Deze maatregel borgt dat gegevens versleuteld worden uitgewisseld met versleuteling zoals beschreven in de Architectuur van Zorgeloos Vastgoed. Dit heeft als doel dat de vertrouwelijkheid en integriteit van de gegevens gewaarborgd is, ook indien een onbevoegd persoon toegang verkrijgt tot de datadrager of logische dataopslag.

Alle gegevens die worden uitgewisseld binnen het afsprakenstelsel worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection', zie https://www.keylength.com/.

1. Deze maatregel mag uitgesloten worden indien Softwareleverancier Consument onder zijn verantwoording geen persoonlijke gegevens opslaat.

2. Een overzicht van publicaties is te vinden op https://www.keylength.com/.

3. Er kan gebruik gemaakt worden van de ECRYPT-CSA-, NIST- of BSI-aanbevelingen.

4. Deze norm betreft alle opgeslagen persoonlijke gegevens, inclusief logfiles, backups en/of archieven.

A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

• Stel op basis van de architecturele inrichting vast of er wordt voldaan aan de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection’ volgens de door Aangeslotene gekozen invulling van encryptiestandaarden en -sleutels, bijvoorbeeld ECRYPT-CSA, NIST of BSI (zie https://www.keylength.com/). De Aangeslotene zal moeten aangeven welke encryptiestandaarden, sleutellengtes en derdelijke er gekozen zijn voor de opslag van gegevens. 

• Stel op basis van een steekproef vast of aanbevelingen ook daadwerkelijk geïmplementeerd zijn.

• Welke versie van de aanbevelingen is gehanteerd.

• Welke architecturele inrichting incl. versienummer) zijn ingezien.

• Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

• Bewijslast m.b.t. de daadwerkelijke implementatie.