RoPA en gegevensstroommapping voor GDPR, NIS2 en DORA
Het is dinsdag 09:10 en de CISO, de DPO, de inkoopverantwoordelijke en de operationeel directeur zitten in dezelfde videovergadering, maar kijken niet naar hetzelfde bewijsmateriaal.
De DPO heeft een register van verwerkingsactiviteiten, oftewel RoPA, met klantonboarding, salarisverwerking van werknemers, supporttickets en marketinganalytics. De CISO heeft een inventaris van cloudbedrijfsmiddelen. Inkoop heeft de leverancierscontracten. Operations heeft een spreadsheet voor bedrijfscontinuïteit. Financiën heeft het DORA-informatieregister. Niemand kan de meest elementaire, geïntegreerde vraag van de toezichthouder beantwoorden:
Als deze betalingsonboardingdienst uitvalt, welke systemen, leveranciers, gegevenscategorieën, subverwerkers, grensoverschrijdende doorgiften en kritieke bedrijfsfuncties worden dan geraakt?
Die vraag is de echte nalevingstest voor 2026.
GDPR vereist nog steeds aantoonbare registraties op grond van Article 30. NIS2 heeft cyberbeveiliging tot een verantwoordingsvraagstuk voor het bestuursorgaan van essentiële en belangrijke entiteiten gemaakt. DORA vereist dat financiële entiteiten bewijsmateriaal leveren voor ICT-afhankelijkheden, kritieke of belangrijke functies, ICT-regelingen met derde partijen, incidentclassificatie en weerbaarheidstesten. ISO/IEC 27001:2022 biedt de managementsysteemstructuur om dit alles bij elkaar te houden, maar alleen als RoPA en gegevensstroommapping worden behandeld als levend governancebewijsmateriaal in plaats van spreadsheets van het privacyteam.
Bij Clarysec zien we hetzelfde patroon bij snelgroeiende SaaS-, fintech-, cloud-, MSP- en B2B-technologiebedrijven. Zij hebben genoeg documentatie om een vragenlijst te beantwoorden, maar niet genoeg gekoppeld bewijsmateriaal om een toezichtonderzoek, cyberincident, leveranciersfalen of interne audit te doorstaan. Het probleem is zelden een gebrek aan informatie. Het is een gebrek aan verbinding.
De oplossing is om RoPA en gegevensstroommapping in te richten als de gemeenschappelijke bewijslaag voor privacy, cyberweerbaarheid, leveranciersmanagement, cloudgovernance en bedrijfscontinuïteit.
Waarom RoPA en gegevensstroommapping in 2026 een governancevraagstuk zijn geworden
RoPA werd lange tijd gezien als een privacyartefact. Gegevensstroomkaarten werden vaak opgesteld tijdens een DPIA, cloudmigratie of beveiligingsarchitectuurbeoordeling en daarna niet meer onderhouden. Die aanpak werkt niet meer.
GDPR is breed van toepassing op de verwerking van persoonsgegevens in het kader van een vestiging in de EU, en ook op veel niet-EU-verwerkingsverantwoordelijken of verwerkers die goederen of diensten aanbieden aan personen in de EU of hun gedrag monitoren. Persoonsgegevens omvatten informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon. Verwerking omvat verzameling, opslag, gebruik, verstrekking, beperking, wissing en vernietiging. Een verwerkingsverantwoordelijke bepaalt de doeleinden en middelen, terwijl een verwerker namens een verwerkingsverantwoordelijke handelt.
Een RoPA is daarom niet alleen een lijst met databases. Het is een registratie van bedrijfsdoeleinden, gegevenscategorieën, rollen, ontvangers, bewaartermijnen, waarborgen en internationale afhankelijkheden.
NIS2 voegt daar een perspectief van dienstweerbaarheid aan toe. Zij brengt veel middelgrote en grotere organisaties in zeer kritieke en andere kritieke sectoren binnen de reikwijdte, waaronder digitale infrastructuur, cloudcomputingdiensten, datacentrumdiensten, content delivery networks, vertrouwensdiensten, aanbieders van openbare elektronische communicatiediensten, managed service providers en managed security service providers. Annex I omvat ook bancaire infrastructuren en infrastructuren voor financiële markten. Sommige entiteiten kunnen ongeacht hun omvang onder de reikwijdte vallen, waaronder bepaalde DNS-, TLD-, vertrouwensdienst- en openbare communicatieaanbieders, en entiteiten waarvan verstoring de openbare veiligheid, volksgezondheid, systeemrisico’s of kritieke maatschappelijke en economische activiteiten aanzienlijk kan beïnvloeden.
NIS2 Article 21 vereist proportionele technische, operationele en organisatorische maatregelen voor netwerk- en informatiesystemen die worden gebruikt voor activiteiten of dienstverlening. De minimumgebieden omvatten risicoanalyse, beveiligingsbeleid, incidentenafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, veilige ontwikkeling, beoordeling van doeltreffendheid, cyberbeveiligingshygiëne, cryptografie, HR-beveiliging, toegangscontrole, beheer van bedrijfsmiddelen en authenticatie.
Voor een NIS2-entiteit is een RoPA zonder inzicht in dienstafhankelijkheden onvolledig. Een significant incident moet worden begrepen in termen van impact op dienstverlening, operationele verstoring, getroffen ontvangers, leveranciers en grensoverschrijdende gevolgen.
DORA scherpt hetzelfde punt aan voor financiële entiteiten. DORA is van toepassing sinds 17 januari 2025 en stelt uniforme eisen vast voor ICT-risicobeheer, rapportage van majeure ICT-gerelateerde incidenten, testen van digitale operationele weerbaarheid, informatie-uitwisseling over cyberdreigingen en kwetsbaarheden, ICT-risico van derde partijen en contractuele regelingen met ICT-dienstverleners van derde partijen. DORA definieert ICT-diensten breed als digitale en datadiensten die op doorlopende basis via ICT-systemen worden geleverd. Een kritieke of belangrijke functie wordt gedefinieerd als een functie waarvan verstoring de financiële prestaties, continuïteit van dienstverlening of nalevingsverplichtingen wezenlijk zou aantasten.
Voor financiële entiteiten die ook onder nationale omzetting van NIS2 vallen, wordt DORA behandeld als de sectorspecifieke rechtshandeling van de Unie voor gelijkwaardige eisen rond ICT-risico, incidentrapportage, testen, informatie-uitwisseling en risico’s van derde partijen. In de praktijk kan een fintech niet één set bewijsmateriaal voor privacy, een andere voor DORA en nog een andere voor NIS2 bouwen. Zij heeft één gegevensgovernancelaag nodig die rekening houdt met afhankelijkheden.
Die laag is RoPA plus gegevensstroommapping.
ISO/IEC 27001:2022 is de ruggengraat
ISO/IEC 27001:2022 is ontworpen voor dit type integratie. De norm stelt een schaalbaar managementsysteem voor informatiebeveiliging (ISMS) vast, gericht op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid via risicobeheer. De norm is bedoeld om te worden geïntegreerd in organisatorische processen en te worden opgeschaald naar de behoeften, omvang en structuur van de organisatie.
Het startpunt is niet de diagramtool. Het is de reikwijdte.
ISO/IEC 27001:2022 clausules 4.1 tot en met 4.4 vereisen dat de organisatie context, belanghebbenden, ISMS-toepassingsgebied en onderling samenwerkende processen definieert. De reikwijdte moet rekening houden met wettelijke, regelgevende en contractuele verplichtingen, plus interfaces en afhankelijkheden tussen interne activiteiten en activiteiten die door andere organisaties worden uitgevoerd. Voor RoPA en gegevensstroommapping betekent dit dat het ISMS-toepassingsgebied uitbestede cloudplatforms, betalingsverwerkers, identiteitsproviders, supporttools, managed security providers en bedrijfskritische SaaS-integraties expliciet moet omvatten.
Clausules 5.1 tot en met 5.3 maken het leiderschap verantwoordelijk voor beleid, middelen, roltoewijzing en rapportage. Dit sluit aan bij de richting van NIS2 Article 20, dat bestuursorganen verplicht cyberbeveiligingsrisicobeheersmaatregelen goed te keuren, toezicht te houden op de implementatie en training te volgen. Het sluit ook aan bij DORA Article 5, dat het bestuursorgaan de eindverantwoordelijkheid geeft voor ICT-risico en toezicht op beleid, weerbaarheidsstrategie, continuïteitsplannen, auditplannen, ICT-diensten van derde partijen en meldkanalen voor majeure incidenten.
Clausules 6.1.1 tot en met 6.1.3 vormen de planningsmotor: identificeer risico’s voor vertrouwelijkheid, integriteit en beschikbaarheid, wijs risico-eigenaren toe, analyseer gevolgen en waarschijnlijkheid, selecteer behandelopties, vergelijk beheersmaatregelen met Annex A, stel de Verklaring van Toepasselijkheid op en verkrijg goedkeuring van de risico-eigenaar.
Hier wordt RoPA operationeel. Elke verwerkingsactiviteit en gegevensstroom moet worden gekoppeld aan risico’s, beheersmaatregelen, leveranciers, bedrijfsmiddelen en kritieke diensten. Als dat niet gebeurt, blijft het een privacy-inventaris die incidentrespons, weerbaarheidstesten of leveranciersrisicobeslissingen niet kan ondersteunen.
Clarysec’s Zenith Blueprint: An Auditor’s 30-Step Roadmap maakt dit praktisch in de fase Risicobeheer, Stap 9, Bedrijfsmiddelen, dreigingen en kwetsbaarheden identificeren:
Leg voor elk bedrijfsmiddel de belangrijkste gegevens vast: Naam/omschrijving, eigenaar, locatie en classificatie (gevoeligheid). Een bedrijfsmiddel kan bijvoorbeeld zijn: “Klantendatabase – eigendom van IT-afdeling – gehost op AWS – bevat persoonlijke en financiële gegevens (hoge gevoeligheid).”
Dezelfde Stap 9 voegt het kerninzicht voor naleving toe: bedrijfsmiddelen met persoonsgegevens moeten worden gemarkeerd voor GDPR-relevantie, en bedrijfsmiddelen die kritieke diensten ondersteunen moeten worden vastgelegd voor mogelijke NIS2-toepasselijkheid als de organisatie in een gereguleerde sector actief is. Dat is de brug tussen RoPA, de inventaris van bedrijfsmiddelen en het in kaart brengen van kritieke dienstafhankelijkheden.
Wat een auditklare RoPA moet bevatten
Een sterke RoPA hoeft niet ingewikkeld te zijn, maar moet wel gekoppeld zijn.
GDPR Article 5 vereist dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt, voor welbepaalde en gerechtvaardigde doeleinden worden verzameld, beperkt blijven tot wat noodzakelijk is, juist worden gehouden, niet langer worden bewaard dan nodig en worden beveiligd met passende technische en organisatorische maatregelen. Article 5(2) vereist dat de verwerkingsverantwoordelijke verantwoordelijk is voor naleving en die naleving kan aantonen.
Article 6 vereist een rechtsgrondslag, zoals toestemming, noodzaak voor de uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, taak van algemeen belang of gerechtvaardigde belangen. Als verwerking voor een nieuw doel plaatsvindt, moet doelverenigbaarheid worden beoordeeld aan de hand van de oorspronkelijke en nieuwe doelen, de context van verzameling, gevoeligheid, gevolgen voor betrokkenen en waarborgen zoals encryptie of pseudonimisering. Article 9 voegt strengere regels toe voor bijzondere categorieën persoonsgegevens, waaronder gezondheidsgegevens, biometrische gegevens die worden gebruikt voor unieke identificatie en andere gevoelige categorieën.
Clarysec’s mkb-beleidsset zet dit om in een operationele eis. Het Data Protection and Privacy Policy - SME vermeldt:
De privacycoördinator moet een register bijhouden van alle verwerkingsactiviteiten van persoonsgegevens, inclusief gegevenscategorieën, doel, rechtsgrondslag en bewaartermijnen
Dit komt uit de sectie Governancevereisten, clausule 5.2.1. Voor grotere organisaties wijst Clarysec’s Data Protection and Privacy Policy de verantwoordelijkheid rechtstreeks toe:
Onderhoudt het register van verwerkingsactiviteiten (RoPA) in overeenstemming met GDPR Article 30.
Die formulering komt uit Rollen en verantwoordelijkheden, clausule 4.2.2. De praktische boodschap is eenvoudig: RoPA-eigenaarschap moet worden toegewezen. Het mag geen verweesde compliancespreadsheet zijn.
Een RoPA die klaar is voor 2026 moet de volgende velden bevatten.
| RoPA-veld | Waarom dit belangrijk is | Koppeling met bewijsmateriaal |
|---|---|---|
| Naam van de verwerkingsactiviteit | Creëert een bedrijfsleesbare registratie | Koppelt aan proceseigenaar en ISMS-toepassingsgebied |
| Doel en rechtsgrondslag | Ondersteunt verantwoordingsplicht onder GDPR | Koppelt aan privacyverklaring, contract of juridische analyse |
| Betrokkenen en gegevenscategorieën | Identificeert blootstelling en gevoeligheid | Koppelt aan classificatie- en maskeringsregels |
| Vlag voor bijzondere categorie of hoogrisicogegevens | Activeert versterkte waarborgen | Koppelt aan DPIA, pseudonimisering en toegangscontrole |
| Systemen en toepassingen | Verbindt privacy met ICT-bedrijfsmiddelen | Koppelt aan inventaris van bedrijfsmiddelen en kwetsbaarhedenbeheer |
| Leveranciers en subverwerkers | Toont de externe verwerkingsketen | Koppelt aan leveranciersregister en contracten |
| Gegevenslocaties en doorgiften | Ondersteunt beoordeling van gegevensresidentie en doorgiften | Koppelt aan cloudregister en waarborgen voor doorgifte |
| Bewaar- en verwijderingsregels | Ondersteunt opslagbeperking | Koppelt aan bewaarschema en veilige verwijdering |
| Afhankelijkheid van kritieke diensten | Ondersteunt impactanalyse voor NIS2 en DORA | Koppelt aan BIA, continuïteit en incidentclassificatie |
| Beheersmaatregelen en bewijsmateriaal | Maakt RoPA auditeerbaar | Koppelt aan SoA, risicoregister en testbewijsmateriaal |
De laatste rijen verplaatsen RoPA van privacydocumentatie naar bewijsmateriaal voor cyberweerbaarheid. Zonder systemen, leveranciers, locaties, kritikaliteit en beheersmaatregelen kan een RoPA aan een beperkte Article 30-checklist voldoen, maar falen zodra een incident, uitval of toezichtonderzoek impactanalyse vereist.
Gegevensstroommapping verbindt privacy, cloud en kritieke diensten
Als RoPA antwoord geeft op “welke verwerking bestaat en waarom”, geeft een gegevensstroomkaart antwoord op “waarheen bewegen de gegevens, wie raakt ze aan, wat beschermt ze en wat valt uit als de stroom stopt”.
Clarysec’s Data Masking and Pseudonymization Policy - SME maakt de eis ondubbelzinnig:
Er moet een gegevensstroomkaart worden opgesteld.
Dit komt uit Governancevereisten, clausule 5.1.1.1. De enterpriseversie, Data Masking and Pseudonymization Policy, breidt de verwachting uit in clausule 5.2.1:
Onderhoud een actuele inventaris van systemen en gegevensstromen waarbij gevoelige gegevens betrokken zijn.
Clausule 5.2.2 voegt toe:
Breng in kaart waar en hoe gegevens worden getransformeerd, gedeeld of benaderd in verschillende omgevingen.
Auditors en toezichthouders zoeken geen artistieke diagrammen. Zij willen transformaties, toegangspaden, deling, omgevingen en waarborgen begrijpen.
In de Zenith Blueprint, fase Beheersmaatregelen in de praktijk, Stap 22, Organisatorische beheersmaatregelen 5.1 tot en met 5.18, legt de richtlijn voor informatieoverdracht uit dat organisaties toegestane overdrachtsmethoden moeten definiëren, deze moeten afstemmen op classificatie en ervoor moeten zorgen dat partijen hun rollen en verplichtingen begrijpen. Voorbeelden zijn versleutelde e-mail, beveiligde portalen, SFTP, API’s en fysieke levering met encryptie. Ook wordt vermeld dat persoonsgegevens die grensoverschrijdend worden doorgegeven moeten voldoen aan privacy- en wettelijke verplichtingen, niet alleen aan interne voorkeuren.
Dezelfde stap verbindt informatieoverdracht met classificatie en etikettering, preventie van datalekken, leveranciersrelaties en cryptografie. Dat creëert een praktisch model voor gegevensstroommapping:
- Identificeer het bronsysteem, zoals CRM, betalingsplatform, HRIS of supportdesk.
- Identificeer de gegevenscategorie, waaronder persoonsgegevens, financiële gegevens, werknemersgegevens, bijzondere categorieën gegevens of inloggegevens.
- Identificeer de overdrachtsmethode, zoals API, SFTP, e-mail, beveiligd portaal, handmatige export of back-upreplicatie.
- Identificeer de bestemming, waaronder intern systeem, cloudservice, leverancier, subverwerker, datawarehouse of archief.
- Identificeer de bescherming, zoals encryptie, pseudonimisering, toegangscontrole, logging, DLP of contractuele beperking.
- Identificeer de afhankelijkheid, waaronder of de stroom een kritieke bedrijfsfunctie, kritieke of belangrijke functie, essentiële dienst of incidentmeldingsverplichting ondersteunt.
Drie ISO/IEC 27001:2022 Annex A-beheersmaatregelen zijn hier bijzonder belangrijk. ISO/IEC 27002:2022 biedt de implementatierichtlijnen voor deze beheersmaatregelen:
| ISO/IEC 27001:2022 Annex A-beheersmaatregel | Naam van de beheersmaatregel | Relevantie voor RoPA en gegevensstromen |
|---|---|---|
| 5.9 | Inventaris van informatie en andere bijbehorende bedrijfsmiddelen | Identificeert systemen, gegevensopslagplaatsen, eigenaren, locaties en classificaties |
| 5.14 | Informatieoverdracht | Definieert hoe gegevens worden verplaatst, beschermd, geautoriseerd en gemonitord |
| 5.34 | Privacy en bescherming van persoonlijk identificeerbare informatie (PII) | Koppelt omgang met persoonsgegevens aan privacyverplichtingen en waarborgen |
Clarysec’s Zenith Controls: The Cross-Compliance Guide identificeert 5.9, 5.14 en 5.34 als thematisch gerelateerde beheersmaatregelen voor deze governancelaag. Behandel ze als ankermaatregelen en verbind ze vervolgens via de Verklaring van Toepasselijkheid met beheersmaatregelen voor leveranciers, cloud, incidenten, continuïteit, logging, toegang en cryptografie.
Waarom NIS2 en DORA meer nodig hebben dan een privacyregister
Een veelgemaakte fout is een RoPA bouwen die technisch correct is onder GDPR, maar onbruikbaar is voor NIS2 of DORA. Het verschil is de kritikaliteit van de dienst.
NIS2 Article 23 vereist dat essentiële en belangrijke entiteiten significante incidenten zonder onnodige vertraging melden. Het rapportagemodel omvat een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand. Significante incidenten worden beoordeeld op ernstige operationele verstoring, financieel verlies of materiële of immateriële schade aan andere natuurlijke of rechtspersonen. Die beoordeling hangt af van de vraag welke diensten, ontvangers, landen, systemen en leveranciers zijn geraakt.
DORA Article 17 vereist dat financiële entiteiten een proces voor ICT-gerelateerd incidentbeheer definiëren en implementeren dat incidenten detecteert, beheert en meldt, incidenten en significante cyberdreigingen registreert, oorzaken identificeert, vroege waarschuwingsindicatoren vaststelt, incidenten classificeert naar ernst en kritikaliteit van getroffen diensten, rollen toewijst en communicatie- en escalatieprocedures opstelt. Article 18 vereist classificatie op basis van getroffen klanten of tegenpartijen en transacties, duur en downtime, geografische spreiding, gegevensverlies dat beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid aantast, kritikaliteit van getroffen diensten en economische impact.
U kunt een incident niet snel classificeren als u de gegevensstroom en afhankelijkheidsketen niet kent.
Clarysec’s Business Continuity Policy and Disaster Recovery Policy - SME wijst op het bewijsveld dat organisaties nodig hebben:
geprioriteerde diensten en systemen (kritieke bedrijfsfuncties)
Dit komt uit Governancevereisten, clausule 5.2.1.2. Het enterprise Business Continuity Policy and Disaster Recovery Policy voegt in clausule 5.2.4 de afhankelijkheidsdimensie toe:
Kritieke afhankelijkheden (systemen, leveranciers, personeel)
Voor organisaties die onder DORA vallen, moet dit aansluiten op kritieke of belangrijke functies, ICT-diensten, contractuele regelingen en exitstrategieën. DORA Article 28 vereist dat ICT-risico van derde partijen wordt beheerd als onderdeel van het ICT-risicokader. Het schrijft een register van contractuele regelingen voor ICT-diensten voor, vereist due diligence voorafgaand aan contractering en beoordeling van kritikaliteit, concentratierisico, geschiktheid en belangenconflicten, en vereist exitstrategieën voor ICT-diensten die kritieke of belangrijke functies ondersteunen.
DORA Article 30 specificeert minimale ICT-contractvoorwaarden, waaronder dienstomschrijvingen, voorwaarden voor onderaanneming, locaties voor gegevensverwerking en -opslag, gegevensbescherming, toegang, herstel en teruggave van gegevens, serviceniveaus, incidentondersteuning, samenwerking met autoriteiten, beëindigingsrechten, auditrechten en overgangs- of exitregelingen.
Een RoPA die leveranciers, locaties, overdrachtsmethoden, kritikaliteit en exitafhankelijkheden niet identificeert, ondersteunt geen DORA-bewijsmateriaal.
Leveranciers, cloud en subverwerkers in kaart brengen: hier breekt bewijsmateriaal vaak
In echte audits komen RoPA-tekortkomingen vaak naar voren als leveranciersfouten. De verwerkingsactiviteit zegt “klantsupport”. De gegevensstroomkaart zegt “supportplatform”. Maar niemand kan de hostingregio, AI-transcriptie-add-on, analytics-subverwerker, bewaartermijn voor ticketbijlagen, het model voor beheerderstoegang of de exitprocedure identificeren.
Clarysec’s mkb-leveranciersbeleid creëert het minimale operationele bewijsmateriaal. Het Third-Party and Supplier Security Policy - SME vermeldt:
Een leveranciersregister moet worden onderhouden en bijgewerkt door de administratieve of inkoopcontactpersoon. Het moet het volgende bevatten:
Dit komt uit Governancevereisten, clausule 5.4. Het cloudbeleid voegt een afzonderlijke inventariseis toe. Het Cloud Usage Policy - SME vermeldt:
Een register van clouddiensten moet worden onderhouden door de IT-provider of GM. Het moet registreren:
Dit komt uit Governancevereisten, clausule 5.3. Voor afhankelijkheidsrisico’s op enterpriseniveau is Clarysec’s Supplier Dependency Risk Management Policy explicieter:
Register van leveranciersafhankelijkheden: de VMO moet een actueel register bijhouden van alle kritieke leveranciers, inclusief gegevens zoals geleverde diensten/producten; of de leverancier sole-source is; beschikbare alternatieve leveranciers of vervangbaarheid; huidige contractvoorwaarden; en een beoordeling van de impact als de leverancier zou falen of worden gecompromitteerd. Het register moet leveranciers met hoge afhankelijkheid duidelijk identificeren (bijvoorbeeld leveranciers waarvoor geen snel alternatief bestaat).
Die eis, uit Implementatievereisten clausule 6.1, is precies wat RoPA verbindt met beveiliging van de toeleveringsketen onder NIS2 en ICT-risico van derde partijen onder DORA.
De Zenith Blueprint, fase Beheersmaatregelen in de praktijk, Stap 23, Organisatorische beheersmaatregelen 5.19 tot en met 5.37, beveelt aan een volledige leverancierslijst op te stellen, leveranciers te classificeren op basis van toegang tot systemen, gegevens of operationele controle, beveiligingsverwachtingen in contracten op te nemen, onderaannemers te beoordelen, triggers voor leverancierswijzigingen vast te stellen en een evaluatieproces voor clouddiensten op te bouwen dat gegevenslocatie, toegangsmodel, logging en encryptie omvat.
Daardoor kan een CISO tijdens een incident antwoorden: “Welke kritieke dienst gebruikt deze leverancier, welke gegevens zijn blootgesteld, welke klanten moeten worden geïnformeerd, welke toezichthouder moet mogelijk een melding ontvangen en welk alternatief of exitpad bestaat er?”
Een praktisch voorbeeld: klantonboarding bij een fintech
Neem een fintech die onboarding voor digitale wallets aanbiedt. Klanten uploaden identiteitsdocumenten, biometrische livenesschecks worden door een leverancier uitgevoerd, resultaten worden opgeslagen in een clouddatabase en klantsupport kan de verificatiestatus bekijken in een ticketsysteem.
De onboardingdienst kan onder DORA een kritieke of belangrijke functie zijn, omdat verstoring de continuïteit van dienstverlening en wettelijke verplichtingen wezenlijk beïnvloedt. Als de onderneming in een NIS2-sector actief is of relevante ICT-diensten levert, kan dit ook onderdeel zijn van bewijsmateriaal voor kritieke diensten.
Een bruikbare kaart begint met één gekoppelde registratie.
| Bewijsobject | Voorbeeldregistratie | Clarysec-bron |
|---|---|---|
| RoPA-activiteit | Verificatie van klantidentiteit voor wallet-onboarding | Data Protection and Privacy Policy |
| Doel | Identiteit verifiëren en fraude voorkomen | GDPR-verantwoordingsplicht en registratie van rechtsgrondslag |
| Gegevenscategorieën | Identiteitsdocument, selfie, biometrisch livenessresultaat, contactgegevens | Data Protection and Privacy Policy |
| Vlag voor gevoelige gegevens | Biometrische gegevens gebruikt voor identiteitsverificatie | Data Masking and Pseudonymization Policy |
| Systemen | Mobiele app, API van identiteitsleverancier, clouddatabase, supportplatform | Zenith Blueprint Stap 9 inventaris van bedrijfsmiddelen |
| Gegevensstroom | App naar identiteits-API, API naar clouddatabase, database naar supportplatform | Data Masking and Pseudonymization Policy |
| Leverancier | Identiteitsverificatieprovider, cloudprovider, support-SaaS | Third-Party and Supplier Security Policy |
| Cloudregistratie | Regio, encryptie, toegangsmodel, logboeken, bewaartermijn | Cloud Usage Policy |
| Kritieke functie | Onboarding voor digitale wallet | Business Continuity Policy and Disaster Recovery Policy |
| Afhankelijkheidsrisico | Identiteitsprovider is een hoge afhankelijkheid met beperkte snelle vervangbaarheid | Supplier Dependency Risk Management Policy |
| Beheersmaatregelen | Inventaris van bedrijfsmiddelen, informatieoverdracht, privacy en PII-bescherming, leveranciersbeveiliging, cloudgebruik, logging, toegangscontrole, cryptografie | Zenith Controls en SoA |
| Incidentgebruik | Classificeer getroffen klanten, downtime, gegevensverlies en kritikaliteit van diensten | DORA- en NIS2-incidentbewijsmateriaal |
Voeg daar nu ISO/IEC 27001:2022-traceerbaarheid voor risicobehandeling aan toe.
In de Zenith Blueprint, fase Risicobeheer, Stap 13, Risicobehandelingsplanning en Verklaring van Toepasselijkheid, beschrijft Clarysec de SoA als een brugdocument dat risicobeoordeling en risicobehandeling koppelt aan daadwerkelijke beheersmaatregelen. Het beveelt aan beheersmaatregelen aan risico’s te koppelen en regelgeving zoals GDPR, NIS2 of DORA waar relevant te cross-referencen in het risicoregister of in SoA-notities.
Voor het onboardingvoorbeeld kan het risicoscenario luiden: “Uitval of compromittering van de identiteitsverificatieprovider verstoort onboarding en stelt biometrische identiteitsgegevens bloot.” De behandelingsmaatregelen kunnen bestaan uit leveranciers-due diligence, contractuele incidentmelding, encryptie, toegangscontrole, logging, back-up en herstel, gegevensminimalisatie, pseudonimisering, monitoring, exitplanning en incidentresponsdraaiboeken.
De SoA-notitie kan vermelden dat de set beheersmaatregelen de verantwoordingsplicht onder GDPR, beveiliging van de toeleveringsketen en incidentgereedheid onder NIS2 Article 21, en ICT-risico van derde partijen en weerbaarheid van kritieke functies onder DORA ondersteunt.
Dat is wat auditors willen: traceerbaarheid.
Mapping over meerdere compliancekaders: één bewijslaag, meerdere vragen
RoPA en gegevensstroommapping zijn geen afzonderlijke nalevingssilo’s. Ze ondersteunen een gemeenschappelijke set vragen voor GDPR, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 en COBIT 2019.
| Raamwerk | Toezicht- of auditvraag | Bewijsmateriaal uit RoPA en gegevensstromen |
|---|---|---|
| GDPR | Kunt u aantonen welke persoonsgegevens worden verwerkt, waarom, waar, door wie en hoe lang? | RoPA met doel, rechtsgrondslag, categorieën, ontvangers, bewaartermijnen, waarborgen en doorgiften |
| NIS2 | Welke diensten, systemen, leveranciers en gegevensstromen ondersteunen essentiële of belangrijke dienstverlening? | Kritieke-dienstenkaart gekoppeld aan systemen, leveranciers, stromen, incidenten en continuïteitsplannen |
| DORA | Welke ICT-diensten en regelingen met derde partijen ondersteunen kritieke of belangrijke functies? | ICT-afhankelijkheidskaart gekoppeld aan leveranciers, contracten, gegevenslocaties, incidentclassificatie en exitplannen |
| ISO/IEC 27001:2022 | Worden risico’s, beheersmaatregelen, gedocumenteerde informatie en verantwoordelijkheden via het ISMS beheerd? | ISMS-toepassingsgebied, risicoregister, inventaris van bedrijfsmiddelen, SoA, beleid, interne audits en directiebeoordeling |
| NIST CSF 2.0 | Zijn governance, leveranciersrisico, beheer van bedrijfsmiddelen, bescherming, detectie, respons en hersteluitkomsten begrepen? | Huidige en doelprofielen op basis van RoPA, bedrijfsmiddelenregisters, leveranciersinventarissen en bewijsmateriaal voor weerbaarheid |
| COBIT 2019 | Zijn governancedoelstellingen, informatiestromen, eigenaarschap, risicobeslissingen en assuranceactiviteiten gedefinieerd? | Proceseigenaarschap, beheersingsdoelstellingen, informatiekwaliteit, afhankelijkheidsmapping en audittrails |
NIST CSF 2.0 is nuttig als organiserende laag. De CSF Profiles ondersteunen analyse van de huidige en gewenste situatie met input zoals beleid, risicoprioriteiten, registers voor bedrijfsimpact, eisen, normen, praktijken, tools en werkrollen. De GOVERN-functie omvat wettelijke, regelgevende, contractuele, privacy- en burgerrechtenverplichtingen, risicodoelstellingen, leiderschapsverantwoordelijkheid, rollen, beleid, toezicht en prestatiebeoordeling. De uitkomsten voor de toeleveringsketen vereisen dat leveranciers bekend zijn en op kritikaliteit worden geprioriteerd, contractuele cyberbeveiligingseisen worden geïntegreerd, due diligence vóór relaties plaatsvindt, leveranciersrisico’s worden vastgelegd en gemonitord, en leveranciers worden opgenomen in incidentrespons- en herstelplanning.
Dat sluit nauw aan op een Clarysec RoPA-bedrijfsmodel. De RoPA geeft privacycontext. De inventaris van bedrijfsmiddelen geeft technische context. Leveranciers- en cloudregisters geven context van derde partijen. De BIA geeft kritikaliteitscontext. De SoA geeft beheersmaatregelcontext.
Eén ISO/IEC 27001:2022 Annex A-beheersmaatregel kan ook meerdere raamwerken ondersteunen. Beheersmaatregel 5.14, Informatieoverdracht, is een goed voorbeeld.
| Raamwerk of norm | Vereiste | Hoe 5.14 bewijsmateriaal levert |
|---|---|---|
| GDPR | Article 30 RoPA en Article 32 beveiliging van de verwerking | Gegevensstroomkaarten vormen de basis van de RoPA en documenteren waarborgen zoals encryptie tijdens transport |
| DORA | Article 8 bescherming en preventie, Article 28 ICT-risico van derde partijen | Overdrachtskaarten identificeren ICT-dienstafhankelijkheden die kritieke of belangrijke functies ondersteunen |
| NIS2 | Article 21 maatregelen voor cyberbeveiligingsrisicobeheer, inclusief beveiliging van de toeleveringsketen | Het traceren van overdrachten naar leveranciers ondersteunt risicoanalyse van de toeleveringsketen voor essentiële en belangrijke diensten |
| NIST CSF 2.0 | PR.DS-02 Data-in-transit is protected | Regels voor informatieoverdracht leveren bewijsmateriaal dat gegevens worden beschermd wanneer zij tussen systemen bewegen |
| ISO/IEC 27001:2022 | Annex A 5.14 Informatieoverdracht | Overdrachtsmethoden, verantwoordelijkheden en beschermingen zijn gedefinieerd en geïmplementeerd |
Dit is de waarde van Zenith Controls als kompas over meerdere compliancekaders. Het helpt organisaties uit te leggen waarom één beheersmaatregelpraktijk meerdere regelgevende en auditverwachtingen ondersteunt.
Hoe verschillende auditors dezelfde kaart zullen toetsen
Een volwassen RoPA en gegevensstroomkaart kan meerdere auditors bedienen, maar ieder benadert deze anders.
Een ISO/IEC 27001:2022-auditor begint met reikwijdte, belanghebbenden, risico’s, gedocumenteerde informatie en selectie van beheersmaatregelen. De auditor vraagt of wettelijke en contractuele eisen zijn geïdentificeerd, of persoonsgegevens en kritieke diensten binnen het ISMS-toepassingsgebied vallen, of bedrijfsmiddelen eigenaren en classificaties hebben, of de risicobeoordeling vertrouwelijkheid, integriteit en beschikbaarheid heeft meegenomen en of de SoA toepasselijke beheersmaatregelen rechtvaardigt.
Een GDPR-auditor of privacytoezichthouder begint met verantwoordingsplicht. Hij toetst of de RoPA de werkelijke verwerking weerspiegelt, of doelen en rechtsgrondslagen zijn gedocumenteerd, of bijzondere categorieën gegevens zijn geïdentificeerd, of bewaartermijnen worden toegepast, of ontvangers en verwerkers juist zijn en of passende waarborgen bestaan voor doorgiften en beveiliging.
Een op NIS2 gerichte auditor kijkt naar dienstimpact. Hij vraagt hoe de organisatie kritieke of belangrijke diensten bepaalt, hoe het management de risicomaatregelen heeft goedgekeurd en daarop toezicht houdt, hoe kwetsbaarheden bij leveranciers en risico’s van dienstverleners worden meegenomen, hoe continuïteit en incidentenafhandeling zijn verbonden en of de organisatie de tijdlijnen van 24 uur, 72 uur en eindrapportage kan ondersteunen met betrouwbaar bewijsmateriaal.
Een DORA-auditor kijkt naar ICT-risicogovernance en kritieke of belangrijke functies. Hij toetst of het bestuursorgaan het ICT-risicokader en de weerbaarheidsstrategie heeft goedgekeurd, of ICT-regelingen met derde partijen zijn geregistreerd, of kritikaliteit en concentratierisico zijn beoordeeld, of contracten de vereiste voorwaarden bevatten, of testen systemen omvatten die kritieke of belangrijke functies ondersteunen, en of incidenten worden geclassificeerd op basis van getroffen klanten, transacties, downtime, geografie, gegevensverlies, dienstkritikaliteit en economische impact.
Een NIST CSF 2.0-beoordelaar gebruikt vaak profielen. Hij vergelijkt huidige en doeluitkomsten voor GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND en RECOVER. RoPA en gegevensstroomkaarten worden input voor beheer van wettelijke verplichtingen, inventarissen van bedrijfsmiddelen, leveranciersrisico, gegevensbescherming, monitoring, incidentcommunicatie en herstelplanning.
Een COBIT 2019- of ISACA-achtige auditor richt zich op governance, eigenaarschap en procesvolwassenheid. Hij toetst of informatiestromen een eigenaar hebben, of beslissingsrechten duidelijk zijn, of risicobereidheid wordt toegepast, of beheersmaatregelen worden gemonitord, of uitzonderingen worden geëscaleerd en of bewijsmateriaal betrouwbaar genoeg is voor managementassurance.
| Auditperspectief | Waarschijnlijke steekproef | Verwacht bewijsmateriaal |
|---|---|---|
| ISO/IEC 27001:2022 | Eén kritieke verwerkingsactiviteit | Reikwijdte, risico, eigenaar van bedrijfsmiddel, classificatie, SoA-mapping, beleid en operationele registraties |
| GDPR | Eén proces met persoonsgegevens | RoPA-registratie, rechtsgrondslag, bewaartermijn, ontvangers, waarborgen en verwerkersregistraties |
| NIS2 | Eén kritieke dienst | Systemen, leveranciers, afhankelijkheden, incidentdrempels, continuïteit en toezicht door management |
| DORA | Eén kritieke of belangrijke functie | ICT-dienstenregister, contracten, afhankelijkheidskaart, testen, incidentclassificatie en exitplan |
| NIST CSF 2.0 | Door leverancier ondersteunde gegevensstroom | Huidig en doelprofiel, kritikaliteit van leverancier, monitoring, respons- en herstelbewijsmateriaal |
| COBIT 2019 | Governanceproces | Eigenaarschap, beslissingsrechten, metrieken, assurancespoor en managementrapportage |
Veelvoorkomende faalpatronen
De meest voorkomende tekortkomingen in RoPA en gegevensstroommapping zijn voorspelbaar.
Ten eerste vermeldt de RoPA verwerkingsactiviteiten, maar geen systemen. Daardoor is het onmogelijk om verantwoordingsplicht onder GDPR te verbinden met kwetsbaarhedenbeheer, toegangsrechtenbeoordelingen, back-up, logging of incidentrespons.
Ten tweede stoppen gegevensstroomkaarten bij de eerste leverancier. Zij tonen geen subverwerkers, cloudregio’s, supporttoegang, analyticstools, monitoringplatformen of back-uplocaties.
Ten derde identificeren bedrijfscontinuïteitsplannen systemen, maar geen persoonsgegevens. Tijdens een verstoring begrijpt de organisatie de herstelprioriteit, maar niet de privacyimpact.
Ten vierde leggen leveranciersregisters contracteigenaren vast, maar geen kritikaliteit, vervangbaarheid, gegevenscategorieën, incidentmeldingsverplichtingen of exitopties.
Ten vijfde wordt de SoA geschreven als certificeringsdocument in plaats van als brug voor beheersmaatregelen. Zij vermeldt dat beheersmaatregelen toepasselijk zijn, maar legt niet uit welk bewijsprobleem onder GDPR, NIS2 of DORA de beheersmaatregel helpt oplossen.
Tot slot is eigenaarschap versnipperd. De DPO is eigenaar van RoPA, IT van bedrijfsmiddelen, inkoop van leveranciers, operations van de BIA, financiën van DORA-registers en niemand van de geïntegreerde afhankelijkheidskaart.
Clarysec’s aanpak lost dit op door bewijsobjecten toe te wijzen aan beleidseigenaren en vervolgens de stappen uit de Zenith Blueprint te gebruiken om bedrijfsmiddelen, risico’s, beheersmaatregelen en SoA-traceerbaarheid te verbinden.
Een implementatieplan van 30 dagen
U hoeft niet alles tegelijk aan te pakken. Begin met de diensten die er het meest toe doen.
Week 1: Selecteer drie kritieke of hoogrisicoverwerkingsactiviteiten. Goede kandidaten zijn klantonboarding, betalingsverwerking, HR-administratie voor werknemers, supportticketing of beveiligingsmonitoring. Valideer voor elke activiteit de RoPA-registratie tegen de daadwerkelijke systemen, gegevenscategorieën, doelen, rechtsgrondslagen en bewaarregels.
Week 2: Bouw gegevensstroomkaarten voor die activiteiten. Identificeer bron, bestemming, overdrachtsmethode, omgeving, leverancier, subverwerker, gegevenslocatie, toegangspad, transformatie en bewaarpunt. Gebruik de eis uit Clarysec’s Data Masking and Pseudonymization Policy om inventarissen bij te houden van systemen en gegevensstromen waarbij gevoelige gegevens betrokken zijn.
Week 3: Koppel elke stroom aan bedrijfsmiddelen, leveranciers, clouddiensten en kritieke bedrijfsfuncties. Gebruik Zenith Blueprint Stap 9 voor eigenaarschap en classificatie van bedrijfsmiddelen. Gebruik de beleidseisen voor leveranciers- en cloudregisters om bewijsmateriaal van derde partijen vast te leggen. Gebruik het bedrijfscontinuïteitsbeleid om geprioriteerde diensten en kritieke afhankelijkheden te identificeren.
Week 4: Voeg risico- en beheersmaatregeltraceerbaarheid toe. Maak of actualiseer voor elke stroom risicoscenario’s. Map beheersmaatregelen in de SoA met Zenith Blueprint Stap 13. Voeg waar van toepassing notities toe voor verantwoordingsplicht onder GDPR Article 30, risicomaatregelen onder NIS2 Article 21 en bewijsmateriaal voor DORA-ICT-afhankelijkheden.
Voer daarna één tabletopoefening uit: “Leveranciersuitval plus gegevensblootstelling in een kritieke dienst.” Test of uw bewijsmateriaal incidentclassificatie, meldingsbeslissingen, klantcommunicatie, communicatie met toezichthouders en herstelprioritering ondersteunt.
Aan het einde van 30 dagen hebt u een herhaalbaar model voor de rest van de organisatie.
De Clarysec-aanpak: maak van RoPA levend bewijsmateriaal voor weerbaarheid
RoPA en gegevensstroommapping zijn niet langer alleen privacyadministratie. Zij vormen het verbindende weefsel tussen verantwoordingsplicht onder GDPR, governance van kritieke NIS2-diensten en bewijsmateriaal voor DORA-ICT-afhankelijkheden.
De organisaties die in 2026 het best presteren, zijn niet de organisaties met de meeste documenten. Het zijn de organisaties die een bedrijfsdienst kunnen herleiden tot de bijbehorende verwerkingsactiviteiten, gegevensstromen, systemen, leveranciers, cloudregio’s, contracten, beheersmaatregelen, risico’s, incidentdrempels en herstelplannen.
Clarysec helpt teams die traceerbaarheid op te bouwen zonder onnodige bureaucratie. Onze beleidssuite wijst eigenaarschap en bewijsvereisten toe. De Zenith Blueprint biedt de implementatieroadmap, inclusief identificatie van bedrijfsmiddelen, implementatie van leveranciers- en cloudbeheersmaatregelen en SoA-traceerbaarheid. Zenith Controls biedt het kompas over meerdere compliancekaders om ISO/IEC 27001:2022 Annex A-beheersmaatregelen te koppelen aan privacy-, weerbaarheids-, leveranciers-, cloud- en auditverwachtingen.
Uw volgende stap is eenvoudig: kies één kritieke dienst, één RoPA-registratie en één door een leverancier ondersteunde gegevensstroom. Breng deze end-to-end in kaart. Als u de gegevens, afhankelijkheid, beheersmaatregel en incidentimpact niet op één pagina kunt uitleggen, is uw bewijslaag niet klaar voor 2026.
Clarysec kan u helpen die gereed te maken. Verken de Zenith Blueprint, versterk uw governance met het Data Protection and Privacy Policy en Supplier Dependency Risk Management Policy, en gebruik Zenith Controls om versnipperd nalevingsbewijsmateriaal om te zetten in één bedrijfsmodel dat gereed is voor audits.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
