/
Technische richtlijnen security & privacy

Technische richtlijnen security & privacy

Owned by Caspar Kleijne
Last updated: 17,03,25

Lees ook: https://mijnaansluiting.atlassian.net/wiki/x/AoALE

Infraplannen.nl is een Software-as-a-Service (SaaS)-applicatie, ontwikkeld door Stichting Mijnaansluiting. De applicatie draait volledig in Microsoft Azure en wordt via het web ontsloten met gebruik van algemene standaarden zoals REST, OGC, AMQP en best practices voor cloud-native applicaties.

http://Infraplannen.nl is een Software-as-a-Service (SaaS) applicatie die volledig is ontwikkeld binnen Microsoft Azure en voldoet aan de technische en beveiligingsrichtlijnen voor SaaS-oplossingen. De applicatie is ontworpen om veilig, schaalbaar en compliant te zijn met relevante wet- en regelgeving, waaronder de AVG, Archiefwet en ISO 27001.

De technische en security-eisen van Infraplannen zijn afgestemd op de SAAS applicatiecriteria, waarbij de focus ligt op:

  • Gegevensbescherming en versleuteling (TLS 1.2/1.3, AES-256 encryptie).

  • Authenticatie en toegangscontrole via Entra ID (Azure AD) en RBAC.

  • Logging, monitoring en auditing via Azure Monitor, Defender for Cloud en Sentinel.

  • Netwerkbeveiliging met Private Endpoints, VPN’s en Azure Firewall.

Alle communicatie verloopt via HTTPS en beveiligde verbindingen (poort 443), en API’s voldoen aan landelijke informatiemodellen en standaarden zoals de NL API Strategie, en OGC. Daarnaast worden er geen plug-ins of verouderde technologieën zoals ActiveX of Flash gebruikt, en is de applicatie volledig browseronafhankelijk.

Met een sterke focus op security by design en privacy by design zorgt Infraplannen ervoor dat data veilig blijft, processen geautomatiseerd en gecontroleerd verlopen en naleving van compliance-eisen is gegarandeerd. Deze wiki biedt inzicht in de minimale eisen en best practices die worden gehanteerd binnen de applicatie en haar infrastructuur, en dient als referentie voor nieuwe gebruikers en belanghebbenden.

Infraplannen is een Agile-ontwikkelde applicatie en bevindt zich nog in actieve ontwikkeling. Dit betekent dat zowel de functionaliteit als de beveiligingsmaatregelen continu worden verbeterd en geoptimaliseerd.

De volgende aandachtspunten worden toegelicht:

Compliance en Beveiligingsprincipes

Infraplannen is ontwikkeld met een sterke focus op compliance en informatiebeveiliging. De applicatie voldoet aan de AVG en is ontworpen volgens Privacy by Design & Security by Design. Daarnaast is Infraplannen afgestemd op de BIO en in lijn van de maatregelen van ISO 27001:2022, zonder dat certificering al is behaald. De principes van NIBLITY en FAIT waarborgen de betrouwbaarheid, transparantie en verifieerbaarheid van gegevensverwerking.

Security by Design zorgt ervoor dat gegevens en toegangsrechten vanaf de basis worden beschermd. Toegang is beperkt via Least Privilege, met Entra ID voor identiteitsbeheer, Managed Identities voor authenticatie en Azure Key Vault voor veilige opslag van secrets. Netwerkverkeer verloopt via private endpoints en firewalls, waardoor ongeautoriseerde toegang wordt geminimaliseerd.

Infraplannen is gebouwd op best practices en erkende standaarden zoals REST, OGC, AMQP en beveiligingsrichtlijnen van OWASP, NIST en Microsoft Security Baseline. Logging en monitoring via Azure Monitor en Defender for Cloud zorgen voor snelle detectie en opvolging van incidenten. Door Infrastructure-as-Code (IaC) met Terraform zijn configuraties gestandaardiseerd en wordt beveiliging continu gecontroleerd. NIBLITY en FAIR garanderen een transparante en betrouwbare informatiehuishouding.

Bronverwijzingen