topdesk en ABRO

houd in gedachten dat de hele overheid van ministeries tot kleine gemeentes in de komende jaren de abro moeten gaan gebruiken. 

Misschien heb je er wat aan.

Voor dat je begint.
Tip: Net zoals AVG etc ben jij als functioneel beheerder niet “eigenaar van ABRO”. Security bepaalt de regels.
Zie onderstaande dus als een praktische “vertaling naar TOPdesk”, niet als de officiële norm zelf.

Onderstaande is eigenlijk een checklist voor je inrichting of een startpunt om TOPdesk ABRO-proof te maken.
En input voor gesprekken met bijvoorbeeld de security officer.

Dus begin simpel:
Welke opdrachten vallen bij jullie onder ABRO?
Welke data/systemen zijn “gevoelig”?
-> Dit bepaalt wat jij in TOPdesk moet labelen.

🧭 Wanneer krijg jij met ABRO 2026 te maken?
Je raakt ABRO zodra de organisatie:
werkt voor de Rijksoverheid/politie én
er risico is op nationale veiligheid (bijv. gevoelige data, toegang tot systemen of locaties)

👉 Concreet voor functioneel beheer (voorbeelden):
ICT-beheer (toegang tot systemen/data)
Facilitair/vastgoed (toegang tot gebouwen/datacenters)
HR (persoonsgegevens, screening)
Leveranciersbeheer

Als één van die processen raakt aan gevoelige info of kritieke infrastructuur, dan valt het onder ABRO.

🧱 Waar in TOPdesk kan ABRO jouw inrichting raken?
1. 📩 Meldingen (incidenten/service requests)

Wat moet je regelen:
✅ Classificatieveld: "ABRO/veiligheidsgevoelig ja/nee"
✅ Type/impact: bijv. “nationaal veiligheidsrisico”
✅ Beperkte zichtbaarheid (autorisaties!)
✅ Logging/audittrail (wie heeft wat gezien/gedaan)

Voorbeeld

Incident: “toegang tot datacenter werkt niet”
→ ABRO relevant (kritische infrastructuur)

2. 🗃️ Assets / CMDB
👉 Kern van ABRO
Je moet kunnen aantonen:

Welke assets zijn kritisch/gevoelig
Wie heeft toegang
Waar staan ze (locatie!)

Aanpassingen:
✅ Label assets: kritisch / vertrouwelijk / ABRO-scope
✅ Relaties goed vastleggen (asset ↔ gebouw ↔ persoon)
✅ Eigenaar + verantwoordelijke verplicht maken

Voorbeelden:
Servers met gevoelige data
Netwerken, firewalls
Gebouwen zoals datacenters

3. 🔄 Processen (change, access, incident)

Je processen moeten:
✅ Risicobeoordeling bevatten (ABRO check)
✅ Extra goedkeuringen hebben bij gevoelige changes
✅ Scheiding van taken (geen “one-man control”)

Denk aan:
Change → extra approval bij kritische systemen
Access management → strengere autorisatie
Incident → escalatie bij security-impact

4. 🏢 Gebouwen / ruimtes
In Topdesk:
✅ Locaties koppelen aan assets en meldingen
✅ Label ruimtes: “beveiligd / restricted”
✅ Toegangsbeheer verwerken (wie mag naar binnen)

5. 👥 Personen / behandelaarsgroepen
Je moet kunnen aantonen:
Wie mag wat zien/doen
Dat toegang “need-to-know” is

Inrichting:
✅ Rollen vs rechten strak instellen
✅ Scheiding tussen HR / ICT / Facilities waar nodig
✅ Specifieke ABRO-groepen (bijv. “Security cleared”)

✅ Hoe maak je TOPdesk “ABRO-proof” (praktisch checklist)

🔐 1. Data & classificatie
Voeg veld toe: ABRO relevant (ja/nee)
Label assets, meldingen en changes
Maak risicoclassificaties verplicht

👁️ 2. Autorisaties
Rolgebaseerde toegang (RBAC)
Beperk zichtbaarheid van gevoelige tickets
Gebruik “need to know” principe

📜 3. Audit & logging
Zorg dat alles gelogd wordt:
wie opent/wijzigt tickets
wie toegang krijgt tot assets

🔄 4. Procesaanpassingen
Extra approvals bij:
kritische wijzigingen
toegang tot gevoelige systemen

Escalatieflows voor security-incidenten

🏗️ 5. CMDB op orde

Kritische assets identificeren
Relaties vastleggen (asset ↔ persoon ↔ locatie)
Eigenaarschap verplicht

🧍 6. HR / screening koppelen
Medewerkers met toegang tot gevoelige info → markeren
Koppeling met functies/rollen (bijv. screening vereist)

🏢 7. Fysieke security integreren
Gebouwen/ruimtes labeling
Toegang koppelen aan personen en meldingen

🔥 Belangrijk inzicht
ABRO is geen Topdesk-feature, maar een governance-/securitylaag:
👉 Jij moet zorgen dat je TOPdesk:

inzicht geeft in risico’s
controleerbaar is (auditproof)
toegang en processen afdwingt

💡 Kort samengevat
Voor jou als functioneel beheerder betekent ABRO:

Meldingen → classificeren & afschermen
Assets → centraal, volledig en “gevoelig” labelen
Processen → extra checks en approvals
Gebouwen → meenemen als security-object
Gebruikers → strakke autorisatie

ik vind dit een enorm goede uiteenzetting.  Nu wordt bij ons alles geraakt door abro. maar ik ga jouw lijst eens nalopen en gebruiken op onderdelen voor verbeteringen.  

👍👍👍👍👍

risicoclassificatie

Bij assets zoals applicatie is het verstandig om een CIAP//BIVP score vast te leggen