Edukoppeling certificering SAAS-leverancier Onderwijs- instelling DUO SAAS-leverancier Onderwijs- instelling Onderwijs- instelling Edukoppeling Transactie-standaard Aantoonbare maatregelen Certificeringsschema

Wat is een certificeringsschema Normen – inhoudelijke eisen waaraan hetgeen dat je wilt certificeren moet voldoen Toetsingsschema – eisen die worden gesteld aan de wijze waarop conformiteit met de normen wordt vastgesteld Accreditatieschema – eisen die worden gesteld aan organisaties die conformiteitstoetsing uitvoeren Voor nu behoefte aan 1 en 2

Certificeren en cloud Andere schema’s (ISO 27001) zijn te generiek Geen specifieke ‘best practice’ voor cloud certificering Uit de sector: Eurocloud / Cloud Security Alliance (CSA) Onafhankelijk: ENISA, ISACA, … CSA actueel de dominante standaard

Keuze normen Voor nu kan worden volstaan met een risico-gebaseerde selectie van onderwerpen op basis van door SCA benoemde top-9 risico’s, aangevuld met specifieke eisen voor de Edukoppeling

Edukoppeling specifiek – Onderwerp 1 De SAAS-leverancier heeft afdoende maatregelen genomen om misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school te voorkomen, denk aan Geheimhoudingsverklaring Verklaring omtrent Gedrag Geïndividualiseerde beheerdersaccounts Gegevens afgeschermd voor niet-beheerders Locatiegebonden beheerderstoegang

Edukoppeling specifiek – Onderwerp 2 De SAAS-leverancier heeft afdoende maatregelen genomen om vermenging van gegevens met die van andere klanten te voorkomen, denk aan: Scheiding van klantomgevingen Datascheiding door consistente toepassing van multi-tenant data architecture

Edukoppeling specifiek – Onderwerp 3 De SAAS-leverancier heeft afdoende maatregelen genomen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal onderzoek en audits te ondersteunen, denk aan: met welke partij welke gegevens zijn uitgewisseld door wie (gebruiker of ketenpartner) en wanneer die gegevensuitwisseling is geïnitieerd

Edukoppeling specifiek – Onderwerp 4 De services waarmee gegevens met andere ketenpartijen worden uitgewisseld, voldoen aan de Edukoppeling standaard, denk aan: Routering Autorisatie Logging Vertrouwelijkheid / encryptie

Edukoppeling specifiek – Onderwerp 5 Tussen de SAAS-leverancier en de onderwijsinstelling bestaat een bewerkersovereenkomst zoals bedoeld in artikel 14 WBP.

Intensiteit toetsing ‘Cloud certificatie’ bestaat nog niet Wel (in toenemende mate): Individuele audits (rijp en groen) ISO 27001 certificering Cloud security self-assessments op basis van CSA (grote providers US, kan snel overslaan)

Toepassing Digitaal aanmelden MBO vanaf 2014 Facet MBO in 2014/2015 Studielink (pilot) in 2015 Doorontwikkelen BRON in 2015 (PO, VO, MBO) OSO?

Certificeringsboard (CB) Vaststellen schema (= procedure en (baseline) normenkader) Opdrachtgever BR en BS Vaststellen sancties Beheerder Schema (BS) Behandelen wijzigingsverzoeken Voorbereiden besluitvorming Doorvoeren wijzigingen normenkader Werkgroep (min. 1x per jaar) Opstellen wijzigingsverzoeken Beheerder Register (BR) 1. Beheren certificering 2. Controleren auditors 3. Bijhouden en publiceren register 4. Opleggen sancties 5. Opdrachtgever auditors Auditor 1. Controleren partijen 2. Aanvragen certificering, melden intrekkingen Vaststellen governance, groeipad en scope Witte tekst = huidige situatie, Grijze tekst = toekomstige situatie