Nalevingschecklijst voor Linux Serverbeheer conform GDPR Inleiding Deze nalevingschecklijst is ontworpen om ervoor te zorgen dat uw Linux-serverbeheerpraktijken voldoen aan de relevante beveiligings- en gegevensbeschermingsnormen, met speciale aandacht voor de Algemene Verordening Gegevensbescherming (GDPR). Gebruik deze lijst regelmatig om compliance te waarborgen en eventuele tekortkomingen tijdig te identificeren en aan te pakken. 1. Beveiligingsbeleid [ ] Heeft uw organisatie een schriftelijk beveiligingsbeleid voor serverbeheer opgesteld? [ ] Worden alle serverbeheeractiviteiten gedocumenteerd en regelmatig geëvalueerd? [ ] Is er een procedure voor het implementeren en bijwerken van beveiligingsmaatregelen? [ ] Worden wijzigingen in de serverconfiguratie vastgelegd en gecontroleerd? [ ] Is er een beleid voor toegangsbeheer en wachtwoordbeheer? 2. Toegangscontrole [ ] Worden sterke, unieke wachtwoorden vereist voor alle beheerders- en gebruikersaccounts? [ ] Worden multi-factor authenticatie (MFA) opties toegepast waar mogelijk? [ ] Is er een duidelijk beleid voor het toewijzen, intrekken en auditen van toegangsrechten? [ ] Worden toegangsrechten regelmatig herzien en aangepast op basis van functiewijzigingen? [ ] Worden toegang tot de server en logs beperkt tot geautoriseerd personeel? 3. Gegevensbescherming en privacy [ ] Worden persoonsgegevens opgeslagen en verwerkt in overeenstemming met GDPR-vereisten? [ ] Is er encryptie toegepast voor opgeslagen gegevens (data at rest) en tijdens transmissie (data in transit)? [ ] Worden back-ups gemaakt en veilig opgeslagen, inclusief encryptie en toegangscontrole? [ ] Is er een privacy-by-design en privacy-by-default aanpak geïntegreerd in serverbeheer? [ ] Worden datalekken tijdig geïdentificeerd, gerapporteerd en geregistreerd conform GDPR-richtlijnen? 4. Operationele procedures [ ] Worden alle software- en systeemupdates automatisch of handmatig geïnstalleerd en gedocumenteerd? [ ] Worden beveiligingspatches snel toegepast na beschikbaarheid? [ ] Is er een procedure voor het testen van updates en patches in een testomgeving voordat deze in productie worden genomen? [ ] Worden serverlogs regelmatig gecontroleerd op verdachte activiteiten? [ ] Wordt er een incident response plan aanwezig en getest? 5. Beveiligingsmaatregelen en technische controls [ ] Is er een firewall geïnstalleerd en correct geconfigureerd om ongeautoriseerde toegang te voorkomen? [ ] Worden intrusion detection/preventie systemen (IDS/IPS) gebruikt? [ ] Worden SSH-toegang en andere remote toegangsmethoden beveiligd (bijv. key-based authentication)? [ ] Is er een beveiligingsbeleid voor het gebruik van externe apparaten en media? [ ] Worden antivirus- en antimalware-oplossingen gebruikt en up-to-date gehouden? 6. Naleving en audits [ ] Worden regelmatige interne en externe audits uitgevoerd op serverbeheer en gegevensbescherming? [ ] Worden auditlogs bewaard en gecontroleerd op naleving? [ ] Is er een documentatie van alle compliance-activiteiten en bevindingen? [ ] Wordt er training gegeven aan personeel over GDPR en beveiligingsprocedures? [ ] Zijn er procedures voor het reageren op en herstellen van niet-naleving of beveiligingsincidenten? 7. Documentatie en rapportage [ ] Wordt alle beleid, procedures en besluitvorming gedocumenteerd en up-to-date gehouden? [ ] Worden incidenten en datalekken geregistreerd en gerapporteerd volgens GDPR-eisen? [ ] Is er een register van verwerkingen en gegevensstromen? [ ] Worden rapportages over compliance en security regelmatig opgesteld en beoordeeld door het management? Conclusie Gebruik deze checklist regelmatig om uw Linux serverbeheerpraktijken te evalueren en te verbeteren. Zorg dat alle items worden aangepakt en gedocumenteerd om een hoge mate van naleving van GDPR en beveiligingsnormen te waarborgen. Opmerking: Pas deze checklist aan op basis van de specifieke kenmerken en risico's van uw organisatie en serveromgeving.

### Uitgebreide Nalevingschecklijst voor Linux Serverbeheer (GDPR-conform) --- **Documentinformatie** Datum: [Huidige datum] Beheerder: [Naam] Scope: Alle Linux-servers in beheer Doel: Zorgen voor naleving van GDPR en algemene beveiligingsnormen --- #### **1. Beveiligingsbeleid en Toegangsbeheer** - [ ] **Authenticatiebeleid**: - Wachtwoordcomplexiteit afdwingen (minimaal 12 tekens, combinatie van hoofdletters, kleine letters, cijfers, symbolen). - Multi-factor authenticatie (MFA) inschakelen voor SSH-toegang. - Gebruik van SSH-sleutels i.p.v. wachtwoorden voor kritieke systemen. - [ ] **Toegangsbeheer**: - Regelmatige toegangsreviews uitvoeren (minimaal per kwartaal). - Gebruik van het principe van minimale rechten (least privilege). - Logboeken van sudo-commando’s en mislukte inlogpogingen actief monitoren. - [ ] **Accountbeheer**: - Automatische vergrendeling na 5 mislukte inlogpogingen. - Inactieve accounts na 90 dagen uitschakelen. --- #### **2. Gegevensbescherming (GDPR-specifiek)** - [ ] **Gegevensclassificatie**: - Persoonsgegevens identificeren en labelen (bijv. met tags in bestandssystemen). - Versleuteling van persoonsgegevens in rust (bijv. met LUKS of eCryptfs). - [ ] **Gegevensverwerking**: - Logboeken bijhouden van verwerkingen (wie, wat, wanneer). - Data Retention Policy implementeren (automatische verwijdering na vervaldatum). - [ ] **Rechten van betrokkenen**: - Processen voor dataportabiliteit en -verwijdering (bv. via scripts of tools zoals `find`). - Procedures voor reactie op datalekken (binnen 72 uur melden aan autoriteiten). --- #### **3. Operationele Procedures** - [ ] **Systeemconfiguratie**: - Firewall (iptables/nftables) configureren om onnodige poorten te blokkeren. - Ongebruikte services uitschakelen (bijv. met `systemctl disable`). - Automatische updates voor beveiligingspatches inschakelen. - [ ] **Back-up en Herstel**: - Dagelijkse back-ups van kritieke gegevens (inclusief versleuteling). - Testen van herstelprocedures (minimaal per half jaar). - [ ] **Monitoring en Logging**: - Gebruik van tools zoals Fail2Ban voor SSH-beveiliging. - Centrale logaggregatie (bijv. met rsyslog of Elasticsearch). - Real-time monitoring van verdachte activiteiten (bijv. met AIDE voor bestandsintegriteit). --- #### **4. Netwerkbeveiliging** - [ ] **Netwerksegmentatie**: - VLANs of firewalls gebruiken om servers met persoonsgegevens te isoleren. - Uitgaand verkeer beperken tot essentiële poorten. - [ ] **Encryptie in transit**: - TLS 1.2+ afdwingen voor webverkeer (bijv. via Apache/Nginx-configuratie). - VPN-gebruik voor externe toegang. --- #### **5. Documentatie en Training** - [ ] **Interne processen**: - Wijzigingsbeheer documenteren (bv. via een changelog). - Noodplan voor datalekken beschikbaar stellen aan alle beheerders. - [ ] **Training**: - Jaarlijkse GDPR-training voor serverbeheerders. - Bewustwording over phishing en social engineering. --- #### **6. Controle en Audits** - [ ] **Interne audits**: - Maandelijkse scans met vulnerability tools (bijv. OpenVAS of Lynis). - Pentests uitvoeren (minimaal jaarlijks). - [ ] **Externe naleving**: - Documentatie voor GDPR-audits bijhouden (verwerkingsregister, beveiligingsmaatregelen). - Samenwerking met Functionaris voor Gegevensbescherming (FG). --- #### **7. Incidentrespons** - [ ] **Responsplan**: - Contactgegevens van betrokken partijen (autoriteiten, betrokkenen) up-to-date houden. - Forensische procedures voor data-analyse (bv. met log-analyse tools). --- ### **Aftekenlijst per Server** *Voer deze checklist per server uit en noteer de datum van voltooiing:* **Servernaam**: _______________ **Datum audit**: _______________ **Beheerder**: _______________ | Onderdeel | Voltooid (✔) | Opmerkingen | |---------------------------|--------------|-------------| | Beveiligingsbeleid | | | | Gegevensbescherming | | | | Operationele Procedures | | | | Netwerkbeveiliging | | | | Documentatie/Training | | | | Controle/Audits | | | | Incidentrespons | | | --- **Opmerkingen**: - Deze checklist dient maandelijks te worden geëvalueerd en bijgewerkt. - Wijzigingen in wetgeving (zoals GDPR-updates) direct verwerken in de checklist. *Einde document*