Zoek in woordenlijst...Compliance Woordenlijst A ABDO (Algemene Beveiligingseisen voor Defensieopdrachten)Nederlandse beveiligingsstandaard voor bedrijven die gerubriceerde opdrachten uitvoeren voor het Ministerie van Defensie, met eisen voor fysieke en informatiebeveiliging. ACL (Access Control List)Een lijst van regels die aangeeft welke gebruikers of systemen toegang hebben tot bepaalde bronnen en welke acties zij erop kunnen uitvoeren. Activabeheer (Asset Management)Het proces van identificeren, classificeren en beheren van alle informatie-activa binnen een organisatie, inclusief hardware, software, data en intellectueel eigendom. AI GovernanceHet raamwerk van beleid, procedures en maatregelen voor verantwoord gebruik van AI-systemen, inclusief ethische overwegingen, transparantie en verantwoording. AI Impact Assessment (AIIA)Systematische evaluatie van risico's en effecten van AI-systemen op individuen, groepen en de samenleving, vereist onder de EU AI Act. Annex A Controls (ISO 27001)De 93 beveiligingsmaatregelen uit ISO 27001:2022 Bijlage A die organisaties kunnen implementeren om informatiebeveiligingsrisico's te beheren. API-beveiligingBescherming van Application Programming Interfaces tegen misbruik, datalekken en ongeautoriseerde toegang door authenticatie, versleuteling en snelheidsbeperking. AuditmoeheidVerminderde effectiviteit door overmatige audits, aangepakt met geïntegreerde GRC-platforms die bewijs hergebruiken. AuditspoorChronologisch logboek van alle systeemactiviteiten en transacties dat registreert wie, wat, wanneer en waarom voor compliance- en forensische doeleinden. AuthenticatieHet proces van verifiëren dat een gebruiker, systeem of entiteit daadwerkelijk is wie ze beweren te zijn, meestal via wachtwoorden, tokens of biometrie. AutorisatieHet proces van bepalen welke rechten en privileges een geauthenticeerde gebruiker heeft binnen een systeem of applicatie. AVG (Algemene Verordening Gegevensbescherming)EU-verordening voor bescherming van persoonsgegevens met strikte eisen voor verwerking, beveiliging en rechten van betrokkenen. B BCM (Business Continuity Management)Systematische aanpak voor het identificeren van kritieke bedrijfsprocessen en het ontwikkelen van plannen om deze te beschermen tegen verstoringen. Bedrijfsimpactanalyse (BIA)Systematische analyse van kritieke bedrijfsprocessen om prioriteiten voor herstel tijdens verstoringen te bepalen. BeheersdoelstellingenSpecifieke doelen die beveiligingsmaatregelen moeten bereiken. BeheersmaatregelenTechnische of organisatorische maatregelen om risico's te beheren. Belangrijke entiteiten (NIS2)Organisaties met NIS2-verplichtingen maar minder streng dan essentiële entiteiten. BeleidsbeheerSystematisch beheer van beleidsregels inclusief creatie, goedkeuring, distributie en periodieke herziening. BetrokkeneNatuurlijke persoon op wie persoonsgegevens betrekking hebben. BeveiligingsbasislijnMinimale set beveiligingsmaatregelen die volgens organisatiebeleid moeten worden geïmplementeerd. BeveiligingsbewustzijnstrainingPeriodieke training voor medewerkers over beveiligingsrisico's en best practices. BeveiligingshoudingAlgehele status van beveiligingsmaatregelen en weerbaarheid tegen cyberaanvallen. BeveiligingsincidentGebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie bedreigt. BeveiligingsmaatregelTechnische, administratieve of fysieke maatregel om beveiligingsrisico's te beheren. BewaarbeleidBeleid dat bepaalt hoe lang verschillende soorten gegevens worden bewaard en wanneer ze moeten worden vernietigd. BewaartermijnDe periode waarin persoonsgegevens of documenten mogen worden bewaard, bepaald door wettelijke eisen of bedrijfsdoeleinden. BewijsarchiefCentrale opslag voor alle compliancebewijs georganiseerd per beheersmaatregel en framework. BewijsverzamelingSystematisch verzamelen van bewijs dat aantoont dat beveiligingsmaatregelen effectief functioneren voor compliance-audits. Bijzondere categorieën persoonsgegevensGevoelige gegevens zoals ras, religie, gezondheid of seksuele geaardheid met aanvullende AVG-bescherming. BIO (Baseline Informatiebeveiliging Overheid)Nederlandse standaard voor informatiebeveiliging bij overheidsorganisaties, gebaseerd op ISO 27001/27002 met aanvullende overheidsspecifieke maatregelen. Biometrische gegevensUnieke fysieke of gedragskenmerken zoals vingerafdrukken of gezichtsherkenning, geclassificeerd als bijzondere persoonsgegevens onder de AVG. BIV-classificatieNederlandse standaard voor Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie. BIV-driehoekFundamenteel informatiebeveiligingsmodel bestaande uit Vertrouwelijkheid (Confidentiality), Integriteit (Integrity) en Beschikbaarheid (Availability). C CAB (Change Advisory Board)Commissie die wijzigingsverzoeken beoordeelt en goedkeurt om risico's van systeemwijzigingen te minimaliseren volgens ITIL-principes. CAROC (Complementary User Entity Controls)Beheersmaatregelen die klanten zelf moeten implementeren om effectiviteit van SOC 2-gecertificeerde diensten te waarborgen. CertificeringFormele bevestiging door een geaccrediteerde partij dat een organisatie voldoet aan specifieke standaarden zoals ISO 27001 of SOC 2. Chief Information Security Officer (CISO)C-level directielid verantwoordelijk voor de algehele informatiebeveiligingsstrategie en compliance. ClassificatieniveausCategorisering van informatie naar gevoeligheid (openbaar, intern, vertrouwelijk, geheim) om passende beveiligingsmaatregelen te bepalen. Cloud Security Alliance (CSA)Organisatie die best practices en standaarden ontwikkelt voor veilig cloudcomputing, bekend van het Cloud Controls Matrix-raamwerk. CMDB (Configuration Management Database)Centrale database met alle IT-activa en hun onderlinge relaties, essentieel voor wijzigingsbeheer en incidentrespons. Compliance FrameworkGestructureerde verzameling van richtlijnen, standaarden en procedures die organisaties helpen te voldoen aan regelgeving. Compliance-automatiseringSoftware die complianceprocessen automatiseert zoals bewijsverzameling, monitoring van maatregelen en auditvoorbereiding om handmatig werk te minimaliseren. Context van de organisatie (ISO 27001)Vereiste om interne/externe factoren en belanghebbenden te identificeren die het ISMS beïnvloeden. Continue complianceRealtime monitoring en automatische validatie van compliancestatus in plaats van periodieke audits. Continue monitoringRealtime of frequente monitoring van beveiligingsmaatregelen en compliancestatus om afwijkingen direct te detecteren en corrigeren. Continue verbeteringISO 27001-vereiste om het ISMS continu te verbeteren via de Plan-Do-Check-Act-cyclus. Correctief actieplan (CAP)Gedocumenteerd plan om geïdentificeerde non-conformiteiten of auditbevindingen binnen een bepaald tijdsbestek op te lossen. Corrigerende maatregelenActies om oorzaken van geïdentificeerde non-conformiteiten te verwijderen en herhaling te voorkomen. CryptografieTechniek voor het versleutelen van gegevens om vertrouwelijkheid en integriteit te waarborgen tijdens opslag en transport. CSIRT (Computer Security Incident Response Team)Gespecialiseerd team verantwoordelijk voor het detecteren, analyseren en reageren op cybersecurity-incidenten binnen een organisatie. CybersecurityDe praktijk van het beschermen van digitale systemen, netwerken en gegevens tegen ongeautoriseerde toegang, aanvallen en schade. D Data DiscoveryGeautomatiseerd proces voor het identificeren en lokaliseren van persoonsgegevens binnen alle systemen en databases van een organisatie. Data Loss Prevention (DLP)Technologieën en processen die voorkomen dat gevoelige gegevens ongeautoriseerd de organisatie verlaten. Data-inventarisCompleet overzicht van alle data-activa inclusief locatie, eigenaar, classificatie en toegangsrechten. DataclassificatieProces van categoriseren van gegevens op basis van gevoeligheid en kritikaliteit om passende beveiligingsmaatregelen te bepalen. DataminimalisatieAVG-principe dat vereist dat alleen noodzakelijke persoonsgegevens worden verzameld en verwerkt voor het specifieke doel. DDoS-beschermingMaatregelen om Distributed Denial of Service-aanvallen die systemen onbeschikbaar maken te detecteren en mitigeren. Derde partijNatuurlijke of rechtspersoon anders dan betrokkene, verwerkingsverantwoordelijke of verwerker. DevSecOpsIntegratie van beveiligingspraktijken in DevOps-processen om beveiliging vanaf het begin in te bouwen in softwareontwikkeling. Digital Operational Resilience Act (DORA)EU-verordening die uniforme eisen stelt aan digitale operationele weerbaarheid van financiële entiteiten. DirectiebeoordelingPeriodieke evaluatie door management van effectiviteit van het compliance management systeem. Disaster RecoveryPlan en procedures voor het herstellen van kritieke systemen en gegevens na een verstorende gebeurtenis zoals een natuurramp of cyberaanval. DocumentbeheerSystematisch beheer van documenten en archieven gedurende hun levenscyclus voor compliancedoeleinden. DocumentwijzigingsbeheerProces van volgen en goedkeuren van wijzigingen in compliancedocumenten en contracten. DoelbindingAVG-principe dat gegevens alleen mogen worden gebruikt voor het doel waarvoor ze zijn verzameld. DreigingPotentieel gevaar of schadelijke gebeurtenis die kwetsbaarheden kan uitbuiten en de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of systemen negatief kan beïnvloeden. DreigingsinformatieVerzamelde informatie over actuele cyberdreigingen voor proactieve verdediging. DreigingsmodelleringSystematische identificatie van potentiële dreigingen en kwetsbaarheden in systemen. E Endpoint Detection and Response (EDR)Beveiligingsoplossing die endpoints monitort en automatisch reageert op gedetecteerde dreigingen. Essentiële entiteiten (NIS2)Organisaties in kritieke sectoren met de strengste verplichtingen onder NIS2 zoals energie en gezondheidszorg. Explainable AI (XAI)AI-systemen waarvan de besluitvorming transparant en begrijpelijk is voor gebruikers, vereist onder ISO 42001. F FIDO2-authenticatieModerne authenticatiestandaard voor wachtwoordloze verificatie via biometrie of hardware-beveiligingssleutels. Framework-harmonisatieIntegratie van meerdere compliance-frameworks om overlap te elimineren en efficiëntie te verhogen. Framework-mappingKoppeling tussen overlappende eisen van verschillende standaarden om dubbel werk te voorkomen. FunctiescheidingScheiding van taken om fraude te voorkomen door kritieke functies over meerdere personen te verdelen. Functionaris Gegevensbescherming (FG)Verplichte functionaris voor toezicht op AVG-compliance bij grootschalige gegevensverwerking. Fysieke beveiligingMaatregelen om fysieke activa te beschermen zoals toegangscontrole tot datacenters. G Gap-analyseSystematische vergelijking tussen huidige staat en vereist complianceniveau om ontbrekende beheersmaatregelen te identificeren. GebruikersrechtenSpecifieke autorisaties toegekend aan gebruikers voor toegang tot systemen, gegevens en functionaliteiten. GebruikersrechtenbeoordelingPeriodieke controle of gebruikersrechten nog passend zijn voor functie en verantwoordelijkheden. Gedeeld verantwoordelijkheidsmodelVerdeling van beveiligingsverantwoordelijkheden tussen cloudprovider en klant. Gefedereerd identiteitsbeheerSysteem waarbij gebruikers toegang krijgen tot meerdere systemen met één set inloggegevens via identiteitsfederatie. Gegevensbescherming door ontwerpVerplichting om privacy en gegevensbescherming vanaf het begin in te bouwen in systemen en processen. GegevensbeschermingsautoriteitToezichthoudende autoriteit voor gegevensbescherming, in Nederland de Autoriteit Persoonsgegevens (AP). Gegevensbeschermingseffectbeoordeling (DPIA)Systematische analyse van privacyrisico's bij nieuwe verwerkingen, verplicht voor hoog-risicoverwerkingen onder de AVG. Geheimhoudingsovereenkomst (NDA)Vertrouwelijkheidsovereenkomst die vertrouwelijke informatie beschermt bij samenwerking met externe partijen. Gerechtvaardigd belangAVG-grondslag waarbij organisatiebelangen worden afgewogen tegen privacy-impact voor betrokkenen. Gerubriceerde informatieOverheidsinformatie geclassificeerd als staatsgeheim, zeer geheim, geheim of departementaal vertrouwelijk. Gevoelige persoonsgegevensBijzondere categorieën persoonsgegevens zoals gezondheid, religie of biometrie met aanvullende beschermingseisen. Gezamenlijke verwerkingsverantwoordelijkenTwee of meer partijen die gezamenlijk doeleinden en middelen van gegevensverwerking bepalen onder de AVG. GRC-platformSoftware voor Governance, Risk en Compliance-beheer die processen automatiseert en centraliseert. Grensoverschrijdende gegevensoverdrachtOverdracht van persoonsgegevens naar landen buiten de EER, waarvoor aanvullende waarborgen onder de AVG vereist zijn. Grensoverschrijdende verwerkingVerwerking van persoonsgegevens in meerdere EU-lidstaten met specifieke AVG-vereisten. H HoofdvestigingPlaats van centrale administratie in de EU voor bepaling van leidende toezichthoudende autoriteit bij grensoverschrijdende verwerking. I IAM (Identity and Access Management)Raamwerk voor het beheren van digitale identiteiten en toegangsrechten binnen een organisatie. ICT-risicobeheer (DORA)Specifieke eisen voor het beheren van ICT-risico's in de financiële sector onder DORA. IDS/IPS (Intrusion Detection/Prevention System)Systemen die netwerkverkeer monitoren op verdachte activiteiten en deze detecteren of automatisch blokkeren. Inbreuk in verband met persoonsgegevensOfficiële AVG-term voor datalek met meldplicht binnen 72 uur. IncidentresponsplanGedocumenteerde procedures voor het detecteren, analyseren en herstellen van beveiligingsincidenten. InformatiebeveiligingsbeleidOverkoepelend beleidsdocument dat de beveiligingsdoelstellingen en -principes van een organisatie definieert. Information Security Management System (ISMS)Systematische aanpak voor het beheren van gevoelige bedrijfsinformatie volgens ISO 27001-standaarden. Inherent risicoRisiconiveau vóór implementatie van mitigerende maatregelen. Interne auditOnafhankelijke evaluatie van compliance en effectiviteit van beheersmaatregelen door de interne auditfunctie. ISO 27001Internationale standaard voor informatiebeveiligingsmanagementsystemen met certificeringsmogelijkheid. ISO 27017Standaard met specifieke richtlijnen voor informatiebeveiliging in clouddiensten. ISO 27018Standaard voor bescherming van persoonsgegevens in publieke clouddiensten. ISO 27701Privacy-extensie op ISO 27001 voor Privacy Information Management Systems (PIMS). ISO 42001Eerste internationale standaard voor AI Management Systems gericht op verantwoorde AI-ontwikkeling. IT General Controls (ITGC)Basis IT-beheersmaatregelen die betrouwbaarheid van geautomatiseerde processen waarborgen. K Kans- en impactmatrixHulpmiddel voor risicobeoordeling dat waarschijnlijkheid en gevolgen combineert voor prioritering. Key Performance Indicators (KPI's)Meetbare waarden die de effectiviteit van compliance- en beveiligingsprogramma's aantonen. Key Risk Indicators (KRI's)Metriken die vroegtijdige waarschuwing geven voor toenemende risico's voordat ze zich manifesteren. KlokkenluidersbeschermingMaatregelen om medewerkers te beschermen die misstanden melden volgens de EU Klokkenluidersrichtlijn. Kwantumbestendige cryptografieVersleutelingsmethoden die bestand zijn tegen toekomstige kwantumcomputers. KwetsbaarheidsanalyseSystematisch onderzoek naar zwakheden in systemen, applicaties en processen. KwetsbaarheidsbeheerContinu proces van identificeren, evalueren en remediëren van kwetsbaarheden in systemen. KwetsbaarheidsscanGeautomatiseerde detectie van bekende zwakheden in systemen, netwerken en applicaties. L Leiderschapsbetrokkenheid (ISO 27001)Vereiste betrokkenheid van het topmanagement bij implementatie en onderhoud van het ISMS. LeveranciersrisicobeoordelingEvaluatie van beveiligings- en compliancerisico's met leveranciers voorafgaand aan samenwerking. Logging en monitoringContinue registratie en analyse van systeemgebeurtenissen voor beveiligings- en compliancedoeleinden. Logische toegangsbeveiligingTechnische maatregelen zoals wachtwoorden en multi-factor authenticatie voor systeemtoegang. M MaatregelautomatiseringTechnologie die handmatige compliancetaken automatiseert zoals bewijsverzameling en testen van maatregelen. MaatregeltestsPeriodieke verificatie dat beveiligingsmaatregelen effectief functioneren zoals ontworpen. Machine Learning Operations (MLOps)Raamwerk voor het beheren van machine learning-modellen in productie met focus op compliance en ethiek. Managed Security Service Provider (MSSP)Externe partij die beveiligingsmonitoring en incidentresponsdiensten levert. Meldplicht datalekkenWettelijke verplichting om ernstige datalekken binnen 72 uur te melden aan toezichthouder en betrokkenen. MetadataGestructureerde informatie over gegevens zoals aanmaakdatum, eigenaar en classificatieniveau. MFA (Multi-Factor Authentication)Authenticatie die meerdere verificatiemethoden combineert zoals wachtwoord plus SMS-code of biometrie. Minimale rechtenBeveiligingsprincipe waarbij gebruikers alleen minimaal noodzakelijke toegangsrechten krijgen voor hun functie. Model GovernanceRaamwerk voor het beheren, monitoren en beheersen van AI- en machine learning-modellen gedurende hun levenscyclus om compliance en prestaties te waarborgen. N NEN 7510Nederlandse standaard voor informatiebeveiliging in de gezondheidszorg, gebaseerd op ISO 27001/27002. NetwerksegmentatieVerdeling van netwerken in zones om de impact van beveiligingsincidenten te beperken. NIS2-richtlijnHerziene EU-richtlijn voor cybersecurity met uitgebreide verplichtingen voor essentiële en belangrijke entiteiten. NIST Cybersecurity FrameworkAmerikaans raamwerk met vijf functies (Identify, Protect, Detect, Respond, Recover) voor cybersecuritybeheer. Non-conformiteitAfwijking van vereisten in standaarden, wetten of regelgeving die corrigerende actie vereist. O OAuth 2.0Open standaard voor gedelegeerde autorisatie waarmee applicaties kunnen handelen namens gebruikers. Objectief bewijsVerifieerbare documentatie die aantoont dat beheersmaatregelen effectief werken voor auditdoeleinden. OntvangerNatuurlijke of rechtspersoon aan wie persoonsgegevens worden verstrekt. Operationele weerbaarheidVermogen om kritieke diensten te blijven leveren tijdens en na verstoringen. OWASP Top 10Lijst van meest kritieke beveiligingsrisico's voor webapplicaties gepubliceerd door het Open Web Application Security Project. P PatchbeheerSystematisch proces voor het testen en installeren van beveiligingsupdates en patches. PCI DSS (Payment Card Industry Data Security Standard)Beveiligingsstandaard voor organisaties die creditcardtransacties verwerken. PenetratietestGeautoriseerde gesimuleerde cyberaanval om zwakheden in systemen te identificeren. PerimeterbeschermingBeveiligingsmaatregelen aan de netwerkrand zoals firewalls en intrusion prevention systems. PersoonsgegevensAlle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon volgens de AVG. PII (Personally Identifiable Information)Informatie die direct of indirect kan worden gebruikt om een persoon te identificeren. Privacy by DefaultVerplichting om standaard de meest privacyvriendelijke instellingen te gebruiken in systemen. Privacy ChampionMedewerker die privacybewustzijn bevordert en als aanspreekpunt dient binnen een afdeling. Privacy EngineeringTechnische implementatie van privacyprincipes in systemen en applicaties. Privacy Impact Assessment (PIA)Evaluatie van privacyrisico's bij nieuwe projecten of verwerkingen, voorloper van DPIA. PrivacyverklaringTransparante communicatie aan betrokkenen over hoe hun persoonsgegevens worden verwerkt. Privileged Access Management (PAM)Beheer en monitoring van accounts met verhoogde rechten zoals beheerdersaccounts. ProfileringGeautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten. PseudonimiseringTechniek waarbij persoonsgegevens niet meer direct herleidbaar zijn zonder aanvullende informatie. R RACI-matrixModel dat Responsible, Accountable, Consulted en Informed partijen definieert voor compliancetaken. Ransomware-beschermingMaatregelen tegen malware die bestanden versleutelt en losgeld vraagt voor ontsleuteling. RBAC (Role-Based Access Control)Toegangsbeheer gebaseerd op functies waarbij rechten aan rollen zijn gekoppeld. Recht op vergetelheidAVG-recht waarbij betrokkenen onder bepaalde voorwaarden verwijdering van hun persoonsgegevens kunnen verzoeken. Rechten van betrokkenenRechten van personen onder de AVG zoals inzage, rectificatie, wissing en gegevensportabiliteit van hun persoonsgegevens. Rechtmatige grondslagJuridische basis vereist voor elke verwerking van persoonsgegevens onder de AVG. Recovery Point Objective (RPO)Maximaal acceptabel gegevensverlies gemeten in tijd tijdens een incident of ramp. Recovery Time Objective (RTO)Maximaal acceptabele tijd waarbinnen systemen of processen moeten worden hersteld na een verstoring. RegelgevingswijzigingenbeheerProces voor het identificeren, beoordelen en implementeren van wijzigingen in wet- en regelgeving. Reikwijdte (Scope)Definitie van processen, locaties en systemen waarop het ISMS van toepassing is. RemediatieProces van het oplossen van geïdentificeerde compliancetekortkomingen of beveiligingskwetsbaarheden. Responsible AIBenadering van AI-ontwikkeling en -implementatie die ethiek, transparantie, verantwoording en afstemming op menselijke waarden en regelgeving prioriteert. RestrisicoResterend risiconiveau na implementatie van mitigerende maatregelen. RisicobehandelingISO 27001-proces voor het selecteren en implementeren van maatregelen om risico's te wijzigen. RisicobehandelingsplanGedocumenteerde aanpak voor het aanpakken van risico's door acceptatie, mitigatie, overdracht of vermijding. RisicobeheerProces van identificeren, analyseren en reageren op risico's om organisatie-activa te beschermen en bedrijfsdoelstellingen te bereiken. RisicobeoordelingSystematische evaluatie van waarschijnlijkheid en impact van potentiële risico's. RisicobereidheidHoeveelheid en type risico die een organisatie bereid is te accepteren voor haar doelstellingen. RisicoregisterCentrale documentatie van alle geïdentificeerde risico's inclusief eigenaar, impact en mitigatiestatus. RisicoscoreKwantitatieve methode voor het toekennen van numerieke waarden aan risico's voor objectieve prioritering. S SAML (Security Assertion Markup Language)XML-standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen identiteitsproviders. SAST (Static Application Security Testing)Geautomatiseerde analyse van broncode om beveiligingskwetsbaarheden te identificeren. Schrems IIEU-uitspraak die strikte eisen stelt aan internationale gegevensoverdrachten naar landen zonder adequaat beschermingsniveau. Security Operations Centre (SOC)Centraal team dat 24/7 beveiligingsmonitoring en incidentrespons verzorgt. Security Orchestration (SOAR)Automatisering van beveiligingsprocessen voor snellere detectie en respons op incidenten. Service Level Agreement (SLA)Contract met afspraken over prestaties, beschikbaarheid en beveiliging van diensten. SIEM (Security Information and Event Management)Platform dat beveiligingsgebeurtenissen verzamelt, correleert en analyseert voor dreigingsdetectie. Single Sign-On (SSO)Authenticatiemethode waarbij gebruikers met één login toegang krijgen tot meerdere applicaties. SleutelbeheerProcessen voor het veilig genereren, distribueren, opslaan en vernietigen van cryptografische sleutels. SOC 2Amerikaanse standaard voor serviceorganisaties die rapporteert over ontwerp en operationele effectiviteit van beheersmaatregelen. SOC 2 Type IRapport over ontwerp van beheersmaatregelen op een specifiek moment volgens AICPA-standaarden. SOC 2 Type IIUitgebreid rapport over operationele effectiviteit van beheersmaatregelen over een periode van minimaal 3 maanden. Software Bill of Materials (SBOM)Inventaris van alle componenten en afhankelijkheden in software voor supply chain-beveiliging. SpoofingAanvalstechniek waarbij identiteit wordt vervalst om ongeautoriseerde toegang te verkrijgen. Standaard contractbepalingen (SCC)Door de EU goedgekeurde modelcontracten voor internationale gegevensoverdracht. SubverwerkerDerde partij ingeschakeld door verwerker voor specifieke verwerkingsactiviteiten, waarvoor goedkeuring onder AVG vereist is. Supply chain-beveiligingMaatregelen om risico's met leveranciers en partners te identificeren en beheren. SysteemverhardingProces van verwijderen van onnodige functies en configureren van veilige instellingen. T Technische en organisatorische maatregelen (TOMs)Technische en organisatorische maatregelen vereist onder AVG Artikel 32. Third Party Risk Management (TPRM)Beheer van compliance- en beveiligingsrisico's met leveranciers en partners. ToegangscontroleHet systeem van regels en technologieën dat bepaalt wie toegang heeft tot welke informatiesystemen, gegevens en faciliteiten, wanneer en onder welke voorwaarden. ToestemmingVrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting als AVG-grondslag. Trust Service Principles (TSP)AICPA-criteria voor SOC 2: Security, Availability, Processing Integrity, Confidentiality, Privacy. Tweefactorauthenticatie (2FA)Verificatie via twee verschillende methoden zoals wachtwoord plus SMS-code. V Verklaring van Toepasselijkheid (SoA)Document dat aangeeft welke ISO 27001 Annex A-maatregelen wel/niet van toepassing zijn met onderbouwing. VersiebeheerSystematisch beheer van wijzigingen aan documenten, code en configuraties met traceerbaarheid van alle aanpassingen. VersleutelingTechniek voor het coderen van gegevens om vertrouwelijkheid en integriteit te waarborgen tijdens opslag en verzending. Versleuteling in rustVersleuteling van gegevens opgeslagen op harde schijven, databases of andere opslagmedia. Versleuteling tijdens transportBescherming van gegevens tijdens verzending tussen systemen via protocollen zoals TLS/SSL. VertrouwelijkheidPrincipe dat ervoor zorgt dat informatie niet wordt onthuld aan onbevoegde partijen, een van de drie elementen van de BIV-driehoek. VerwerkerOrganisatie die persoonsgegevens verwerkt namens en volgens instructies van de verwerkingsverantwoordelijke. Verwerkersovereenkomst (DPA)Verplicht contract tussen verwerkingsverantwoordelijke en verwerker met afspraken over gegevensverwerking volgens AVG Artikel 28. VerwerkingsactiviteitElke bewerking met persoonsgegevens zoals verzamelen, opslaan, raadplegen of vernietigen. Verwerkingsregister (Artikel 30 AVG)Overzicht van alle verwerkingsactiviteiten inclusief doeleinden, categorieën en bewaartermijnen vereist onder AVG Artikel 30. VerwerkingsverantwoordelijkeEntiteit die de doeleinden en middelen van gegevensverwerking bepaalt en eindverantwoordelijk is voor AVG-compliance. Vitale belangenAVG-grondslag voor verwerking noodzakelijk om leven of gezondheid te beschermen. VolwassenheidsmodelRaamwerk voor het beoordelen en verbeteren van de volwassenheid van compliance- en beveiligingsprocessen. W WAF (Web Application Firewall)Firewall die HTTP/HTTPS-verkeer filtert om webapplicaties te beschermen tegen aanvallen. WatervalmethodeTraditionele ontwikkelmethode met sequentiële fasen, tegenovergestelde van Agile/DevSecOps. Wettelijke verplichtingAVG-grondslag voor verwerking noodzakelijk om te voldoen aan een wettelijke verplichting. Z Zero-Knowledge ProofCryptografische methode waarbij een partij kan bewijzen iets te weten zonder de informatie te onthullen. Zero-Trust ArchitectureBeveiligingsmodel waarbij geen enkel netwerk of gebruiker standaard wordt vertrouwd en continue verificatie vereist is. Zone-gebaseerde beveiligingNetwerkarchitectuur met gescheiden zones gebaseerd op vertrouwensniveau en gevoeligheid.