Normenkader — IBP Normenkader Cockpit

Privacy

Versie 2026-04-05

Beleid

3 normen

BL.01 Niet gestart Onder doel

Privacybeleid

Eigenaar: Nog niet toegewezen

BL.02 Niet gestart Onder doel

Rollen, taken en verantwoordelijkheden

Eigenaar: Nog niet toegewezen

BL.03 Niet gestart Onder doel

Risico’s verwerking persoonsgegevens

Eigenaar: Nog niet toegewezen

Processen

7 normen

PR.01 Niet gestart Onder doel

Operationele processen

Eigenaar: Nog niet toegewezen

PR.02 Niet gestart Onder doel

Verwerkingsregister opzet en vastlegging verwerkingen

Eigenaar: Nog niet toegewezen

PR.03 Niet gestart Onder doel

Verwerkingsregister actualisatie

Eigenaar: Nog niet toegewezen

PR.04 Niet gestart Onder doel

Identificatie risico’s gegevensverwerking met behulp van pre-DPIA’s

Eigenaar: Nog niet toegewezen

PR.05 Niet gestart Onder doel

DPIA’s

Eigenaar: Nog niet toegewezen

PR.06 Niet gestart Onder doel

Gegevensbescherming door privacy by design en privacy by default

Eigenaar: Nog niet toegewezen

PR.07 Niet gestart Onder doel

Bewaar- en vernietigingsbeleid

Eigenaar: Nog niet toegewezen

Organisatorische inbedding

4 normen

OI.01 Niet gestart Onder doel

Aanwijzing en positie functionaris gegevensbescherming

Eigenaar: Nog niet toegewezen

OI.02 Niet gestart Onder doel

Privacyorganisatie

Eigenaar: Nog niet toegewezen

OI.03 Niet gestart Onder doel

Betrokkenheid medezeggenschap

Eigenaar: Nog niet toegewezen

OI.04 Niet gestart Onder doel

Bewustwording bescherming persoonsgegevens

Eigenaar: Nog niet toegewezen

Rechten van betrokkenen

4 normen

RB.01 Niet gestart Onder doel

Afhandeling rechten van betrokkenen

Eigenaar: Nog niet toegewezen

RB.02 Niet gestart Onder doel

Informatieplicht

Eigenaar: Nog niet toegewezen

RB.03 Niet gestart Onder doel

Toestemming

Eigenaar: Nog niet toegewezen

RB.04 Niet gestart Onder doel

Geautomatiseerde besluitvorming en/of profilering

Eigenaar: Nog niet toegewezen

Samenwerking

3 normen

SW.01 Niet gestart Onder doel

AVG-rollen

Eigenaar: Nog niet toegewezen

SW.02 Niet gestart Onder doel

Toetsing gegevensverstrekking aan derden

Eigenaar: Nog niet toegewezen

SW.03 Niet gestart Onder doel

Doorgifte buiten de EER

Eigenaar: Nog niet toegewezen

Beveiliging

3 normen

GB.01 Niet gestart Onder doel

Datalekken detectie, classificatie en afhandeling

Eigenaar: Nog niet toegewezen

GB.02 Niet gestart Onder doel

Melding datalekken

Eigenaar: Nog niet toegewezen

GB.03 Niet gestart Onder doel

Beveiliging persoonsgegevens

Eigenaar: Nog niet toegewezen

Verantwoording

1 normen

VW.01 Niet gestart Onder doel

Rapportage naleving AVG

Eigenaar: Nog niet toegewezen

Informatiebeveiliging

Strategie informatiebeveiliging

Beleid informatiebeveiliging

Planning/roadmap informatiebeveiliging

Informatiearchitectuur

Onafhankelijke toetsing

Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid

Functiescheiding

Raamwerk voor informatierisicomanagement

Risicobeoordeling

Plan voor behandeling en beperking van risico’s

Werving van medewerkers

Certificering, training en scholing

Afhankelijkheid van individuen

Verandering of beëindiging van functie

Kennisdeling

Bewustwording informatiebeveiliging

Identificatie en onderhoud van configuratie-items

Configuratiedatabase en baseline

Incidentmanagement

Incidentescalatie

Incidentrespons op (cyber)beveiligingsincidenten

Problemmanagement

Procedures voor wijzigingen

Impactassessment, prioriteren en autoriseren

Noodwijzigingen doorvoeren

Testomgeving

Testen van wijzigingen

Overzetten naar productieomgeving

Methodiek veilige softwareontwikkeling en -implementatie

Toegang productieomgeving door ontwikkelaars

Dataconversie en/of migratie

Data- en systeemeigenaarschap

Dataclassificatie

Beveiligingseisen voor datamanagement

Inrichting van opslag en retentie

Uitwisseling van (gevoelige) gegevens

Verwijdering van data

Toegangsrechten toewijzen

Administratie van toegangsrechten

Monitoring en toegang superusers

Noodprocedure superuserrechten

Periodieke beoordeling van toegangsrechten

Beveiligingsbaselines

Authenticatiemechanismes

Mobiele apparaten en telewerken

Logging systeemactiviteiten

Testen, inspectie en toezicht beveiliging

Patchmanagement

Threat- en vulnerabilitymanagement

Beschikbaarheid en bescherming infrastructuur

Onderhoud van de infrastructuur

Cryptografisch sleutelmanagement

Netwerkbeveiliging

Beheersing van malware-aanvallen

Bescherming van beveiligingstechnologie

Fysieke beveiligingsmaatregelen

Beheer van fysieke toegangsrechten

Jobprocessing

Procedures voor back-up en herstel

Capacity- en performancemanagement

Bedrijfscontinuïteitsplanning

Testen van disaster recovery

Offsite back-upopslag

Datareplicatie

Crisismanagement

Service Level Agreement

Servicelevelmanagement

Leveranciersrisicomanagement

Interne beheersing bij derden

Privacy

Privacybeleid

Rollen, taken en verantwoordelijkheden

Risico’s verwerking persoonsgegevens

Operationele processen

Verwerkingsregister opzet en vastlegging verwerkingen

Verwerkingsregister actualisatie

Identificatie risico’s gegevensverwerking met behulp van pre-DPIA’s

DPIA’s

Gegevensbescherming door privacy by design en privacy by default