removed emoji from filenames, Obsidian changed all relevant links

Clients/Humankind/241204 Acties uit Risico inventarisatie Humankind.csv

@@ -0,0 +1,82 @@
+Paragraaf;Gebied;Kwetsbaarheid;Risico's;B;V;I;Actie;Urgentie;Belang;Actiehouder;Opmerkingen
+2,1;Toegangsbeheer;Onvolledige implementatie MFA op gebruikersaccounts;Toegang door onbevoegden;;X;;2.1.1 Monitoren voortgang;Laag;Hoog;;Uitrol over de PM-accounts  wordt afgerond in Q1 2025
+;;;;;X;;2.1.2 Instellen her-autenticatie op onbekende locaties;Midden;Midden;;
+;;;;;X;;2.1.3 Implementeren biometrische autenticatie;Laag;Laag;;
+;;;;;;;;;;;
+2,2;Toegangsbeheer;User provisioning op de Microsoft omgeving vanuit Mercash;Toegang door onbevoegden, Uitsluiting van bevoegden, Vervuiling van registraties, Onterechte licentiekosten;X;X;X;2.2.1 Identificeren van assets waartoe op deze wijze toegang wordt verleend;Hoog;Hoog;;
+;;;;X;X;X;2.2.2 Periodiek monitoren resultaten script;Midden;Hoog;;
+;;;;X;X;X;2.2.3 Opstellen rechten & rollen matrix;Hoog;Hoog;;
+;;;;X;X;X;2.2.4 Beleid op beheer R&R matrix;Midden;Hoog;;
+;;;;;;;;;;;
+2,3;Toegangsbeheer;Inconsistenties tussen Active Directory (AD) and EntraID;Toegang door onbevoegden;;X;;2.3.1 Review van de policies in de Active Directory (AD) en EntraID;Hoog;Hoog;;
+;;;;;X;;2.3.2 Beleid opstellen voor wachtwoordexpiratie en autenticatie;Hoog;Hoog;;
+;;;;;X;;2.3.3 Implementeren van het beleid voor wachtwoordexpiratie en autenticatie ;Hoog;Hoog;;
+;;;;;X;;2.3.4 ('Migratiepad' opgenomen bij 5.1 SaaS applicaties);;;;
+;;;;;;;;;;;
+2,4;Toegangsbeheer;Beperkt zicht op beheeraccounts op verschillende omgevingen;Toegang door onbevoegden;;X;;2.4.1 Beheeraccounts in kaart brengen;Hoog;Hoog;;Welke beheeraccounts zijn er, welke rechten die geven, wie er van gebruik maken, en waarom dat nodig is.
+;;;;;X;;2.4.2 Overbodige accounts afsluiten;Hoog;Hoog;;
+;;;;;X;;2.4.3 Beheeraccounts afdoende beveiligen;Hoog;Hoog;;
+;;;;;X;;2.4.4 Beleid formuleren voor beheeraccounts;Midden;Hoog;RK;
+;;;;;;;;;;;
+2,5;Toegangsbeheer;Locatie accounts;Toegang door onbevoegden;;X;;2.5.1 Uitzoeken tot welke omgevingen/assets locatieaccounts toegang krijgen;Hoog;Hoog;;
+;;;;;X;;2.5.2 Uitzoeken of ex-medewerkers toegang kunnen krijgen met een locatieaccount;Hoog;Hoog;;
+;;;;;X;;2.5.3 Beleid opstellen voor autenticatie op locatieaccounts;Hoog;Hoog;;
+;;;;;X;;2.5.4 Implementeren van het beleid voor autenticatie op locatieaccounts;Hoog;Hoog;;
+;;;;;;;;;;;
+2,6;Toegangsbeheer;Decentrale toegangsverlening voor SaaS applicaties;Toegang door onbevoegden;;X;X;2.6.1 In kaart brengen door wie, en op welke gronden, rechten toegekend worden in de verschillende applicaties;Laag;Midden;;
+;;;;;;;2.6.2 In kaart brengen welke mogelijkheden de verschillende applicaties bieden in hun rechtenstructuur;Laag;Midden;;
+;;;;;;;2.6.3 Opstellen van een overkoepelend beleid voor de toekenning van rechten volgens het ‘least privilege / need to know’ principe;Laag;Midden;RK;
+;;;;;;;2.6.4 Opstellen van beleid per applicatie, congruent met het overkoepelende beleid;Laag;Midden;RK;
+;;;;;;;;;;;
+3,1;Toegangsbeheer;Gast accounts op Teams/SharePoint;Toegang door onbevoegden;;X;;3.1.1 Instellen dat alleen medewerkers van Humankind gastgebruikers mogen aanmaken;Hoog;Hoog;;
+;;;;;X;;3.1.2 Instellen van automatische expiratie op gast accounts;Hoog;Hoog;;
+;;;;;X;;3.1.3 Instellen van beperkt geldigheid van invite/share links;Hoog;Hoog;;
+;;;;;X;;3.1.4 Beleid opstellen voor het beheren van Teams groepen en SharePoint sites;Midden;Hoog;RK;m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
+;;;;;;;;;;;
+3,2;Omgang met vertrouwelijke informatie;‘Data sharing options’ in Teams;Toegang door onbevoegden, datalekken;;X;;3.2.1 Uitzetten van Teams data sharing naar services buiten het beheer van Humankind;Midden;Midden;;
+;;;;;;;;;;;
+3,3;Omgang met vertrouwelijke informatie;Geen regels voor het classificeren van data;Toegang door onbevoegden, datalekken;;X;;3.3.1 Dataclassificatie opstellen;Midden;Hoog;RK;
+;Omgang met vertrouwelijke informatie;Geen regels voor de omgang met geclassificeerde data;;;X;;3.3.2 Beleid formuleren t.a.v. omgang met vertrouwelijke informatie;Laag;Hoog;RK;M.n. SharePoint, Teams en Outlook
+;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;;X;X;;3.3.3 ('Beleid opstellen' opgenomen bij 5.2 Ongemandateerde SaaS applicaties;Midden;Hoog;RK;
+;;;;;;;;;;;
+3,4;Omgang met vertrouwelijke informatie;Data uit Beaufort op SharePoint;Toegang door onbevoegden, datalekken;;X;;3.4.1 Onderzoeken of Beaufort data voldoende beveiligd is;Hoog;Hoog;;
+;;;;;X;;3.4.2 Onderzoeken of online toegang tot Beaufort data noodzakelijk is;Hoog;Hoog;;
+;;;;;X;;3.4.3 Beaufort data verplaatsen naar een beter beveiligde omgeving indien nodig;Hoog;Hoog;;
+;;;;;;;;;;;
+3,5;Omgang met vertrouwelijke informatie;Onbeveiligd printen;Toegang door onbevoegden, datalekken;;X;;3.5.1 Bepalen praktische implementatie voor beveiligd printen;Midden;Hoog;;Standaard aan, of met keuze 'gevoelige informatie'
+;;;;;X;;3.5.2 Beveiligd printen implementeren;Midden;Hoog;;
+;;;;;;;;;;;
+4,1;Device management;Geen EDM op Apple devices;Compromitering van assets;X;X;;4.1.1 Uitzoeken hoe EDM toegepast kan worden op Apple devices;Midden;Midden;;
+;;;;;;;4.1.2 Implementeren EDM op Apple devices;Midden;Midden;;
+;;;;;;;;;;;
+4,2;Netwerkbeveiliging;Onbekende devices op Humankind netwerk;Toegang tot netwerken;;X;;4.2.1 Ilionx vragen of onbekende devices toegang kunnen krijgen tot de Humankind services;Laag;Midden;;en zo ja, of er indicaties zijn dat dit gebeurt
+;;;;;;;;;;;
+5,1;Toegangsbeheer;SaaS applicaties zonder SSO en/of MFA;Verhoogde kwetsbaarheid voor hacking/phishing attacks;X;X;X;5.1.1 Implementeren gebruik Password manager;Hoog;Hoog;;
+;;;;X;X;X;5.1.2 Uitzoeken welke applicaties aan EntraID SSO gekoppeld kunnen worden;Hoog;Hoog;;Via dit mechanisme MFA afdwingen
+;;;;X;X;X;5.1.3 Uitzoeken welke applicaties voorzien in een eigen MFA mechanisme en hiervan gebruik maken.;Hoog;Hoog;;
+;;;;X;X;X;5.1.4 Opstellen van een migratiepad van de verschillende applicaties naar EntraID (of alternatief);Hoog;Hoog;;
+;;;;X;X;X;5.1.5 Onderzoeken of aanvullende maatregelen nodig en mogelijk zijn voor de resterende applicaties;Hoog;Hoog;;
+;;;;;;;;;;;
+5,2;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;Datalekken, verlies van toegang;X;X;;5.2.1 Beleid opstellen en communiceren voor het gebruik van niet door Humankind beheerde software en services;Midden;Hoog;RK;
+;;;;;;;;;;;
+6,1;Bedrijfscontinuïteit;Geen incident response procedure en herstelplan;Verlies van productiviteit en data;X;;;6.1.1 Uitvoeren van een  Business Impact Analyse ;Hoog;Hoog;RK;
+;;;;;;;6.1.2 Opstellen van een Incident Response & Recovery Procedure;Hoog;Hoog;RK;
+;;;;;;;;;;;
+6,2;IKC;Dienstverlening aan partners in IKC’s;Datalekken, aansprakelijkheid;;;;6.2.1 Onderzoeken van welke infrastructuur en services van Humankind externe partijen gebruik maken;Laag;Midden;;
+;;;;;;;6.2.2 In kaart brengen randvoorwaarden en technische/juridische risico's;Laag;Midden;;
+;;;;;;;;;;;
+6,3;Overnames;Risico's bij overnames;Verborgen / onbekende risico's;X;X;X;6.3.1 Opstellen methode voor InfoSec due dilligence;Midden;Hoog;;
+;;;;;;;;;;;
+6,4;Leveranciersmanagement;Afhankelijkheid van Ilionx;Continuiteit;;;;6.4.1 Borgen kwaliteit van dienstverlening;;;;
+;;;;;;;;;;;
+6,5;Leveranciersmanagement;Gebrek aan toegang tot logs of monitoring tools;Geen inzage in performance / compliance;;;;6.5.1 Noodzaak / wenselijkheid bepalen;Midden;Hoog;;
+;;;;;;;6.5.2 Afstemmen met Ilionx;Midden;Hoog;;Na opstellen basis informatiebeveiligingsbeleid 
+;;;;;;;;;;;
+6,6;Communicatie;Beperkte informatiedeling over security issues en initiatieven;;;;;6.6.1 Interne communicatie over security issues en initiativen verbeteren;;;FW;
+;;;;;;;;;;;
+;;;;;;;;;;;
+;;;;;;;;;;;
+;;;;;;;;;;;
+;;;;;;;;;;;
+;;ROADMAP;;;;;;;;;
+;;FIT/GAP;;;;;;;;;

Clients/Humankind/Aanbiedingen van leveranciers pentest Humankind.md

@@ -0,0 +1,22 @@
+
+### EightFence
+Heeft zich teruggetrokken nadat ze zich realiseerden dat Ilionx in dezelfde branche opereerde als zijzelf, en vanwege de verstoorde relatie tussen Humankind en Ilionx.
+![](EightFence%20intakeformulier%20BLANCO.docx)
+![](EightFence%20intakeformulier%20240808.docx)
+
+## Securesult
+[](Securesult%20Presentatie-HumanKind_kort.pdf)
+[](Securesult%20Voorstel%20nulmeting%20en%20analyse%20leveranciersdiensten%20v1.0.pdf)
+
+## NFIR
+[](NFIR%20pentest%20presentatie.pdf)
+[](NFIR%20Pentest%20-%20Voorbeeld%20Rapportage%20Webapplicatie%20-%202024-06-11%20(2).pdf)
+[](NFIR%20Penetration%20Testing%20Execution%20Standard%20(PTES)%20(4).pdf)
+[](NFIR%20CIS%20Critical%20Security%20Controls_v8.pdf)
+[](NFIR%20BV_Vrijwaringsverklaring_Humankind_20241023.pdf)
+[](NFIR%20BV_Offerte%20CIS%20Controls_Humankind_20241009.pdf)
+[](NFIR%20BV_Offerte%20Pentest_Humankind_20241023.pdf)
+
+## Vergelijking
+![](Vergelijking%20presentaties%20pentest%208%20oktober%202024.xlsx)
+

Clients/Humankind/Actielijst Risico inventarisatie Humankind.md

@@ -0,0 +1,58 @@
+![](241204%20Acties%20uit%20Risico%20inventarisatie%20Humankind.csv)
+
+Acties liggen voor nu (12 december 2024) op het vlak van beleidsvorming.
+
+## Scope o.b.v. risico inventarisatie
+- Dataclassificatie en omgang met geclassificeerde data (Actielijst 3.3)
+- Beheer van van Teams groepen en SharePoint sites (Actielijst 3.1) – m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
+- Toegangsverlening tot SaaS applicaties (Actielijst 2.6)
+- Beheer van admin-accounts op de verschillende applicaties en omgevingen (Actielijst 2.4)
+- Richtlijnen voor gebruik van niet-gemandateerde software (Actielijst 5.2)
+- Bedrijfscontinuïteit: BIA, IRP/DRP (Actielijst 6.1)
+
+## Aanpak
+
+**Starten met de basis: Dataclassificatie en omgang met gevoelige gegevens**
+
+Zie wellicht ook  [architectuurdocument](OrgFit%20Architectuurprincipes%20Humankind.md)
+
+1. Vaststellen van de verschillende niveaus o.b.v. impact op continuïteit, financiën, reputatie en compliance (wet- en regelgeving, intern beleid).
+	- [ ] Richard, met Insiyah en Francis 3.3.1  3.3.2  WEEK3
+2. identificeren van voorbeelden van geclassificeerde informatie binnen Humankind
+	- Voorbeelddocumenten verzamelen aan de hand van de ORGfit Informatiematrix en evt. screenshots van de belangrijkste applicaties
+		- [ ] Gaston (voorbeelddocumenten) WEEK 6
+	- Toekennen van classificatie (in overleg)
+		- [ ] Richard doet voorzet WEEK 7
+	- opstellen van algemene richtlijnen per classificatieniveau (voor gebruik, opslag, delen en verwijderen van informatie)
+		- [ ] *stelt Richard in algemeenheid op* SESSIE WEEK 8
+3. vertalen in richtlijnen voor de verschillende applicaties en devices, te beginnen met Teams, SharePoint en de belangrijkste applicaties
+	- Afstemmen met de FuBe’s en IT consultants, ook voor draagvlak
+4. Voorstel opleveren en besluit nemen
+5. Voorstel voor borgen van het beheer in de organisatie
+
+**Toegangsverlening tot SharePoint, Teams en SaaS applicaties**
+
+1. Definiëren van de verschillende rollen m.b.t. informatie (data owner, data steward, applicatiebeheerder, IT beheerder, eindgebruiker) en hun taken/verantwoordelijkheden
+	- [ ] Overkoepelend afspreken met Mendy, Roxanne obv architectuurprincipes uit governance werkgroep van Beter Sturen
+2. Bepalen ‘need to know’ en ‘need to edit’ voor de verschillende gegevensverzamelingen i.r.t. het functiehuis van Humankind (update van de ORGfit Informatiematrix?)
+3. Bepalen van de noodzakelijke _beheersrechten_ op systemen (‘least privilege’)
+4. Toewijzen van de informatie-rollen aan functies/rollen binnen Humankind
+5. Voorstel voor borgen van het beheer in de organisatie
+
+**Richtlijnen voor gebruik van niet-gemandateerde software**
+- Op basis van best practices
+- Definiëren wat gemandateerde software is (white listing),
+- Ophalen welke niet gemandateerde software gebruikt worden (via Ilionx)
+- [ ] Tom levert lijst aan met white listing software 
+- [ ] Richard levert lijst van Universiteit van Leiden als voorbeeld. 
+- [ ] Richard neemt tablet-beleid van Mediawijsheid mee in beleid 
+- [ ] Gaston zoekt op wat er al is op het gebied van Mediabeleid (youtube etc)
+
+**Bedrijfscontinuïteit**
+- Business Impact Analyse: organiseren workshop
+	- [ ] Deelnemers workshop nodig
+	- [ ] Francis vraagt : Is er al een impactanalyse voor de accountant? Back-up en recovery?
+	- [ ] Plannen en uitnodigen workshop door Gaston, ondersteunt door Francis: Business controller, AMP, Manager finance &control, regiodirecteur, FB kidsvison, FB ouderapp, FB Mercash, Manager Faciltair, Manager IM, Manager HR,
+	- [ ] Afstemmen met directeur bedrijfsvoering voor akkoord.
+- Disaster Recovery Procedure: organiseren workshop
+	- [ ] Vervolg op eerdere workshop, plannen na de eerste.

Clients/Humankind/Autorisatiematrix HK.md

@@ -0,0 +1,57 @@
+# Voorstel aanpak Toegangsbeleid applicaties
+
+## Uitgangspunten
+Binnen Humankind verwerken we grote hoeveelheden informatie in veel verschillende applicaties (bij een recente telling zaten we op ongeveer 85 verschillende). Een aanzienlijk deel van die informatie is vertrouwelijk en privacy gevoelig. Daarom is het van belang dat toegang tot vertrouwelijke informatie beperkt wordt tot de mensen die de informatie nodig hebben. Dit is het 'need to know' principe. De achterliggende gedachte is simpel: hoe meer mensen een 'geheim' weten, des te groter de kans dat het uitlekt. 
+
+Het is ook verstandig om mensen niet méér rechten te geven in applicaties dan nodig is. De integriteit van informatie loopt gevaar als rechten te breed gesteld zijn – denk aan het wijzigen van salarisgegevens, het goedkeuren van inkoopfacturen, of het toevoegen of verwijderen van gebruikers in een systeem. Dit is het 'least privilege' principe.
+
+Deze twee principes vormen de basis voor het toegangsbeleid van Humankind. Vanuit deze principes bouwen we een 'Rechtenmatrix', waarin is vastgelegd welke informatie toegankelijk moet zijn voor welke functies en rollen.
+
+**Reikwijdte**
+Deze aanzet tot beleidsvorming richt zich vooral op de verschillende SaaS applicaties. De rechtenmatrix voor de Microsoft omgeving (w/o SharePoint) is onderdeel van het project van Data4.
+
+**Noodzaak**
+Het is voor de afdeling Informatiemanagement praktisch onuitvoerbaar om het rechtenbeheer te voeren over alle applicaties die binnen Humankind gebruikt worden. Daarom is het beheer van rechten voor applicaties buiten de Microsoft omgeving gedelegeerd aan de Functioneel Beheerders. Vanuit het oogpunt van informatiebeveiliging is het verstandig als ze hiervoor duidelijke richtlijnen kunnen volgen, die beleidsmatig zijn vastgesteld.
+
+## Opbouwen van de rechtenmatrix
+
+De eerste stap is te kijken naar de verschillende functies/rollen in de organisatie, en welke informatie er nodig is om de bijbehorende werkzaamheden goed uit te voeren. Daarna bepaal je welke rechten iemand nodig heeft op de verschillende applicaties die hij/zij bij zijn/haar werk moet gebruiken.
+
+Uitgangspunten daarvoor zijn:
+- het Functieboek van Management en Organisatie
+- het Processenhuis uit het programma Beter Sturen, waarin per afdeling is vastgelegd welke processen er worden aangestuurd en uitgevoerd
+
+Stappen:
+1. Bekijk per functie uit het Functieboek, welke werkzaamheden daarbij horen (het Processenhuis kan daarbij helpen)
+2. Bepaal op basis van de werkzaamheden welke gegevens *minimaal* nodig zijn om ze uit te voeren ('need to know'), en uit welke applicaties die gegevens moeten komen
+3. Bepaal welke rechten in ieder systeem nodig zijn, om het werk dat bij de functie hoort te kunnen uitvoeren.
+
+Om de rechten in te delen, kun je een zgn. BREAD matrix[^1] maken. De letters staan voor:
+
+- **Browse**: overzichten bekijken, maar niet de details (denk aan personeelsoverzichten, maar niet de gegevens van individuen, vaak om privacy-redenen )
+- **Read**: bekijken of inzien, ook van details
+- **Edit**: wijzigen
+- **Add**: invoeren of aanmaken
+- **Delete**: verwijderen
+
+Evt. Execute / Approve toevoegen.
+
+Soms zul je er nog een opmerking bij moeten zetten, bijv.: 'Alleen voor zijn/haar locatie'.
+
+Je komt dan uit op tabellen als hieronder (bijvoorbeeld):
+
+![](CleanShot%202025-06-02%20at%2016.36.31.png)
+
+Wat er boven de kolommen staat, kan ws. het best bepaald worden door de functioneel beheerders, omdat zij weten hoe de applicatie is ingericht.
+
+## Vervolg
+
+Ik stel voor:
+- de bovenstaande uitgangspunten en aanpak beschrijven als beleidsstuk (ter goedkeuring door de juiste personen) – daarin moet ook het proces beschreven worden voor het uitdelen en ontnemen van rechten, en een steekproefsgewijze periodieke controle of rechten in de applicaties overeenkomen met de matrix.
+- de matrix opstellen en invullen, samen met de functioneel beheerders van de verschillende applicaties.
+
+[^1]: Dit is een variant op de CRUD matrix; ik vind de begrippen uit BREAD aansprekender voor niet-technische mensen.
+
+
+
+![](Voorbeeld%20BREAD%20CRUD%20matrix.xlsx)

Clients/Humankind/BIA en DRP Sessies HK.md

@@ -0,0 +1,29 @@
+# BIA en DRP Sessies Humankind
+
+Gebaseerd op:
+- [BIA Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/BIA%20Workshop.md)
+- [DRP Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/DRP%20Workshop.md)
+
+## Uitnodiging (via Gaston)
+We zijn belangrijke stappen aan het zetten in het inrichten van onze informatiebeveiliging. Zo hebben we in de afgelopen maanden een pentest laten uitvoeren, hebben we een risico-inventarisatie gedaan, en zijn we de belangrijkste punten daaruit aan het opvolgen.
+
+Eén van de aandachtspunten is het opstellen van een Bedrijfscontinuïteitsplan: stel dat er nou toch iets mis gaat op ICT gebied, hoe kunnen we er dan voor zorgen dat de bedrijfsvoering er zo min mogelijk last van heeft, en hoe komen we zo snel mogelijk terug naar de normale situatie.
+
+We hebben Richard Kranendonk gevraagd ons te helpen een eerste versie van zo'n plan op te stellen. Dat doen we in de vorm van een aantal besprekingen met een workshop-achtig karakter om te bepalen welke systemen het belangrijkst zijn voor de verschillende bedrijfsfuncties, en hoe we eventuele uitval zouden kunnen ondervangen.
+
+## Mail met korte uitleg
+Wat kun je verwachten?
+
+Binnen het project informatiebeveiliging kijken we ook naar de beschikbaarheid van systemen, en welke impact het op bedrijfsprocessen heeft als een systeem uitvalt (vandaar de term Business Impact Analyse). Dat helpt ons om noodplannen op te stellen voor als zich grote storingen voordoen. 
+
+Dat wil ik ook met jullie doen voor <processen/afdelingen>.
+
+Je hoeft niets voor te bereiden.
+
+## Resultaten interviews
+
+![](BIA%20HK.xlsx)
+
+
+
+

Clients/Humankind/Bedrijfscontinuïteitsplan Humankind.md

@@ -0,0 +1,27 @@
+[template doc](../../Corpus/📚️%20Literature%20notes/BCP_Bedrijfscontinuïteitsplanning.md)
+
+Bedrijfscontinuïteitsplan:
+- Continuering kritische processen bij uitval van middelen
+- Herstelplan
+  
+Aanpak:
+1. Analyse (processen, assets en bedreigingen)
+2. Planning maatregelen
+3. Testen: scenario's simuleren en aanpassingen maken
+4. Implementatie maatregelen
+5. Testen maatregelen
+6. Periodiek oefenen van scenario's, aanpassen waar nodig
+
+1. **Analyse:** -> Teams Call met Mendy, vragen uitzetten
+- Bepalen bedrijfskritische processen (prioriteiten bepalen) en informatie-assets
+- Dreigingsanalyse
+- Belangen stakeholders, wet- en regelgeving, compliance verplichtingen
+- Bepalen minimaal acceptabel niveau van functioneren tijdens verstoringen (tov Normaal)
+- Analyseren processen en afhankelijkheden
+	- intern en extern, mensen en middelen, systemen en verbindingen
+
+In call 15 juli, gevraagd om inzicht in:
+- systeemlandschap
+- dataverzamelingen vs bedrijfsprocessen
+- rollen
+

Clients/Humankind/Beleid voor Gebruik van SaaS HK.md

@@ -0,0 +1,14 @@
+# Beleid voor Gebruik van Software-as-a-Service   
+## Grondslag
+
+Uit de [Procedure Digitaal gebruikersbeleid, versie 0.1](Procedure%20Digitaal%20gebruikersbeleid%20HK.md):
+
+> Bij Humankind kiezen wij bewust voor Microsoft Teams als ons platform voor bedrijfscommunicatie, vanwege de veiligheid die het biedt. We sluiten andere applicaties uit. In tegenstelling tot andere platforms, waar de controle over gegevens en beveiliging beperkter is, beschikt Microsoft Teams over geavanceerde beveiligingsfuncties. Deze functies stellen ons in staat om vertrouwelijke informatie te beschermen tegen ongeautoriseerde toegang en mogelijke datalekken en beschikt over uitgebreide controle- en beheeropties. Dit verzekert ons en jou van een optimale bescherming van gegevens en helpt ons te voldoen aan wettelijke verplichtingen, zoals die van de AVG (Algemene Verordening Gegevensbescherming).
+> 
+> *de procedure bevat een lijst met standaardapplicaties*
+	Er is een standaardlijst met applicaties (zie appendix, bestaande uit 'breedte' applicaties en functiespecifieke / afdelingsspecifieke applicaties, tabel met naam-doel-ITeigenaar-FuBe). Deze lijst ligt ten grondslag aan de lijst in het Digitaal Gebruikersbeleid. Het gebruik van andere applicaties is niet toegestaan, tenzij .... De procedure voor  'tenzij' is gebaseerd op het Beleid Selectie en Implementatie van Technologie (wellicht een light versie hiervan)
+
+
+**Versie 29 mei 2025**
+![](Gebruik%20van%20Software-as-a-Service%20250529.docx)
+

Clients/Humankind/Benoemde risico's Humankind.md

@@ -0,0 +1,17 @@
+In gesprekken benoemde risico's
+
+Opnemen in Risico Register
+Zie [Risk Register Format](../../Corpus/Sparks/Risk%20Register%20Format.md)
+
+
+- Belangrijkste risico’s zitten bij email en gebruik van Teams (gastaccounts, policies, etc.), daarover komen de meeste incidentmeldingen. – 80% van de attack vectors lopen via mail.
+- Updates KidsVision en Mercash (zitten op dezelfde database). KidsVision gaat volgend jaar vanuit de cloud geleverd worden, Mercash blijft on premise (i.e. bij Ilionx).
+- Uitdagingen op toegangsbeheer
+- Geldende wet- en regelgeving nog niet in kaart gebracht
+- Betrokkenheid directie, afweging belangen
+- Gebruik van infrastructuur partners
+- Directeur vertelt terloops over enkele tientallen ungemanagede devices op het netwerk, gedoneerd door ouders en anderen. We kunnen die wel detecteren.
+
+- SLA Security Monitoring Ilionx is een black box, geen beeld bij kwaliteit van de monitoring.
+- Geen recovery/continuity targets afgesproken met Ilionx (MTD, RTO, RPO)
+- Security nieuwe SaaS leveranciers

Clients/Humankind/Besturingsmodel informatiebeveiliging Humankind.md

@@ -0,0 +1,13 @@
+Relevante brondocumenten:
+[OrgFit Afspraken Procesmanagement Humankind](OrgFit%20Afspraken%20Procesmanagement%20Humankind.md)
+[OrgFit Architectuurprincipes Humankind](OrgFit%20Architectuurprincipes%20Humankind.md)
+
+
+**Uit [Gesprek met Robin Alma](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md):**
+- Eénhoofdige Raad van Bestuur (i.e. Robin).
+- Integraal bestuur door het Directie Overleg, dat gezamenlijk verantwoordelijk is voor het totaal. Besluitvorming door consensus.
+- Het DO is dus uiteindelijk risico-eigenaar (en besluit over acceptatie)
+- De directeur bedrijfsvoering is portefeuillehouder voor informatieveiligheid.
+- Er wordt een Stuurgroep Informatieveiligheid opgezet met daarin John (projecteigenaar), Roxanne, Florine en Robin. Daarin nemen we de besluiten. Als dat breder besproken moet worden, komt het in het DO.
+
+*Noot: op later moment bepalen welke risico’s in het DO geaccepteerd moeten worden, en welke in lagen daaronder. Mogelijke factoren zijn de risicoscore (m.n. hoogte en rijkwijdte van de impact).*

Clients/Humankind/Big RASCI matrix Humankind.md

@@ -0,0 +1,30 @@
+## Idee voor opdeling
+
+
+| Task                  | R   | A   | S   | C   | I   |
+| --------------------- | --- | --- | --- | --- | --- |
+| Opstellen van beleid  |     |     |     |     |     |
+| Goedkeuren van beleid |     |     |     |     |     |
+| Vertalen van beleid   |     |     |     |     |     |
+Voor legenda zie [RASCI Matrix](../../Corpus/Sparks/RASCI%20Matrix.md)
+
+**Management**
+- eindverantwoordelijk voor IB
+- verantwoordelijk voor beleid
+	- vertalen van beleid naar richtlijnen gebruik en beheer voor specifieke oplossingen en situaties
+- eigenaarschap informatie 
+- eigenaarschap risico’s
+	- risicobeoordeling (niet door deze eigenaar zelf), periodiek en voor nieuwe oplossingen, uitbreidingen, koppelingen, belangrijke wijzigingen in de configuratie.
+**Uitvoerend**
+- verantwoordelijk voor beheer
+	- verantwoordelijk voor configuratie veiligheidsinstellingen
+		- controle op uitvoering
+	- toegangsbeheer
+		- rechtenstructuur binnen oplossing
+		- toekenning van rechten aan gebruikers
+		- controle op uitvoering
+	- contact met de leverancier voor support
+	- contact met de leverancier over incidenten
+	- contact met de leverancier over update en patches, met aandacht voor mogelijke  verstoring (apart beleid voor patch management)
+- management van de contracten/sla’s in de operationele fase
+

Clients/Humankind/Calculatie Humankind uit opdracht 6 juni 2024.md

@@ -0,0 +1,21 @@
+![](Aanbieding%20HK%20Calculatie.numbers)
+
+Uit [Opdracht Humankind 6 juni 2024](Opdracht%20Humankind%206%20juni%202024.md)
+
+| **DELIVERABLES**                                                                                         |     |          |                |
+| -------------------------------------------------------------------------------------------------------- | --- | -------- | -------------- |
+| **Fase I. Randvoorwaarden**                                                                              |     |          |                |
+| [Check op Basisveiligheid](../../Corpus/Sparks/Check%20op%20Basisveiligheid%20Humankind.md)                                         |     | Stelpost | € 15.000       |
+| [[Management Workshops Humankind\|Management Workshops (2x) ‘Sturen op Risico’s met de Canvas Methode’]] |     |          | € 2.400        |
+| [Vaststellen Leidende principes en doelen](Leidende%20principes%20en%20doelen%20Humankind.md)                     | 1   | € 1.100  | € 1.100        |
+| _Totaal (ex. Stelpost)_                                                                                  |     |          | **_€ 18.500_** |
+|                                                                                                          |     |          |                |
+| **Fase II. Structuur**                                                                                   |     |          |                |
+| Besturingsmodel                                                                                          | 1   | € 1.100  | € 1.100        |
+| Informatieveiligheidsbeleid                                                                              | 3   | € 1.100  | € 3.300        |
+| Meerjarenplan                                                                                            | 1   | € 1.100  | € 1.100        |
+| Risico identificatie                                                                                     | 3   | € 1.100  | € 3.300        |
+| Fit/Gap analyse                                                                                          | 2   | € 1.100  | € 2.200        |
+| Implementatieplan maatregelen                                                                            | 3   | € 1.100  | € 3.300        |
+| _Totaal_                                                                                                 |     |          | **_€ 14.300_** |
+

Clients/Humankind/Contractvoorwaarden voor leveranciers HK.md

@@ -0,0 +1,13 @@
+# Contractvoorwaarden voor leveranciers
+
+**Doel**  
+Borgen van een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties, door duidelijkheid te scheppen over de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
+
+**Procedure**
+Bij het opstellen van contracten wordt de inhoud door (nader te bepalen) gecontroleerd t.o.v. de [Basislijst Contractvoorwaarden](Lijst%20Contractvoorwaarden%20HK.md). Bij afwijkingen van deze lijst wordt de leverancier gevraagd de contractvoorwaarden overeenkomstig aan te passen.
+Wanneer de leverancier dit niet kan of wil doen, wordt in opdracht van het Directieteam een Risicoanalyse uitgevoerd door een ICT Consultant, volgens een daarvoor (nog op te stellen) vastgestelde procedure. Het directieteam neemt de resultaten hiervan mee in haar besluitvorming en documenteert de redenen voor het besluit.
+
+**Register**
+Humankind houdt een register bij van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) waaruit duidelijk wordt welke informatie gedeeld wordt met welke partijen.
+
+

Clients/Humankind/Dataclassificatie Humankind.md

@@ -0,0 +1,63 @@
+# Dataclassificatie Humankind
+
+Sessie 20 maart 2025
+Aanwezig:
+- Roxanne Kokol
+- Francis Willemsen
+- Robin Alma
+- Florine Vinkesteijn
+
+### Introductietekst
+Binnen het project zijn we bezig met het opstellen van informatiebeveiligingsbeleid. Goed beleid is risicogebaseerd. Daarbij is het handig om te bepalen op welke gebieden de risicobereidheid van de organisatie laag is (bijv. reputatie, compliance, financieel, continuïteit van de processen) en hoe de mate van impact gekwalificeerd en/of gekwantificeerd kan worden.
+
+Dit past ook binnen de Governancecode Kinderopvang, beginsel 6, Verantwoording en beheersing:
+	“Het bestuur en het interne toezicht (geeft inzicht in) risicobereidheid en -beheersing”.
+
+Deze classificering kan vervolgens gebruikt worden als basis om risicobeheersmaatregelen te kiezen – in dit geval binnen het domein van informatiebeveiliging.
+
+## Tekst op voorblad van de matrix
+
+### Dataclassificatie en Maatregelen Humankind	
+Versie 2 mei 2025	
+
+**Het Traffic Light Protocol**	
+Het Traffic Light Protocol (TLP) van FIRST.org is binnen het vakgebied informatiebeveiliging een standaard voor het vaststellen van beveiligingsniveaus.	
+TLP onderscheid 4 niveaus: CLEAR / Openbaar, GREEN / Intern, AMBER / Vertrouwelijk en RED / Zeer vertrouwelijk of geheim.	
+Met deze 4 niveaus kun je de informatie en systemen binnen de organisatie rangschikken van openbaar tot geheim.	
+Vervolgens kun je per niveau maatregelen vaststellen, die van toepassing (moeten) zijn op de informatie en de systemen waarop deze informatie leeft.	
+Dat maakt het makkelijker om er beleid voor op te stellen, en helpt medewerkers te bepalen wat ze wel of niet mogen (of moeten) met de informatie waarmee ze werken.	
+
+**Totstandkoming van dit document**	
+1. Op 20 maart 2025 zijn met de bestuurder en de manager bedrijfsvoering de onderwerpen bepaald waarop de negatieve impact van incidenten het zwaarst weegt. Dat zijn: Continuïteit van de bedrijfsvoering, Welzijn van de kinderen, Inzetbaarheid van medewerkers, Reputatie en Financieel. Per onderwerp is de risicobereidheid bepaald, met een kwalificatie van de relatieve ernst van incidenten. *Dit vind je op het tabblad Impact.*
+2. Met het Privacyteam is gekeken hoe de binnen de organisatie bestaande documenten en informatie past op de indeling in niveaus, en waar deze informatie voorkomt. Met Informatiemanagement hebben we dit gedaan voor de informatie die betrekking heeft op ons ICT landschap en de beveiliging daarvan. *Dit vind je op het tabblad Info-typen.*
+3. Met Informatiemanagement is bepaald welke beschermende maatregelen vervolgens horen bij de verschillende niveaus. *Dit vind je op het tabblad Maatregelen.*
+
+
+## Dataclassificatie matrix
+
+**Actuele versie**
+![](Dataclassificatie%20Humankind%2020250515.xlsx)
+
+Issue:
+
+Informatie uit de categorieën Geheim of Vertrouwelijk moeten ook gedeeld kunnen worden buiten de organisatie, alleen met een zeer beperkte groep. Bijv. de accountant, of de ouders van een kind.
+Daarvoor moet je dan ook waarborgen inbouwen, maar daarbij doen zich een aantal vragen voor:
+- Waar leg je de verantwoordelijkheid?
+- op welk moment in het proces tref je de waarborgen?
+- hoe ga je controleren of de waarborgen ook worden nageleefd?
+- wie gaat het controleren, en op welk moment?
+
+Waarborgen kunnen zijn:
+- alleen toegang met MFA (zoals bij Zivver of Zorgmail)
+- alleen toegang na een getekende geheimhoudingsverklaring
+- alleen toegang vanaf een gemanaged device
+- alleen toegang om een device met een recente ‘build’ van het OS
+- downloaden niet mogelijk.
+
+**Eerdere versies**
+
+Eerste versie incl. alle (voor HK niet relevante) voorbeelden
+![](TLP_Impact_matrix_HK.xlsx)
+
+![Versie 2 mei 2025](Dataclassificatie%20Humankind%2020250502.xlsx)
+

Clients/Humankind/Destillatie leidende principes Humankind.md

@@ -0,0 +1,22 @@
+
+**Uit [Gesprek met Robin Alma](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md):**
+
+Bedrijfsstrategie:
+*Missie is een bijdrage leveren voor ieder kind, m.n. voor de kinderen waar we het verschil kunnen maken, door maatwerk voor kwetsbare kinderen, samen met partners.*
+
+Daarvoor is nodig:
+- kwalitatief, effectief en tevreden personeel
+- samenwerking met partners
+
+Uitgangspunt is creatief en in gezamenlijkheid ontwikkelen van oplossingen die voor alle partijen acceptabel en werkbaar zijn.
+
+**Doelen t.a.v. Informatieveiligheid:**
+- bescherming van kind-data
+- optimale samenwerking rond het kind
+- continuïteit van de kernprocessen
+- flexibiliteit in lokale oplossingen
+- blijvend alert op risico’s en passende maatregelen
+
+**Risico eigenaarschap**
+- Besluiten worden genomen in de Stuurgroep Informatieveiligheid, alles wat breder besproken moet worden, komt het in het DO.
+- Het DO is uiteindelijk risico-eigenaar (en besluit over acceptatie)

Clients/Humankind/Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind.md

@@ -0,0 +1,20 @@
+# Eisen aan ICT oplossingen uit de Architectuurprincipes
+- Oplossingen moeten bijdragen aan de efficiëntie en effectiviteit van ondersteunende IT processen.
+ - De gegevens en informatie over klanten moeten beter beveiligd worden.
+ - Oplossingen moeten bijdragen aan het ondersteunen van de kindontwikkeling.
+- Koppelingen tussen systemen worden beperkt tot alleen de noodzakelijke gegevensuitwisselingen.
+- Alle gegevensuitwisseling vindt versleuteld plaats.
+- Koppelingen tussen gegevensverwerkende systemen verlopen via één contactpunt (dataplatform).
+-  Er wordt ingezet op single-sign-on en multi-factor authenticatie als standaard.
+-  Onpersoonlijke accounts worden alleen toegestaan indien strikt noodzakelijk en zijn onderwerp van streng beleid.     
+- Leveranciers moeten het gebruik van persoonlijke accounts voor elke gebruiker ondersteunen en strikte beleidsregels implementeren voor niet-persoonlijke accounts.
+- Logboeken worden bijgehouden voor traceerbaarheid.
+-   Maatwerk wordt zoveel mogelijk voorkomen
+	- Humankind kiest voor standaard applicaties voor bedrijfsvoering die bewezen zijn in de praktijk en in gebruik zijn bij meerdere organisaties.
+    - Eigen eisen aan deze applicaties worden beoordeeld op hun belang om te voorkomen dat standaard applicaties alsnog worden omgevormd tot maatwerk.
+   - Er worden zakelijke edities van ICT-hardware aangeschaft in plaats van consumentenversies.
+   - Er is een voorkeur voor web-gebaseerde applicaties die ook toegankelijk zijn van buiten de instelling. Cloudoplossingen hebben de voorkeur en afwijkingen van deze aanpak moeten goed worden onderbouwd en goedgekeurd door de architectuurboard.
+   -  Leveranciers moeten zich houden aan het principe van een enkel gegevensmodel, samen met toegangsbeveiliging.
+   - Leveranciers moeten ervoor zorgen dat hun oplossingen voldoen aan de Nederlandse wet- en regelgeving, inclusief beveiligings- en privacywetten.
+   - Nieuwe ontwerpen moeten gebaseerd zijn op schaalbare dienstverlening, waarbij horizontale schaalbaarheid eenvoudig te realiseren moet zijn. Schaalbaarheid moet een criterium zijn bij de selectie van SaaS/PaaS-leveranciers.
+

Clients/Humankind/Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind.md

@@ -0,0 +1,17 @@
+## Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind
+
+**Beleidspunten vanuit de Architectuurprincipes**
+
+
+- Humankind gebruikt een lijst met voorkeursleveranciers en streeft ernaar om de relaties en product roadmaps van deze leveranciers actief te onderhouden en te beïnvloeden.
+- **Applicatiebeheer en Technisch beheer** worden zoveel mogelijk buiten Humankind belegd.
+- **Contractuele afspraken** moeten expliciet data- en kennisoverdracht omvatten.
+ - Leveranciers moeten bijdragen aan de stabiliteit van de ICT infrastructuur.
+ 
+- Leveranciers moeten **meebewegen met de technologische ontwikkelingen**.
+- Er is aandacht voor **compliancy** en leveranciers moeten voldoen aan wet- en regelgeving.
+- **Data- en kennisoverdracht** moeten expliciet worden opgenomen in contractuele overeenkomsten.
+- **Toegang tot gegevens** moet beperkt zijn tot bevoegd personeel.
+- **Interne en externe audits** worden uitgevoerd en verbeterpunten worden gestructureerd aangepakt.
+- Leveranciers moeten ervoor zorgen dat Humankind over de juiste licenties beschikt voor alle ICT-producten en -diensten.
+-     - Bij het gebruik van clouddiensten moet rekening worden gehouden met het risico van "lock-in" bij de leverancier.

Clients/Humankind/Gesprek met Robin Alma Humankind 240827.md

@@ -0,0 +1,55 @@
+## Gesprek met Robin Alma, 27 augustus 2024
+
+![](240827%20Gesprek%20Robin%20Alma.pdf)
+
+
+### Strategische speerpunten
+HK wil een bijdrage leveren voor ieder kind, m.n. voor de kinderen waar ze het verschil kan maken, door maatwerk voor kwetsbare kinderen, samen met partners.
+
+Hiervoor is nodig:
+- Goed personeel
+  - werving in een krappe markt
+  - kwaliteit van personeel (o.a. door academie voor zij-instromers)
+  - mensen effectief laten werken
+  - zorgen dat ze willen blijven
+- Samenwerking met partners
+  - scholen (80%)
+  - welzijn
+  - jeugdzorg
+  - gemeenten
+
+Groei is geen doel op zich, maar het is wel van belang om in een bepaalde regio een voldoende groot marktaandeel te hebben, i.v.m. de positie t.o.v. partners.
+
+### Doelen informatieveiligheid
+Niet gespecificeerd want dat is “niet strategisch” (is natuurlijk ook zo).
+Maar ik denk aan:
+- duidelijkheid over security posture (specifiek: bescherming van kinddata, continuïteit van processen)
+- veiligheid is een randvoorwaarde, een enabler van de kernprocessen
+- flexibel zijn in het bieden van lokale oplossingen
+- optimale samenwerking rond het kind[^1] 
+- langdurig scherp blijven op risico’s en passende maatregelen
+
+### Compliance
+We zijn natuurlijk verplicht ons te houden aan geldende wet- en regelgeving.
+Daarnaast kiezen we ervoor om kaders als de NIS 2 en ERG voor duurzaamheid[^2]
+
+### Besturingsmodel
+
+Er is een éénhoofdige Raad van Bestuur (i.e. Robin).
+Daarom hebben we gekozen voor integraal bestuur door het Directie Overleg (daar zitten de regiodirecteuren niet in). De directie is gezamenlijk verantwoordelijk voor het totaal. Besluitvorming door consensus. Die directeur HR kan bijvoorbeeld niet zeggen: ‘ik ben van HR, dus we doen het zó’. Als men het niet met elkaar eens kan worden, neemt Robin het besluit.
+Binnen de directie is de directeur bedrijfsvoering (Roxanne) de portefeuillehouder voor informatieveiligheid.
+
+Risico-acceptatie wordt dus in principe genomen in het directieoverleg.
+
+*Noot: op later moment bepalen welke risico’s in het DO geaccepteerd moeten worden, en welke in lagen daaronder. Mogelijke factoren zijn de risicoscore (m.n. hoogte en rijkwijdte van de impact).*
+
+Voor het project informatieveiligheid is een stuurgroep opgezet, met daarin John (projecteigenaar), Roxanne, Florine en Robin. Daarin nemen we de besluiten. Als dat breder besproken moet worden, komt het in het DO.
+
+*De presentatie Architectuur Principes (mei 2020, versie 0.3 concept) kent Robin niet, die is sowieso ingehaald door de Architectuurprincipes zoals bepaald in het traject Orgfit uit 2023.*
+
+-> Uitgangspunt is creatief en in gezamenlijkheid ontwikkelen van oplossingen die voor alle partijen acceptabel en werkbaar zijn.
+
+ – 
+
+[^1]: we hebben eerder verkenningen gedaan voor de ontwikkeling van een centraal kinddossier, maar dat is afgeblazen als niet realistisch
+[^2]: mogelijk CSR - Corporate Social Responsibility of RBC - Responsible Business Conduct

Clients/Humankind/Governance in Architectuurprincipes Humankind.md

@@ -0,0 +1,19 @@
+# Passages over Governance (versie mei 2020)
+Proceseigenaren en data-eigenaren: Waar zitten die in het Organogram?
+
+O.02 Alle processen hebben een eigenaar die eindverantwoordelijk is voor (de kwaliteit van) de output
+- opdrachtgever voor projecten
+- aanspreekpunt voor veranderingen
+- aanspreekpunt voor calamiteiten
+- verantwoordelijk voor functioneel beheer
+- eigenaar van de noodzakelijke brongegevens (tenzij uit andere applicaties)
+- Opdrachtgever van het Architectuurboard (sheet 51) – *kunnen zij dan een beslissing van het Architectuurboard overrulen?*
+
+D.02 Kwaliteitsborging
+- Voor elke gegevensverzameling is een eigenaar aangewezen die verantwoordelijk is voor de kwaliteit en beschikbaarheid van de gegevens.
+- Borging: “Proceseigenaren zijn verantwoordelijk voor de kwaliteit van de gegevens” – inconsistent tenzij de eigenaar van de gegevensverzameling altijd de proceseigenaar is.
+
+D.03 Risicoclassificatie gegevens
+- Gegevens zijn door de gegevenseigenaar voorzien van een BIV classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid).
+- Maatregelen worden ook gebaseerd op een risico-analyse vanuit bedrijfsprocesperspectief.
+- Naleving van informatiebeveiligingsmaatregelen is een verantwoordelijkheid van alle betrokkenen en wordt onder meer geborgd door periodieke interne en externe audits.

Clients/Humankind/Herijking project 14 november 2024.md

@@ -0,0 +1,83 @@
+*Nodig door vertrek John Keulen, komst Roxanne Kokol, benoeming Francis Willemsen tot Programmamanager ICT Roadmap.*
+
+Deliverables:
+- Inhuizen Servicedesk
+- [Risicoanalyse Humankind](Risicoanalyse%20Humankind.md)
+- Fit/gap analyse
+- Implementatieplan
+- Informatiebeveiligingsbeleid
+
+Uit de oorspronkelijke opdracht resterende 10 dagen kunnen bijv. besteed kunnen worden aan:
+
+- Risicomanagement bij de transities uit de Roadmap ICT
+- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
+- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx
+- Awareness training van medewerkers en management
+- Borging van het beleid in de organisatie.
+
+## Document Herijking
+
+![](Herijking%20project%20informatiebeveiliging%20Humankind%20november%202024.docx)
+### Aanleiding
+
+In juni 2024 is mij door het Bestuur van Humankind de opdracht gegund om de informatieveiligheid van de organisatie naar een hoger plan te brengen.
+
+Mijn voorstel van destijds was gebaseerd op een uitvraag, en bijsturing daarop, van de Manager Informatie Management John Keulen.
+
+De daarin gegeven aanpak was product gebaseerd, en bestond in hoofdlijnen uit:
+
+- Een check op basisveiligheid door een onafhankelijke partij
+- Managementworkshops voor bewustwording en eigenaarschap
+- Workshops voor risico analyse
+- Het produceren van beleidsstukken op verschillende relevante onderwerpen.
+
+### Bijstelling opdracht
+
+Naar aanleiding van verschillende ontwikkelingen in de organisatie (o.a. een wisseling van management) heb ik op 18 oktober jl. een overleg gehad met Roxanne Kokol, Francis Willemsen en Mendy Peeters, waarin mijn bijdrage op korte termijn als volgt gevraagd werd:
+
+- Ondersteunen van Mendy bij het inrichten van de incidentenprocedure rond het inhuizen van de Servicedesk, en het verzorgen van een awareness training
+- Helderheid scheppen m.b.t. een aantal eerder gesignaleerde risico’s door interviews met medewerkers
+- Een [notitie](NIS%202%20voor%20Humankind.md) opstellen over de gevolgen van NIS 2 voor Humankind
+- Uitvoeren van een fit/gap analyse tussen bestaande beleidsstukken en het ISO 27001 framework
+- Opstellen van een implementatieplan o.b.v. de fit/gap analyse
+
+Besloten is dat de deliverables uit Fase II[[1]](#_ftn1) onderdeel worden van het op te stellen informatiebeveiligingsbeleid.
+
+Het ontwikkelen van de benodigde capaciteiten in de organisatie (fase III) komt aan de orde in het implementatieplan.
+
+Daarmee verandert de opdracht van karakter, nl. van “lever vastgestelde producten op een aantal thema’s”, naar:
+
+**“Help ons Humankind veiliger te maken.”**
+
+Dat doe ik met veel plezier en ik denk dat deze benadering uiteindelijk effectiever is bij de transities waar Humankind nu voor staat.
+  
+### Invulling budget
+
+Op verzoek van Francis Willemsen maak ik een inschatting van wat er binnen de huidige opdracht gerealiseerd kan worden.
+
+In de oorspronkelijke aanbieding is €34.300 gebudgeteerd voor fase I t/m III[[2]](#_ftn2). Daarop is t/m oktober €6.050 gefactureerd, wat betekent dat de budgetruimte per 1 november €28.250 bedraagt, overeenkomend met ongeveer 26 dagen.
+
+|                                  |                 |
+| -------------------------------- | --------------- |
+|                                  | **Inschatting** |
+| **Inhuizen Servicedesk**         | 3               |
+| **Risico inventarisatie**        | 3               |
+| **Fit/gap analyse**              | 2               |
+| **Implementatieplan**            | 3               |
+| **Informatiebeveiligingsbeleid** | 5               |
+| **TOTAAL**                       | 16              |
+
+_Stand per 1 november, in dagen_
+
+Hiermee resteren er nog 10 dagen die bijv. besteed kunnen worden aan:
+
+- Risicomanagement bij de transities uit de Roadmap ICT
+- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
+- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx
+- Awareness training van medewerkers en management
+- Borging van het beleid in de organisatie.
+---
+
+[[1]](#_ftnref1) O.a. besturingsmodel, risicomanagement, incident response, leveranciersmanagement, sturing op informatieveiligheid en helderheid voor toezichthouders
+
+[[2]](#_ftnref2) €3.500 + €14.300 + €16.500, excl. stelpost voor pentest

Clients/Humankind/Humankind project inhuizen Servicedesk.md

@@ -0,0 +1,19 @@
+Volgens ChatGPT (d.d. 21 oktober 2024)
+
+### In the ITIL framework, what parts are relevant to the functions of a IT user support desk?
+
+In the ITIL (Information Technology Infrastructure Library) framework, the IT user support desk is primarily related to the Service Operation stage. This encompasses several processes and functions that are key to effectively running a support desk. Here are the main components:
+
+1. **Incident Management:** This process is crucial for a support desk as it focuses on restoring normal service operation as quickly as possible following an incident, which is any disruption or potential disruption in service.
+
+2. **Request Fulfillment:** This involves handling service requests from users, such as requests for information, advice, or access to services that are standardized and pre-defined.
+
+3. **Access Management:** This process is responsible for granting authorized users the right to use a service while preventing access to unauthorized users. It supports the execution of policies defined in Information Security Management.
+
+4. **Problem Management:** While not directly operated by the service desk, this process is closely related, as it involves the identification and management of the root causes of incidents. The service desk often escalates problems to this function.
+
+5. **IT Operations Management:** Although mostly responsible for managing the day-to-day routine tasks related to IT operations, it interfaces with the service desk for coordination of activities and resolution of issues.
+
+6. **Service Desk Function:** The service desk is a key function under ITIL's Service Operation phase. It serves as the single point of contact between the service provider and the users for daily IT activities, which includes dealing with incidents and service requests.
+
+Together, these processes and functions ensure that the IT support desk can efficiently manage and resolve user issues, thereby maintaining high levels of service quality and user satisfaction.

Clients/Humankind/Informatiebeveiligingsbeleid Humankind.md

@@ -0,0 +1,47 @@
+
+
+![](Informatiebeveiligingsbeleid%20Humankind.docx)
+(Deze versie nog zonder opmerkingen van Informatiemanagement)
+# Informatiebeveiligingsbeleid Humankind
+
+*Voorgaande hoofdstukken ongewijzigd overgenomen uit [Informatiebeveiligingsbeleid ISO 27001](../../Corpus/Standards/ISO27x/Implementation%20Products/Informatiebeveiligingsbeleid%20ISO%2027001.md)*
+## 4. Rollen en verantwoordelijkheden
+
+### 4.1 Raad van Bestuur
+
+De Raad van Bestuur zal strategisch toezicht houden op het informatiebeveiligingsprogramma van de organisatie en de betrokkenheid van de organisatie bij informatiebeveiliging aantonen door:
+
+- jaarlijkse herziening en goedkeuring van het Informatiebeveiligingsbeleid en belangrijke beveiligingsinitiatieven;
+- waarborgen dat er voldoende middelen worden toegewezen aan het informatiebeveiligingsprogramma;
+- toezicht op belangrijke beveiligingsrisico's en -incidenten door middel van regelmatige rapportage;
+- herziening van jaarlijkse statistieken en beoordelingen van de effectiviteit van het beveiligingsprogramma;
+- goedkeuring van de risicoacceptatie en -tolerantieniveaus van de organisatie met betrekking tot informatiebeveiliging.
+
+### 4.2 Uitvoerend management
+
+Het uitvoerend management, inclusief de Directeur Bedrijfsvoering en het Directie Team, is verantwoordelijk voor:
+
+- het creëren en onderhouden van een sterke beveiligingscultuur in de hele organisatie;
+- het goedkeuren van informatiebeveiligingsstrategieën, -beleid en -initiatieven;
+- waarborgen dat informatiebeveiligingseisen worden geïntegreerd in de processen van de organisatie;
+- het toewijzen van voldoende middelen (financiële, personele en technische) om effectieve beveiligingsmaatregelen te handhaven;
+- het driemaandelijks herzien van beveiligingsprestatiestatistieken en risico-indicatoren;
+- ondersteuning van cross-functionele coördinatie voor beveiligingsinitiatieven;
+- waarborgen dat beveiligingsoverwegingen worden meegenomen in de bedrijfsplanning en -besluitvorming.
+
+### 4.3 Chief Information Security Officer (CISO)
+
+*Noot: de rol van CISO wordt tijdelijk waargenomen door de Manager IM.*
+
+De CISO heeft de directe operationele verantwoordelijkheid voor het informatiebeveiligingsprogramma en zal:
+
+- de informatiebeveiligingsstrategie en -beleidsregels van de organisatie ontwikkelen en onderhouden;
+- toezicht houden op de implementatie en werking van beveiligingsmaatregelen in de hele organisatie;
+- de beveiligingsstatus, -risico's en -problemen rapporteren aan het uitvoerend management en de Raad van Bestuur;
+- het informatiebeveiligingsteam en de beveiligingsoperaties beheren.
+
+## 5. Bestuurdersverklaring
+
+Het bestuur van [Organisatienaam] verplicht zich tot het bewaken en continue verbeteren van de kwaliteit van de informatiebeveiliging in de bedrijfsvoering, door de implementatie en het beheer van richtlijnen, procedures en maatregelen zoals benoemd in dit informatiebeveiligingsbeleid.
+
+**Handtekening en naam Bestuurder:**

Clients/Humankind/Inleiding leveranciersmanagement HK.md

@@ -0,0 +1,24 @@
+# Inleiding
+
+Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.  
+
+Dit document is een eerste aanzet daartoe. De inhoud moet getoetst worden aan, en aangevuld worden op basis van, beleid en managementstructuren die al in de organisatie aanwezig zijn.
+
+Voor de rolverdeling m.b.t. het sturen op informatieveiligheid heb ik mij gebaseerd op het document Architectuurprincipes Humankind uit 2024. Hierin worden enkele aanwijzingen gegeven voor de verdeling van verantwoordelijkheden op ICT gebied, en een gesprek dat ik op 27 augustus 2024 gevoerd heb met Robin Alma.
+
+Hieruit heb ik afgeleid:
+- De Bestuurder is aansprakelijk voor adequate informatiebeveiliging, cf. wet- en regelgeving;
+- Het Directieteam is risico-eigenaar, en in die rol neemt het besluiten over de acceptatie van restrisico's (d.w.z. of de risicobeheersende maatregelen voldoende zijn);
+- Het Directieteam stelt het beleid vast, en laat zich hierbij adviseren door de ICT Consultants, de  Functionaris Gegevensbescherming en het Privacyteam, en externe adviseurs;
+- Proceseigenaren zijn verantwoordelijk voor de beschikbaarheid en integriteit van gegevens (de verantwoordelijkheid voor de implementatie van risicobeperkende maatregelen daarvoor ligt bij de afdeling I&A). De Proceseigenaren zijn de opdrachtgever van het Architectuurboard;
+- Het Architectuurboard is verantwoordelijk voor compliance met principes en beleid op ICT gebied (en dus ook op het gebied van informatiebeveiliging), en laat zich hierbij adviseren door de ICT-consultants. Afwijkingen moeten worden goedgekeurd door de Proceseigenaren;
+- Het Projectmanagement Office (PMO) bewaakt het toepassen van het beleid in projecten;
+- De afdeling Informatie & Automatisering (I&A) is, onder leiding van de Manager Informatiemanagement (Manager IM), verantwoordelijk voor het beheer van de ICT middelen en diensten en het leveranciersmanagement;
+- De Functioneel Beheerders zijn verantwoordelijk voor de configuratie van applicaties conform het vastgestelde beleid, en adviseren de Proceseigenaren hierover. Proceseigenaren zijn verantwoordelijk voor de correcte inrichting van het functioneel beheer.;
+- Medewerkers ('gebruikers') zijn verantwoordelijk voor correct gebruik van de ICT middelen, in lijn met relevant beleid.
+
+Uit de risico inventarisatie is naar voren gekomen dat er bij Humankind nauwelijks beleid is voor het beheer van informatiebeveiliging en risicobeheersing. Om een begin te maken, dat meteen meerwaarde kan hebben voor de organisatie, heb ik in overleg met Francis Willemsen gekozen voor het onderdeel leveranciersmanagement. Het sturen op informatieveiligheid in de relatie met leveranciers is een essentieel onderdeel voor een organisatie die de levering van ICT voorzieningen grotendeels heeft uitbesteed aan externe partijen in een 'cloud first' strategie. Bovendien staan hierin verschillende grote veranderingen op stapel vanuit de Roadmap ICT.
+
+De in dit document voorgestelde maatregelen zijn gebaseerd op best practice frameworks (specifiek ISO 27001), de Governancecode Kinderopvang, de Risico-inventarisatie en de pen-test (beiden uitgevoerd in december 2024).
+
+– Richard Kranendonk, 5 februari 2024

Clients/Humankind/Kenmerken Humankind.md

@@ -0,0 +1,39 @@
+> **Van:** Insiyah Arsiwalla  
+> **Verzonden:** ma 14 april 2025 13:34  
+> **Aan:** richard@thinkingsecurity.works  
+> **CC:** Francis Willemsen <franciswillemsen@Humankind.nl>  
+> **Onderwerp:** Kosten onderbreking opvang
+> 
+> Dag Richard,
+> 
+> De jaaromzet 2024 Humankind bedraagt circa 200 mio.  Dit is exclusief subsidies en exclusief Droomplaats c.s. die van 2025 juridisch gefuseerd zijn met Humankind.
+> 
+> Ook de omzet van Struin is niet meegenomen. Vanuit power BI tref je hierbij een overzicht aan van de locaties.
+
+![](image002.png)
+> 
+> Het klopt idd dat het van heel veel variabelen afhangt.
+> 
+> Ik zal bij applicatiebeheer vragen hoeveel locaties we gesloten hebben en wat de kosten zijn en geef je dan een update
+
+> On 14 Apr 2025, at 14:33, Insiyah Arsiwalla <insiyaharsiwalla@humankind.nl> wrote:
+> 
+>   
+> 
+> Richard,
+> 
+> Ik heb zojuist met Applicatiebeheer gesproken. Er zijn teveel variabelen om eenduidig een antwoord op jouw omzetdervingsvraag te geven.
+> 
+> Een locatie heeft meerdere groepen. Er is KDV of BSO of beide, er zijn verschillende grootte, dagen, tarieven etc etc
+> 
+> Mocht je je vraag specifieker kunnen maken, dan kunnen we iets uitzoeken.
+
+> Oja,
+> 
+> Alle locaties dicht voor één dag 900k
+> 
+> **Grootte disclaimer: ik vind deze inschatting te grof om in verdere analyses / risico inschattingen te gebruiken !**
+> 
+> Gr Insiyah
+
+

Clients/Humankind/Leidende principes en doelen Humankind.md

@@ -0,0 +1,2 @@
+[Gesprek met Robin Alma, 27 augustus 2024](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md)
+[Destillatie leidende principes Humankind](Destillatie%20leidende%20principes%20Humankind.md)

Clients/Humankind/Lijst Contractvoorwaarden HK.md

@@ -0,0 +1,113 @@
+# Basislijst Contractvoorwaarden
+
+**Beheer**
+De Basislijst Contractvoorwaarden wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk – te bepalen door het Privacyteam).
+
+Deze lijst wordt regelmatig beoordeeld, gevalideerd en bijgewerkt om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten.
+
+## Voorwaarden
+Informatiebeveiliging in leveranciersrelaties
+
+*Opmerking: het onderstaande is overgenomen uit ISO 27002:2022, A 5.19 Informatiebeveiliging in leveranciersrelaties. Humankind van hieruit een selectie maken en dit (laten) herschrijven in een vorm die passend is.
+
+a) het vaststellen en documenteren van de soorten leveranciers, bijv. ICT-diensten, logistieke voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
+
+b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid van informatie, producten en diensten (bijvet marktanalyse, referenties van klanten, beoordeling van documenten, beoordelingen op locatie, certificeringen);
+
+c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit van de informatie van, en de informatieverwerking door, de leverancier en daarmee de informatiebeveiliging van de organisatie garanderen;
+
+d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
+
+e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie
+
+f) het beoordelen en beheren van de informatiebeveiligingsrisico's in verband met:
+
+1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, met inbegrip van risico\'s die uitgaan van mogelijk kwaadwillig personeel van de leverancier;
+
+2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of diensten;
+
+g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
+
+h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen;
+
+i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de leveranciers;
+
+j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
+
+k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
+
+l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele transportperiode wordt gehandhaafd;
+
+m) eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
+
+1) het intrekken van toegangsrechten;
+2) het omgaan met informatie;
+3) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is ontwikkeld;
+4) de overdraagbaarheid van informatie in geval van verandering van leverancier of 'insourcing';
+5) beheer van registraties;
+6) het retourneren van bedrijfsmiddelen;
+7) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
+8) voortdurende geheimhoudingseisen;
+
+n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel en faciliteiten van de leverancier.
+
+Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijv. als gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijv. door van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers).
+ 
+### Informatiebeveiliging in leveranciersovereenkomsten
+
+*Opmerking: het onderstaande is overgenomen uit ISO 27002:2022, A 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten. Humankind van hieruit een selectie maken en dit (laten) herschrijven in een vorm die passend is.*
+
+In een contract met een leverancier van ICT-oplossingen of diensten moeten de volgende onderwerpen geadresseerd worden:
+
+a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
+
+b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
+
+c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;
+
+d) eisen van wet- en regelgeving, statutaire en contractuele eisen, met inbegrip van gegevensbescherming, het omgaan met persoonsgegevens, rechten van intellectuele eigendom en auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
+
+e) de verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van toegangsbeveiliging, prestatiebeoordeling, monitoren, melden, rapportage en auditen en de verplichtingen van de leverancier om te voldoen aan de informatiebeveiligingseisen van de organisatie;
+
+f) de regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
+
+g) procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier (bijvan de hand van een specifieke lijst van personeel van leveranciers dat bevoegd is om de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie te gebruiken);
+
+h) informatiebeveiligingseisen met betrekking tot de ICT-infrastructuur van de leverancier; met name minimale informatiebeveiligingseisen voor elk type informatie en elk type toegang, te gebruiken als basis voor individuele overeenkomsten met leveranciers op basis van de bedrijfsbehoeften en risicocriteria van de organisatie;
+
+i) schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet;
+
+j) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident);
+
+k) trainings- en bewustwordingseisen voor specifieke procedures en informatiebeveiligingseisen (bijv. voor incidentresponsprocedures, autorisatieprocedures);
+
+l) relevante voorzieningen voor uitbesteding, met inbegrip van de te implementeren beheersmaatregelen, zoals een overeenkomst over de inzet van onderleveranciers (bijvisen dat voor hen dezelfde verplichtingen gelden als voor de leverancier, eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert);
+
+m) relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging;
+
+n) screeningeisen, indien wettelijk toegestaan, voor het personeel van leveranciers, met inbegrip van verantwoordelijkheden voor het uitvoeren van de screening en kennisgevingsprocedures indien de screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
+
+o) de bewijs- en borgingsmechanismen van attesten van derden voor relevante informatiebeveiligingseisen met betrekking tot de processen van leveranciers en een onafhankelijk rapport over de doeltreffendheid van beheersmaatregelen;
+
+p) het recht om de processen en beheersmaatregelen van de leverancier in verband met de overeenkomst te auditen;
+
+q) verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld;
+
+r) procedures voor het oplossen van defecten en conflicten;
+
+s) voorzien in back-up die is afgestemd op de behoeften van de organisatie (wat betreft frequentie en type en opslaglocatie);
+
+t) het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit (dzoodherstellocatie) waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit en overwegingen met betrekking tot alternatieve beheersmaatregelen waarop wordt teruggevallen indien de primaire beheersmaatregelen falen;
+
+u) de beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat de organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden;
+
+v) fysieke beveiligingsbeheersmaatregelen die passen bij de classificatie van de informatie;
+
+w) beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht;
+
+x) beëindigingsclausules bij het afsluiten van de overeenkomst, met inbegrip van beheer van registraties, het retourneren van bedrijfsmiddelen, beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen en eventuele doorlopende geheimhoudingsverplichtingen;
+
+y) het voorzien in een methode om de door de leverancier opgeslagen informatie van de organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is;
+
+z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere leverancier of aan de organisatie zelf bij het einde van de overeenkomst.
+

Clients/Humankind/Lijst Eisen aan leveranciers HK.md

@@ -0,0 +1,30 @@
+Deze tekst is gebaseerd op:
+- [Programma van Eisen Ubeoo ATS](../../Corpus/Attachments/Ubeeo%20ATS%20PvE%20240315.xlsx)
+- [Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind](Eisen%20aan%20leveranciers%20en%20samenwerking%20uit%20de%20Architectuurprincipes%20Humankind.md)
+
+# Basislijst Eisen en Wensen ICT leveranciers
+
+Bij deze lijst is uitgegaan van de ketenverantwoordelijkheid die aan een organisatie wordt opgelegd vanuit wettelijke kaders als de AVG en de NIS 2. Het principe van ketenverantwoordelijkheid is, dat een organisatie aan haar leveranciers dezelfde veiligheidseisen stelt, als waar ze zelf aan gehouden is door wet- en regelgeving, of die ze zichzelf oplegt voor de dienstverlening aan haar klanten. 
+
+**Beheer Basislijst Eisen en Wensen ICT Leveranciers**
+De Basislijst Eisen en Wensen ICT Leveranciers HK wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk – te bepalen door het Privacyteam).
+
+## Eisen en wensen
+
+1. De leverancier is bereid een SLA (service level agreement) af te sluiten met garanties ten aanzien van performance en beschikbaarheid van het systeem
+2. De leverancier is bereid een Verwerkingsovereenkomst conform de AVG (Algemene Verordening Gegevensbescherming) te tekenen
+3. De leverancier beschikt over een geldige ISO 27001 / NEN 7510 certificering (of vergelijkbaar), met een toepassingsgebied dat alle onderdelen van de organisatie omvat, die betrokken zijn bij de levering van het systeem/de dienst.
+4. De leverancier garandeert continuïteit in ondersteuning, door vaste personen met voldoende kennis van onze organisatie en de specifieke toepassing van de geleverde oplossingen
+5. Leverancier stelt een implementatieplan beschikbaar, waarin naast de verantwoordelijkheden van de leverancier ook duidelijk omschreven wordt wat de leverancier verwacht van de opdrachtgever en welke tijdsinspanning nodig is van opdrachtgever
+6. De leverancier zorgt voor training van beheerders en gebruikers van het systeem.
+7. Trainingen worden in het Nederlands gegeven, documentatie is in het Nederlands beschikbaar.
+8. Leverancier faciliteert een open roadmap waarin organisaties, die met het systeem werken, aantoonbaar invloed hebben op de roadmap van het nieuwe systeem.
+9. De leverancier volgt in het ontwikkelen van functionaliteit blijvend de laatste ontwikkelingen op het gebied waarvoor het systeem/de dienst een oplossing biedt.
+10. De leverancier is bereid de door Humankind gevraagde screening van personeel uit te (laten) voeren, zoals een VOG.
+11. De leverancier is bereid betrokken medewerkers een door Humankind voorgelegde geheimhoudingsverklaring te laten tekenen.
+12. De leverancier laat regelmatig (tenminste ieder jaar en bij grote wijzigingen) pentesten uitvoeren door een onafhankelijke partij, , en is bereid inzage te geven in de resultaten daarvan en de manier waarop deze worden opgevolgd.
+13. De leverancier kan een recente pentest overleggen (niet ouder dan een jaar).
+14. De leverancier heeft een gedocumenteerd en getest incident response plan.
+15. De leverancier heeft maatregelen getroffen waardoor de levering van de dienst voortgezet kan worden, als zij daar zelf niet langer toe in staat is of wil zijn.
+
+  

Clients/Humankind/Lijst Eisen en Wensen ICT oplossingen HK.md

@@ -0,0 +1,55 @@
+Deze tekst is gebaseerd op:
+- [Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind](Eisen%20aan%20ICT%20oplossingen%20uit%20de%20Architectuurprincipes%20Humankind.md)
+- [Ubeoo ATS vendor selection Humankind](Ubeoo%20ATS%20vendor%20selection%20Humankind.md)
+- - [OWASP Top 10 CI-CD Security Risks](../../Corpus/Standards/other/OWASP%20Top%2010%20CI-CD%20Security%20Risks.md)
+- - [Rapportage Pentest](Rapportage%20pentest%20Humankind%20door%20NFIR.md)
+	- [Actielijst pentest](https://groei.sharepoint.com/:x:/r/sites/ProjectInformatiebeveiliging/_layouts/15/Doc.aspx?sourcedoc=%7B800D2B49-6303-407B-9A0B-6E17DFC5E9DB%7D&file=Acties%20Pentest.xlsx&action=default&mobileredirect=true)
+- [Risicoanalyse Humankind](Risicoanalyse%20Humankind.md)
+- Checklists Gerardus Blokdyk
+
+
+# Basislijst Eisen en Wensen ICT oplossingen
+
+**Beheer**
+De Basislijst Eisen en Wensen ICT oplossingen wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk – te bepalen door het Privacyteam).
+
+De eisen en wensen aan een ICT oplossing zijn afhankelijk van de soorten informatie die met het systeem moeten worden verwerkt. Dit is geclassificeerd in de (nog op te stellen) Data classificatie matrix.
+
+Bepaald moet worden welke punten gelden als knock-out criteria.
+
+Van deze lijst mag alleen afgeweken worden onder de voorwaarden die beschreven zijn in de procedure [Specificatie van eisen en wensen](Specificatie%20van%20eisen%20HK.md).
+
+## Algemene eisen en wensen
+
+1. Oplossingen moeten bijdragen aan de efficiëntie en effectiviteit van ondersteunende IT processen.
+ 2. De gegevens en informatie over klanten moeten beter beveiligd worden.
+ 3. Oplossingen moeten bijdragen aan het ondersteunen van de kindontwikkeling.
+ 4. Koppelingen tussen systemen worden beperkt tot alleen de noodzakelijke gegevensuitwisselingen.
+ 5. Koppelingen tussen gegevensverwerkende systemen verlopen via één contactpunt (dataplatform).
+ 6. Onpersoonlijke accounts worden alleen toegestaan indien strikt noodzakelijk en zijn onderwerp van streng beleid (nader te bepalen).
+ 7. Leveranciers moeten het gebruik van persoonlijke accounts voor elke gebruiker ondersteunen en strikte beleidsregels implementeren voor niet-persoonlijke accounts.
+ 8. Leveranciers moeten ervoor zorgen dat hun oplossingen voldoen aan de Nederlandse wet- en regelgeving, inclusief beveiligings- en privacywetten.
+ 9. Persoonsgegevens worden opgeslagen en verwerkt in een gebied dat valt onder jurisdictie van de EU.
+ 10. Bij opslag en verwerking wordt het principe van minimalisatie toegepast.
+ 11. Voor het functioneel beheer van het systeem is geen programmeerkennis nodig.
+ 12. Het systeem beschikt over een online kennisbank (bijvoorbeeld in de vorm van een wiki, instructievideo’s of online handleidingen) zowel voor de inrichting als het gebruik van het systeem. De content is gebruiksvriendelijk samengesteld en vereist weinig kennis van het systeem om te begrijpen door gebruikers.
+
+## Technische eisen en wensen
+1. Alle gegevensverkeer tussen (andere systemen in gebruik bij) Humankind en de systemen van de leverancier wordt versleuteld (methode en key-length nader bepalen).
+2. De oplossing moet gekoppeld kunnen worden aan Single-Sign-on van Microsoft.
+3. De oplossing moet Multi-factor autenticatie (MFA) via Microsoft EntraID ondersteunen.
+4. Logboeken worden bijgehouden voor traceerbaarheid.
+5. De oplossing zoals geleverd mag geen maatwerk bevatten specifiek voor Humankind.
+6. De oplossing zoals geleverd moet in gebruik zijn bij meerdere organisaties.
+7. De oplossing wordt via het web binnen een browser aangeboden en moet toegankelijk zijn van buiten de locaties van Humankind.
+8. De oplossing moet gebaseerd zijn op schaalbare dienstverlening, waarbij horizontale schaalbaarheid eenvoudig te realiseren moet zijn.
+9. Beheers- en toegangsrechten moeten geconfigureerd worden op basis van door Humankind te definiëren rollen (RBAC), waarbij het 'least privilege' principe kan worden gevolgd.
+10. Alle toegangssleutels worden in versleutelde vorm opgeslagen.
+11. Alle data wordt in versleutelde vorm opgeslagen.
+12. Het systeem biedt gedocumenteerde API's om additionele koppelingen te kunnen bouwen.
+13. API's zijn beveiligd met een authenticatie mechanisme, encryptie en data validation.
+14. Het systeem biedt een standaard sourcing extensie voor de belangrijkste browsers.
+15. Het systeem voorziet in een testomgeving (sandbox) om nieuwe features te testen en te trainen.
+16. Het systeem voldoet aan alle Nederlandse wet- en regelgeving op het gebied van gegevensbescherming en -beveiliging.
+17. Het systeem biedt voorzieningen om persoonsgegevens automatisch te verwijderen of te anonimiseren op basis van een in te stellen retentietermijn.
+18. Het systeem is beveiligd tegen de meest voorkomende kwetsbaarheden voor web applicaties zoals geïdentificeerd in de courante versie van de OWASP Top 10

Clients/Humankind/Management samenvatting pentest Humankind door NFIR.md

@@ -0,0 +1,14 @@
+
+**Belangrijkste bevindingen**
+
+Hieronder worden de belangrijkste kwetsbaarheden kort benoemd.
+
+1. Hoog: Via password spraying, een methode om één wachtwoord te proberen op alle gebruikers, is het wachtwoord van 94 gebruikers achterhaald.
+2. Hoog: Daarnaast is via password spraying vastgesteld dat de gebruikersnaam (default) gelijk is aan het wachtwoord.
+3. Hoog: Een registersleutel binnen de Group Policy van Humankind bevat AutoAdminLogon credentials van het account BSO.
+4. Hoog: Het gebruik van multifactor‐authenticatie (MFA) is niet verplicht voor alle gebruikers. Voor admin accounts is er een uitzondering gemaakt.
+
+Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.
+
+![](24203%20-%20Montese%20-%20Management%20Samenvatting%20-%2020241220.pdf)
+

Clients/Humankind/Management samenvatting pentest Humankind door RK.md

@@ -0,0 +1,50 @@
+*mail 23 december*
+
+Beste Roxanne, Francis, Mendy en Tom,
+
+Afgelopen [vrijdag](canary:event?ts=756990005.00) heeft Mathijs van der Pol de resultaten van de pentest gepubliceerd op het beveiligde portal van NFIR.
+
+Belangrijkste bevinding:
+
+_**Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.**_
+
+We kunnen dus met een gerust gevoel de feestdagen in!
+
+Hieronder een samenvatting van het geconstateerde, met iets meer info dan de management rapportage.
+
+NFIR rapporteert in vier categorieën: hoog, gemiddeld, laag en ‘info’.
+
+**Hoog**
+
+Er zijn 4 kwetsbaarheden in deze categorie. Twee daarvan betreffen het gebruik van gemakkelijk te raden wachtwoorden (94 gevallen). 
+
+De derde is m.i. een configuratiefout (wachtwoordgegevens opgenomen in een registersleutel) die denk ik eenvoudig kan worden opgelost.
+
+Tot slot is geconstateerd dat MFA niet volledig is uitgerold (was al bekend, wordt actie op ondernomen) 
+
+**Gemiddeld**
+
+De kwetsbaarheden van in deze categorie betreffen vooral configuraties van systemen, die ws. eenvoudig verholpen kunnen worden.
+
+Acties (voorstel RK):
+
+- vaststellen wie voor deze configuraties verantwoordelijk is (Humankind, Ilionx of derden)
+- review van configuratie-beleid en richtlijnen
+- borgen van de naleving 
+
+Op verschillende systemen is verouderde software aangetroffen.
+
+Acties (voorstel RK):
+
+- vaststellen wie verantwoordelijk is voor het updaten van deze software (Humankind, Ilionx of derden)
+- updaten van de software, of zoeken naar alternatieven als het gaat om software die niet meer door de leverancier onderhouden wordt (‘end-of-life’)
+- review en evt. aanscherpen van het patchbeleid
+- borgen van de naleving
+
+Op SharePoint zijn documenten aangetroffen met instructies voor het inloggen op systemen en externe websites, _inclusief gebruikersnamen en wachtwoorden._ Deze documenten zijn toegankelijk voor iedereen met een Humankind wachtwoord. Dit wijst op onvoldoende bewustzijn bij medewerkers, onvoldoende richtlijnen voor de omgang met gevoelige informatie, en een te ruime toegangsmatrix voor informatie op SharePoint.
+
+Dit zijn risico’s die al door ons gesignaleerd zijn en waarop verbeteracties zijn geïdentificeerd.
+
+Voor de categorieën ‘laag’ en ‘info’ verwijs ik naar de volledige rapportage op het [portal van NFIR](https://nfir.sharepoint.com/:f:/s/24203/EqR2LuUSeYFDp4QSrkOFToIBEkkm-7HCnwn4HgUqRPtuLA?e=GfWzxt).  
+
+De management samenvatting van NFIR heb ik bijgesloten.

Clients/Humankind/NIS 2 voor Humankind.md

@@ -0,0 +1,129 @@
+# NIS 2 voor Humankind
+22 oktober 2024
+
+-> Onderstaande tekst als [Word document](NIS%202%20voor%20Humankind.docx) en als [PDF](NIS%202%20voor%20Humankind.pdf)
+## Inleiding
+
+**Wat is de NIS 2?**
+
+De NIS 2 (Network and Information Security directive) is een Europese richtlijn met als doel in voor de samenleving essentiële en belangrijke sectoren de continuïteit van dienstverlening en bescherming van informatie te waarborgen.
+
+**Tijdslijn**
+
+De richtlijn is op Europees niveau op 16 januari 2023 in werking getreden, met een deadline voor nationale omzettingswetten in de lidstaten van 17 oktober 2024. Alleen België en Kroatië hebben dat gehaald – Nederland verwacht dat de wet pas in het tweede of derde kwartaal van 2025 in werking kan treden, omdat 'de omzetting naar nationale wetgeving een omvangrijk en complex traject is'.
+
+**Toepassingsgebied**
+
+De richtlijn heeft ‘essentiële’ en ‘belangrijke’ sectoren gedefinieerd waarvoor de NIS 2 gaat gelden vanaf een bepaalde organisatiegrootte. De Gezondheidszorg valt hier onder, onderwijs en kinderopvang vooralsnog niet. Er is voor Humankind dus vooralsnog geen verplichting aan de NIS 2 te voldoen.
+
+## Verplichtingen voor organisaties onder de NIS 2
+
+De NIS 2 kent aan organisaties een Zorgplicht, Meldplicht en Registratieplicht toe.
+
+De Registratieplicht houdt in dat organisaties waarop de richtlijn van toepassing is, zich moeten registreren in het ‘entiteitenregister’. De website van het Nationaal Cyber Security Centrum (NCSC, Min. van Justitie en Veiligheid) geeft hierover [meer informatie](https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/registreren).
+
+Op de Zorgplicht en Meldplicht ga ik hieronder verder in.
+
+### Zorgplicht
+
+Hoewel de nationale omzettingswet dus nog niet gepubliceerd is, en nadere, sectorspecifieke regels nog gesteld kunnen worden, weten we al wel dat de zorgplicht in lijn zal zijn met bestaande kaders als de BIO ([Baseline Informatiebeveiliging Overheid](https://www.bio-overheid.nl/category/producten?product=BIO)) en de ISO 27002[^1].
+
+Verschillende websites van de overheid geven ook informatie over wat we kunnen verwachten. De website van het NCSC is m.i. de meest complete en gestructureerde hiervan.
+
+Vanuit de richtlijn wordt in ieder geval verwacht dat de organisatie ‘robuuste’ risicomanagement processen inricht. De richtlijn benadrukt daarbij het cyclische karakter van risicomanagement, dus het steeds opnieuw doorlopen van de cyclus risico-identificatie, -analyse, treffen van maatregelen, beoordeling van de effectiviteit, aanbrengen van verbetering (een PDCA cyclus).
+
+Passend informatiebeveiligingsbeleid, en controle op en rapportage over de naleving daarvan, is ook een vereiste.         
+
+De website van het NCSC vult dit verder in met een stappenplan waarvan de hoofdstappen zijn: 1) Risicoanalyse, 2) Maatregelen en 3) Incidentrespons.
+
+#### Risicoanalyse
+
+- Identificeer de processen en systemen die noodzakelijk zijn om de doelen van de organisatie te vervullen
+- Identificeer dreigingen voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit
+- Beoordeel of huidige maatregelen (technisch en organisatorisch) voldoende bescherming bieden
+- Prioriteer de risico’s mbv een Risicomatrix (kans x impact)
+- Wijs risico-eigenaren aan en bepaal hun mandaat en verantwoordelijkheden
+
+#### Maatregelen
+
+Maatregelen moeten ‘passend’ en ‘adequaat’ zijn, op basis van de voorgaande risicoanalyse.
+
+De website van de NCSC noemt als voorbeelden van maatregelen:
+
+- Beleg het eigenaarschap van informatie en risico’s
+- Bevorder veilig gedrag en een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden
+- Veranker de risicomanagementcyclus in de organisatie door het juist beleggen van verantwoordelijkheden
+- Organiseer identiteits- en toegangsbeheer.
+
+#### Incidentrespons
+
+- Organisaties moeten een incident respons plan (IRP) opstellen over hoe te reageren in het geval van ersntige verstoringen, en daarvan te herstellen en trerug te keren naar ‘business as usual’.
+- Organisaties moeten procedures ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. 
+
+#### Toeleveringsketen
+
+Omdat grote delen van de informatiehuishouding uitbesteed worden aan leveranciers (IT dienstverleners, Software-as-a-Service, etc.), is de organisatie ook verantwoordelijk voor het bewaken van de veiligheid van de toeleveringsketen.
+
+De richtlijn verwacht dat de volgende activiteiten aantoonbaar worden uitgevoerd:
+- evalueren van de beveiligingsmaatregelen van leveranciers en de kwaliteit van hun producten en diensten
+- opnemen van risicomanagement-maatregelen in de contracten met leveranciers
+- de leveranciers contractueel verplichten dat zij op hun beurt de veiligheid van hun leveranciers waarborgen
+- beleid en basiseisen opstellen voor de selectie van leveranciers.
+
+## Meldplicht
+
+De richtlijn schrijft voor dat NIS2-organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder (NSCS). Significant zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de organisatie (kunnen) veroorzaken, of (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De exacte drempelwaarden worden nog uitgewerkt.
+
+## Verantwoordelijkheid bestuur
+
+De NIS 2 benadrukt de verantwoordelijkheid en aansprakelijkheid van het bestuur van de organisatie in het borgen van informatiebeveiliging. Hieronder vallen:
+
+- het goedkeuren van maatregelen
+- zorgdragen voor de effectieve implementatie van maatregelen
+- het bewaken van de uitvoering van deze maatregelen
+- leiderschap tonen t.a.v. initiatieven op het gebied van informatiebeveiliging
+
+Het bestuur kan wel de verantwoordelijkheden op dit vlak delegeren, maar niet de aansprakelijkheid – in uiterste gevallen kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het verzaken van hun plichten.
+
+Het management van een organisatie is verplicht zich te laten trainen op het gebied van  risicomanagement en de impact van cybersecurity risico’s op dienstverlening en bescherming van informatie.
+
+Daarnaast moet het management zorgen voor regelmatige training van de werknemers op dit gebied. Hiermee erkent de richtlijn dat informatieveiligheid collectieve inzet vergt van alle werknemers.
+## Verhouding van deze verplichtingen tot het Project Informatiebeveiliging
+
+Omdat ISO 27001 / 27002 binnen ons project als richtlijn wordt gebruikt, komen vrijwel alle verplichten uit de NIS 2 aan de orde. De kwaliteit van de uitvoering hiervan binnen de organisatie is natuurlijk bepalend.
+
+In onderstaande tabel worden de verplichtingen uit de richtlijn afgezet tegen de producten uit de aanbieding voor dit project.
+
+Cyclisch risicomanagement, **Prioritering risico’s**
+
+|                                                                                        |                                                                                                    |
+| -------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------- |
+| **Verplichting NIS 2**                                                                 | **Product uit de Aanbieding van dit project**                                                      |
+| **Cyclisch risicomanagement**                                                          | III. Risicomanagement<br><br>IV. Implementatie PDCA cyclus met de Canvas Methode                   |
+| **Informatiebeveiligingsbeleid**                                                       | I. Leidende principes en doelen vaststellen<br><br>II. Beleid op hoofdlijnen                       |
+| **Risicoanalyse**                                                                      |                                                                                                    |
+| **Identificeren van kritieke processen en systemen**                                   | I. Calamiteitenplan (onderdeel van …)                                                              |
+| **Identificeren dreigingen voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit** | I. Calamiteitenplan (onderdeel van …)                                                              |
+| **Beoordelen adequaatheid van maatregelen**                                            | II. Risico analyse<br><br>II. Fit/gap analyse t.o.v. framework                                     |
+| **Prioritering risico’s**                                                              | II. Risico analyse                                                                                 |
+| **Bepalen risico-eigenaren**                                                           | II. Besturingsmodel                                                                                |
+| **Maatregelen**                                                                        |                                                                                                    |
+| **Bepalen informatie-eigenaren**                                                       | Onderdeel van OrgFit programma                                                                     |
+| **Bevorder veilig gedrag en een cultuur**                                              | _Management moet voorwaarden scheppen;_<br><br>IV. Implementatie PDCA cyclus met de Canvas Methode |
+| **Beleggen van verantwoordelijkheden**                                                 | III. Capaciteiten ontwikkelen (onderdeel van …)                                                    |
+| **Identiteits- en toegangsbeheer**                                                     | II. Implementatieplan maatregelen (onderdeel van …)                                                |
+| **Incidentrespons**                                                                    | I. Calamiteitenplan (onderdeel van …)                                                              |
+| **Toeleveringsketen**                                                                  | III. Leveranciersmanagement                                                                        |
+| **Meldplicht**                                                                         |                                                                                                    |
+| **Bestuursverantwoordelijkheid**                                                       |                                                                                                    |
+| **Goedkeuren, implementeren en bewaking van maatregelen**                              | III. Sturing op informatieveiligheid                                                               |
+| **Leiderschap**                                                                        | _Managementverantwoordelijkheid_                                                                   |
+| **Training management**                                                                | I. Workshop Sturen op Risico’s                                                                     |
+| **Training van werknemers**                                                            | II. Implementatieplan maatregelen (onderdeel van …)                                                |
+
+  
+
+---
+
+[^1]: De ISO 27002 is een nadere uitwerking van de maatregelen die in de Annex A van de ISO 27001 benoemd worden. Voor ons project Informatiebeveiliging gebruiken we de ISO 27001/27002 als kapstok. De BIO is ook gebaseerd op de ISO 27001 / 27002.
+

Clients/Humankind/Offboarding ICT leveranciers HK.md

@@ -0,0 +1,16 @@
+# Offboarding ICT leveranciers
+
+**Doel**
+Een overeengekomen niveau van informatiebeveiliging in stand houden bij de beëindiging van de projectfase.
+
+**Procedure**
+De Procedure Offboarding is in wezen het terugdraaien van de rechten en bevoegdheden van (medewerkers van) de leverancier nadat het project is beëindigd.
+
+De projectleider ziet er op toe dat de voor het project verleende rechten en voorzieningen worden teruggedraaid. Deze rechten en voorzieningen zijn beschreven in de Inventarisatie uit de [Procedure Onboarding](Onboarding%20van%20leveranciers%20HK.md). 
+
+1. Verleende toegang tot systemen, infrastructuur en locaties wordt teruggetrokken
+2. Databases, bestanden en documenten (en door de leverancier hiervan gemaakte kopieën) worden teruggegeven of vernietigd cf. het daartoe opgestelde beleid
+3. Toegang tot systemen van Humankind wordt beperkt tot wat nodig is gedurende de operationele fase van het systeem
+4. Eventuele tijdelijke voorzieningen die ten behoeve van of gedurende  de projectfase gecreëerd zijn worden opgeheven cq. ontmanteld
+5. Databases, bestanden en documenten die ten behoeve van of gedurende de projectfase gecreëerd zijn worden vernietigd of gearchiveerd cf. het daartoe opgestelde beleid
+6. Het terugtrekken van de toegang en bevoegdheden van (medewerkers van) de leverancier wordt gecommuniceerd aan belanghebbenden

Clients/Humankind/Onboarding van leveranciers HK.md

@@ -0,0 +1,23 @@
+# Onboarding van leveranciers
+
+**Doel**
+Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende de samenwerking met leveranciers.
+
+**Procedure**
+Wanneer aan een leverancier opdracht is verleend voor het leveren van een oplossing of dienst, zal in de meeste gevallen sprake zijn van een implementatie- of introductietraject. Medewerkers van Humankind gaan samenwerken met medewerkers van de leverancier en wisselen hierbij informatie uit. Medewerkers van de leverancier komen op bezoek op fysieke locaties van Humankind. De leverancier krijgt informatie over de systemen van Humankind en de beveiliging daarvan, en zal in veel gevallen toegang krijgen tot sommige van die systemen.
+
+Een ICT consultant moet vooraf met de leverancier een Inventarisatie Onboarding opstellen, waarin aandacht besteed wordt aan de onderstaande onderwerpen:
+- Het Plan van Aanpak van de leverancier en daaruit volgende risico's voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie
+- Gevraagde toegang tot systemen, infrastructuur en locaties – deze moet  noodzakelijk zijn voor het uitvoeren van de dienstverlening en zoveel mogelijk beperkt worden in termen van reikwijdte en tijdsduur (least privilege / need to know), en bij beëindiging van het project worden ontnomen (zie de [Offboarding ICT leveranciers HK|Procedure Offboarding](Offboarding%20ICT%20leveranciers%20HK.md))
+- Verstrekking van databases, bestanden en documenten t.b.v. tests, migraties en conversies
+- Beveiligingsmaatregelen van de leverancier op test- en acceptatieomgevingen (met aandacht voor anonimisering/pseudonimisering)
+- Transport naar, en opslag en verwerking van gegevens van Humankind door de leverancier
+- Controle op risicobeperkende maatregelen op basis van het data-classificatieschema van Humankind (nog op te stellen)
+- Mogelijke impact op de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie van tooling die door de leverancier tijdens het implementatieproject gebruikt wordt
+- Benodigde antecedentenonderzoeken van personeel dat toegang krijgt tot locaties en systemen (VOG verklaring)
+- Het tekenen van geheimhoudingsverklaringen (NDA)
+- Procedures voor het afhandelen van incidenten en verstoringen, gerelateerd aan de tooling en dienstverlening van de leverancier, waaronder afspraken over de wederzijdse verantwoordelijkheden.
+- Continuïteits- en herstelmaatregelen bij onderbreking of verstoring van de dienstverlening
+- Voorwaarden voor acceptatie en inbeheername (binnen de scope van dit document voor zover deze betrekking hebben, of impact hebben op, de beveiliging van informatie)
+
+De ICT consultant documenteert dit en laat de Inventarisatie Onboarding accorderen door de Manager IM.

Clients/Humankind/Opdracht Humankind 6 juni 2024.md

@@ -0,0 +1,52 @@
+-> [Door klant getekende PDF](Opdracht%20Humankind%20aan%20TSW%20Fase%201%20en%202%20GETEKEND.pdf)
+Zie ook:
+- [_Project Humankind kinderopvang MoC](_Project%20Humankind%20kinderopvang%20MoC.md)
+
+Uitdagingen:
+1. Opstellen van een passend informatiebeveiligingsbeleid en meerjarenplan
+2. Nemen van werkbare maatregelen o.b.v. actuele en specifieke risico’s
+3. Managen van de voor dit domein relevante leveranciers
+4. Verzekeren van actieve betrokkenheid van management en medewerkers
+5. Inrichten van de besturing op informatieveiligheid
+
+## Opdracht Fase 1 en 2
+
+### Fase 1 – Randvoorwaarden scheppen voor ontwikkeling
+
+A. Voorzien in basisveiligheid door:
+- [Check op Basisveiligheid](../../Corpus/Sparks/Check%20op%20Basisveiligheid%20Humankind.md) door een onafhankelijke Partij
+	- Bescherming tegen actuele externe dreigingen
+- [[Verzekering beschikbaarheid Humankind|Verzekering beschikbaarheid]]:
+	- Backups en noodvoorzieningen
+	- [Calamiteitenplan](Bedrijfscontinuïteitsplan%20Humankind.md) (o.a. ransomware)
+
+B. Kweken van Bewustzijn en Buy-in van management door [[Management Workshops Humankind|workshops ‘Sturen op Risico’s met de Canvas Methode’]]
+
+C. [Vaststellen van leidende principes en doelen](Leidende%20principes%20en%20doelen%20Humankind.md)
+
+### Fase II – Structuur aanbrengen
+
+- Bepalen van eigenaarschap van risico’s en maatregelen, rolverdeling en managementproces ([Besturingsmodel](Besturingsmodel%20informatiebeveiliging%20Humankind.md))
+- Opstellen [Beleid op hoofdlijnen](Informatiebeveiligingsbeleid%20Humankind.md)
+- Opstellen Meerjarenplan
+- Uitvoeren [Risicoanalyse](Risicoanalyse%20Humankind.md)
+- Fit/gap analyse t.o.v. referentie-framework
+- Opstellen implementatieplan maatregelen
+
+## Fase 3 en 4
+### Fase III – Capaciteiten ontwikkelen
+
+Capaciteiten ontwikkelen op het moment dat ze nodig zijn, o.b.v. het implementatieplan:
+
+- Risicomanagement
+- Incident Response
+- Leveranciersmanagement
+- Sturing op informatieveiligheid
+- Helderheid voor toezichthouders
+
+### Fase IV – Borging
+- Integreren van de sturing op informatieveiligheid in het managementsysteem van Humankind
+- Sturing op bewustzijn en gedrag en implementatie van een PDCA cyclus voor continue verbetering o.b.v. de Canvas Methode voor Informatieveiligheid
+- Casus-gerichte advisering aan, en in opdracht van, de informatiemanager (o.a. toepassing van maatregelen en wijzigingen in systeemlandschap)
+- Monitoren van en rapporteren over dienstverlening security
+- Actieve advisering m.b.t. relevante ontwikkelingen in de buitenwereld

Clients/Humankind/Operationele fase HK.md

@@ -0,0 +1,36 @@
+# Informatiebeveiliging in de operationele fase
+
+De operationele fase start met de ingebruikname door de Manager IM, na overdracht vanuit het implementatieproject door de projectleider. 
+
+**Doel**
+Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende het gebruik van de oplossing of afname van de dienstverlening.
+
+**Procedure**
+De Manager IM controleert of is voldaan aan de voorwaarden voor acceptatie en inbeheername, zoals opgenomen in de Inventarisatie Onboarding (binnen de scope van dit document voor zover deze betrekking hebben, of impact hebben op, de beveiliging van informatie).
+
+Na akkoord voor inbeheername begint de operationele fase.
+
+**Vast te stellen beleid**
+Voor de operationele fase moet nog op veel gebieden beleid worden vastgesteld. Voor zover mij bekend is dat beleid binnen Humankind nog niet aanwezig. Wel worden veel van de activiteiten die hierbinnen vallen op operationeel niveau uitgevoerd door de afdeling ICT/Informatiemanagement. 
+
+Binnen een ISO 27001 compliant Information Security Management System (ISMS) moet beleid geiïmplementeerd zijn op de volgende onderwerpen:
+
+1. Risicobeheersing, met aandacht voor:
+	- compliance met wet- en regelgeving en intern beleid
+	- datalekken
+	- juridische en contractuele verplichtingen
+	- licenties
+	- intellectueel eigendom
+	- kwetsbaarheden en dreigingen
+2. Toegangsbeheer
+3. Incidentmanagement
+4. Logging en Monitoring
+5. Capaciteitsmanagement
+6. Verandermanagement (patches, updates, releases)
+7. Configuratiemanagement
+8. Bewaken van de leveranciersrelatie (w/o bewaken van performance, contractvoorwaarden en audits)
+9. Bedrijfscontinuïteit (incident respons plannen, noodvoorzieningen en herstelplannen)
+10. Omgang met informatie en apparatuur
+11. Beveiliging van apparatuur ('Endpoint Security')
+12. Netwerkbeveiliging
+

Clients/Humankind/OrgFit Afspraken Procesmanagement Humankind.md

@@ -0,0 +1,118 @@
+## Samenvatting
+
+**Rollen binnen Procesmanagement**
+
+- Proceseigenaren zorgen voor effectieve werking van een proces en verbetering waar mogelijk. Dit is de manager/directeur die in de operatie voor dat proces verantwoordelijk is. Vastgelegd in het Processenhuis.
+- Procesbegeleiders (1 of 2 per afdeling) brengen huidige en gewenste processen in kaart en organiseert hiervoor sessies.
+- Procesmodelleurs leggen de processen vast in Engage (software). Dit zijn functioneel beheerders en PMO-ers.
+- Team Processen is de centrale aanjager en vraagbaak en eigenaar van het processenhuis. 
+	- *"Samenstelling: Businesscontoller (Vera Colen?), FB-er Engage (Monique Steijen), ntb????"*
+
+Een format voor de procesbeschrijvingen is hieronder gegeven.
+
+## Originele tekst
+In de dynamische wereld van hedendaagse organisaties vormt procesmanagement een onmisbare schakel voor het optimaliseren van efficiëntie, het verbeteren van kwaliteit en het waarborgen van continue groei. Voor organisaties die een start maken met procesmanagement en het systematisch vastleggen van hun processen, zijn zorgvuldig gedefinieerde randvoorwaarden en basisvereisten cruciaal.
+
+**Randvoorwaarden voor Procesmanagement:**
+
+_Leiderschap en Betrokkenheid:_ Een toegewijd leiderschap dat de filosofie van procesmanagement omarmt, is van essentieel belang. Leiders moeten niet alleen de waarde van procesoptimalisatie begrijpen, maar ook actief betrokken zijn bij het begeleiden en ondersteunen van het procesmanagementinitiatief.
+
+_Cultuur van Continue Verbetering:_ Het creëren van een cultuur waarin medewerkers gemotiveerd zijn om voortdurend verbeteringen voor te stellen en te omarmen, is een cruciale randvoorwaarde. Dit bevordert een dynamische omgeving die veranderingen verwelkomt en zich aanpast aan nieuwe inzichten.
+
+_Competentieontwikkeling:_ Het trainen en ontwikkelen van medewerkers op het gebied van procesmanagement is een randvoorwaarde. Hierbij is niet alleen aandacht voor technische vaardigheden noodzakelijk, maar ook voor soft skills zoals communicatie en samenwerking.
+
+**Rollen binnen procesmanagement:**
+
+_De proceseigenaren:_  Het waarborgen van de effectieve werking van een proces en waar mogelijk initiatief nemen tot het verbeteren. Dit is de leidinggevende (manager/directeur) die in de operatie verantwoordelijk is voor de juiste (effectief en efficiënt) uitvoering van het proces. Bij gedeelde verantwoordelijkheid wordt in overleg bepaald wie de rol van proceseigenaar neemt. Deze eigenaren zijn vastgelegd in het processenhuis Humankind (in Engage) 
+
+_De procesbegeleiders:_    
+Faciliteren het in kaart brengen van huidige en gewenste processen. Uitgangspunt is dat de proceseigenaren zelf het initiatief nemen voor het vastleggen van ‘hun’ processen. Door binnen elke (staf-)afdeling een of twee procesbegeleiders te hebben zijn we in staat om snel en efficiënt het proces expliciet te maken met een vergelijkbare werkwijze. Dit kan zowel gaan om de huidige als de gewenste werkwijze. De procesbegeleider organiseert, bereidt de sessies voor, begeleidt de sessie en werkt het proces in concept uit.
+
+De procesbegeleider heeft de mogelijkheid om processen vast te leggen in Engage.   
+
+_De procesmodelleurs:_  
+
+We kiezen er – in deze fase – voor om het vastleggen van de processen in Engage bij een beperkt aantal mensen te leggen. Zo bouwen we kennis op en borgen we uniformiteit in de wijze van vastlegging. Voor deze rol heeft Humankind besloten die te beleggen bij functioneel beheerders en PMO-ers. Zij worden binnenkort opgeleid in het gebruik van Engage en de wijze waarop Humankind haar processen wil vastleggen en publiceren van de processen op Groei 
+
+. Het PMO neemt deze werkwijze integraal op in de projecten. Daarvoor zullen de PMO-ers zowel als procesbegeleider als ook als procesmodelleur worden geïnstrueerd. 
+
+_Team processen:_ 
+
+Zeker in de eerste fase is het belangrijk om een plek als centrale aanjager en vraagbaak te hebben. Verantwoordelijk voor:  
+
+Het stimuleren en faciliteren van het gebruik van processen en het door ontwikkelen van procesmanagement binnen Humankind.  
+
+Eigenaar van het processenhuis van Humankind als kapstok voor de ontwikkeling.  
+
+Samenstelling: Businesscontoller (Vera Colen?), FB-er Engage (Monique Steijen), ntb???? 
+
+
+### Format procesbeschrijvingen
+
+Bij het optekenen van een proces is het van belang om zorgvuldig te werk te gaan en alle relevante informatie vast te leggen. Hier is een lijst met de gemaakte afspraken binnen Humankind waar je aan moet denken bij het optekenen van een proces:
+
+**Procesnaam en Doelstelling**
+
+Geef het proces een duidelijke naam die de kern van de activiteit weerspiegelt. Definieer de hoofddoelstelling van het proces.
+
+**Betrokken Stakeholders**
+
+Identificeer alle interne en externe belanghebbenden die bij het proces zijn betrokken. Noteer hun specifieke rollen en verantwoordelijkheden.
+
+**Processchema**
+
+Maak een visueel overzicht van het proces. Visualiseer de stappen in het proces en de onderlinge relaties.
+
+**Processtappen**
+
+Beschrijf elke afzonderlijke stap in het proces. Specificeer de volgorde en de WAT van de stap. De HOE wordt niet beschreven in een processtap.
+
+**Beschrijving van Activiteiten**
+
+Geef gedetailleerde informatie over de uit te voeren activiteiten in elke processtap. Houd rekening met benodigde resources en competenties.
+
+**Technologische Ondersteuning**
+
+Specificeer eventuele technologische tools die het proces ondersteunen. Zorg voor integratie met bestaande systemen indien nodig.
+
+**Proceseigenaar**
+
+Benoem een verantwoordelijke persoon als eigenaar van het proces. Wijs een aanspreekpunt aan voor vragen en optimalisatiesuggesties.
+
+**Documentatieversie en Datum**
+
+Houd de versie van de documentatie bij. Voorzie elke versie van een datum om de actualiteit te waarborgen.
+
+**Goedkeuring en Review**
+
+Zorg voor goedkeuring van de betrokken partijen voordat het proces wordt geïmplementeerd. Plan regelmatige reviews om het proces te evalueren en indien nodig bij te werken.
+
+Deze lijst biedt een solide basis voor het optekenen van een proces en zorgt ervoor dat alle cruciale elementen worden vastgelegd. Het is belangrijk om flexibel te blijven en de documentatie regelmatig bij te werken om veranderingen in de organisatie te weerspiegelen.
+
+In de toekomst kunnen we de basis processen uitbreiden met onder andere
+
+**Risico's en Controles**
+
+Analyseer mogelijke risico's die het proces kunnen beïnvloeden. Definieer interne controles om risico's te beheersen.
+
+**Tijdlijnen en Doorlooptijden**
+
+Geef de geschatte tijd aan die nodig is voor elke processtap. Bepaal de totale doorlooptijd van het proces.
+
+**Kwaliteitsnormen en Prestatie-Indicatoren**
+
+Stel kwaliteitsnormen vast die het proces moet behalen. Bepaal meetbare prestatie-indicatoren om de effectiviteit te monitoren.
+
+**Inputs en Outputs**
+
+Documenteer duidelijk welke inputs het proces ontvangt en welke outputs het oplevert. Identificeer de bronnen van inputs en de bestemming van outputs.
+
+**Informatiestromen**
+
+Beschrijf hoe informatie door het proces stroomt. Identificeer communicatiekanalen en documentatievereisten.
+
+**Basisvoorwaarden voor het houden van een procesworkshop:**
+
+1. **Identificeer de Stakeholders:** Een grondig begrip van wie er betrokken is bij het proces is essentieel. Stakeholders moeten worden geïdentificeerd en betrokken bij het vastleggen van hun specifieke rollen en verantwoordelijkheden.
+
+2. **Betrek Medewerkers Actief**: De mensen die dagelijks bij de processen betrokken zijn, hebben waardevolle inzichten. Het actief betrekken van medewerkers bij het optekenen van processen verbetert de nauwkeurigheid en acceptatie.

Clients/Humankind/OrgFit Architectuurprincipes Humankind.md

@@ -0,0 +1,11 @@
+![](Architectuurprincipes%20Humankind%202024.pdf)
+
+[Structuur Architectuurprincipes Humankind](Structuur%20Architectuurprincipes%20Humankind.md)
+[Governance in Architectuurprincipes Humankind](Governance%20in%20Architectuurprincipes%20Humankind.md)
+[Rollen en verantwoordelijkheden uit Architectuurprincipes Humankind](Rollen%20en%20verantwoordelijkheden%20uit%20Architectuurprincipes%20Humankind.md)
+[Security in Architectuurprincipes Humankind](Security%20in%20Architectuurprincipes%20Humankind.md)
+[Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind](Eisen%20aan%20leveranciers%20en%20samenwerking%20uit%20de%20Architectuurprincipes%20Humankind.md)
+[Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind](Eisen%20aan%20ICT%20oplossingen%20uit%20de%20Architectuurprincipes%20Humankind.md)
+
+
+

Clients/Humankind/OrgFit Autorisatiematrix Humankind.md

@@ -0,0 +1,12 @@
+
+![](Autorisatiematrix.xlsx)
+
+- Tabblad Matrix: functiehuis vs applicaties; niet ingevuld
+- Tabblad Rollen definities; niet ingevuld
+- Tabblad Overzicht gebruikers Stichting: per gebruiker (op naam) het licentietype, profiel, gebruikersgroepen en machtigingensets (AD, misschien?)
+- Tabblad Permission Sets: de machtigingensets en hun benaming
+- Tabblad Permissions: CRUD matrix per machtigingenset en objectnaam
+- Tabblad Tenant Permissions: zelfde als Permissions maar dan op Tenant niveau?
+- Tabblad Access Control - moeilijk
+- Tabblad User Setup – per gebruiker welke rechten deze heeft, vermoedelijk voor KidsVision
+- Tabblad User Effective Permissions – lijkt op voorgaande

Clients/Humankind/OrgFit Bedrijfsfuncties en Applicaties Humankind.md

@@ -0,0 +1,138 @@
+Bron: ![](Bedrijfsfuncties%20en%20Applicaties.xlsx)
+Tabbladen:
+- Bedrijfsfuncties – benoemt de processen en wie daarvoor verantwoordelijk is.
+- Applicatielandschap – inventarisatie van de (gemandateerde) applicaties in gebruik
+- Prio – benoemt 4 prioriteitsniveaus en een maximum aantal uren (continuïteit?)
+
+## Bedrijfsfuncties
+
+Codering:
+- ST (Sturing?)
+- KO (Kinderopvang?)
+- OO (?0)
+- BV (Bedrijfsvoering?)
+
+| Codering | Nummering | Bedrijfsproces                       | Verantwoordelijk                | Naam                | Opmerkingen                                                                                           |
+| -------- | --------- | ------------------------------------ | ------------------------------- | ------------------- | ----------------------------------------------------------------------------------------------------- |
+| ST       | ST.00     | Sturing                              | Bestuurder                      | Robin Alma          |                                                                                                       |
+| ST       | ST.01     | Strategie en Governance              | Bestuurder                      | Robin Alma          |                                                                                                       |
+| ST       | ST.02     | Beleid en Planvorming                | Directieteam                    |                     | Binnen Directieteam geen verantwoordelijk aangewezen                                                  |
+| ST       | ST.03     | Verandermanagement                   | Directieteam                    |                     | Binnen Directieteam geen verantwoordelijk aangewezen                                                  |
+| ST       | ST.04     | Verbetermanagement                   | Directieteam                    |                     | Binnen Directieteam geen verantwoordelijk aangewezen                                                  |
+| ST       | ST.05     | Verantwoording                       | Bestuurder                      | Robin Alma          |                                                                                                       |
+|          |           |                                      |                                 |                     |                                                                                                       |
+| KO       | KO.00     | Kindontwikkeling                     | Manager Pedagogiek en Kwaliteit | Marijke Koekoek     |                                                                                                       |
+| KO       | KO.01     | Kindontwikkeling                     | Manager Pedagogiek en Kwaliteit | Marijke Koekoek     |                                                                                                       |
+| KO       | KO.02     | Opvang en ontwikkeling uitvoering    | Regio Directeur                 |                     | Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur                             |
+| KO       | KO.03     | Kindbegeleiding                      | Regio Directeur                 |                     | Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur                             |
+| KO       | KO.04     | Toetsing                             | Manager Pedagogiek en Kwaliteit | Marijke Koekoek     |                                                                                                       |
+|          |           |                                      |                                 |                     |                                                                                                       |
+| OO       | OO.00     | Ondersteuning Kindontwikkeling       |                                 |                     |                                                                                                       |
+| OO       | OO.01     | Ouder / Kind werving                 | Regio Directeur                 |                     |                                                                                                       |
+| OO       | OO.02     | Inschrijving                         | Regio Directeur                 |                     | Secundair regio controller. Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur |
+| OO       | OO.03     | Planning                             | Regio Directeur                 |                     | Secundair regio controller. Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur |
+| OO       | OO.04     | Roostering                           | Regio Directeur                 |                     | Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur                             |
+| OO       | OO.05     | Ouder / Kind counseling / gesprekken | Manager Pedagogiek en Kwaliteit | Marijke Koekoek     |                                                                                                       |
+| OO       | OO.06     | Rapportage                           | Regio Directeur                 |                     | Huidige structuur van Humankind. Wat wordt de rol van de clusterdirecteur                             |
+|          |           |                                      |                                 |                     |                                                                                                       |
+| IO       | IO.00     | Informatie Ontsluiting               | Manager IM                      |                     | Onder verantwoordelijkheid manager Bedrijfsvoering                                                    |
+| IO       | IO.01     | Informatie Levering                  | Manager IM                      |                     | Onder verantwoordelijkheid manager Bedrijfsvoering                                                    |
+| IO       | IO.02     | Informatie Doorlevering              | Manager IM                      |                     |                                                                                                       |
+|          |           |                                      |                                 |                     |                                                                                                       |
+| BV       | BV.00     | Bedrijsvoering                       | Manager Bedrijfsvoering         | Erna de Koster      |                                                                                                       |
+| BV       | BV.01     | HRM                                  | Manager M&O                     | Judith Willems      |                                                                                                       |
+| BV       | BV.02     | Financieel                           | Manager                         | Insiyah Arsiwalla   |                                                                                                       |
+| BV       | BV.03     | Facilitair en Huisvesting            | Manager                         | Dion Roeffen        |                                                                                                       |
+| BV       | BV.04     | ICT                                  | Manager I&A                     | Jeroen Wijnen       |                                                                                                       |
+| BV       | BV.05     | Inkoopmanagement                     | Manager                         | Dion Roeffen        |                                                                                                       |
+| BV       | BV.06     | Contactmanagement                    |                                 |                     |                                                                                                       |
+| BV       | BV.07     | Communicatie Management              | Manager                         | Monique van Weert   |                                                                                                       |
+| BV       | BV.08     | Juridisch Management                 |                                 | Florine Vinkesteijn |                                                                                                       |
+
+## Applicaties
+
+| Applicatie |
+| --- |
+|iBabs|
+|Compliancy systeem (risk management)|
+|LEI|
+|KVK Reporting XBRL|
+|SDG Reporting|
+|CBS|
+|PowerBI|
+|Exsion|
+|Doen Kids|
+|Ziejezo|
+|Piramide methode|
+|Mercash|
+|Kidsvision|
+|Ondertekenen.nl|
+|KVS Peutermonitor|
+|Leerling in beeld (voorheen LOVS)|
+|Ouderapp|
+|Kindtevredenheid|
+|Verbetermeter|
+|RIE app|
+|PIB (pedagogische kwaliteit in beeld)|
+|Good Habitz|
+|Livis (cursus omgeving BHV, EHBO)|
+|O3 (registratie ziekmeldingen)|
+|Personenregister Kinderopvang (DUO)|
+|Jij telt|
+|AMS|
+|Friesland Lease|
+|UWV Portaal|
+|SBB (BBL)|
+|Effectory (medewerkerstevredenheid)|
+|Weg na werk|
+|Fisc Free|
+|LMS (oorspronkelijk AVG)|
+|Quest Back|
+|DUO|
+|Activasz|
+|RPA (robotic process automation)|
+|Project administratie|
+|Subsidie Portaal (gemeente portalen - RC's)|
+|Data Analyse Tool|
+|Jaarrekening Tool|
+|E-Herkenning|
+|IBP|
+|NAVIDOCS (OCR Docs?)|
+|Pensioenfonds UPA|
+|Belastingdienst|
+|PAYT|
+|Airteq Axxerion|
+|Axxerion|
+|Athlon|
+|Alfabet|
+|Enepa|
+|CSU Facilitor|
+|Airteq|
+|Active Directory|
+|LMS 365|
+|Fresh|
+|Knox|
+|Linkus|
+|Office Depot|
+|Braspa|
+|Heutink|
+|BCC|
+|Albert Heijn|
+|Vastgoeddata.nl|
+|Yext|
+|IG&H|
+|Google Analytics|
+|Coosto|
+|Spotler|
+|Groei|
+|Website|
+|Postcode Tabel|
+|Lead management|
+|Kijk|
+|Madelief|
+|Yealink Vergaderomgeving|
+|LRK (landelijke registratie kinderopvang)|
+|Simpledcards|
+|Accture|
+
+

Clients/Humankind/OrgFit Informatiematrix Humankind.md

@@ -0,0 +1,22 @@
+
+![](Informatiematrix.xlsx)
+
+Tabblad Samenvatting:
+- Per gegevensverzameling het eigenaarschap, verantwoordelijkheid QC, aanleveraar (bron), bedrijfsfunctie, contactpersoon
+
+Tabblad Informatiematrix:
+- inventarisatie van hoe de bedrijfsfuncties zich verhouden tot de verschillende gegevensverzamelingen
+- die 'verhouding' kan zijn: G-Gebruiker, E-Eigenaar, A-Aanleveren, K-Kwaliteitscontrole, of NVT. Combinaties komen ook voor.
+
+Tabblad Data definities:
+- Per 'dossier' de verschillende soorten informatie
+
+Tabblad Legenda:
+- lijst van afdelingen
+- codering van de 'verhoudingen'
+
+Tabblad Eigenaren:
+- Soort RBAC matrix naar Afdeling en 'dossier', lijkt op Tabblad Informatiematrix
+
+Tabblad Structuur:
+- onduidelijk

Clients/Humankind/OrgFit Processenhuis Humankind.md

@@ -0,0 +1 @@
+![](Processenhuis%20HK%202024Q1.pdf)

Clients/Humankind/OrgFit stukken Humankind.md

@@ -0,0 +1,14 @@
+- [Afspraken Procesmanagement](OrgFit%20Afspraken%20Procesmanagement%20Humankind.md)
+- [Architectuur Principes](OrgFit%20Architectuurprincipes%20Humankind.md)
+- [Processenhuis](OrgFit%20Processenhuis%20Humankind.md)
+- [Bedrijfsfuncties en Applicaties](OrgFit%20Bedrijfsfuncties%20en%20Applicaties%20Humankind.md)
+	- Bedrijfsprocessen en verantwoordelijken
+	- Inventarisatie van de (gemandateerde) applicaties
+	- 4 prioriteitsniveaus gedefinieerd naar continuïteit(?)
+- [Informatiematrix](OrgFit%20Informatiematrix%20Humankind.md)
+	- Gegevensverzamelingen met hun eigenaar, QC, bron, contactpersoon en de bedrijfsfunctie waarvoor die nodig zijn
+	- Relatie tussen bedrijfsfuncties en gegevensverzamelingen
+	- Inventarisatie van de gegevenstypen per 'dossier'
+	- Soort RBAC matrix naar Afdeling en 'dossier'
+- [Autorisatiematrix](OrgFit%20Autorisatiematrix%20Humankind.md)
+	- rechten per gebruiker, ws uit de AD en KidsVision

Clients/Humankind/Pentest Humankind door NFIR.md

@@ -0,0 +1,11 @@
+
+[Management samenvatting pentest Humankind door NFIR](Management%20samenvatting%20pentest%20Humankind%20door%20NFIR.md)
+[Management samenvatting pentest Humankind door RK](Management%20samenvatting%20pentest%20Humankind%20door%20RK.md)
+[Rapportage pentest Humankind door NFIR](Rapportage%20pentest%20Humankind%20door%20NFIR.md)
+
+
+
+
+
+
+

Clients/Humankind/Pentest Humankind.md

@@ -0,0 +1,4 @@
+
+[Uitvraag leveranciers Pentest Humankind](Uitvraag%20leveranciers%20Pentest%20Humankind.md)
+[Aanbiedingen van leveranciers pentest Humankind](Aanbiedingen%20van%20leveranciers%20pentest%20Humankind.md)
+[Pentest Humankind door NFIR](Pentest%20Humankind%20door%20NFIR.md)

Clients/Humankind/Presentatie voor bestuur Humankind.md

@@ -0,0 +1,10 @@
+Gegeven op 4 juni
+
+Aanwezig:
+* Francis Willemsen, ad interim-directeur Bedrijfsvoering
+* John Keulen, manager Informatiemanagement
+* Robin Alma, bestuurder
+* Florine Vinkesteijn, bestuurssecretaris
+
+[Slide Deck](Voorstel%20Humankind%20april%202024%20v02.pdf)
+

Clients/Humankind/Prioriteit beleidsvorming 23 januari 2025.md

@@ -0,0 +1,12 @@
+Prioriteit beleidsvorming 23 januari 2025 (mail aan Francis, een bijstelling van de [Herijking](Herijking%20project%2014%20november%202024.md) van 14 november):
+
+1. Informatie classificatie
+2. toegangsbeleid (verschillende applicaties)
+3. [Vendor Management](Selectie%20en%20implementatie%20van%20Technologie%20bij%20Humankind.md)
+4. informatiebeveiliging tijdens projecten (migraties/transities uit Roadmap) - bijv. beschikbaarheid tijdens migratie van KidsVision naar de Cloud, die langer dan een weekend duren.
+5. Richtlijnen voor gebruik van niet-gemandateerde software 
+6. Bedrijfscontinuïteitsplan ICT
+7. [Overkoepelend beleidsstuk](Informatiebeveiligingsbeleid%20Humankind.md) (is vrij bondig en algemeen, verwijst voor details naar de overige documenten)
+
+Gedeeld werkdocument met acties beleidsvorming:  
+[241212 Aanpak Beleidsvorming Humankind FWi](https://groei.sharepoint.com/:w:/r/sites/ProjectInformatiebeveiliging/_layouts/15/Doc.aspx?sourcedoc=%7B56ED7835-AE50-46E4-8603-64D5E8FE6DD7%7D&file=241212%20Aanpak%20Beleidsvorming%20Humankind%20FWi.docx&action=default&mobileredirect=true)

Clients/Humankind/Procedure Digitaal gebruikersbeleid HK.md

@@ -0,0 +1,41 @@
+# Digitaal gebruikersbeleid Humankind
+
+(PDF onder de Opmerkingen)
+
+**Opmerkingen per mail, 23 april 2025:**
+
+De volgende opmerkingen/vragen:
+
+1. Voor M&O (denk ik):
+	1. is dit document onderdeel van de onboarding procedure voor nieuwe medewerkers?
+	2. Moet de medewerker tekenen voor akkoord?
+
+3. De 'werknemersregeling Privé devices’ waarnaar verwezen wordt …
+	1. Kun je daarvan een kopie uploaden?
+	2. Hoe is die regeling onderdeel van de onboarding procedure voor nieuwe medewerkers?
+	3. Moet de medewerker tekenen voor akkoord?
+
+5. Bij punt 4, 'Verantwoordelijkheid en toestemming’:
+	1. "Het gebruik van digitale tools en devices binnen en voor de organisatie is daarom gebonden aan de door de organisatie bepaalde software/ applicaties” – toevoegen: "het gebruik van andere software, applicaties of webdiensten voor je werkzaamheden bij Humankind is alleen toegestaan na expliciete toestemming van IM”. Dan sluit het ook beter aan op de kop van deze paragraaf.
+
+7. Bij punt 5, Beveiliging en privacy:
+	1. De paragraaf "Bij Humankind kiezen … uitgebreide controle- en beheeropties.” – dit leest vooral als een beleidsmatige overweging, terwijl de rest van het stuk heel duidelijk op de medewerker gericht is. Kan wat mij betreft hier weg, ik kopieer die graag in één van de andere beleidsstukken
+	2. De paragraaf “Dit verzekert ons … AVG” kan goed achter "Al je zakelijke documenten … SharePoint, OneDrive en Teams.”
+	3. "Bij een redelijke verdenking ... wettelijk toegestaan” zou ik verplaatsen naar het eind van punt 4, daar past t beter denk ik.
+
+9. Bij 5.3, Gevoelige informatie:
+	1. Is de ‘geheimhouding’ verankert in het ondertekenen van een geheimhoudingsverklaring, binnen de onboarding procedure voor nieuwe medewerkers
+	2. "Je mag alleen informatie over klanten, zakelijke partners of collega's delen als hiervoor een wettelijk doel (AVG Grondslag) is.” – dat moeten we concreter maken met de Dataclassificatie. Je mag van een medewerker niet verwachten dat hij/zij Artikel 6 kent en kan toepassen.
+	3. "Controleer vooraf goed de geldende instructies.” – waar kan de medewerker die vinden?
+
+11. Bij 5.6, Logging:
+	1. “"Wanneer er een … en gecontroleerd worden” zou ik zetten ná de zin “Loggings … zakelijk device”.
+
+13. Bij 7, De meest gebruikte digitale tools binnen Humankind:
+	1. Kunnen we dit iets ‘dwingender’ maken, iets als: "De digitale tools van Humankind"? Dan past het ook beter bij Punt 4, en het beleid waarin we toewerken naar het níet gebruiken van andere tools.
+	2. De eerste zin zou ik graag wijzigen in: "Om ervoor te zorgen dat we effectief, efficiënt en veilig kunnen samenwerken in de digitale wereld, gebruiken we bij Humankind de onderstaande apps. Andere apps mogen alleen gebruikt worden na expliciete toestemming van IM.
+	3. Klopt deze lijst? Bij 9 wordt GoodHabitz genoemd maar die staat niet in de lijst.
+
+
+![](Digitaal%20gebruikersbeleid%20Humankind.pdf)
+

Clients/Humankind/Projectfase HK.md

@@ -0,0 +1,22 @@
+
+# Informatiebeveiliging in de projectfase
+
+De projectfase gaat in na opdrachtverlening aan de leverancier, en eindigt bij in beheername van de oplossing door de Manager IM.
+
+**Doel**
+Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende de samenwerking met leveranciers.
+
+**Procedure**
+Het implementatietraject van een ICT oplossing of dienstverlening wordt projectmatig aangepakt. Vanuit het PMO wordt hiervoor een projectleider aangewezen en beschikbaar gesteld. De projectleider ziet er op toe dat de hier beschreven procedure wordt gevolgd, en rapporteert hierover aan de Manager IM.
+
+Bij aanvang van het project wordt de procedure [Onboarding van leveranciers](Onboarding%20van%20leveranciers%20HK.md) gevolgd.
+
+De projectleider neemt kennis van de Inventarisatie Onboarding en de Risicoanalyses (waaronder de DPIA) uit de procedures [Specificatie van eisen](Specificatie%20van%20eisen%20HK.md) en [Selectie van leveranciers](Selectie%20van%20leveranciers%20HK.md),  en daaropvolgende besluitvorming. 
+
+De projectleider bewaakt dat de overeengekomen risicobeperkende maatregelen binnen het project geïmplementeerd worden.
+
+Als maatregelen niet geïmplementeerd worden, niet effectief blijken te zijn of zich nieuwe risico's voordoen, vraagt hij/zij de ICT Consultant om een update van de Risicoanalyse en/of de DPIA. In overleg met de ICT Consultant en de leverancier worden aanvullende maatregelen genomen. Wanneer dit leidt tot extra kosten of vertraging van het project moet de opdrachtgever van het project betrokken worden.
+
+Wanneer risico's een (nog te bepalen) risicowaarde overschrijden, wordt het Directieteam (in haar rol van risico-eigenaar) hierover geïnformeerd.
+
+Bij beëindiging van het project wordt de procedure [Offboarding ICT leveranciers](Offboarding%20ICT%20leveranciers%20HK.md) geactiveerd.

Clients/Humankind/Rapportage Risico inventarisatie Humankind.md

@@ -0,0 +1 @@
+![](241202%20Risico%20inventarisatie%20Humankind.docx)

Clients/Humankind/Rapportage pentest Humankind door NFIR.md

@@ -0,0 +1,54 @@
+De onderstaande tabel geeft een overzicht van alle aangetroffen bevindingen inclusief de classificatie.
+
+|#|Bevinding|Classificatie|
+|---|---|---|
+|025|Password Spraying – Onveilige wachtwoorden aangetroffen|HOOG (8.8)|
+|007|Password Spraying – Gebruikersnaam als wachtwoord|HOOG (8.7)|
+|010|AutoAdminLogon Credentials in Group Policy|HOOG (8.6)|
+|014|AzureAD MFA niet verplicht voor alle gebruikers|HOOG (7.1)|
+|019|Verouderde software aangetroffen|GEMIDDELD (6.9)|
+|021|Onveilige SMB configuratie|GEMIDDELD (6.9)|
+|029|Netwerktoegang zonder authenticatie|GEMIDDELD (6.9)|
+|030|Printers maken geen gebruik van wachtwoord|GEMIDDELD (6.9)|
+|026|Onveilige SSL/TLS configuratie|GEMIDDELD (6.3)|
+|008|Group Policy cPassword weergave|GEMIDDELD (5.3)|
+|017|Gevoelige Bestanden|GEMIDDELD (5.3)|
+|018|cAdvisor ‐ Information disclosure|GEMIDDELD (5.3)|
+|022|52 Computers kunnen door elke domeingebruiker geregistreerd worden |GEMIDDELD (5.3) |
+|002|E‐mail DNS records ontbreken |LAAG (2.3) |
+|003|DNSSEC niet ingeschakeld voor publieke domeinen |LAAG (2.3) |
+|012|Security Headers |LAAG (2.3) |
+|013|CDP en LLDP is ingeschakeld |LAAG (2.3) |
+|001|DNS subdomein enumeratie |INFO (0) |
+|004|Website CMS loginpagina beschikbaar |INFO (0) |
+|006|Wachtwoordbeleid onvoldoende |INFO (0) |
+|009|Gegevens aangetroffen in datalek |INFO (0) |
+|011|Metadata inzichtelijk |INFO (0) |
+|015|Domain Admins en DCsync permissies |INFO (0) |
+|016|AzureAD Analyze Data en Admins |INFO (0) |
+|020|Server headers versie weergave |INFO (0) |
+|023|Onbeveiligde LDAP verbinding |INFO (0) |
+|027|Openbare informatie over de Wi‐Fi netwerken |INFO (0) |
+|028|Kerberoasting – 11 hashes ontvangen |INFO (0) |
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+![](24203%20-%20Montese%20-%20Rapportage%20-%2020241220.pdf)
+
+
+

Clients/Humankind/Risico interview Peter Steijns Humankind.md

@@ -0,0 +1,261 @@
+Interview Peter Steijns
+
+functioneel beheerder microsoft 365
+
+Teams, SharePoint en Outlook, Active Directory/Azure/EntraID, Microsoft Purview
+
+  
+
+Kernpunt is dat dingen die nu bij Wim van Esch liggen eigenlijk naar Peter zouden moeten, maar die heeft er weinig zicht op en dat maakt onzeker.
+
+  
+
+# User provisioning
+
+  
+
+Was script vanuit Mercash HR naar active directory, voor het aanmaken, op non-actief zetten, en uiteindelijk verwijderen van user accounts.
+
+Dit gaat over naar Ilionx.
+
+Er zijn indicaties dat dit nog niet helemaal goed gaat: gebruikers in Teams, SharePoint en Outlook op naam van mensen die al uit dienst zijn, dubbele achternamen, etc., meldingen van collega's over mensen die nog in het adresboek staan, maar al uit dienst zijn.
+
+  
+
+Risico's:
+
+- onterechte toegang
+
+- geen toegang terwijl dat wel zou moeten
+
+- vervuiling
+
+- licenties
+
+  
+
+Uitzoeken:
+
+- voor welke assets wordt de toegang geregeld via dit mechanisme? (Microsoft producten en ws. alles dat achter SSO zit, dat loopt via AD)
+
+- is er een toegangsmatrix met rollen en rechten? Wie beheert die?
+
+- komen de fouten door het script of door de broninformatie (Mercash)
+
+- is er periodiek review op de resultaten van het script?
+
+  
+
+Er zijn 'eilandjes met beheerdersgroepen', bijv. Ouderportaal, KidsConnect, die maken zelf accounts aan en regelen het beheer op die applicaties.
+
+Daar is geen overkoepelend beleid op, of bewaking
+
+  
+
+Ilionx werkt volgens 'wij vragen, zij draaien'. Als bijv. iemand van HR vraagt om een koppeling tussen systemen dan is niet duidelijk of er een risico-scan gedaan wordt of dat het klopt met de architectuur.
+
+Er was een Architecture Board.
+
+  
+
+maar dat was John Keulen en Sander Pommee (?)
+
+Architectuur principes zijn opgesteld maar worden niet nageleefd.
+
+  
+
+## Purview
+
+Kun je policies in bouwen, die gaan over toegang tot data, en die data moet je eerst classificeren.
+
+Onder Purview vallen een aantal dingen: data loss prevention, sensitivity labels, data life cycle management, access reviews.
+
+  
+
+Gevolg: totaal geen zicht op wat er aan data leeft in de Microsoft tenant, wie er toegang hebben, hoe oud die data is, hoe gevoelig die data is – en dat is alleen nog binnen de Microsoft tenant
+
+  
+
+Wat zou je willen doen met Purview?
+
+Samen met Ilionx
+
+- inzicht krijgen in welke data waar leeft
+
+- sensitivity labels aanmaken
+
+- data classificeren
+
+- gebruikers bewust maken over welke data ze waar zetten
+
+  
+
+## Guest Users op de tenant
+
+  
+
+Eerder met Ilionix al eens naar de security op onze tenant gekeken, daaruit is in maart een adviesrapport gekomen met zes verbeterpunten, die niet zijn opgepakt
+
+Iedereen kan guest users toevoegen aan een Teams groep of SharePoint site. Een guest user kan zelfs weer andere guests users toevoegen. Guest users hoeven zich niet te authenticeren.
+
+Iedereen kan met een link toegang krijgen.
+
+We hebben er geen policies op en geen auditing.
+
+Er zit ook geen expiration op Guest Users, zodat ze zich na verloop van tijd opnieuw moeten autenticeren.
+
+  
+
+Ook in Entra moeten worden gekeken naar guest users. Want die guest users die in Teams en in SharePoint worden aangemaakt komen ook in Entra, het primaire autenticatie-systeem. Daar hebben wij weinig rapportage en beheer op. Ligt bij Wim.
+
+  
+
+## MFA
+
+Wachtwoorden zijn een kwetsbaarheid. We moeten naar passwordless security.
+
+Een vereiste daarvoor is dat je MFA goed ingeregeld hebt.
+
+  
+
+Ten eerste heeft niet iedereen het. Hoeveel is onbekend. Men is begonnen dat in fases uit te rollen, maar dat is niet doorgezet. Moet een audit op komen. Ik kan dat niet naar boven halen want daar heb ik geen auditrechten op.
+
+En ten tweede zijn de security policies binnen MFA ook niet goed: ik heb zelf nog nooit een autentificatie verzoek gekregen.
+
+Je zou dat bijv ook bij werken vanaf een andere locatie moeten hebben.
+
+  
+
+## Groepsaccounts
+
+Eigenlijk zijn het locatieaccounts.
+
+Bijv. KDV-Alles-Kids@humankind.nl. Vnml zodat ouders naar de locatie kunnen mailen. Maar er zijn dus misschien honderd mensen die allemaal op dat account kunnen inloggen.
+
+Maar dat is dus ook een Active Directory account. Onduidelijk waar je dan toegang toe kunt krijgen. KidsVision bijvoorbeeld? Geen idee.
+
+Je kunt daar geen MFA via je telefoon voor inregelen.
+
+Want het zou ook zomaar kunnen dat die ook in Kidsvision kunnen.
+
+  
+
+## Koppeling tussen local AD en EntraID
+
+Zorgen over synchronisatie tussen de local active directory en EntraID. Policies komen niet overeen. Dat is mogelijk een oorzaak dat wachtwoord-expiratie niet wordt afgedwongen. Mogelijk nog andere policies.
+
+  
+
+De Local AD is de primaire user database, maar het merendeel van de medewerkers (pm'ers) krijgt toegang via EntraID.
+
+  
+
+## Devices van PM'ers
+
+gebruiken eigen telefoons. Geen vereisten aan, geen management op. Maar wel inloggen op de applicaties van Humankind.
+
+Zij verbinden met EntraID authenticatie, niet met de Local AD, en dat is nog wel onze primaire user database.
+
+  
+
+Idealiter één dirctory, EntraID, maar daarvoor moet je alle applicaties in de cloud hebben. Ons belangrijkste systeem, KidsVision, draait nog on-premise en heeft dus de local AD nodig.
+
+  
+
+## Self-service password reset
+
+  
+
+Is nodig zolang MFA nog niet is uitgerold, want dan kun je MS' standaard oplossing gebruiken. Als gebruikers hun wachtwoord kwijt zijn, moeten ze naar een door Ilionx opgezette website. Die controleert dan iets tegen een database, maar geen idee hoe dat werkt.
+
+  
+  
+
+## Teams, files, storage and sharing options.
+
+  
+
+In Teams staat standaard aan dat je kan synchroniseren met Dropbox, Citrix, etc. Die data gaat dus overal naar toe.
+
+  
+  
+
+## Beveiliging admin accounts
+
+  
+
+Er zijn een tig aantal admin accounts. Illionics heeft er heel wat met allerlei bevoegdheden.
+
+  
+
+Wij hebben admin accounts, ik hoef daar nooit op te authenticeren.
+
+  
+
+## Intune Device management
+
+  
+
+Met Intune kun je een scheiding maken tussen beveiligde/ gemanagede en onbeveiligde mobiele devices.
+
+Dan kun je met Intune zeggen: wanneer je bij onze assets komt. Ja.
+
+  
+
+Intune wordt wel gebruikt op laptops maar niet op mobiele devices.
+
+  
+
+## Windows Hello
+
+  
+
+De biometrische aanmelding van Windows met gezichtsherkenning of vingerafdruk.
+
+Ook daarvoor is MFA nodig.
+
+  
+
+De local AD staat bij Ilionx op de Azure tenant. EntraID staat in de Microsoft cloud.
+
+  
+
+## White cloud, grey cloud, black cloud.
+
+  
+
+Ik kreeg bijvoorbeeld vandaag van Mandy de vraag: Waarom gebruiken wij WeTransfer?
+
+Ja, dat moet ik eigenlijk gewoon zeggen omdat het kan. We hebben daar geen beleid op.
+
+  
+
+## Aanschaf nieuwe applicaties
+
+  
+
+IT wordt er 'op enig moment' bij betrokken maar daar is geen officieel beleid over.
+
+  
+
+We hebben de projecten waar PMO niet bij betrokken is.
+
+  
+
+Als PMO erbij betrokken is, dan hebben zij wel wat dingen inmiddels, van project intake, wat formulieren, wat sjablonen, waardoor er wel wat dingen standaard in de gang worden gezet.
+
+  
+
+Afdelingsmanagers kunnen dat omzeilen door rechtstreeks bij IT 'klusverzoekjes' te doen, wij hebben er allemaal weinig procedures en dingen voor die dat echt bewaken.
+
+  
+
+## Zorgen over maatwerk ITSM op Axerion.
+
+  
+
+## Historie Beaufort
+
+  
+
+Beafort is vervangen door Mercash. Historie is bewaard op de S-schijf. Dat staat nu in Teams/Sharepoint, maar dat staat dus hartstikke open.

Clients/Humankind/Risico interview Thorsten Bonfrère Humankind.md

@@ -0,0 +1,140 @@
+Interview Thorsten Bonfrère
+
+ICT consultant met focus op mobiele devices, telefonie en overnames
+
+  
+
+# MFA
+
+  
+
+MFA is ingevoerd voor kantoorpersoneel, leidinggevenden en vestingsmanagers.
+
+Nieuwe medewerkers krijgen ook automatisch MFA.
+
+We zijn nu bezig met die hele grote groep pedagogisch medewerkers.
+
+Dat hopen we in Q1 van 2025 afgehandeld te hebben.
+
+  
+
+Mogelijkheid is om de MFA challenge locatiegebaseerd te doen, dus dat je buiten Humankind locaties vaker een challenge krijgt. Daarmee zorg je ook voor verlaging van het risico als een device gestolen of verloren is, of onbeheerd op een vreemde locatie achterblijft.
+
+  
+
+Uiteindelijk wil ik naar passwordless. Met gezichtsherkenning of vingerafdruk.
+
+  
+
+# Locatie accounts
+
+De zgn. locatie accounts vormen nog een probleem, omdat daar meerdere mensen een groepsaccount delen.
+
+  
+
+Die accounts geven toegang tot de mailbox en de Teams groep van de locatie.
+
+  
+  
+
+## Het oude portaal
+
+Het oude portaal bevat kindgegevens en foto's. Daarop wordt ook met een locatie-account ingelogd.
+
+Dit ligt bij Kids Connect Functioneel beheer.
+
+  
+
+# Mobile devices
+
+  
+
+Op locaties wordt gebruik gemaakt van Samsung tablets, Samsung telefoons.
+
+Die zijn ook allemaal voorzien van Samsung Knox Mobile Device Management.
+
+  
+
+We kunnen de locatie met een interval van vier uur tracken.
+
+En in geval van verlies of diefstal blokkeren, wipen, etc.
+
+  
+
+Dan hebben we persoonsgebonden staftelefoons. Ook daarvan is het grootste gedeelte Samsung en voorzien van Knox MDM.
+
+  
+
+Maar directie en management hebben Apple devices en die hebben geen MDM. Dat zijn juist de mensen met toegang tot relatief veel gevoelige data. Daar moet nog een inhaalslag gemaakt worden.
+
+  
+
+# Spook devices
+
+  
+
+Niet na te gaan, wegens gebrek aan toegang tot logs of monitoring tools.
+
+  
+
+# Integraal Kind Centra
+
+  
+
+Soms vraagt de partner of ze mee kunnen liften op onze services, zoals het netwerk of de printers. We hebben een aantal diensten die we op afstand implementeren, waar anderen gebruik van kunnen maken (bijv.de fysiopraktijk of kleine bibliotheek in zo'n pand). Maar daarmee wordt je wel een IT-dienstverlener.
+
+Wim van Esch en Gaston Cadet bemoeien zich met de IKC trajecten.
+
+  
+
+# Overnames
+
+  
+
+Consolideren van hetgeen er is.
+
+  
+
+Toekennen risicoprofiel:
+
+- inventarisatie van hun huidige manier van werken
+
+- systeemlandschap en beveiligingen
+
+- speciale aandacht voor kleine applicaties van onbekende partijen
+
+  
+
+Onofficieel vooronderzoek op basis van welke informatie Thorsten toegang toe kan krijgen. Geen vaste methode.
+
+  
+
+Als het besluit tot overname genomen is, wordt het in een officieel project gegoten. Daarvoor liggen draaiboeken klaar. -> navragen wat de security component is.
+
+  
+
+Het streven is eigenlijk altijd om de over te nemen organisatie gewoon volledig in onze systemen te intregeren.
+
+Daarbij adviseer ik de verschillende afdelingen hoe zoe om moeten gaan met de data die overgedragen wordt.
+
+Veel daarvan gebeurt in reactie op vragen die de afdelingen stellen.
+
+  
+
+De stelregel is dat de medewerkers van de overgenomen partij pas toegang krijgen tot het Humankind netwerk en systemen als ze de IDT procedure doorlopen hebben. Maar in de praktijk krijg ik dan verzoeken om ze toch alvast toegang te geven tot KidsVision, of ze te laten zien hoe het werkt.
+
+  
+
+Een oplossing zou kunnen zijn een Introductie Kids Vision op te nemen in het overname draaiboek.
+
+  
+
+Vanuit het OrgFit traject zijn verschillende draaiboeken opgesteld. Die moeten wel getoetsd worden aan de realiteit, en up-to-date gehouden worden.
+
+  
+
+# Onbeveiligd printen
+
+  
+
+Middels pincode printen is mogelijk, maar dat moet je als medewerker zelf aanzetten.

Clients/Humankind/Risicoanalyse Humankind.md

@@ -0,0 +1,11 @@
+[In eerdere gesprekken benoemde risico's](Benoemde%20risico's%20Humankind.md)
+
+Risico interviews 5 november 2024:
+- [Peter Steijns](Risico%20interview%20Peter%20Steijns%20Humankind.md)
+- [Thorsten Bonfrère](Risico%20interview%20Thorsten%20Bonfrère%20Humankind.md)
+- Bianca Sipsma en Ilona Prevos
+
+[Rapportage](Rapportage%20Risico%20inventarisatie%20Humankind.md)
+[Actielijst](Actielijst%20Risico%20inventarisatie%20Humankind.md)
+
+Destillatie vragen uit interviews

Clients/Humankind/Rollen en verantwoordelijkheden uit Architectuurprincipes Humankind.md

@@ -0,0 +1,33 @@
+
+**RASCI matrix**
+Op basis van het onderstaande uittreksel en [Governance in Architectuurprincipes Humankind](Governance%20in%20Architectuurprincipes%20Humankind.md)
+![](RASCI%20matrix%20Humankind.xlsx)
+
+# Rollen en verantwoordelijkheden Humankind
+Uittreksel uit [OrgFit Architectuurprincipes Humankind](OrgFit%20Architectuurprincipes%20Humankind.md)
+
+## Uittreksel uit  uit Architectuurprincipes
+
+- **Humankind** heeft de *verantwoordelijkheid* om de vertrouwelijkheid van gegevens te waarborgen en ervoor te zorgen dat gegevens correct en proportioneel worden uitgewisseld.
+- De **Functionaris Gegevensbescherming** is *verantwoordelijk* voor gegevensbescherming, en is *betrokken* bij het waarborgen dat gegevens correct worden beheerd.
+-  Het **Privacyteam** is *verantwoordelijk* voor privacy, vooral met betrekking tot de AVG, en voert DPIA's uit.
+- **Proceseigenaren** zijn *verantwoordelijk* voor beschikbaarheid van gegevens, zijn *eigenaar* van de data binnen hun proces en verantwoordelijk voor de kwaliteit en beschikbaarheid daarvan, en moeten goedkeuring geven aan afwijkingen van architectuurprincipes en beleid. Proceseigenaren moeten ervoor zorgen dat *functioneel beheer correct* is ingericht
+ - Het **Architectuurboard** beoordeelt en *neemt beslissingen* op basis van analyse en advies van ICT-consultants, en zorgt voor een consistente toepassing en naleving van de architectuurprincipes (stuurt op compliance). 
+  - **ICT-consultants** leveren analyses en advies aan de Architectuurboard.
+- De **Manager IM** (Informatiemanagement)
+	- is *verantwoordelijk* voor het toezicht op de implementatie en werking van het beheer in alle vormen (intern en bij leveranciers),
+	- is ook verantwoordelijk voor de organisatie van koppelingen.
+	- heeft een rol in het waarborgen van autorisatie
+ - De afdeling **I&A** (Informatie & Automatisering) I&A voert proactief *leveranciersmanagement* uit en volgt en stuurt op de productroadmaps van de cloudoplossingen.
+ - De **PMO** zorgt ervoor dat het gebruik van architectuurprincipes in projecten wordt opgenomen.
+ - Het **DT (Directie Team)** is betrokken bij het vaststellen van de principes.
+ - Het **management (en medewerkers) van het Servicekantoor** hebben een proactieve rol in het hanteren van deze principes.
+ - **Functioneel beheerders:** 
+	 - zijn *verantwoordelijk* voor de kwaliteitsbewaking van de gehele keten.
+    - hebben een *adviserende* rol bij aankoop, beheer, onderhoud, kennisborging, wijzigingen en incidenten.
+    - vertalen interne processen naar de applicatie.
+    - Ze moeten op de hoogte zijn van onderliggende processen, met een focus op hun eigen applicatie, maar met brede kennis van de systemen, processen en informatie.
+    - zijn verantwoordelijk voor het optimale gebruik van een applicatie.
+    - Ze hebben ook een rol in de kwaliteitscontrole van de volledige keten.
+- **Gebruikers** zijn verantwoordelijk voor hun accounts en wachtwoorden en mogen deze niet delen of als iemand anders inloggen.
+

Clients/Humankind/Security in Architectuurprincipes Humankind.md

@@ -0,0 +1,34 @@
+
+## Passages over Security (versie mei 2020)
+**ICT ontwikkelingen in de markt**
+1. Security en privacy worden belangrijker. Met Cloud en SaaS kun je op elk device over elk netwerk toegang krijgen. De beveiliging moet dus in de applicatie-laag worden ingebouwd. (2-Factor authenticatie is vereist voor gevoelige informatie.) Een goede Identity & Access Managementstructuur is van essentieel belang.
+
+**Humankind werkt onder architectuur omdat:**
+2. De gegevens en informatie over onze kwetsbare klanten beter beveiligd kunnen worden omdat vooraf kan worden nagedacht hoe de dreigingsbeelden kunnen worden vertaald in technische oplossingen.
+
+**Manifesto: 9 principes**
+1.Tevreden klant / gebruiker heeft prioriteit
+N.b. Veiligheid staat niet in de top 9
+
+**Overkoepelend**
+O.01 Stabiliteit van de ICT voorzieningen is prioriteit nummer 1
+
+**Data**
+* D.02	Kwaliteitsborging (De kwaliteit van gegevens wordt expliciet geborgd)
+  - Management en bestuurders hebben kwalitatief hoogwaardige stuurinformatie nodig om de organisatie te kunnen sturen. Kwaliteit van gegevens kent vele dimensies zoals accuraatheid, compleetheid, actualiteit, *beschikbaarheid, integriteit en vertrouwelijkheid*. 
+* D.03	Risicoclassificatie gegevens (Gegevens zijn beveiligd op basis van hun risicoclassificatie)
+  * “Het is daarom belangrijk de risico’s expliciet te maken.”
+  * “Maatregelen worden ook gebaseerd op een risico-analyse vanuit bedrijfsprocesperspectief.”
+  * “Naleving van informatiebeveiligingsmaatregelen is een verantwoordelijkheid van alle betrokkenen”
+* D.04	Toegangsbeveiliging (Niemand mag ongeautoriseerd toegang hebben tot gegevensverwerkende systemen)
+* D.05	Koppelingen (Koppelingen tussen systemen zijn beperkt tot alleen de noodzakelijke gegevensuitwisselingen.)
+
+**ICT Oplossingen**
+I.02 Geïntegreerde informatievoorziening (Gebruikers willen direct toegang tot alle voor hen relevante informatie. *De informatievoorziening mag geen drempels opwerpen*.)
+
+**Technisch**
+T.02 De inrichting van het netwerk en de beveiliging gaan ervan uit dat het niet uitmaakt of gebruikers zich op het interne netwerk bevinden of op een externe locatie.
+T.05 Netwerkfunctionaliteit (Het netwerk levert snelle en veilige internettoegang met functionaliteiten vergelijkbaar aan openbare (4G) mobiele netwerken.)
+T.06 Werkplekken: “Er moet een oplossing worden gezocht voor het consistent afdwingen van onder andere het principe ‘Informatiebeveiliging’”.
+
+

Clients/Humankind/Selectie en implementatie van Technologie bij Humankind.md

@@ -0,0 +1,39 @@
+# Selectie en implementatie van Technologie bij Humankind
+
+
+
+De tekst is gebaseerd op:
+- [Rollen en verantwoordelijkheden uit Architectuurprincipes Humankind](Rollen%20en%20verantwoordelijkheden%20uit%20Architectuurprincipes%20Humankind.md)
+- [Governance in Architectuurprincipes Humankind](Governance%20in%20Architectuurprincipes%20Humankind.md)
+- [Destillatie leidende principes Humankind](Destillatie%20leidende%20principes%20Humankind.md)
+- [Prioriteit beleidsvorming 23 januari 2025](Prioriteit%20beleidsvorming%2023%20januari%202025.md)
+- [Risicoanalyse Humankind](Risicoanalyse%20Humankind.md)
+- [Rapportage Pentest](Rapportage%20pentest%20Humankind%20door%20NFIR.md)
+	- [Actielijst pentest](https://groei.sharepoint.com/:x:/r/sites/ProjectInformatiebeveiliging/_layouts/15/Doc.aspx?sourcedoc=%7B800D2B49-6303-407B-9A0B-6E17DFC5E9DB%7D&file=Acties%20Pentest.xlsx&action=default&mobileredirect=true)
+
+## Versies na review door IM consultants
+![](250321%20Selectie%20en%20implementatie%20van%20Technologie.docx)
+![](250321%20Appendix%20Selectie%20en%20implementatie%20van%20Technologie.docx)
+
+## Originele versie (19 feb 2025)
+![](Selectie%20en%20implementatie%20van%20Technologie.docx)
+![](Appendix%20Selectie%20en%20implementatie%20van%20Technologie.docx)
+
+**Doel**
+Het beheersen van informatieveiligheidsrisico's gedurende alle fases van IT oplossingen.
+
+**Onderdelen**
+1. [Inleiding](Inleiding%20leveranciersmanagement%20HK.md)
+2. [Specificatie van eisen en wensen](Specificatie%20van%20eisen%20HK.md)
+3. [Selectie van leveranciers](Selectie%20van%20leveranciers%20HK.md)
+4. [Contractvoorwaarden ICT leveranciers](Contractvoorwaarden%20voor%20leveranciers%20HK.md)
+5. [Onboarding van leveranciers](Onboarding%20van%20leveranciers%20HK.md)
+6. [Projectfase](Projectfase%20HK.md)
+7. [Operationele fase](Operationele%20fase%20HK.md)
+8. [Uitfasering, contractbeëindiging](Uitfasering%20en%20contractbeëindiging%20HK.md)
+9. [Offboarding](Offboarding%20ICT%20leveranciers%20HK.md)
+
+**Appendices**
+- [Basislijst Eisen en Wensen ICT oplossingen](Lijst%20Eisen%20en%20Wensen%20ICT%20oplossingen%20HK.md)
+- [Basislijst Eisen en Wensen ICT leveranciers](Lijst%20Eisen%20aan%20leveranciers%20HK.md)
+- [Basislijst Contractvoorwaarden](Lijst%20Contractvoorwaarden%20HK.md)

Clients/Humankind/Selectie van leveranciers HK.md

@@ -0,0 +1,22 @@
+# Selectie van leveranciers
+
+**Doel**
+Het opstellen van een lijst met leveranciers, welke gevraagd zullen worden een aanbieding te doen op een uitvraag door Humankind, met het oog op een nieuw aan te schaffen oplossing of dienst.
+
+**Procedure**
+Deze procedure volgt op de procedure voor [Specificatie van eisen en wensen m.b.t. informatieveiligheid](Specificatie%20van%20eisen%20HK.md) en is in uitvoering onderdeel van hetzelfde project, onder leiding van een door het PMO aangestelde projectleider.
+
+Voor het opstellen van de lijst met leveranciers voor een specifieke uitvraag, wordt eerst de Voorkeurslijst Leveranciers geraadpleegd. Een ICT Consultant onderzoekt op basis van openbare bronnen (websites en dergelijke) welke voorkeursleveranciers een standaardoplossing hebben die mogelijk voldoet aan de eisen en wensen.
+In dat geval wordt de uitvraag in eerste instantie aangeboden aan de voorkeursleveranciers.
+
+Leveranciers kunnen alleen worden opgenomen in de Voorkeurslijst, wanneer zij voldoen aan de [Basislijst Eisen en Wensen ICT leveranciers](Lijst%20Eisen%20aan%20leveranciers%20HK.md).
+
+**Afwijkingen**
+Wanneer de organisatie voornemens is de opdracht te gunnen aan een leverancier die niet is opgenomen in de Voorkeurslijst Leveranciers, dan moet onderzocht worden of de beoogde leverancier voldoet aan de eisen m.b.t. informatiebeveiliging in de [Basislijst Eisen en Wensen ICT leveranciers](Lijst%20Eisen%20aan%20leveranciers%20HK.md). Dit onderzoek wordt uitgevoerd door een ICT Consultant.
+Wanneer er punten zijn waarop de leverancier niet voldoet, of op redelijke termijn kan voldoen, dan wordt een Risicoanalyse uitgevoerd door een ICT Consultant, volgens een daarvoor (nog op te stellen) vastgestelde procedure. Het directieteam neemt de resultaten hiervan mee in haar besluitvorming en documenteert de redenen voor het besluit.
+
+**Goedkeuring**
+Het Directieteam dient goedkeuring te geven voordat opdracht gegeven wordt aan een leverancier die niet voorkomt op de Voorkeurslijst Leveranciers.
+
+
+

Clients/Humankind/Specificatie van eisen HK.md

@@ -0,0 +1,27 @@
+# Specificatie van eisen en wensen m.b.t. informatieveiligheid
+
+**Doel**
+Het bepalen van de eisen en wensen m.b.t. informatiebeveiliging die gesteld worden aan een nieuw aan te schaffen oplossing of dienst.
+
+**Procedure**
+Het bepalen van de eisen en wensen wordt projectmatig aangepakt. Vanuit het PMO wordt hiervoor een projectleider aangewezen en beschikbaar gesteld.
+Hij/zij is niet verantwoordelijk voor de inhoud van de eisen- en wensenlijst, maar ziet er op toe dat de hier beschreven procedure wordt gevolgd, en rapporteert hierover aan het Directieteam.
+
+De basis voor de eisen- en wensenlijst voor een nieuw aan te schaffen oplossing of dienst is de [Basislijst Eisen en Wensen ICT oplossingen](Lijst%20Eisen%20en%20Wensen%20ICT%20oplossingen%20HK.md). Deze lijst bevat generieke eisen en wensen die van toepassing zijn op alle oplossingen en diensten die door Humankind worden aangeschaft en afgenomen.
+
+De Eisen zijn zogenaamde 'knock-out criteria' waaraan de oplossing of dienst minimaal moet voldoen om in aanmerking te komen.
+
+De Basislijst wordt per geval uitgebreid met aanvullende eisen en wensen vanuit de volgende rollen:
+
+1. door het Privacyteam, op basis van een door hen uitgevoerde DPIA (Data Protection Impact Assessment) – dit is een verplichting vanuit de AVG.
+2. door de Manager Informatiemanagement, voortkomend uit zijn/haar verantwoordelijkheden voor het beheer van de oplossing, de implementatie, en koppelingen.
+3. het Architectuurboard, vanwege de verantwoordelijkheid voor naleving van de architectuurprincipes.
+4. De Bestuurssecretaris (?), vanwege de verplichting te voldoen aan overige wettelijke eisen, intern beleid en branche specifieke reguleringen en gedragscodes.
+
+Het specificeren van *functionele* eisen en wensen aan de oplossing of dienst is de verantwoordelijkheid van de Proceseigenaar – dit valt buiten de scope van dit document.
+
+**Afwijkingen**
+Van gestelde eisen kan alleen worden afgeweken na goedkeuring van het Directieteam. Voorafgaand aan dit besluit wordt in opdracht van het Directieteam een Risicoanalyse uitgevoerd door een ICT Consultant, volgens een daarvoor (nog op te stellen) vastgestelde procedure. Het directieteam neemt de resultaten hiervan mee in haar besluitvorming en documenteert de redenen voor het besluit.
+
+**Goedkeuring**
+Het Directieteam dient de definitieve eisen- en wensenlijst goed te keuren, voordat deze in een uitvraag gestuurd wordt aan marktpartijen.

Clients/Humankind/Structuur Architectuurprincipes Humankind.md

@@ -0,0 +1,66 @@
+### Omdat, zodat, doordat
+
+**Omdat:**
+- Daarmee bedrijfsstrategie, businesseisen, informatisering, automatisering, ontwikkeling, inkoop, beheer en onderhoud van systemen goed op elkaar worden afgestemd.
+- De effectiviteit en efficiency van ondersteunende IT processen en toepassingen verbeterd worden en de kosten beter voorspelbaar zijn.
+- De gegevens en informatie over onze klanten beter beveiligd kunnen worden omdat vooraf kan worden nagedacht hoe de risico's kunnen worden vertaald in technische oplossingen.
+
+**Zodat:**
+- De kindontwikkeling maximaal ondersteund wordt met ICT toepassingen en middelen
+- Onze mensen maximaal ondersteund worden in hun rol en taken
+- We ons hele landschap beheer(s)baar houden en daarmee beschikbaar voor de gebruikers
+- Snel kan worden ingespeeld op nieuwe ontwikkelingen
+- Snel kan worden ingespeeld op veranderingen op de (arbeids )markt
+
+**Door:**
+- Deze principes te laten vaststellen in het DT
+- De principes breed in de organisatie te delen en doorleven
+- Het eigenaarschap en beheer van deze principes te beleggen bij I&A
+- Management (en medewerkers) van het Servicekantoor een pro-actieve rol te geven in het hanteren van deze principes
+- Het hanteren van deze principes in projecten te borgen via PMO
+
+### Structuur
+
+#### O. Overkoepelende principes
+O.01 O.02 O.03 O.04 O.05 O.06 O.07 O.08 O.09 O.10 O.11
+- Stabiliteit van de ICT (Infrastructuur) is prioriteit
+- Alle processen hebben een eigenaar die eindverantwoordelijk is Architectuur is leidend 
+- Kindontwikkeling staat centraal 
+- Cloud-first 
+- Leverancierskeuze en strategisch inkopen 
+- Organisatie van het Beheer 
+- Functioneel beheer zoveel mogelijk binnen Humankind (Technisch) Applicatie Beheer zoveel mogelijk buiten Humankind
+- Technisch beheer zoveel mogelijk buiten Humankind 
+- Compliancy
+
+#### D. Data Architectuur
+D.01 D.02 D.03 D.04 D.05
+- Archivering 
+- Kwaliteitsborging (De kwaliteit van gegevens wordt expliciet geborgd) 
+- Autorisatie (Niemand mag ongeautoriseerd toegang hebben tot gegevensverwerkende systemen) 
+- Koppelingen (De wijze van koppelen) 
+- Koppelingen (De gegevensuitwisseling)
+
+#### I. ICT Architectuur
+
+I.01 I.02 I.03
+
+- Standaard applicaties (Applicaties zijn waar mogelijk gestandaardiseerd.)
+- Geïntegreerde informatievoorziening (Gebruikers willen direct toegang tot alle voor hen relevante informatie.)
+- Organisatie overschrijdend werken (Organisatie -overstijgende activiteiten mogen niet worden gehinderd door de inrichting va n processen en systemen.)
+
+#### T. Technische Architectuur
+T.01 T.02
+
+T.03 T.04
+
+T.05 T.06
+
+- Gebruikte ICT Hardware (Er worden zakelijke edities van ICT hardware aangeschaft, in plaats van consumentenversies.)
+- Elk moment, elke plaats, elk apparaat (Gebruikers hebben toegang tot de informatievoorziening op elk moment, op elke plaats en vanaf een beheerd apparaat.)
+- Samenwerkingsplatform (Humankind werkt samen op één samenwerkingsplatform.)
+- Netwerkfunctionaliteit (Het netwerk levert snelle en veilige internettoegang met functionaliteiten vergelijkbaar aan openba re (4G) mobiele netwerken.)
+- Werkplekken (Werkplekken worden beheerd.)
+- Schaalbaarheid (Nieuwe ontwerpen gaan uit van schaalbare dienstverlening, waarbij in ieder geval horizontale schaalbaarheid eenvoudig te realiseren moet zijn.)
+
+

Clients/Humankind/Toegangsbeleid Applicaties Humankind.md

@@ -0,0 +1,159 @@
+# Toegangsbeleid Applicaties Humankind
+
+Versie 0.1, 23 juni 2025
+
+Richard Kranendonk
+
+<u>Doel: bepalen van noodzakelijke en gewenste rechten in applicaties.</u>
+
+Versie informatie
+
+| **Datum** | **Versie** | **Wijziging**  | **Akkoord** | **Datum** |
+|-----------|------------|----------------|-------------|-----------|
+| 10-6-23   | 0.1        | Eerste concept |             |           |
+|           |            |                |             |           |
+|           |            |                |             |           |
+|           |            |                |             |           |
+
+
+# Documentbeheer
+
+| **Beleidseigenaar** | Manager IM |
+|----|----|
+| **Documenteigenaar** | n.t.b. |
+| **Herzieningscyclus** | Jaarlijks |
+| **Volgende herzieningsdatum** | n.t.b. |
+| **Classificatie** | <span class="mark">TLP:Green (Intern)</span> |
+| **Status** | Concept |
+
+# Doel
+
+Binnen Humankind verwerken we grote hoeveelheden informatie in veel verschillende applicaties (bij een recente telling zaten we op ongeveer 85 applicaties). Dit document beschrijft wie toegang heeft tot welke applicaties en onder welke voorwaarden. Daarmee worden meerdere doelen gediend:
+
+- het beschermen van gevoelige gegevens tegen ongeoorloofde toegang
+
+- vermindering van het risico op fouten en willekeur door een consistent en gestandaardiseerd proces
+
+- compliance met wet- en regelgeving (o.a. NIS 2, ISO 27001/NEN 7510, AVG)
+
+- vergroting van de beheersbaarheid van toegangsverlening over een groot aantal applicaties.
+
+# Noodzaak
+
+Het is voor de afdeling Informatiemanagement praktisch onuitvoerbaar om het rechtenbeheer te voeren over alle applicaties die binnen Humankind gebruikt worden. Daarom is het beheer van rechten voor applicaties buiten de Microsoft omgeving gedelegeerd aan de Functioneel Beheerders. Vanuit het oogpunt van informatiebeveiliging is het verstandig als ze hiervoor duidelijke richtlijnen kunnen volgen, die beleidsmatig zijn vastgesteld.
+
+# Toepassingsgebied
+
+Dit beleid is van toepassing op alle applicaties die gebruikt worden binnen Humankind, m.n. de verschillende SaaS applicaties.
+
+# Principes
+
+De toegang tot vertrouwelijke informatie moet beperkt worden tot de mensen die de informatie nodig hebben voor het uitoefenen van hun functie binnen de organisatie. Dit is het **'need to know**' principe. De achterliggende gedachte is simpel: hoe meer mensen een 'geheim' weten, des te groter de kans dat het uitlekt.  
+
+Het is ook verstandig om mensen niet méér rechten te geven in applicaties dan nodig is. De integriteit van informatie loopt gevaar als rechten te breed gesteld zijn – denk aan het wijzigen van salarisgegevens, het goedkeuren van inkoopfacturen, of het toevoegen of verwijderen van gebruikers in een systeem. Dit is het **'least privilege**' principe. 
+
+Deze twee principes vormen de basis voor het toegangsbeleid van Humankind. Vanuit deze principes bouwen we een 'Rechtenmatrix', waarin is vastgelegd welke informatie toegankelijk moet zijn voor welke functies en rollen. 
+
+# Opbouwen van de rechtenmatrix 
+
+Bij het opbouwen van de rechtenmatrix gaan we uit van het Functieboek van Management en Organisatie, waarin per functie de taken, bevoegdheden en verantwoordelijkheden worden beschreven, en het Processenhuis uit het programma Beter Sturen, waarin per afdeling is vastgelegd welke processen er worden aangestuurd en uitgevoerd.
+
+Het opbouwen gebeurt in de volgende stappen:
+
+1.  We bekijken per functie uit het Functieboek welke werkzaamheden bij die functie horen (het Processenhuis kan daarbij helpen) 
+2.  We bepalen op basis van de werkzaamheden welke gegevens *minimaal* nodig zijn om ze uit te voeren ('need to know'), en uit welke applicaties die gegevens moeten komen 
+3.  We bepalen welke rechten in ieder systeem *noodzakelijk* zijn, om het werk dat bij de functie hoort te kunnen uitvoeren (‘least privilege’). 
+4.  We stemmen met de Functioneel Beheerders af hoe dit in de verschillende applicaties gestructureerd kan worden: hoe is de informatievoorziening opgedeeld in modules/schermen/rapportages, welke mogelijkheden zijn er om rechten te structureren in bijv. profielen, rollen en functies.
+5.  We werken de toegangsrechten uit in een zgn. BREAD-matrix (zie hieronder).
+
+Deze werkzaamheden worden uitgevoerd door, of in opdracht van, de afdeling Informatievoorziening.
+
+**Toelichting BREAD-matrix**
+
+De BREAD-matrix is een hulpmiddel om de toekenning van rechten te structureren. BREAD[^1] is een acronym voor:
+
+- **Browse**: overzichten bekijken, maar niet de details (denk aan personeelsoverzichten, maar niet de gegevens van individuen, vaak om privacy-redenen ) 
+- **Read**: bekijken of inzien, ook van details 
+- **Edit**: wijzigen 
+- **Add**: invoeren of aanmaken 
+- **Delete**: verwijderen 
+
+Dit is een voorbeeld van een BREAD-matrix zoals die voor Humankind wordt opgezet:
+
+|  | **KidsVision** |  |  | **Mercash** |  |
+|----|----|----|----|----|----|
+|  | Medewerkers | Urenregistratie | Contactgegevens Ouders | Salarissen | Betalingsbestand |
+| **Functie** |  |  |  |  |  |
+| Personeelsplanner | BR | \- | \- | \- | \- |
+| Vestigingsmanager | B | BR | BRE | \- | \- |
+| Pedagogisch medewerker | \- | READ | BR | \- | \- |
+| Mdw Salarisadministratie | BR | BR | \- | BREAD | BREA |
+| Hfd Salarisadministratie | B | B | \- | B | BREAD |
+
+Soms zal een extra beperking worden toegevoegd, bijv.: 'Alleen voor zijn/haar locatie'. 
+
+Wat er boven de kolommen staat, kan ws. het best bepaald worden door de functioneel beheerders, omdat zij in detail weten hoe de applicatie is ingericht.
+
+## Beheersrechten
+
+De meeste applicaties voorzien in (soms verschillende niveaus van) beheersrechten: de mogelijkheid om systeemtabellen te wijzigingen, in te grijpen op rechtenprofielen, de opbouw en samenstelling van toegangsmenu’s, schermen en rapportages te wijzigen, etc.
+
+Met de beheerders zal vastgesteld worden welke rechten als beheersrechten gekwalificeerd worden. Deze rechten moeten duidelijk herkenbaar zijn in de matrix.
+
+# Toepassing 
+
+De rechtenmatrix wordt gebruikt bij het toekennen, wijzigingen en ontnemen van gebruikersrechten door de verschillende beheerders.
+
+Dit gebeurt in de volgende gevallen:
+
+1.  **Indiensttreding nieuwe medewerker**: de beheerder koppelt het gebruikersaccount aan het overeenkomstige rechtenprofiel in de applicatie.
+
+2.  **Wijziging van functie**: de beheerder koppelt de beheerder koppelt in de applicatie het gebruikersaccount aan het rechtenprofiel dat overeenkomt met de nieuwe functie, en ontkoppelt het rechtenprofiel van de vorige functie.
+
+3.  **Uitdiensttreding medewerker:** de beheerder ontkoppelt alle rechten van de vertrekkende medewerker.
+
+Het toekennen en ontnemen van rechten wordt door de beheerder op datum geregistreerd, met vermelding van het betreffende gebruikersaccount en een beschrijving van de wijziging.
+
+Belangrijk is dat toegekende rechten één op één af te leiden zijn uit de functie die de medewerker in de organisatie vervult, zoals aangegeven in de matrix. Vanuit het oogpunt van informatiebeveiliging en compliance is het niet wenselijk om de toegangsrechten te laten bepalen door een hiërarchisch leidinggevende. Bij dringende noodzaak om toch af te wijken van de matrix, moet dit geregistreerd en gemeld worden door de beheerder, zodat de afdeling Informatiemanagement de afwijking kan beoordelen.
+
+*Alternatief:*
+
+*De opdracht tot toekenning en/of ontnemen van van rechten wordt aan de beheerder verstrekt door de afdeling Informatiemanagement, op aangeven van de afdeling Ontwikkeling en Organisatie. Zo ontstaat een heldere scheiding van verantwoordelijkheden t.o.v. ‘de lijn’.*
+
+## Toekenning van beheersrechten
+
+In de opbouw van de matrix is vastgesteld welke rechten kwalificeren als beheersrechten – dit is duidelijk herkenbaar in de matrix.
+
+Wijzigingen in de toekenning van beheersrechten worden door de beheerder geregistreerd en gemeld aan de afdeling Informatiemanagement (vier-ogen-principe).
+
+## Wijziging informatievoorziening binnen een applicatie
+
+Gebruikers met voldoende rechten kunnen vaak de structuur van de informatievoorziening binnen een applicatie wijzigen. Denk aan wijzigingen in de opbouw en samenstelling van schermen, rapportages en toegangsmenu’s, en de inhoud van rechtenprofielen. Dit kan een verschuiving tot gevolg hebben in de toegang tot informatie binnen een bepaalde functie.
+
+De beheerder moet er alert op zijn dat medewerkers hierdoor geen toegang krijgen tot gegevens die volgens de matrix niet bij zijn/haar functie horen. Is dat (mogelijk) wel het geval, dan zal de beheerder dit melden aan de afdeling Informatievoorziening. De verdere afhandeling is beschreven in de paragraaf Onderhoud van de rechtenmatrix.
+
+## Review
+
+De aan gebruikersaccounts per applicatie toegekende rechten worden door de afdeling Informatiemanagement periodiek gecontroleerd. Vanwege het aantal medewerkers moet nog bekeken worden hoe dit praktisch kan worden vormgegeven. Te denken valt aan het nemen van steekproeven, het controleren in maandelijkse batches, en het uitzonderen van controle op de toegangsverlening aan pedagogisch medewerkers (m.u.v. een geautomatiseerde controle van rechten t.o.v. de Active Directory, bijvoorbeeld).
+
+# Onderhoud van de rechtenmatrix 
+
+Er zijn verschillende redenen om de inhoud van de rechtenmatrix (op onderdelen) ter herzien, bijv.:
+
+- Wijzigingen in het Functiehuis: nieuwe functies worden toegevoegd, of de inhoud van bestaande functies wijzigt
+
+- Wijzigingen in het Processenhuis
+
+- Afwijkingen van de matrix (zie de paragraaf Toepassing)
+
+- Wijzigingen in het applicatielandschap
+
+- Nieuwe functionaliteit in een applicatie
+
+- Wijzigingen in de rechtenstructuur van een applicatie
+
+Als deze veranderingen zich voordoen, worden deze gemeld bij de afdeling Informatiemanagement. Deze brengen vervolgens, in overleg met de beheerders, de consequenties van deze veranderingen in kaart, en doen een voorstel tot wijziging van de rechtenmatrix aan de Manager Informatievoorziening. Hierbij moet een logische en eenduidige relatie met het Functiehuis in acht worden genomen.
+
+Wijzigingen in de matrix die betrekking hebben op beheersrechten moeten goedgekeurd worden door de Manager Bedrijfsvoering.
+
+[^1]: De BREAD-matrix is een variant op de bekendere CRUD-matrix (Create, Read, Update, Delete), maar met termen die dichter bij de gebruiker liggen.

Clients/Humankind/Ubeoo ATS vendor selection Humankind.md

@@ -0,0 +1,4 @@
+- [Programma van Eisen](../../Corpus/Attachments/Ubeeo%20ATS%20PvE%20240315.xlsx)
+- [](Ubeeo%20ATS%20SLA%20Service%20Level%20Agreement.pdf)
+
+![](Ubeeo%20ATS%20SLA%20Service%20Level%20Agreement.pdf)

Clients/Humankind/Uitfasering en contractbeëindiging HK.md

@@ -0,0 +1,39 @@
+# Uitfasering en contractbeëindiging
+
+**Doel**
+Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende het uitfaseren van een ICT oplossing.
+
+**Procedure**
+Vanuit het PMO wordt een projectleider aangewezen om de uitfasering van de ICT oplossing projectmatig vorm te geven en te begeleiden. 
+
+Op dit project is ook de procedure [Informatiebeveiliging in de projectfase](Projectfase%20HK.md) van toepassing.
+
+Wanneer medewerkers van de leverancier betrokken zijn, wordt bij beëindiging van dit project de procedure [Offboarding ICT leveranciers](Offboarding%20ICT%20leveranciers%20HK.md) geactiveerd.
+
+In veel gevallen zal er sprake zijn van een migratie naar een nieuwe oplossing.
+
+Stappen in een migratie:
+1. De projectleider stelt samen met de leverancier(s) een planning op voor de migratie van gegevens van de oude naar de nieuwe oplossing. Indien van dat laatste geen sprake is beperkt het project zich tot het veilig stellen danwel vernietigen van de historische gegevens.
+2. Er wordt een backup gemaakt van gegevens uit de oude applicatie om eventueel verlies of corruptie van gegevens te kunnen herstellen.
+3. De gegevens uit de oude applicatie worden opgeschoond als voorbereiding op de data-migratie.
+4. De nieuwe applicatie wordt geconfigureerd
+5. De data wordt gemigreerd van de oude naar de nieuwe oplossing
+6. Er worden tests uitgevoerd om te bepalen of de migratie correct is uitgevoerd
+7. medewerkers en beheerders krijgen instructie in het gebruik van de nieuwe applicatie
+8. De nieuwe applicatie wordt in productie genomen.
+
+**Aanvullende maatregelen**
+
+Aanvullend op de procedure [Informatiebeveiliging in de projectfase](Projectfase%20HK.md) kunnen op basis van de daarin genoemde risicoanalyses de volgende aanvullende maatregelen noodzakelijk zijn:
+
+1. Nalopen van de overeenkomsten met de leverancier om te verzekeren dat aan alle verplichtingen wordt voldaan, met specifieke aandacht voor verplichtingen rond de omgang met informatie, en vertrouwelijkheidsclausules na contractbeëindiging.
+2. Archivering van gegevens, in overeenstemming met het geldende retentiebeleid en wettelijke verplichtingen
+3. Verwijdering en vernietiging van gegevens aanwezig op de systemen van de leverancier
+4. Terugtrekken van toegangs- en beheersrechten voor alle gebruikers van het systeem
+5. Uitschakelen c.q. verwijderen van integraties en koppelvlakken met andere systemen
+6. Veiligstellen van relevante gegevens gerelateerd aan het systeem, zoals log files en incidentrapportages
+7. Identificeren en evalueren van security issues die zich tijdens de uitfasering hebben voorgedaan
+8. Documenteren van het uitfaseringsproces met het oog op toekomstige uitfaseringen en verantwoording aan toezichthouders
+9. Aanpassen van interne documentatie in lijn met het niet langer in gebruik zijn van het systeem
+10. Communicatie aan belanghebbenden over de uitfasering en de impact op bedrijfsprocessen en werkwijzen
+11. Instellen van monitoring van ongeautoriseerde of onbedoelde pogingen om toegang te krijgen tot het uitgefaseerde systeem.