Beveiligingsmaatregelen
De DIV-it-standaard omschrijft een zorgvuldige wijze om de digitale procedure te implementeren. Maatregelen om de belangrijkste risico’s te voorkomen zijn verwerkt in de verschillende onderdelen van de standaard. Daarnaast worden er in de aansluitvoorwaarden vanuit de overheid en de voorwaarden voor gebruik vanuit het ministerie van BZK (beide tevens onderdeel van de DIV-it-standaard) ook eisen gesteld aan de beveiligingsmaatregelen.
In de onderstaande paragrafen zijn de belangrijkste beveiligingsmaatregelen die ingericht moeten worden beschreven. Richt deze beveiligingsmaatregelen samen met de softwareleverancier in.
Maatregelen ten aanzien van de digitale infrastructuur van de overheid
Het woonruimteverdeelsysteem wordt aangesloten op de digitale infrastructuur van de overheid ten behoeve van de validatie van identiteitsgegevens via de BV BSN en om de identiteits- en inkomensgegevens uit te wisselen via het koppelvlak met MijnOverheid. Daarvoor moeten de volgende maatregelen worden getroffen:
Diginetwerk: de koppeling met MijnOverheid en de BV BSN vindt plaats via de beveiligde infrastructuur van de overheid (Diginetwerk). Dit waarborgt een betrouwbare gegevensverwerking en adequate beveiliging van gegevens in transport naar het woonruimteverdeelsysteem.
Aansluitvoorwaarden vanuit de overheid: de woonruimteverdeler of corporatie moet voldoen aan de aansluitvoorwaarden van Logius en RvIG voor het aansluiten op respectievelijk de MijnOverheid koppeling voor het Delen van Gegevens en de Beheervoorziening BSN. Via de aansluitvoorwaarden worden passende technische en organisatorische maatregelen afgedwongen ten aanzien van beide voorzieningen.
Inlogprocedure met DigiD: de woningzoekende of medebewoner logt in met DigiD op MijnOverheid. Het DigiD zekerheidsniveau Midden is van toepassing: gebruikers loggen in met de DigiD app of met hun DigiD gebruikersnaam en wachtwoord met sms-controle.
Beveiliging van het BSN
Er zijn een aantal maatregelen die getroffen moeten worden om het BSN te beveiligen, zodat deze in het geval van een beveiligingsincident niet herleidbaar is naar een individuele woningzoekende of medebewoner.
Het BSN moet in het woonruimteverdeelsysteem gehasht opgeslagen worden zodat deze niet direct herleidbaar is naar de woningzoekende of medebewoner. Hiervoor moet een cyrptografische hashfunctie gebruikt worden die geschikt is voor het hashen van secrets. Het direct tot de woningzoekende of medebewoner herleidbare BSN mag door de woonruimteverdeler of corporatie niet bewaard worden in het woonruimteverdeelsysteem, verhuursysteem of eigen administratie.
Het gehashte BSN mag nooit in het profiel van de woningzoekende of medebewoner aan de medewerker van de woonruimteverdeler of corporatie worden getoond.
Als het noodzakelijk is om een medewerker toegang te geven tot het gehashte BSN, moeten de woonruimteverdeler of corporatie en haar softwareleverancier ervoor zorgen dat alleen geautoriseerde medewerkers toegang hebben tot het gehashte BSN. Toegang tot deze gegevens moet worden gelogd zodat het altijd herleidbaar is wie en wanneer toegang tot de gegevens heeft gehad.
Passende technische en organisatorische maatregelen
De woonruimteverdeler of corporatie moeten passende organisatorische en technische maatregelen nemen om de gegevens van de woningzoekende of medebewoner te beveiligen. Uitgangspunt is de Baseline Informatiebeveiliging Corporaties.
De softwareleverancier die of het dienstencentrum dat een woonruimteverdeelsysteem levert en daarbij gegevens verwerkt in opdracht van de woonruimteverdeler of corporatie, moet de informatiebeveiliging inrichten conform ISO27001/ISO27002.