1
|
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER A),
VAN VERORDENING (EU) 2019/788
|
Niet invullen s.v.p.
|
|
Het systeem voert technische maatregelen uit om te waarborgen dat alleen natuurlijke
personen een steunbetuiging kunnen indienen. De technische maatregelen vereisen niet
dat meer persoonsgegevens worden verzameld en opgeslagen dan de gegevens die zijn
vermeld in bijlage III bij Verordening (EU) 2019/788.
|
Alleen beantwoorden als u i.p.v. OCS een andere applicatie gebruikt.
Welk verificatieproces wordt toegepast om vast te stellen dat de indiener van een
steunbetuiging een natuurlijk persoon is (b.v. gebruik ‘Captcha’ systeem)? Functionele
beschrijving en schermprint s.v.p. meesturen.
Welke gegevens van een natuurlijk persoon worden vastgelegd? S.v.p. het database ontwerp
meesturen.
|
2
|
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER B),
VAN VERORDENING (EU) 2019/788
|
|
|
De organisatoren voorzien in passende en doeltreffende technische en organisatorische
maatregelen voor beheersing van de risico’s voor de beveiliging van de netwerk- en
informatiesystemen die zij bij hun activiteiten gebruiken, teneinde te waarborgen
dat de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt
en online aan het publiek wordt gepresenteerd, overeenstemt met de informatie over
het initiatief die is bekendgemaakt in het register bedoeld in artikel 6, lid 5, van
Verordening (EU) 2019/788.
De organisatoren waarborgen dat:
|
Niet invullen s.v.p.
|
2 a
|
a) de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt,
overeenstemt met de in het register bekendgemaakte informatie;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
2 b
|
b) het systeem de in het register bekendgemaakte informatie over het initiatief presenteert
voordat de burger de steunbetuiging indient;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
2 c
|
c) er beveiligingsmaatregelen zijn getroffen die waarborgen dat de gegevensinvoervelden
in de steunbetuigingen samen met de informatie over het initiatief worden gepresenteerd,
ter voorkoming van het risico dat steunbetuigingen voor een ander initiatief worden
ingediend doordat een verkeerde voorstelling wordt gegeven van het initiatief;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
2 d
|
d) het systeem ervoor zorgt dat na de indiening de gegevens in de steunbetuigingen
worden opgeslagen samen met de informatie over het initiatief;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
2e
|
e) er beveiligingsmaatregelen zijn getroffen om te voorkomen dat ongeoorloofde wijzigingen
kunnen worden aangebracht in de informatie over het initiatief die in het online verzamelsysteem
wordt verstrekt.
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
3
|
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER C),
VAN VERORDENING (EU) 2019/788
|
Niet invullen s.v.p.
|
|
Het systeem waarborgt dat de steunbetuigingen worden ingediend overeenkomstig de gegevensvelden
in bijlage III bij Verordening (EU) 2019/788.
|
S.v.p. het database ontwerp toesturen.
|
|
Het systeem waarborgt dat een persoon alleen een steunbetuiging kan indienen nadat
hij heeft bevestigd dat hij de privacyverklaring van bijlage III bij Verordening (EU)
2019/788 heeft gelezen.
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
en/of schermprint waaruit dit blijkt s.v.p. meezenden.
|
|
|
|
4
|
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER D),
VAN VERORDENING (EU) 2019/788
|
Niet invullen s.v.p.
|
4.1
|
Governance
|
|
4.1.1.
|
De groep organisatoren wijst een beveiligingsfunctionaris aan, die verantwoordelijk
is voor de beveiliging van het systeem en de beveiligde doorgifte van de verzamelde
steunbetuigingen aan de bevoegde instantie van de verantwoordelijke lidstaat. De beveiligingsfunctionaris
ziet toe op de informatieborgingsprocessen en de technische en organisatorische beveiligingsmaatregelen
die waarborgen dat de door de ondertekenaars verstrekte gegevens beveiligd worden
verzameld, opgeslagen en doorgegeven.
|
S.v.p. documentatie meezenden waaruit blijkt wie aangewezen is als beveiligingsfunctionaris
en waaruit zijn/haar taken bestaan.
|
4.1.2.
|
De organisatoren kunnen de in artikel 11, lid 3, van Verordening (EU) 2019/788 bedoelde
nationale bevoegde instantie verzoeken de toepasselijke beveiligingsvoorschriften
en -vereisten voor de certificering van individuele online verzamelsystemen te verstrekken.
De bevoegde instantie verstrekt de beveiligingsvoorschriften en -vereisten in de regel
binnen een maand na de ontvangst van het verzoek. De toepasselijke beveiligingsvoorschriften
en -vereisten moeten in overeenstemming zijn met de gepaste bestaande nationale of
internationale beveiligingsnormen.
|
Niet invullen s.v.p.
|
4.1.3.
|
De beveiligingsvoorschriften en -vereisten voor de certificering van het systeem moeten
betrekking hebben op de in punt 4.2 omschreven risico’s en de specificaties in punt
4.3 in acht nemen.
|
Niet invullen s.v.p.
|
|
|
|
4.2.
|
Informatieborging
|
|
4.2.1.
|
De organisatoren maken gebruik van risicobeheersingsprocessen om de risico’s in kaart
te brengen die verbonden zijn aan het gebruik van hun systemen, onder meer wat de
rechten en vrijheden van ondertekenaars betreft, en om vast te stellen welke passende
en evenredige maatregelen moeten worden getroffen om de gevolgen te voorkomen en te
mitigeren van incidenten die de beveiliging aantasten van de netwerk- en informatiesystemen
die zij bij hun activiteiten gebruiken. Het risicobeheersingsproces richt zich met
name op de risico’s die verband houden met de vertrouwelijkheid en integriteit van
de informatie in het systeem. Deze risico’s kunnen het gevolg zijn van bedreigingen,
en houden onder meer in:
a) gebruikersfouten;
b) fouten van de systeembeheerder/ beveiligingsbeheerder;
c) configuratiefouten;
d) malwarebesmetting;
e) onopzettelijke wijziging van informatie;
f) openbaarmaking van informatie of informatielekken;
g) kwetsbaarheden in de software;
h) ongeoorloofde toegang;
i) onderscheppen of afluisteren van verkeer;
j) risico’s in verband met gegevensbescherming.
|
Niet invullen s.v.p. Zie vragen bij onderdeel 4.2.2.
|
4.2.2.
|
De organisatoren verstrekken documentatie waaruit blijkt dat zij:
|
|
|
a) de risico’s van het systeem hebben beoordeeld;
|
Toelichting: een specifieke methodiek van risicobeoordeling is aanbevolen, maar niet
verplicht. Is er een uitgebreide risico beoordeling uitgevoerd met aandacht voor de
genoemde onderwerpen? Hier s.v.p. aangeven op welke wijze en/of volgens welke methodiek
deze risicobeoordeling is uitgevoerd. Documenten waaruit dit blijkt s.v.p. meezenden.
|
|
b) passende maatregelen hebben vastgesteld om de gevolgen van incidenten die de beveiliging
van het systeem aantasten, te voorkomen en te mitigeren;
|
Zijn deze maatregelen vastgesteld? Documenten waaruit dit blijkt s.v.p. meezenden.
|
|
c) de restrisico’s hebben vastgesteld;
|
Zijn restrisico's bepaald en schriftelijk vastgelegd? Documenten waaruit dit blijkt
s.v.p. meezenden.
|
|
d) de maatregelen hebben uitgevoerd en de uitvoering ervan hebben geverifieerd;
|
Zijn deze maatregelen uitgevoerd? Documenten waaruit dit blijkt s.v.p. meezenden.
|
|
e) hebben voorzien in de organisatorische middelen om informatie te ontvangen over
nieuwe bedreigingen en verbeteringen van de beveiliging;
|
Op welke wijze is hierin voorzien? Documenten waaruit dit blijkt s.v.p. meezenden.
|
|
f) gedurende het hele verzamelproces voldoen aan de certificeringsvoorschriften van
artikel 11, lid 4, van Verordening (EU) 2019/788, en tevens hebben voorzien in de
noodzakelijke processen om dit te waarborgen.
|
Op welke wijze is hierin voorzien en welke processen zijn ingericht om dit te waarborgen?
Documenten waaruit dit blijkt s.v.p. meezenden
|
4.2.3.
|
De maatregelen om de gevolgen van incidenten die de beveiliging van de systemen aantasten,
te voorkomen en te mitigeren, hebben betrekking op de volgende gebieden:
|
Hier s.v.p. aangeven welk normenkader is gebruikt.
|
|
a) beveiliging van het personeel;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
b) toegangscontrole;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
c) cryptografische controles;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
d) fysieke en omgevingsbeveiliging;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
e) operationele beveiliging;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
f) communicatiebeveiliging;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
g) aankoop, ontwikkeling en onderhoud van systemen;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
h) beheer van incidenten op het gebied van informatiebeveiliging;
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
i) naleving.
|
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten
waaruit dit blijkt s.v.p. meezenden.
|
|
De toepassing van deze beveiligingsmaatregelen kan worden beperkt tot slechts die
onderdelen van de organisatie die relevant zijn voor het online verzamelsysteem. De
beveiliging van het personeel kan bijvoorbeeld worden beperkt tot personeelsleden
die fysieke of logische toegang hebben tot het systeem, en de fysieke en omgevingsbeveiliging
kan worden beperkt tot het gebouw of de gebouwen waarin het systeem zich bevindt.
|
Niet invullen s.v.p.
|
4.2.4.
|
Wanneer organisatoren gebruikmaken van een verwerker voor de ontwikkeling of de ingebruikneming
van de online verzamelsystemen of delen daarvan, verstrekken de organisatoren documentatie
om de certificeringsautoriteit in staat te stellen zich ervan te vergewissen dat de
noodzakelijke beveiligingscontroles zijn uitgevoerd.
|
Indien van toepassing s.v.p. documenten toezenden waaruit blijkt dat de noodzakelijke
beveiligingscontroles bij de verwerker zijn uitgevoerd.
|
4.3.
|
Versleuteling van gegevens
|
|
|
Het systeem voorziet als volgt in de versleuteling van de gegevens:
|
Hierna alleen beantwoorden als u i.p.v. OCS een andere applicatie gebruikt.
U dient van de punten a t/m c hierna aan te geven welke maatregelen u getroffen heeft
om te waarborgen dat aan de genoemde punten voldaan wordt. Documenten waaruit dit
blijkt s.v.p. meezenden
|
|
a) persoonsgegevens in elektronische vorm worden versleuteld alvorens te worden opgeslagen
of doorgegeven aan de bevoegde instanties van de lidstaten overeenkomstig Verordening
(EU) 2019/788; het beheer en de back-up van de sleutels geschiedt afzonderlijk;
|
|
|
b) er worden in overeenstemming met de internationale normen (zoals de ETSI-norm)
passende standaardalgoritmen en passende sleutels gebruikt. Er wordt een sleutelbeheer
gevoerd;
|
|
|
c) alle sleutels en wachtwoorden worden beschermd tegen ongeoorloofde toegang.
|
|