Beveiligingsplan

Uit Help
Ga naar:navigatie, zoeken

Agentschap Telecom & Opta

Bij het agentschap Telecom wordt streng toezicht gehouden op het gebied van dataretentie, dataopslag, data vernietigingen en tapverplichtingen. Het agentschap heeft een hele goede checklist over alles waaraan je als telecom leverancier moet voldoen. Hieronder behandelen we de basiszaken. De checklist is opvraagbaar bij het agentschap.

Dataretentie

Standaard slaat het IP platform alle inbound en alle outbound data van al onze relaties op. De gegevens worden redundant weggeschreven in twee database servers die fysiek van elkaar gescheiden zijn. Beide DB servers hebben twee harde schijven en twee voedingen om te garanderen dat de data altijd correct opgeslagen wordt er bewaard blijft.

Toegang tot CDR's

Iedere login op het het IP platform systeem heeft bepaalde rechten. Het kan zijn dat deze rechten toegang geven tot de CDR's van een partner en- of een cliënt. Partners van het IP platform zijn zelf verantwoordelijk voor het beveiligen van deze login gegevens. Het systeem kan gebruikers uitloggen indien deze langer dan 10 minuten niet actief zijn geweest, mits dit vinkje "aan" staat in het IP platform. Bij het aanmaken van een nieuwe gebruiker staat dit vinkje standaard uit in verband met de usability van het systeem.

Wij raden aan om computers van gebruikers automatisch op schermbeveiliging met wachtwoord te laten gaan na 10 minuten van inactiviteit. Tevens raden we aan om wachtwoorden niet op te laten slaan door de browser.

Vernietigen

Alle data van inkomende & uitgaande gesprekken wordt na één jaar geanonimiseerd (laatste 5 cijfers van een telefoonnummer worden vervangen door *****). Behalve als een cliënt via de webinterface aangeeft dat hij de data volledig wil behouden.

Tapverplichting

De tapverplichting wordt door middel van een contract/SLA overgedragen aan de operators waarmee wij zaken doen. Bij een tap verzoek worden de basisgegevens van deze tap aan de beheerders van het IP platform doorgegeven. Deze gegevens worden gelogd. De gegevens zijn voor partners die onder eigen naam factureren jaarlijks op te vragen.

Uitdiensttreding

Bij uit dienst treding van een medewerkers is een partner van het IP platform verplicht de inlog gegevens van deze gebruiker direct te vernietigen!

Tap of retentie verzoeken

Ondanks dat de tapverplichting & retentie is overgedragen aan de operators kan er een tapverzoek binnen komen. Voor dit tapverzoek is een speciaal faxnummer actief. Dit faxnummer is gekoppeld aan een fax naar email account. Verzoeken die hierop binnen komen dienen alleen door medewerkers te worden ingezien die beschikken over een verklaring goed gedrag.

Nadat een verzoek is binnengekomen wordt deze afgedrukt en de bron email wordt vernietigd. De datum van binnenkomt wordt op het document geschreven en de datum van overdracht wordt op het document geschreven. Het unieke kenmerk, de behandelaar, de datum van ontvangst en de datum van overdracht worden gelogd in het systeem.

Nadat de data op het document zijn gezet gaat deze op de fax naar de operator waar het nummer actief is. Als deze bevestigd dat hij het document heeft ontvangen vindt er terugkoppeling naar de juiste instanties plaats over de overdracht. De bevestiging wordt bewaard en de datum, tijd en contactpersoon voor de overdracht worden bijgeschreven in het log. Vervolgens wordt het verzoek vernietigd.

Verklaring Omtrent Gedrag

Er zijn twee varianten om een VOG aanvraagformulier in te vullen: Variant 1 is wanneer de bestuurder/ directeur de VOG voor een medewerker aanvraagt:

Variant 1

Doel (B.2): werkrelatie
Screening (B.3): Nee
Functiegebieden (B.4): 11, 12, 13, 14, 41
Bijzondere omstandigheden (B.5): Ja, toelichting:
Uitvoering bij bevel voor opnemen van telecommunicatie als opgenomen in de Telecommunicatiewet
(aftappen) en verstrekken van gegevens.

Artikel 4, tweede lid Besluit beveiliging gegevens telecommunicatie luidt: De aanbieder draagt er zorg voor dat aan de uitvoering van de in artikel 13.2, eerste en tweede lid, van de wet (lees Telecommunicatiewet) bedoelde bevoegd gegeven bijzondere last en de in 13.4, eerste en tweede lid, van de wet (lees Telecommunicatiewet) neergelegde verplichting tot het verstrekken van informatie in andere gevallen dan in het belang van de veiligheid van de staat, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag als bedoeld in de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag hebben overlegd."

Het schuin gedrukte gedeelte kan worden toegevoegd als bijlage, de invul ruimte is nogal beperkt.

Variant 2

Variant 2 is wanneer de bestuurder/ de directeur de VOG voor zichzelf aanvraagt: 

Doel (B.2): overig, Omschrijving (C): Uitvoering bij bevel voor opnemen van telecommunicatie als opgenomen in de Telecommunicatiewet (aftappen) en verstrekken van gegevens Met als bijlage het schuin gedrukte gedeelte uit het kader hierboven.
Screening (B.3): Nee
Functiegebieden (B.4): 11, 12, 13, 14, 41
Bijzondere omstandigheden (B.5): Nee

Het verschil tussen variant 1 en 2 zit dus in B.2, het doel van de aanvraag en B.5 bijzondere omstandigheden. Bij meerdere bestuurders kan de ene bestuurder de VOG voor de andere bestuurder aanvragen met variant 1.

Toezicht

Een partner van het IP platform dient voor zichzelf een contactpersoon aan te wijzen die toezicht houdt op de uitvoering en naleving van de beveiligings maatregelen. Deze persoon dient te beschikken over een VOG. Naam, functie, frequentie van controles en uitkomst van controles dienen vast gelegd te worden.

Overgenomen van "https://wiki.verbonden.nl/index.php?title=Beveiligingsplan&oldid=10425"
;