Edukoppeling certificering

1. Edukoppeling certificering SAAS-leverancier Onderwijs- instelling Onderwijs- instelling DUO SAAS-leverancier Onderwijs- instelling Edukoppeling Transactie-standaard Aantoonbare maatregelen Certificeringsschema

2. Wat is een certificeringsschema • Normen – inhoudelijke eisen waaraan hetgeen dat je wilt certificeren moet voldoen • Toetsingsschema – eisen die worden gesteld aan de wijze waarop conformiteit met de normen wordt vastgesteld • Accreditatieschema – eisen die worden gesteld aan organisaties die conformiteitstoetsing uitvoeren • Voor nu behoefte aan 1 en 2

3. Certificeren en cloud • Andere schema’s (ISO 27001) zijn te generiek • Geen specifieke ‘best practice’ voor cloud certificering • Uit de sector: Eurocloud / Cloud Security Alliance (CSA) • Onafhankelijk: ENISA, ISACA, … • CSA actueel de dominante standaard

4. Keuze normen • Voor nu kan worden volstaan met een risico-gebaseerde selectie van onderwerpen op basis van door SCA benoemde top-9 risico’s, aangevuld met specifieke eisen voor de Edukoppeling

5. Edukoppelingspecifiek – Onderwerp 1 • De SAAS-leverancier heeft afdoende maatregelen genomen om misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school te voorkomen, denk aan • Geheimhoudingsverklaring • Verklaring omtrent Gedrag • Geïndividualiseerde beheerdersaccounts • Gegevens afgeschermd voor niet-beheerders • Locatiegebonden beheerderstoegang

6. Edukoppelingspecifiek – Onderwerp 2 • De SAAS-leverancier heeft afdoende maatregelen genomen om vermenging van gegevens met die van andere klanten te voorkomen, denk aan: • Scheiding van klantomgevingen • Datascheiding door consistente toepassing van multi-tenant data architecture

7. Edukoppelingspecifiek – Onderwerp 3 • De SAAS-leverancier heeft afdoende maatregelen genomen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal onderzoek en audits te ondersteunen, denk aan: • met welke partij welke gegevens zijn uitgewisseld • door wie (gebruiker of ketenpartner) en wanneer die gegevensuitwisseling is geïnitieerd

8. Edukoppelingspecifiek – Onderwerp 4 • De services waarmee gegevens met andere ketenpartijen worden uitgewisseld, voldoen aan de Edukoppeling standaard, denk aan: • Routering • Autorisatie • Logging • Vertrouwelijkheid / encryptie

9. Edukoppelingspecifiek – Onderwerp 5 • Tussen de SAAS-leverancier en de onderwijsinstelling bestaat een bewerkersovereenkomst zoals bedoeld in artikel 14 WBP.

10. Intensiteit toetsing • ‘Cloud certificatie’ bestaat nog niet • Wel (in toenemende mate): • Individuele audits (rijp en groen) • ISO 27001 certificering • Cloud security self-assessments op basis van CSA (grote providers US, kan snel overslaan)

11. Toepassing • Digitaalaanmelden MBO vanaf 2014 • Facet MBO in 2014/2015 • Studielink (pilot) in 2015 • Doorontwikkelen BRON in 2015 (PO, VO, MBO) • OSO?

12. Certificeringsboard (CB) • Vaststellen schema (= procedure en (baseline) normenkader) • Opdrachtgever BR en BS • Vaststellensancties Beheerder Schema (BS) Behandelen wijzigingsverzoeken Voorbereiden besluitvorming Doorvoeren wijzigingen normenkader Werkgroep (min. 1x per jaar) Opstellenwijzigingsverzoeken Beheerder Register (BR) 1. Beheren certificering 2. Controleren auditors 3. Bijhouden en publiceren register 4. Opleggen sancties 5. Opdrachtgever auditors Auditor 1. Controleren partijen 2. Aanvragen certificering, melden intrekkingen Vaststellen governance, groeipad en scope Witte tekst = huidigesituatie, Grijzetekst = toekomstigesituatie