-
Wie is er verantwoordelijk voor de persoonsgegevens in de datasets?
-
Is er sprake van zodanige logging dat ingeval van een (vermoed) datalek of andersoortig veiligheidsincident analyses gedaan kunnen worden, zoals bijvoorbeeld wie welke data geraadpleegd, gewijzigd of verwijderd heeft, welke data geraakt is,
-
Hoe zijn de logbestanden beschermd en bevinden deze zich op een andere locatie dan de systemen zelf?
-
Kan een instituut als onderdeel van een audit of n.a.v. een incident inzage krijgen in het voor de relevante deel van de logfile?
-
Kan het volledig verwijderen van een dataset alleen op verzoek van de instituut of de deposant?
-
Hebben medewerkers van DANS en/of subprocessors toegang tot gearchiveerde data?
-
Is sprake van gelaagdheid in en/of compartimentering van beheeraccounts? Hoe is dit geregeld?
-
Hebben ontwikkelaars toegang tot de productie omgeving? Hebben ontwikkelaars toegang tot productie-data?
-
Hoe gebeurt de authenticatie van gebruikers?
-
Zijn er logbestanden waarin mutaties aan datasets worden bijgehouden?