In dit besluit wordt verstaan onder:
-
a. wet: Telecommunicatiewet;
-
b. aanbieder: aanbieder van een openbaar telecommunicatienetwerk of van een openbare
telecommunicatiedienst;
-
c. bevoegde autoriteit:
-
1°. de officier van justitie of de door de korpschef voor zijn korps, dan wel door het
hoofd van een andere opsporingsdienst voor zijn dienst aangewezen opsporingsambtenaar;
-
2°. het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst, of de door hem aangewezen
ambtenaar;
-
3°. het hoofd van de Militaire Inlichtingen- en Veiligheidsdienst, of de door hem aangewezen
ambtenaar;
-
d. bijzondere last: last tot het aftappen of opnemen van telecommunicatie.
-
1 De aanbieder draagt zorg voor een beveiligingsplan, waarin hij aangeeft op welke wijze
door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan
wordt ten minste aangegeven op welke wijze uitvoering is gegeven aan de maatregelen,
bedoeld in de bijlage.
De aanbieder stelt de desbetreffende bevoegde autoriteit terstond op de hoogte, indien
op de vertrouwelijkheid van enigerlei gegevens of informatie als bedoeld in artikel 2, eerste lid, een ongeoorloofde inbreuk is gemaakt. Hierbij vermeldt de aanbieder:
-
a. welke informatie of gegevens het betreft;
-
b. de wijze waarop de inbreuk heeft plaatsgevonden;
-
c. de maatregelen welke zijn genomen om verdere verspreiding van bedoelde informatie
of gegevens tegen te gaan en herhaling van het gebeurde te voorkomen.
De aanbieder draagt er zorg voor dat de personeelsleden die belast zijn met:
met betrekking tot deze werkzaamheden en de gegevens en informatie waarvan zij in
dat kader kennis nemen, geheimhouding betrachten.
-
1 Indien de aanbieder de uitvoering van werkzaamheden uitbesteedt aan een derde en in
dat kader de derde kennis neemt of kan nemen van gegevens en informatie als bedoeld
in artikel 2, eerste lid, draagt de aanbieder er zorg voor dat de derde zich verplicht:
-
a. de desbetreffende gegevens en informatie te beveiligen tegen kennisneming door onbevoegden;
-
b. met betrekking tot de desbetreffende gegevens en informatie geheimhouding te betrachten;
-
c. de ingevolge dit besluit gestelde maatregelen na te leven;
-
d. alle informatie te verstrekken die voor het toezicht op de naleving van de beveiligings-
en geheimhoudingsverplichting noodzakelijk is.
De artikelen van dit besluit treden in werking op een bij koninklijk besluit te bepalen
tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan
worden vastgesteld.
Dit besluit wordt aangehaald als: Besluit beveiliging gegevens telecommunicatie.
I. Beveiligingseis algemeen
Er is een functionaris, belast met het toezicht op de uitvoering en naleving van de
beveiligingsmaatregelen. De functionaris voert daartoe regelmatig controles uit en
legt de resultaten daarvan vast.
II. Beveiligingseisen ten aanzien van personeel
a. In de functiebeschrijving van personeel dat belast is met de verwerking van de
informatie en gegevens wordt de verantwoordelijkheid voor de beveiliging daarvan beschreven.
b. Personeel dat in aanraking komt met de informatie en gegevens tekent een geheimhoudingsverklaring.
c. Uitsluitend personeel dat overeenkomstig de functiebeschrijving belast is met de
verwerking van de informatie en gegevens heeft toegang tot de informatie en de gegevens.
III. Fysieke beveiliging en beveiliging van de omgeving
a. De informatie en de gegevens worden zoveel mogelijk binnen één ruimte geconcentreerd.
b. De ruimte waarbinnen de informatie en de gegevens aanwezig zijn is deugdelijk fysiek
beveiligd.
c. De fysieke beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen
daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
d. Toegang tot de ruimte waar de gegevens of de informatie zich bevindt is uitsluitend
toegestaan aan daartoe geautoriseerde personen voorzover dit voor hun functie noodzakelijk
is.
e. Het binnentreden en verlaten van de ruimte moet zodanig zijn geregeld dat er sprake
is van gecontroleerde en achteraf herleidbare toegang op individueel niveau.
f. Documenten waarin, dan wel verwisselbare gegevensdragers waarop, de informatie
en de gegevens zijn vastgelegd worden in deugdelijk beveiligde opbergmiddelen bewaard.
g. Personen belast met onderhouds- en reparatiewerkzaamheden in de ruimte waarin de
informatie en de gegevens zich bevinden worden door eigen geautoriseerd personeel
begeleid.
IV. Beheer van communicatie- en bedieningsprocessen
a. De status/rubricering van de informatie en de gegevens (staatsgeheim of vertrouwelijk)
dient te allen tijde kenbaar te zijn.
b. Reproductie van de informatie of de gegevens is alleen toegestaan door daartoe
geautoriseerde personen en uitsluitend voor zover dat nodig is voor de goede uitvoering
van de bijzondere last dan wel een opdracht op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 als bedoeld in artikel 13.2, eerste en tweede lid, van de wet dan wel een verzoek op grond van artikel 13.4 van de wet.
c. De informatie of de gegevens worden niet buiten de normale ruimte gebracht, tenzij
dat voor de goede voortgang van de werkzaamheden noodzakelijk is. In dat geval wordt
de verblijfplaats van de informatie of de gegevens geregistreerd.
d. De verwijdering en vernietiging van de informatie en gegevens geschiedt op een
onomkeerbare wijze. Van de verwijdering en vernietiging wordt een rapport opgemaakt,
dat in afschrift wordt gezonden aan de bevoegde autoriteit wie het aangaat dan wel
een door deze aangewezen instantie.
V. Toegangsbeveiliging van geautomatiseerde informatiesystemen
a. De toegang tot geautomatiseerde informatiesystemen waarin de informatie en de gegevens
worden verwerkt is op deugdelijke wijze beveiligd, onder meer door middel van persoonsgebonden
authenticatie.
b. De logische beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen
daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
c. Het aantal foutieve inlogpogingen is beperkt tot drie. Overschrijding van het aantal
foutieve inlogpogingen leidt tot definitieve blokkering, welke uitsluitend door de
functionaris, bedoeld in onderdeel I van deze bijlage, kan worden opgeheven. Het voorgaande
is niet van toepassing op de systeembeheerder, met dien verstande dat bij drie foutieve
inlogpogingen een hernieuwde inlogpoging slechts kan plaatsvinden via een voor noodsituaties
ingericht account en persoonsgebonden authenticatie voor het gebruik waarvan door
de functionaris, bedoeld in onderdeel I van deze bijlage toestemming moet worden verleend.
d. Het geautomatiseerde systeem, waarin de gegevens en de informatie worden verwerkt,
wordt niet eerder verlaten dan nadat een (handmatig of automatisch) toegangsbeveiligingsmechanisme
in werking is gesteld.
e. Alle handelingen met betrekking tot de verwerking van de informatie en de gegevens
in het geautomatiseerde informatiesysteem worden persoonsgebonden vastgelegd teneinde
onderzoek mogelijk te maken.
f. Toegang tot het geautomatiseerde informatiesysteem is uitsluitend voorbehouden
aan daartoe geautoriseerd personeel.
g. De toegangsrechten van de gebruikers worden periodiek geëvalueerd.
h. De autorisaties van alle gebruikers worden vastgelegd.
VI. Ontwikkeling, onderhoud en reparatie van geautomatiseerde informatiesystemen
a. Alle wijzigingen in apparatuur, software of procedures die de beveiliging van de
gegevens en informatie kunnen beïnvloeden zijn controleerbaar, dat wil zeggen bekend
en beoordeeld door of namens de aanbieder als zijnde aanvaardbaar.
b. Het onderhouden van geautomatiseerde informatiesystemen, voor zover deze nog toegang
verschaffen tot gegevens en informatie, vindt op locatie plaats.
c. In afwijking van onderdeel b, is het op afstand onderhouden van geautomatiseerde
informatiesystemen slechts toegestaan, indien dit wordt uitgevoerd door daartoe geautoriseerde
personen als bedoeld in onderdeel II van deze bijlage, en slechts op tijdstippen waarvoor
door de functionaris, bedoeld in onderdeel I, onder a, van deze bijlage, toestemming
is verleend en er aantoonbaar voldoende waarborgen bestaan voor het handhaven van
het beveiligingsniveau van de gegevens en informatie.
d. Reparatie aan het geautomatiseerde informatiesysteem waarin de informatie en de
gegevens worden verwerkt vindt op locatie plaats. Van de eerste volzin kan worden
afgeweken indien de informatie en gegevens zijn verwijderd en niet te achterhalen
zijn.