-
Hoe is de software policy geregeld?
-
Welk informatiebeveiligingsbeleid is van toepassing?
-
Vinden er periodieke scans plaats? Zo ja, hoe vaak?
-
Bevat de backup ook draft datasets?
-
Is sprake van een scheiding van ontwikkeling-, test- en productieservers en zo ja, hoe is dit vormgegeven?
-
Zijn DANS en haar subprocessors ISO27001 gecertificeerd?
-
Wie is er verantwoordelijk voor de persoonsgegevens in de datasets?
-
Is er sprake van zodanige logging dat ingeval van een (vermoed) datalek of andersoortig veiligheidsincident analyses gedaan kunnen worden, zoals bijvoorbeeld wie welke data geraadpleegd, gewijzigd of verwijderd heeft, welke data geraakt is,
-
Hoe zijn de logbestanden beschermd en bevinden deze zich op een andere locatie dan de systemen zelf?
-
Kan een instituut als onderdeel van een audit of n.a.v. een incident inzage krijgen in het voor de relevante deel van de logfile?