Baseline Security Guidelines (BSG) - NL


Description
Het doel van de BSG, is om minimale richtlijnen te geven onder de vorm van een gids, voor de implementatie of evaluatie van een informatiebeveiligingsplan. Ze is specifiek gericht op de Belgische overheidssector en zo hulp te bieden aan verwerkingsverantwoordelijken ondersteund door hun directie, maar ook aan beveiligingsadviseurs, gegevens-controleurs, IT-managers etc.
Owning organization
CCB
Validating JSON schema
Creator
License
Creative Commons Zero v1.0 Universal

Definition of the object
{
    "authors": [
        "Koen Van Impe"
    ],
    "label": "Baseline Security Guidelines (BSG)",
    "language": "NL",
    "refs": [
        "https://cyberguide.ccb.belgium.be/nl"
    ],
    "uuid": "4c3c3755-1b24-4ba3-8f49-0942af399669",
    "values": [
        {
            "category": "Veiligheidsbeleid",
            "code": "4.1.1",
            "label": "Een informatiebeveiligingsbeleid hebben dat is goedgekeurd en ondersteund wordt door het management.",
            "uuid": "81a49bfb-6b4c-44d8-8747-229ebc0a9115"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.1",
            "label": "Een risicomanagementsysteem opzetten.",
            "uuid": "0c1aec74-6216-45a0-94a3-5483ed0b6444"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.2",
            "label": "De informatiebeveiliging zal worden geïntegreerd in het projectmanagement (veiligheid per ontwerp 'Security by design') om veiligheids-aspecten zo snel mogelijk te integreren.",
            "uuid": "59bf4006-ef36-43f9-aef2-c37035128cad"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.3",
            "label": "Om kennis te actualiseren en de uitwisseling van informatiebeveiligingstrends te bevorderen, zal het noodzakelijk zijn deel te nemen aan gespecialiseerde fora en gebruikersgroepen die zich bezighouden met informatiebeveiliging.",
            "uuid": "13dd88e7-1755-4556-a97a-702d2df01e62"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.4",
            "label": "Om ervoor te zorgen dat deze organisatorische maatregelen worden uitgevoerd, informeert elke organisatie haar personeel en derden die onder haar verantwoordelijkheid werken.",
            "uuid": "f5ba73fc-4450-4cbb-baba-352e303f2136"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.5",
            "label": "Een informatiebeveiliger met een duidelijk mandaat wordt aangewezen en gemandateerd.",
            "uuid": "099aa548-9a92-4bc1-b73a-7e610d755472"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.6",
            "label": "Een dashboard om het beveiligingsniveau te meten en op te volgen aan de hand van de doelstellingen van de strategie van de organisatie.",
            "uuid": "31943510-7424-45e2-8af3-7832b7d1cee9"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.7",
            "label": "Er zullen een gedragscode en goede praktijken voor het gebruik van informatiesystemen worden ontwikkeld, goedgekeurd en gecommuniceerd.",
            "uuid": "2a490b72-5d50-459a-bf61-08828479e076"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.8",
            "label": "Er zal een informatie- en opleidingsplan worden goedgekeurd.",
            "uuid": "30c0e0e1-b670-4513-9fa3-93f18b3ab345"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.9",
            "label": "Taken en verantwoordelijkheden van de verschillende actoren in de informatiebeveiliging identificeren.",
            "uuid": "32c11810-0de4-4141-af57-31f50f3643e3"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.10_AVG",
            "label": "Een risicomanagementsysteem opzetten voor het beheer van persoonsgegevens.",
            "uuid": "8048b05c-0a0c-46ed-9283-ef807790f286"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.11_AVG",
            "label": "Opzetten en beheren van het AVG verwerkingsregister.",
            "uuid": "b7ee51c3-e305-427f-8214-f5488ddb73e3"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.12_AVG",
            "label": "Een functionaris voor gegevensbescherming (DPO) met een duidelijk mandaat wordt aangewezen en gemandateerd.",
            "uuid": "c168c2aa-16b3-4475-8828-d565e2486f8d"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.13_AVG",
            "label": "Dataprotectie zal worden geïntegreerd in het projectmanagement (gegevensbescherming per ontwerp) om veiligheidsaspecten zo snel mogelijk te integreren.",
            "uuid": "2686475c-8758-483d-be79-e03ecc69c194"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.14_AVG",
            "label": "Om kennis te actualiseren en de uitwisseling van dataprotectietrends te bevorderen, zal het noodzakelijk zijn deel te nemen aan gespecialiseerde fora en informatiekanalen die zich bezighouden met gegevensbescherming.",
            "uuid": "6a70af9b-55d0-4f22-a9f0-92933602f436"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.15_AVG",
            "label": "Om ervoor te zorgen dat de nodige organisatorische maatregelen worden uitgevoerd, informeert elke organisatie haar personeel en derden die onder haar verantwoordelijkheid werken.",
            "uuid": "04384bce-d861-438b-bef9-29d06155f54d"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.16_AVG",
            "label": "Een dashboard om het dataprotectieniveau te meten en op te volgen aan de hand van de doelstellingen van de strategie van de organisatie.",
            "uuid": "5c4754c7-5a19-429c-91a3-7801ea8b70e1"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.17_AVG",
            "label": "Richtlijnen en goede praktijken voor het gebruik van persoonsgegevens worden ontwikkeld, goedgekeurd en gecommuniceerd.",
            "uuid": "6ba6edfa-fa35-450f-a389-042380e0dbdd"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.18_AVG",
            "label": "Er zal een informatie- en opleidingsplan worden goedgekeurd.",
            "uuid": "b275984a-98ff-4bf7-b827-d164766bf046"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.19_AVG",
            "label": "Regels voor de toegang tot gegevens via remote toegang (telewerk) worden bepaald.",
            "uuid": "12815f93-691d-4ba2-a0ab-ccfe52a8d576"
        },
        {
            "category": "Organisatie van beveiliging en data protectie",
            "code": "4.2.20_AVG",
            "label": "De taken en verantwoordelijkheden van de verschillende actoren in de gegevensbescherming identificeren.",
            "uuid": "397482eb-4050-4d6d-84cb-d46a3b5047af"
        },
        {
            "category": "Veiligheid van personeel",
            "code": "4.3.1",
            "label": "Een beleid voor het management van medewerkers (intern en/of extern) zal worden gedefinieerd.",
            "uuid": "f876a183-af81-4cc7-a638-9a242aff2907"
        },
        {
            "category": "Veiligheid van personeel",
            "code": "4.3.2",
            "label": "Arbeidsreglement : er moet een beleid gedefineerd worden dat duidelijk de veranwoordelijkheiden van de organisatie, de interne en externe medewerkers vastlegt wat betreft informatiebeveiling en dataprotectie.",
            "uuid": "dac32519-a68c-4165-b94f-07c34750e3c6"
        },
        {
            "category": "Veiligheid van personeel",
            "code": "4.3.3_AVG",
            "label": "Het beleid voor werknemers (intern en extern) bevat een goede legale en/of contractuele bescherming van de persoonsgegevens.",
            "uuid": "d93def34-8208-4405-aa81-30dcb1e01536"
        },
        {
            "category": "Veiligheid van personeel",
            "code": "4.3.4_AVG",
            "label": "In de aanwervingsprocedure is er voldoende aandacht gespendeerd aan de bescherming van de persoonsgegevens.",
            "uuid": "9fa0d2da-995d-43a9-9e36-390a4eb670a4"
        },
        {
            "category": "Veiligheid van personeel",
            "code": "4.3.5_AVG",
            "label": "Arbeidsreglement bevat onderdelen voor geheimhoudingsplicht en vertrouwelijkheidsovereenkomst.",
            "uuid": "7cd5b472-2845-4563-9532-800d90c9d379"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.1",
            "label": "Er zal een opleidings- en trainingsplan worden gedefinieerd, zodat alle medewerkers van de hele organisatie, zowel intern als extern, de nodige informatiebeveiligingsopleiding krijgen, voor zover relevant voor hun functie, en op geregelde tijdstippen op de hoogte worden gehouden van aanpassingen van de richtlijnen en procedures.",
            "uuid": "7b9cf51b-23db-4e76-90c8-58b6bc085ec1"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.2",
            "label": "Er zal een communicatieplan worden gedefinieerd, zodat alle belanghebbende partijen van de organisatie, zowel intern als extern, de nodige informatiebeveiligingsinformatie ontvangen, voor zover van toepassing, en op geregelde tijdstippen op de hoogte worden gehouden van aanpassingen van de richtlijnen en procedures.",
            "uuid": "d3caa2ec-da72-4ddd-80e8-eefa3bf8a487"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.3_AVG",
            "label": "Vademecum met GDPR terminologie.",
            "uuid": "08acbdbf-94e0-406b-a5cc-23d9e1c3d623"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.4_AVG",
            "label": "Er zal een opleidings- en trainingsplan worden gedefinieerd, zodat alle medewerkers van de hele organisatie, zowel intern als extern, op geregelde tijdstippen de nodige opleiding en training krijgen over AVG en dataprotectie, voor zover relevant voor hun functie, en op geregelde tijdstippen op de hoogte worden gehouden van aanpassingen van de richtlijnen en procedures.",
            "uuid": "fe26c4b4-2489-42d0-8cfd-f4f34c51b7ef"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.5_AVG",
            "label": "Er zal een communicatieplan worden gedefinieerd, zodat alle belanghebbende partijen van de organisatie, zowel intern als extern, de nodige dataprotectie-informatie ontvangen, voor zover van toepassing, en op geregelde tijdstippen op de hoogte worden gehouden van aanpassingen van de richtlijnen en procedures.",
            "uuid": "b2e5e01c-e2d0-4f00-b7ce-2e03183ca93d"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.6_AVG",
            "label": "Een gegevensbeschermingsverklaring die uitlegt welke gegevens verwerkt worden en op welke manier, en hoe ze beveiligd worden.",
            "uuid": "5d69ff7f-a42a-4efb-b9db-66a8623abcbb"
        },
        {
            "category": "Bewustmaking, opleiding, training & communicatie",
            "code": "4.4.7_AVG",
            "label": "Een communicatie procedure voor het uitoefenen van de rechten van betrokkene.",
            "uuid": "f37be6dd-4170-4309-aefd-eed348b4e0e6"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.1",
            "label": "Een inventaris van kernactiva, ongeacht de categorie ervan (informatie, gegevens, transmissie, toepassing, netwerken, processen, systemen etc.).",
            "uuid": "dcc264b0-ca6a-4455-beaf-af32a586dc27"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.2",
            "label": "Er zal een inventaris van informatiesystemen worden bijgehouden.",
            "uuid": "9a749ac1-4cca-4cb8-b4da-67e369512786"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.3",
            "label": "Een procedure voor het beheer van informatiemiddelen, waarbij rekening wordt gehouden met het belang van de gegevens van de organisatie.",
            "uuid": "bbbf99e4-ec62-4483-97ab-2aa976ebeee7"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.4",
            "label": "De regels en beveiligingsmaatregelen voor het gebruik van verwijderbare media definiëren.",
            "uuid": "7791ba79-d8d6-4f1b-86c8-b064a84c4abd"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.5",
            "label": "Beveiligingsmaatregelen voor gevoelige gegevens en informatiesystemen.",
            "uuid": "f5976522-5ba7-4525-8394-f68b28cea22c"
        },
        {
            "category": "Beheer Activa",
            "code": "4.5.6_AVG",
            "label": "De persoonsgegevens zijn voldoende beschermd op basis van de risico analyse.",
            "uuid": "377456e5-e683-4f14-8d83-a1140b6768bb"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.1",
            "label": "Unieke toegang: Duidelijke toegangsregels (beveiligingsmaatregelen, RCA- model) per actief (ruime betekenis) definiëren",
            "uuid": "b1799296-a0af-445c-a3d7-106432a5f2df"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.2",
            "label": "Een register van toegangsbevoegdheden bijhouden en bijwerken.",
            "uuid": "c495ae3b-b020-4f37-b451-893df8350249"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.3",
            "label": "Gebruikers worden goed opgeleid en geinformeerd over hun taken en verantwoordelijkheden.",
            "uuid": "ba68664c-cd76-4935-b345-20ec7151bbad"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.4",
            "label": "Voor elk onderdeel van de inventarisatie (versterkende beveiligingsmaatregelen, rapportage aan een autoriteit) worden de acties gecontroleerd door middel van een logboek, waarvan de toegang beveiligd is en alleen toegankelijk is voor geautoriseerde en geidentificeerde personen.",
            "uuid": "c21d9313-0c6e-4065-9c54-280a3308d0b0"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.5",
            "label": "Toegangscontrole op persoonsgegevens.",
            "uuid": "227fc9a4-6b46-4fbe-94dd-d327c831af08"
        },
        {
            "category": "Toegangscontrole",
            "code": "4.6.6_AVG",
            "label": "Verificatie identiteit van betrokken persoon bij uitoefenen van rechten.",
            "uuid": "9b9e31e3-9593-4923-93ec-8f4720754fe1"
        },
        {
            "category": "Cryptografie",
            "code": "4.7.1",
            "label": "Als er cryptografische maatregelen worden geimplementeerd, zal de organisatie details geven.",
            "uuid": "c71bd225-4f48-4250-9992-aa0abe186a86"
        },
        {
            "category": "Cryptografie",
            "code": "4.7.2",
            "label": "In het algemeen, voor toegang tot essentiële activa, moet per persoon een toegangscode worden gebruikt. Het delen van toegangscodes is niet toegestaan.",
            "uuid": "7642e697-6e0a-4406-8b7f-86d214e38d43"
        },
        {
            "category": "Cryptografie",
            "code": "4.7.3",
            "label": "Sleutelbeheer.",
            "uuid": "827f4a94-9c5f-4b4b-84dc-6ded671f9921"
        },
        {
            "category": "Cryptografie",
            "code": "4.7.4_AVG",
            "label": "Persoonsgegevens worden voldoende beschermd tijdens opslag, transport en gebruik van persoonsgegevens.",
            "uuid": "2dc077f4-3e78-4f14-9c44-036df86e6f78"
        },
        {
            "category": "Fysieke en milieuveiligheid",
            "code": "4.8.1",
            "label": "Beveiligde ruimten.",
            "uuid": "ef81df57-be4b-415d-baef-83ad2dacc8e0"
        },
        {
            "category": "Fysieke en milieuveiligheid",
            "code": "4.8.2",
            "label": "Bescherming van apparaten.",
            "uuid": "f11b09b9-d660-4b9b-8cde-10ab4b5baf45"
        },
        {
            "category": "Fysieke en milieuveiligheid",
            "code": "4.8.3",
            "label": "Clear screen.",
            "uuid": "0d741d71-f9fe-4ab9-aaa9-941b29ecca78"
        },
        {
            "category": "Fysieke en milieuveiligheid",
            "code": "4.8.4",
            "label": "Clear desk beleid.",
            "uuid": "8a1791ba-a987-485e-a48b-1e88a7789b93"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.1",
            "label": "Voor elke asset is er een login & monitoring met melding van incidenten en getroffen beveiligingsmaatregelen.",
            "uuid": "aafa2f2e-3025-416a-abf6-9d530dba7a2a"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.2",
            "label": "Een inventarisatie van de testomgeving.",
            "uuid": "cb31567d-0cf8-4c19-b7e0-841fd27c8d9c"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.1",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Anti-malware/antivirus moet up-to-date zijn.",
            "uuid": "5f30ce78-ae78-461f-b298-129c7431392b"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.2",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Detectiesysteem voor inbraak of onbevoegde of niet-toegelaten software.",
            "uuid": "685869ab-0728-4c1a-82ac-f3b0da34251e"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.3",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Procedures voor het blokkeren/isoleren van anomalieën of niet-geautoriseerde toegang.",
            "uuid": "621a3a62-b90f-4b86-a56d-40f020299ff2"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.4",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Up-to-date hardware & software met pre-testen van nieuwe releases en fall-back-scenario's.",
            "uuid": "1b6889ed-fb66-451c-9cd9-78d802c1416b"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.5",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Incidentmanagement (inclusief communicatie).",
            "uuid": "249fbdf8-395b-4e35-af58-7d209b1585e7"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.6",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Beschikken over back-upprocedures: maken, testen van restauratie.",
            "uuid": "92815303-5986-458e-985b-9990ff26e8c1"
        },
        {
            "category": "Operationele veiligheid",
            "code": "4.9.3.7",
            "label": "De minimale technische maatregelen die voor de architectuur worden genomen, zijn: Beschikken over een procedure met betrekking tot gegevensencryptie.",
            "uuid": "81c71d8c-fdc6-412d-9cca-c7d33089c97f"
        },
        {
            "category": "Communicatiebeveiliging",
            "code": "4.10.1",
            "label": "Bij een beveiligingsmaatregel moet rekening worden gehouden met de beveiliging van de informatieoverdracht om ongeoorloofde toegang tot de infrastructuur en gegevens van de organisatie te voorkomen, ongeacht of deze toegang al dan niet vrijwillig is.",
            "uuid": "7b324ca8-0f09-413b-839e-fea3aa5121af"
        },
        {
            "category": "Communicatiebeveiliging",
            "code": "4.10.2",
            "label": "Rekening houden met de toegankelijkheid die nodig is voor de systemen van de organisatie.",
            "uuid": "a9e65f83-2877-43ab-9189-bc6c5ca654d8"
        },
        {
            "category": "Aankoop, ontwikkeling en onderhoud van informatiesystemen",
            "code": "4.11.1",
            "label": "Stel voor alle informatiesystemen controles in voor acquisitie, ontwikkeling en onderhoud. Er zal bijzondere aandacht worden besteed aan outsourcing, gebruik van cloud-services of aankoop van producten.",
            "uuid": "e3ce304d-a114-4eb7-a9d5-53dbcce5a188"
        },
        {
            "category": "Aankoop, ontwikkeling en onderhoud van informatiesystemen",
            "code": "4.11.2",
            "label": "Logboek bijhouden.",
            "uuid": "27a4961b-a67f-4da7-a5d7-a6d10c529965"
        },
        {
            "category": "Aankoop, ontwikkeling en onderhoud van informatiesystemen",
            "code": "4.11.3",
            "label": "In het logboek worden ook de beveiligingsmaatregelen vermeld waarvoor de nodige maatregelen zijn getroffen.",
            "uuid": "2ad9e3dc-4d58-4bd2-98ee-3907ac749571"
        },
        {
            "category": "Aankoop, ontwikkeling en onderhoud van informatiesystemen",
            "code": "4.11.4",
            "label": "Procedures implementeren om oplossingen up-to-date te houden en te zorgen voor een geteste back-up-beveiligingsmaatregel voor zowel systemen als gegevens.",
            "uuid": "561da413-a109-4108-8e2a-cac5c6edb126"
        },
        {
            "category": "Aankoop, ontwikkeling en onderhoud van informatiesystemen",
            "code": "4.11.5_AVG",
            "label": "Bij aankoop, ontwikkeling en onderhoud van systemen moeten er processen en procedures gebruikt worden die persoonsgegevens beschermen, zowel bij ontwerp als operationeel beheer.",
            "uuid": "747beed5-104d-4f74-a95c-4fbe708b8f5e"
        },
        {
            "category": "Betrekkingen met derden (leveranciers, autoriteiten)",
            "code": "4.12.1",
            "label": "De contracten tussen de partijen bevatten beveiligingsmaatregelen, opgelegd door de organisatie door wet- en regelgeving (inclusief het AVG, Cyber Act) en die de elementen van controle en toetsing bevatten.",
            "uuid": "3e9d3ded-9f04-44fb-b7fd-9224bdab9ee8"
        },
        {
            "category": "Betrekkingen met derden (leveranciers, autoriteiten)",
            "code": "4.12.2",
            "label": "Bij gebruik van cloud-computing-diensten worden de nodige beveiligingsmaatregelen ingezet die nodig zijn voor de organisatie.",
            "uuid": "0f14c5b8-8a91-4d6f-9ab2-b6456270e43e"
        },
        {
            "category": "Betrekkingen met derden (leveranciers, autoriteiten)",
            "code": "4.12.3_AVG",
            "label": "Erop toezien de relaties met leveranciers en met de autoriteiten te definiëren.",
            "uuid": "738ad217-4c42-4d69-82d5-dc550114d51b"
        },
        {
            "category": "Gecoördineerd bekendmakingsbeleid van kwetsbaarheden (CVDP)",
            "code": "4.13.1",
            "label": "Een CVDP opstellen en onderhouden.",
            "uuid": "55efb31d-8362-45f8-9e1b-2a1e5dba575c"
        },
        {
            "category": "Gecoördineerd bekendmakingsbeleid van kwetsbaarheden (CVDP)",
            "code": "4.13.2",
            "label": "Zowel voor interne als externe medewerkers en betrokken personen moet er een procedure bestaan die het mogelijk maakt om verdachte activiteiten te rapporteren.",
            "uuid": "e9978bb5-26a5-491e-99d6-9f85c674ed03"
        },
        {
            "category": "Gecoördineerd bekendmakingsbeleid van kwetsbaarheden (CVDP)",
            "code": "4.13.3_AVG",
            "label": "Kennisgeving aan de toezichthoudende autoriteit van een inbreuk op persoonsgegevens",
            "uuid": "a144e735-7e53-4f62-8078-aa9b60675566"
        },
        {
            "category": "Incident management",
            "code": "4.14.1",
            "label": "Een Incident Management Plan dat de taken en verantwoordelijkheden omvat.",
            "uuid": "781fb42c-a5d0-4b51-8ded-a5c81e61baac"
        },
        {
            "category": "Incident management",
            "code": "4.14.2",
            "label": "Elk incident zal worden geanalyseerd om de relevantie van nieuwe beveiligings- maatregelen te evalueren.",
            "uuid": "04abda3c-6b69-4b30-819b-3e2106bf9fea"
        },
        {
            "category": "Incident management",
            "code": "4.14.3_AVG",
            "label": "Een Incident Management Plan dat de taken en verantwoordelijkheden omvat die de behandeling van inbreuken op persoonsgegevens regelt.",
            "uuid": "4333cba2-7c00-4301-9b5b-0d1b3220b28f"
        },
        {
            "category": "Incident management",
            "code": "4.14_4_AVG",
            "label": "Kennisgeving aan de toezichthoudende autoriteit van een inbreuk op persoonsgegevens.",
            "uuid": "ade66b8c-0eeb-41b9-b4d6-6df1d20aa826"
        },
        {
            "category": "Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer",
            "code": "4.15.1",
            "label": "Voor kritieke systemen of gevoelige gegevens die nodig zijn voor de continuïteit van de organisatie wordt een continuïteitsplan opgesteld.",
            "uuid": "bd3de39d-00f7-4e0f-b693-a0b2d24f7fe1"
        },
        {
            "category": "Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer",
            "code": "4.15.2",
            "label": "Onderhoud van het continuïteitsplan.",
            "uuid": "c6ca06f6-db7b-4721-8de9-091c08db4b94"
        },
        {
            "category": "Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer",
            "code": "4.15.3",
            "label": "Beschermingssysteem dat de confidentialiteit, integriteit en beschikbaarheid van de bedrijfs- en persoonsgegevens garandeert.",
            "uuid": "59b65555-9e9a-489c-b109-fb5a1df18d21"
        },
        {
            "category": "Naleving en opvolging wet- en regelgeving",
            "code": "4.16.1",
            "label": "Naleving van wet- en regelgeving.",
            "uuid": "972b19e7-f686-40ba-abb6-6fb7b21da61c"
        },
        {
            "category": "Naleving en opvolging wet- en regelgeving",
            "code": "4.16.2",
            "label": "Elke organisatie zal erop toezien de relaties met leveranciers en met de autoriteiten te definiëren.",
            "uuid": "64a3b31e-789c-4663-b6ab-743e226ab946"
        },
        {
            "category": "Naleving en opvolging wet- en regelgeving",
            "code": "4.16.3_AVG",
            "label": "Opvolging van wetgeving en advies die door de betrokken autoriteiten worden uitgevaardigd of aangepast.",
            "uuid": "d41c4056-4595-4325-84f9-10a284a1a530"
        },
        {
            "category": "Evaluatie en controle van de beveiligingsmaatregelen",
            "code": "4.17.1",
            "label": "Elke organisatie organiseert op geregelde tijdstippen een evaluatie van de maatregelen.",
            "uuid": "2a14a2ac-8469-4ee7-a12e-ca6b5aea5562"
        }
    ],
    "version": 2
}