerkers worden verstuurd. De vragenlijsten kunnen worden geëxporteerd naar het benodigde format om deze handmatig in de ENSIA-Tool te importeren. Een automatische koppeling is momenteel nog niet mogelijk gemaakt door de ENSIA-Tool.
Als CISO, FG of Privacy Officer bent u druk bezet: voor lange implementaties heeft u geen tijd. Een noodzaak om grip te krijgen op informatiebeveiliging en privacy heeft u zeker wel. Daarom heeft Pepperflow gekozen voor een best practice inrichting. Dit zorgt ervoor dat u direct aan de slag kan. Tijdens de implementatie zullen wij de coördinatoren wegwijs maken in het systeem en zorgen dat zij eenvoudig gebruikers toegang kunnen geven tot het systeem en koppelen aan de zaken waarvoor zij verantwoordelijk zijn. Hiervoor zijn vier contactmomenten van twee uur nodig.
Neem voor informatie over de prijs contact op met één van onze accountmanagers via info@pepperflow.nl, het telefoonnummer 071-4013263 of via de contactbutton
Het is mogelijk om alle gegevens uit de GRC-tool gemakkelijk te exporteren in Excel-format.
Pepperflow zorgt dat de meest actuele risicoanalyses en vragenlijsten klaar staan. Wanneer er wijzigingen plaatsvinden binnen de PIA, BBN, BIO en ENSIA-vragenlijsten, zullen deze door Pepperflow worden doorgevoerd. Daarnaast zullen wij, samen met klanten en experts, kerngroepen houden om gezamenlijk de content te optimaliseren.
