Einde inhoudsopgave
Regeling kansspelen op afstand
Bijlage 3
Geldend
Geldend vanaf 01-04-2021
- Bronpublicatie:
21-01-2021, Stcrt. 2021, 4507 (uitgifte: 01-02-2021, regelingnummer: 3181155)
- Inwerkingtreding
01-04-2021
- Bronpublicatie inwerkingtreding:
21-01-2021, Stcrt. 2021, 4507 (uitgifte: 01-02-2021, regelingnummer: 3181155)
- Vakgebied(en)
Horecarecht / Kansspel- en gokactiviteiten
Bestuursrecht algemeen / Besluit (algemeen)
Bestuursrecht algemeen / Toezicht
behorend bij artikel 3.27 van de Regeling kansspelen op afstand
Onderdeel 3.1 | ||
Beheersaspect | Beheersdoel | Beheer |
Kwaliteitsbeheer (algemeen) | De vergunninghouder beheert de kwaliteit van zijn producten, diensten en interne procedures teneinde aan behoeften van klanten en interne behoeften te voldoen en wetten en regelingen na te leven. | De vergunninghouder heeft een kwaliteitsbeheersysteem opgezet dat voorziet in continue verbetering van producten en diensten. |
De vergunninghouder heeft de kenmerken van zijn producten en diensten gespecificeerd en gedocumenteerd. | ||
De vergunninghouder heeft zijn procedures en de verwachte resultaten gespecificeerd en gedocumenteerd voor alle processen die op enigerlei wijze gevolgen hebben voor de speler. | ||
De vergunninghouder draagt er zorg voor dat er voldoende middelen beschikbaar zijn om processen uit te voeren die op enigerlei wijze gevolgen hebben voor de speler. | ||
De vergunninghouder heeft procedures ingericht voor interne controle en beheerstoezicht die onder meer voorzien in terugkoppeling teneinde processen, producten en diensten te verbeteren en wet- en regelgeving na te leven. | ||
De vergunninghouder draagt zorg voor continue beoordeling en verbetering van het kwaliteitsbeheersysteem. | ||
Onderdeel 3.2 | ||
Beheersaspect | Beheersdoel | Beheer |
Informatiebeveiliging | De vergunninghouder beheert informatiebeveiligingsprocedures teneinde activa te beschermen, waaronder begrepen gegevens over spelers, spelen en transacties. | De vergunninghouder heeft een beheercyclus voor informatiebeveiliging opgezet die voorziet in continue verbetering van de informatiebeveiliging. |
Het beheer van informatiebeveiliging is gebaseerd op identificatie en beperking van risico's. De vergunninghouder heeft als uitgangspunt voor zijn maatregelen een risicobeoordeling uitgevoerd. | ||
Procedures en beleid ten aanzien van informatiebeveiliging worden gedocumenteerd en onderhouden. | ||
De vergunninghouder heeft ten minste de volgende documentatie beschikbaar: – beleid ten aanzien van informatiebeveiliging; – reikwijdte van het informatiebeveiligingsbeheer; – risicobeoordeling; – verantwoordelijkheden met betrekking tot informatiebeveiliging; – beschrijving van beveiligingsmaatregelen; – beschrijving van uitvoering en resultaten van de beheercyclus. | ||
De vergunninghouder verricht regelmatige controles op de informatiebeheercyclus en penetratietests van zijn systemen. | ||
De vergunninghouder heeft procedures voor het beheer van veiligheidsincidenten opgezet. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de organisatie van de informatiebeveiliging, waaronder in ieder geval: – functies en verantwoordelijkheden; – scheiding van functies; – mobiele apparaten en telewerken. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende personele middelen en veiligheid, waaronder in ieder geval: – screening; – arbeidsvoorwaarden; – managementverantwoordelijkheden; – bewustzijn van en onderwijs en opleiding betreffende informatiebeveiliging; – disciplinaire procedures; – verantwoordelijkheden in verband met beëindiging of wijziging van dienstbetrekking. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende beheer van activa, waaronder in ieder geval: – verantwoordelijkheid voor activa; – classificatie van informatie; – het gebruik van gegevensdragers en andere media. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende toegangscontrole, waaronder in ieder geval: – vereisten van toegangscontrole; – beheer van gebruikerstoegang; – verantwoordelijkheden van gebruikers; – toegangscontrole voor systemen en applicaties. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende cryptografie, waaronder in ieder geval: – cryptografiebeleid; – sleutelbeheer. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende operationele beveiliging, waaronder in ieder geval: – operationele procedures en verantwoordelijkheden; – bescherming tegen malware; – reservekopieën of reservebestanden; – geautomatiseerde verslaglegging, registratie en bewaking; – beheer van bedrijfssoftware; – beheer van technische kwetsbaarheden; – configuraties voor de controle van informatiesystemen. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende communicatiebeveiliging, waaronder in ieder geval: – beheer van netwerkbeveiliging; – informatieoverdracht. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de aanschaf, ontwikkeling en het onderhoud van systemen, waaronder in ieder geval: – beveiligingseisen voor informatiesystemen; – beveiliging bij ontwikkel- en ondersteuningsprocessen; – testgegevens. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende betrekkingen met leveranciers, waaronder in ieder geval: – informatiebeveiliging; – beheer van de dienstverlening van leveranciers. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de informatiebeveiligingsaspecten van bedrijfscontinuïteitsmanagement, waaronder in ieder geval: – continuïteit van informatiebeveiliging; – terugvalopties ingeval van incidenten. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende naleving, waaronder in ieder geval: – naleving van wettelijke en contractuele vereisten; – toetsing van informatiebeveiliging. | ||
Onderdeel 3.3 | ||
Beheersaspect | Beheersdoel | Beheer |
IT-beheer en communicatienetwerken | De vergunninghouder beheert interne IT-processen opdat hij voorspelbare en betrouwbare diensten kan bieden. | De vergunninghouder hanteert een IT-beleid dat aansluit op de doelen van de organisatie en het informatiebeveiligingsbeleid. |
De vergunninghouder beschikt over gedocumenteerde procedures voor het beheer van incidenten en problemen. | ||
Incidenten worden geregistreerd, geclassificeerd, geanalyseerd en opgelost. Deze stappen worden gedocumenteerd. | ||
Problemen worden geregistreerd, geclassificeerd, geanalyseerd en opgelost. Deze stappen worden gedocumenteerd. Onder problemen worden in ieder geval incidenten verstaan die structureel van aard zijn of geen duidelijke oorzaak hebben. | ||
De vergunninghouder beschikt over gedocumenteerde procedures voor veranderings- en releasemanagement. | ||
Wijzigingen aan IT-systemen worden geregistreerd en gaan vergezeld van een beschrijving en toelichting. | ||
Wijzigingen worden pas door een bevoegde medewerker goedgekeurd nadat hun effect is beoordeeld en geregistreerd. | ||
De vergunninghouder heeft procedures gespecificeerd en gedocumenteerd waarin een beschrijving wordt gegeven van het onderhoud en de configuratie van systemen. | ||
De vergunninghouder heeft procedures gespecificeerd en gedocumenteerd voor het beheer van de beschikbaarheid en capaciteit van systemen en infrastructuren. | ||
De vergunninghouder heeft procedures gespecificeerd en gedocumenteerd voor het beheer van de IT-aspecten van het financiële management. | ||
De vergunninghouder heeft procedures gespecificeerd en gedocumenteerd voor het beheer van interne en externe serviceniveaus. |