In het afsprakenstelsel Zorgeloos Vastgoed staan veiligheid en betrouwbaarheid hoog in het vaandel. Informatie en gegevens die worden gebruikt rondom vastgoedtransacties zijn van nature privacygevoelig, met name persoonsgegevens en financiële gegevens. Privacy en informatiebeveiliging worden zoveel mogelijk by-design meegenomen in de Architectuur en technische specificaties van het stelsel. Voorbeelden hiervan zijn de toepassing van eID's op niveau 'Hoog', de toepassing van gekwalificeerde handtekeningen ter bevestiging van overeenkomsten en het uitgangspunt dat informatie-uitwisseling primair plaats vindt via de PDM van de consument. 

Uitgangspunten

Algemeen uitgangspunt voor informatiebeveiliging binnen het afsprakenstelsel is dat aangeslotenen voldoen aan de richtlijnen vanuit ISO 27001. Deze normering vormt de basis voor informatiebeveiliging. Aanvullend op deze richtlijnen is een Informatieclassificatiebeleid opgesteld, waarin de informatie binnen het stelsel in een viertal groepen is geclassificeerd naar risico's met betrekking tot Beschikbaarheid, Integriteit en Vertrouwelijkheid. Deze classificatie geeft richting aan te nemen beveiligingsmaatregelen per classificatie.  

Binnen het Normenkader Informatiebeveiliging zijn - ten opzichte van de richtlijnen uit ISO 27001 - een aantal normen, maatregelen en wijze van beoordeling specifiek geformuleerd en aangevuld voor Zorgeloos Vastgoed. Daarnaast zijn een aantal beveiligingsbeheerprocessen relevant voor Zorgeloos Vastgoed, waarvan verwacht wordt dat aangeslotenen hier specifiek invulling aan geven.

Boven op dit normenkader zijn operationele en procesmatige afspraken geformuleerd, waardoor Aangeslotenen en Softwareleveranciers ook op het gebied van informatiebeveiliging naadloos aansluiten op de processen (zoals het Change- en releasebeleid) die Zorgeloos Vastgoed hanteert. Hiermee ontstaat een stapeling van kaders van normen en afspraken rondom informatiebeveiliging die noodzakelijk zijn voor een betrouwbare, veilige en efficiënte vastgoedketen (inclusief de consument).

Resumerend is dus aanvullend op de wet- en regelgeving die per definitie van toepassing is op Aangeslotenen (zie hiervoor het Juridisch Kader), privacy en informatieveiligheid op een drietal manieren geborgd in het stelsel:

1. Door de gegevensuitwisseling tussen deelnemers in hoge mate van detail te beschrijven en belangrijke maatregelen op het gebied van privacy en informatiebeveiliging hierin op te nemen (zie de Architectuur);

2. Door strenge eisen te stellen aan de privacy en informatiebeveiliging van Aangeslotenen en Softwareleveranciers, zowel op de koppelvlakken als in het eigen domein (zie het Normenkader Informatiebeveiliging);

3. Door rondom het aansluiten op het afsprakenstelsel Zorgeloos Vastgoed aanvullende procedures in te richten, zoals de toetsing van deelnemers op het nakomen van de (privacy- en informatiebeveiligings-) afspraken bij toetreding en gedurende deelname (zie het Toetredingsbeleid en Nalevingsbeleid).

Risicomanagement

Zorgeloos Vastgoed brengt risico's op het niveau van het stelsel in kaart en formuleert daarop, in nauwe afstemming met aangeslotenen, mitigerende maatregelen. Hierbij wordt tenminste jaarlijks een stelselbrede risicoanalyse uitgevoerd. Waar de aard of omvang van informatie-uitwisseling binnen het stelsel of daaraan gerelateerde verwerkingen van informatie significant veranderen, voert Zorgeloos Vastgoed tussentijds een aanvullende risicoanalyse uit (zoals een Data Protection Impact Assessment).

Afspraken rondom mitigerende maatregelen sluiten zoveel mogelijk aan bij standaarden in de markt, eisen zoals vanuit andere stelsels gesteld en certificeringen zoals deze al binnen de markt bestaan. Hiermee wordt beoogd de impact in termen van implementatie-, financiële en administratieve lasten voor Aangeslotenen zo beperkt mogelijk te houden.

Naleving van informatiebeveiligingsbeleid vraagt om een inspanning van alle bij het Zorgeloos Vastgoed stelsel betrokken Aangeslotenen. Hiertoe wijzen Zorgeloos Vastgoed en individuele Aangeslotenen ieder een verantwoordelijke aan voor Privacy- en Informatiebeveiliging. De verantwoordelijkheid voor het doorgeven van (wijzigingen in) contacten over deze verantwoordelijken ligt bij de Aangeslotenen zelf.