iso27diy-corp/Clients/Humankind/Lijst Eisen en Wensen ICT oplossingen HK.md

Deze tekst is gebaseerd op:

• Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind
• Ubeoo ATS vendor selection Humankind
• • OWASP Top 10 CI-CD Security Risks
• • Rapportage Pentest
    • Actielijst pentest
• Risicoanalyse Humankind
• Checklists Gerardus Blokdyk

Basislijst Eisen en Wensen ICT oplossingen

Beheer De Basislijst Eisen en Wensen ICT oplossingen wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk – te bepalen door het Privacyteam).

De eisen en wensen aan een ICT oplossing zijn afhankelijk van de soorten informatie die met het systeem moeten worden verwerkt. Dit is geclassificeerd in de (nog op te stellen) Data classificatie matrix.

Bepaald moet worden welke punten gelden als knock-out criteria.

Van deze lijst mag alleen afgeweken worden onder de voorwaarden die beschreven zijn in de procedure Specificatie van eisen en wensen.

Algemene eisen en wensen

1. Oplossingen moeten bijdragen aan de efficiëntie en effectiviteit van ondersteunende IT processen.
2. De gegevens en informatie over klanten moeten beter beveiligd worden.
3. Oplossingen moeten bijdragen aan het ondersteunen van de kindontwikkeling.
4. Koppelingen tussen systemen worden beperkt tot alleen de noodzakelijke gegevensuitwisselingen.
5. Koppelingen tussen gegevensverwerkende systemen verlopen via één contactpunt (dataplatform).
6. Onpersoonlijke accounts worden alleen toegestaan indien strikt noodzakelijk en zijn onderwerp van streng beleid (nader te bepalen).
7. Leveranciers moeten het gebruik van persoonlijke accounts voor elke gebruiker ondersteunen en strikte beleidsregels implementeren voor niet-persoonlijke accounts.
8. Leveranciers moeten ervoor zorgen dat hun oplossingen voldoen aan de Nederlandse wet- en regelgeving, inclusief beveiligings- en privacywetten.
9. Persoonsgegevens worden opgeslagen en verwerkt in een gebied dat valt onder jurisdictie van de EU.
10. Bij opslag en verwerking wordt het principe van minimalisatie toegepast.
11. Voor het functioneel beheer van het systeem is geen programmeerkennis nodig.
12. Het systeem beschikt over een online kennisbank (bijvoorbeeld in de vorm van een wiki, instructievideo’s of online handleidingen) zowel voor de inrichting als het gebruik van het systeem. De content is gebruiksvriendelijk samengesteld en vereist weinig kennis van het systeem om te begrijpen door gebruikers.

Technische eisen en wensen

1. Alle gegevensverkeer tussen (andere systemen in gebruik bij) Humankind en de systemen van de leverancier wordt versleuteld (methode en key-length nader bepalen).
2. De oplossing moet gekoppeld kunnen worden aan Single-Sign-on van Microsoft.
3. De oplossing moet Multi-factor autenticatie (MFA) via Microsoft EntraID ondersteunen.
4. Logboeken worden bijgehouden voor traceerbaarheid.
5. De oplossing zoals geleverd mag geen maatwerk bevatten specifiek voor Humankind.
6. De oplossing zoals geleverd moet in gebruik zijn bij meerdere organisaties.
7. De oplossing wordt via het web binnen een browser aangeboden en moet toegankelijk zijn van buiten de locaties van Humankind.
8. De oplossing moet gebaseerd zijn op schaalbare dienstverlening, waarbij horizontale schaalbaarheid eenvoudig te realiseren moet zijn.
9. Beheers- en toegangsrechten moeten geconfigureerd worden op basis van door Humankind te definiëren rollen (RBAC), waarbij het 'least privilege' principe kan worden gevolgd.
10. Alle toegangssleutels worden in versleutelde vorm opgeslagen.
11. Alle data wordt in versleutelde vorm opgeslagen.
12. Het systeem biedt gedocumenteerde API's om additionele koppelingen te kunnen bouwen.
13. API's zijn beveiligd met een authenticatie mechanisme, encryptie en data validation.
14. Het systeem biedt een standaard sourcing extensie voor de belangrijkste browsers.
15. Het systeem voorziet in een testomgeving (sandbox) om nieuwe features te testen en te trainen.
16. Het systeem voldoet aan alle Nederlandse wet- en regelgeving op het gebied van gegevensbescherming en -beveiliging.
17. Het systeem biedt voorzieningen om persoonsgegevens automatisch te verwijderen of te anonimiseren op basis van een in te stellen retentietermijn.
18. Het systeem is beveiligd tegen de meest voorkomende kwetsbaarheden voor web applicaties zoals geïdentificeerd in de courante versie van de OWASP Top 10