Informatie beveiliging
Datalek..?
Ook bij twijfel, gewoon even melden.
Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.
Autorisatie (afspraken, uitgifte en beheer)
Dit onderwerp valt onder het IBP domein 10: Identity- en access en geeft invulling aan deze IBP- normen.
- ID.01 Toegangsrechten toewijzen
- ID.02 Administratie van toegangsrechten
- ID.03 Monitoring en toegang superusers
- ID.04 Noodprocedure superuserrechten
- ID.05 Periodieke beoordeling van toegangsrechten
Waar gaat dit over? (Scope)
Dit onderwerp gaat over het toekennen, wijzigen en intrekken van toegang (rollen/rechten) tot systemen en gegevens. Toegang wordt verleend op basis van functie/taak en wat iemand echt nodig heeft (need-to-know), met de autorisatiematrix als uitgangspunt en aantoonbare registratie en periodieke herziening (minimaal 6 maanden bij kernapplicaties).
Wat valt binnen de Scope:
-
Rollen & rechten in kernapplicaties en (HelloID/Azure AD) groepen; functiescheiding geborgd.
-
Uitgifte & intrekking bij in-, door- en uitstroom; gast/externe toegang altijd met einddatum.
-
Beheerders-/superuserrechten en service/API-accounts (beperkt, extra eisen, logging).
-
Geen gedeelde accounts: toekenning is persoonlijk en herleidbaar.
-
Registratie & logging van autorisatiebesluiten en gebruik van speciale rechten.
Wat valt buiten de Scope:
- Fysieke toegang (gebouwen/sleutels/passen) → fysiek beveiligingsbeheer.
- Lichte applicaties die geen vertrouwelijke (persoons)gegevens verwerken. Denk hierbij aan lichte schoolsoftware als ProWise presenter.
🐴 Ezelsbruggetje
Functie + taak + need-to-know = toegang. Twijfel of uitzondering? Altijd toetsen aan de autorisatiematrix via domeinbeheerder/PSO — niet zelf regelen.
ProcesScope (aanpak)
-
Aanvraag & autorisatie via leidinggevende/domeinbeheerder, getoetst aan de autorisatiematrix (least privilege).
-
Toekennen & vastleggen door (applicatie)beheer; registreren wie/wat/waarom/tot wanneer.
- (Indien nodig) Privileged access: aparte aanvraag/goedkeuring voor uitzonderingen.
-
Herziening: halfjaarlijks (kernapps) en bij rolwissel;
- Deprovisioning: rechten direct intrekken bij uitstroom of taakwijziging.
-
Opschonen van inactieve/ongebruikte accounts.
I&T onderdelen
Identiteits- en toegangsbeheer bevat verschillende onderdelen. Klik op het onderdeel om de onderdeel te bezoeken.
Speerpunten
-
Toegang wordt alleen verleend op basis van functie en wat iemand écht nodig heeft (need-to-know).
-
Leidinggevende of domeinbeheerder bepaalt wie toegang krijgt en tot welke onderdelen, op basis van functie en taak.
-
Indien aanwezig geldt de autorisatiematrix altijd als uitgangspunt.
-
Controleer en actualiseer (bij kernapplicaties) toegangsrechten minimaal iedere 6 maanden.
Rollen, taken en verantwoordelijkheden
Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.
Alle medewerkers
Verantwoordelijk voor:
-
Correct gebruik van eigen account en rechten (need-to-know).
-
Tijdig melden van te ruime/onjuiste toegang of verlies/misbruik.
Taken: (dit moet je doen)
-
Vraag indien nodig toegang aan via je leidinggevende/domeinbeheerder met doel en taak.
-
Meld direct: inlogproblemen, verdacht gebruik, of te ruime toegang.
-
Geef rolwijziging/vertrek direct door (rechten kunnen dan worden ingetrokken).
Domeinbeheerder
Verantwoordelijk voor:
-
Autoriseren, niet uitvoeren: beslist over toekenning/wijziging/intrekking van rechten volgens (indien aanwezig) de autorisatiematrix (need-to-know, functiescheiding).
-
Autorisatiematrix-eigenaarschap: opstellen rollen en rechten en onderhouden.
-
Regie toekennen van juiste toegang: Autorisering rollen en rechten bij in-, door- en uitstroom
-
Uitzonderingen & escalaties: afwijkingen beoordelen (met PSO) en zo nodig voorleggen aan CvB.
Taken: (dit moet je doen)
-
Beheer autorisatiematrix: onderhoud rollen/profielen, functiescheiding en koppeling naar groepen; deel de actuele versie met Applicatiebeheerder/ICT.
-
Beoordeel/fiatteer aanvragen: check doel/taak, need-to-know en duur; fiatteer of wijs af; documenteer voorwaarden.
-
Laat uitvoeren in de applicatie: stuur opdrachten (rol/profiel + einddatum/voorwaarden) naar Applicatiebeheerder.
-
Controleer uitvoering: steekproefsgewijs of via rapportage; corrigeer te ruime/onjuiste rechten.
-
JML-acties borgen: bij rolwijziging/uitstroom direct rechten laten intrekken; bewaak vervaldata voor gast/externe toegang.
-
Uitzonderingen afhandelen: leg motivatie vast, vraag PSO-advies, stel extra maatregelen/einddatum en registreer besluit.
-
Rapporteer periodiek: status aanvragen, recertificatie-uitkomsten, afwijkingen en verbeterpunten aan PSO/CvB (samen met Applicatiebeheerder/ICT).
Applicatie beheerder
Verantwoordelijk voor:
-
Inrichting en veilig beheer van de applicatie (rollen/profielen, rechten, instellingen).
-
Correct en aantoonbaar doorvoeren van toegekende rechten (indien aanwezig) volgens de autorisatiematrix.
-
Beheer van applicatiespecifieke adminrollen, service-/API-accounts en auditlogs.
Taken: (dit moet je doen)
-
Ontvang en controleer aanvragen (doel/taak); ken toe/trek in conform autorisatiematrix; leg wie/wat/waarom/tot wanneer vast.
-
Zet gast/externe toegang altijd met einddatum; verlengingen alleen na herautorisatie.
-
Lever rechtenoverzichten aan voor (half)jaarlijkse recertificatie; ruim inactieve/ongebruikte accounts en groepen op.
-
Afstemming: Domeinbeheerder bepaalt en autoriseert (wie/welke rol); Applicatiebeheerder voert uit en registreert in de applicatie.
Privacy- en Security Officer
Verantwoordelijk voor:
-
Kaders, toezicht en advies bij autorisaties (privacy/security-risico’s, uitzonderingen).
-
Toezicht op privileged access, afwijkingen en de uitvoering van periodieke herzieningen.
Taken: (dit moet je doen)
-
Beheer en publiceer de autorisatiematrix en richtlijnen (need-to-know, functiescheiding).
-
Beoordeel uitzonderingsaanvragen en hoog-risico-toegang; geef voorwaarden/maatregelen af.
-
Voer gerichte controles/steekproeven uit op rechten, gasttoegang en adminlogs.
-
Rapporteer periodiek aan CvB over naleving en restrisico’s.
College van bestuur
Verantwoordelijk voor:
-
Vaststellen van beleid/uitzonderingen en het accepteren van restrisico’s.
-
Bestuurlijke borging van periodieke herziening en accountability.
Taken: (dit moet je doen)
-
Keur beleid en autorisatiematrix (en wijzigingen) goed.
-
Beslis over uitzonderingen met organisatiebrede impact of verhoogd risico.
-
Behandel de (half)jaarlijkse rapportages (recertificatie, afwijkingen, privileged access) en stuur op verbeteracties.
Documentatie
Klik op hieronder voor toegang tot het materiaal:
- IBP beleidsstuk Logisch Toegangsbeveiliging
- IBP hulpkaart Autorisaties uitgeven
- IBP hulpkaart Autorisaties beheren
- IBP hulpkaart Autorisatie afspraken
- IBP hulpkaart Stappen tot autorisatie
- IBP hulpkaart Beheer infrastructuur
- Toegangsautorisatie (matrix) ParnasSys
- IBP- werkdocument (Excel): Autorisatie toezicht ParnasSys.
Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.