Regeling specificaties en typegoedkeuring boordcomputer taxi

Geraadpleegd op 14-10-2024.
Geldend van 19-12-2020 t/m heden

Regeling specificaties en typegoedkeuring boordcomputer taxi

De Minister van Verkeer en Waterstaat,

Gelet op de artikelen artikel 22, eerste en derde lid, 23, derde lid, en 24 van de Wegenverkeerswet 1994;

Besluit:

§ 1. Begripsbepalingen

Artikel 1

In deze regeling wordt verstaan onder:

  • activering: handeling waarmee de boordcomputer in geactiveerde toestand wordt gebracht;

  • authenticiteit: eigenschap dat informatie afkomstig is van een persoon of inrichting, waarvan de identiteit kan worden geverifieerd;

  • auto: auto waarmee taxivervoer wordt verricht;

  • bedrijfsvergrendeling: vergrendeling waarmee de in de boordcomputer opgeslagen gegevens herleidbaar zijn naar de vervoerder waarvoor deze opgeslagen zijn;

  • beproeving: test, of serie tests, die door de boordcomputer kan worden uitgevoerd om fouten te ontdekken en die automatisch of door de gebruiker van de boordcomputer kan worden geïnitieerd;

  • beschikbaarheid: mate waarin de boordcomputer of componenten van de boordcomputer zonder belemmering toegankelijk zijn voor geautoriseerde gebruikers;

  • bestuurder: bestuurder die taxivervoer verricht;

  • beveiligingsgegevens: specifieke gegevens ter ondersteuning van de beveiligingsfuncties;

  • bewegingsgegevens: gegevens betreffende snelheid en afgelegde afstand van de auto die door de bewegingsopnemer of de positiebepalingssensor aan de boordcomputer worden aangeleverd;

  • bewegingsopnemer: instrument, of een deel ervan, gekoppeld aan de boordcomputer dat een signaal in de vorm van een impuls afgeeft over de beweging van de auto op basis waarvan de boordcomputer de afgelegde afstand van de auto kan bepalen;

  • boordcomputer: apparaat ten behoeve van de registratie van de gegevens, bedoeld in artikel 79, derde, vierde en vijfde lid, van het Besluit personenvervoer 2000;

  • boordcomputereenheid: boordcomputer zonder systeemkaart;

  • boordcomputerkaart: een geheugenkaart als bedoeld in artikel 1, onderdeel h, van het Besluit personenvervoer 2000;

  • CEN: door het Comité Européen de Normalisation uitgegeven norm;

  • chauffeurskaart: kaart als bedoeld in artikel 1, onderdeel i, van het Besluit personenvervoer 2000;

  • constante van de boordcomputer: getal dat de waarde aangeeft van het ingangssignaal van de bewegingsopnemer dat nodig is ter aanwijzing en registratie van een afgelegde afstand van één kilometer, uitgedrukt in impulsen per kilometer;

  • coördinaten: een aanduiding om de positie van de auto op de aarde vast te leggen ten opzichte van het World Geodetic System 1984 coördinatenstelsel;

  • deactivering: handeling waarmee de boordcomputer in niet-geactiveerde toe stand wordt gebracht;

  • eerste systeemkaart: voor een boordcomputer met een bepaald typegoedkeuringsnummer aan diens fabrikant afgegeven processorkaart waarvan de functie voor het genereren van elektronische handtekeningen nog niet actief is;

  • elektronische handtekening: een elektronische handtekening die voldoet aan de bij of krachtens verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257) gestelde eisen aan een gekwalificeerde elektronische handtekening als bedoeld in artikel 3, onderdeel 12, van die verordening;

  • ETSI: door de European Telecommunications Standards Institute uitgegeven norm;

  • fabrikant: marktdeelnemer die verantwoordelijk is voor alle aspecten van een goedkeuringsprocedure als bedoeld in artikel 21, tweede lid, onderdeel b, van de Wegenverkeerswet 1994, waar het de goedkeuring van een boordcomputer betreft;

  • FIPS PUB: een Federal Information Processing Standards Publication;

  • geaccrediteerde Common Criteria testinstelling: een testinstelling die beschikt over een accreditatie op grond van de Common Criteria for Information Technology Evaluation delen 1, 2 en 3, versie 3.1, in combinatie met de Common Methodology for Information Technology Evaluation versie 3.1.;

  • gebruikersgegevens: door de boordcomputer geregistreerde en opgeslagen gegevens, anders dan beveiligingsgegevens en systeemgegevens;

  • geheugen: niet-volatiel elektronisch geheugenmedium dat in de boordcomputer is ingebouwd;

  • HDOP-waarde: Horizontal Dilution Of Precision waarde;

  • IETF: door de Internet Engineering Taskforce uitgegeven norm;

  • inspectiekaart: aan de met het toezicht op de naleving belaste persoon afgegeven boordcomputerkaart die de desbetreffende persoon identificeert en waarmee de controlemodus van de boordcomputer kan worden geactiveerd;

  • ISO: door de International Organisation for Standardisation uitgegeven norm;

  • ISO-IEC: door de International Organisation for Standardisation en de International Electrotechnical Commission uitgegeven norm;

  • kaartsessie: periode tussen het ingeven van de boordcomputerkaart en het wegschrijven van de afsluitende gegevens op de boordcomputerkaart door de boordcomputer;

  • keuringskaart: kaart als bedoeld in artikel 1, onderdeel j, van het Besluit personenvervoer 2000;

  • kilometerstand: de door de boordcomputer getotaliseerde afgelegde afstand met de auto, zowel bij vooruitrijden als bij achteruitrijden, overeenkomend met de totale door de auto afgelegde afstand;

  • minister: Minister van Infrastructuur en Waterstaat;

  • NEN: door de Stichting Nederlands Normalisatie-instituut uitgegeven norm;

  • NEN-EN: door de European Committee for Electrotechnical Standardisation uitgegeven norm die door de Stichting Nederlands Normalisatie-instituut is aanvaard als Nederlandse norm;

  • NEN-ISO: door de International Organisation for Standardisation uitgegeven norm die door de Stichting Nederlands Normalisatie-instituut is aanvaard als Nederlandse norm;

  • ondernemerskaart: door de minister aan een vervoerder afgegeven boordcomputerkaart die de desbetreffende vervoerder identificeert en waarmee de bedrijfsmodus van de boordcomputer kan worden geactiveerd;

  • ongeldige boordcomputerkaart: ingetrokken boordcomputerkaart, defecte boordcomputerkaart, of een boordcomputerkaart waarvan de geldigheidsduur nog niet is begonnen of reeds is verstreken;

  • overbrengen: kopiëren van de gegevens, of een gedeelte daarvan, en het kopiëren van de bijbehorende elektronische handtekening die in het geheugen van de boordcomputer of op de chauffeurskaart zijn opgeslagen;

  • plaatselijke tijd: UTC gecorrigeerd met een in te geven aantal uren voor de tijdzone en een automatische correctie voor de zomertijd;

  • positiebepalingssensor: instrument, of een deel ervan, gekoppeld aan de boordcomputer dat een signaal afgeeft aan de boordcomputer over de locatie van de auto op basis van verkregen informatie van een satelliet positiebepalingsysteem;

  • programmatuur: de combinatie van uitvoerbare code van de boordcomputer en bijbehorende programmatuurgegevens;

  • programmatuurgegevens: vaste attributen van programmatuur of een programmatuurrevisie;

  • programmatuurrevisie: nieuwere versie van programmatuur;

  • programmatuurversienummer: vast attribuut van programmatuur of programmatuurrevisie, zijnde een nummer waarmee de versie van programmatuur respectievelijk de programmatuurrevisie uniek geïdentificeerd kan worden;

  • registreren: in het geheugen van de boordcomputer vastleggen van gegevens en gebeurtenissen;

  • ritadministratie: gegevens, bedoeld in artikel 79, derde en vierde lid, van het Besluit personenvervoer 2000;

  • sensor: eenheid die onderdeel uitmaakt van de boordcomputer of rechtstreeks gekoppeld is aan de boordcomputer en die informatie automatisch aanlevert aan de boordcomputer;

  • systeemgegevens: specifieke gegevens ter ondersteuning of noodzakelijk voor het functioneren van de boordcomputer of voor identificatie en instellingen van de boordcomputerfuncties;

  • systeemkaart: door de minister afgegeven geheugenkaart met chip die de boordcomputer in staat stelt een elektronische handtekening te plaatsen;

  • UTC: Universal Time Coordinated;

  • verplaatsingsopnemer: instrument, onderdeel uitmakende van de boordcomputer dat de boordcomputer in staat stelt autonoom een verplaatsing van de auto waar te nemen;

  • vervangende systeemkaart: door de minister voor de vervanging van de systeemkaart van een specifieke boordcomputer aan de vervoerder of fabrikant afgegeven nieuwe processorkaart waarvan de functie voor het genereren van elektronische handtekeningen nog niet actief is;

  • verordening (EU) 2018/858: verordening (EU) nr. 2018/858 van het Europees Parlement en de Raad van 30 mei 2018 betreffende de goedkeuring van en het markttoezicht op motorvoertuigen en aanhangwagens daarvan en systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd, tot wijziging van Verordeningen (EG) nr. 715/2007 en (EG) nr. 595/2009 en tot intrekking van Richtlijn 2007/46/EG (PbEU 2018, L 151);

  • vervoerder: vervoerder als bedoeld in artikel 1, onderdeel k, van de Wet personenvervoer 2000 en werkgever als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Arbeidstijdenwet, die taxivervoer verricht.

  • werkplaats: werkplaats als bedoeld in artikel 1 van de Regeling erkenning werk plaatsen boordcomputer taxi.

§ 2. Specificaties van de boordcomputer

§ 2.1. De onderdelen van de boordcomputer

Artikel 2

  • 1 De boordcomputer bestaat uit ten minste:

    • a. een verwerkingseenheid;

    • b. een geheugen;

    • c. een tijdklok;

    • d. een ISO 7816 kaartinterface;

    • e. een systeemkaart, verzegeld in een ISO 7810 ID-000 kaartinterface;

    • f. een positiebepalingssensor of een interface voor de positiebepalingssensor;

    • g. een verplaatsingsopnemer, een interface voor de bewegingsopnemer;

    • h. een gegevensoverbrengingsinterface als beschreven in bijlage 2;

    • i. een interface voor de taxameter als beschreven in bijlage 3;

    • j. een leesvenster;

    • k. voorzieningen voor de invoer van gebruikersgegevens.

  • 2 De boordcomputer kan door middel van additionele verbindingen aan andere inrichtingen worden gekoppeld, of daarmee geïntegreerd worden.

  • 3 Een verbinding of integratie met de boordcomputer, als bedoeld in het tweede lid, leidt er niet toe dat de boordcomputer niet langer voldoet aan deze regeling.

  • 4 De boordcomputer voldoet aan de bij deze regeling behorende bijlagen.

Artikel 3

  • 1 De boordcomputer beschikt over een interne autonome tijdklok. Deze is voortdurend operationeel en levert de UTC, met een maximale onnauwkeurigheid van tachtig delen per miljoen.

  • 2 De UTC wordt gebruikt voor datering in de boordcomputer.

  • 3 Indien ingeschakeld, controleert en corrigeert de boordcomputer ten minste eenmaal per uur automatisch de eigen UTC met behulp van een extern signaal, waarbij de eerste controle binnen vijf minuten na inschakelen plaatsvindt.

  • 4 De resolutie van de tijdklok is één seconde of nauwkeuriger.

  • 5 De boordcomputer hanteert ISO-8601 voor de numerieke presentatie van datum en tijd.

  • 6 Om de plaatselijke tijd zichtbaar te maken kan in de activerings- en keuringsmodus met stappen van een half uur het verschil worden ingegeven ten opzichte van de UTC.

  • 7 Bij een externe stroomonderbreking van minder dan twaalf maanden blijft de interne autonome tijdklok functioneren.

Artikel 4

  • 1 De boordcomputer heeft vier werkingsmodi:

    • a. operationele modus;

    • b. controlemodus;

    • c. activerings- en keuringsmodus;

    • d. bedrijfsmodus.

  • 2 De operationele modus, bedoeld in het eerste lid, onderdeel a, heeft drie werkingsniveaus:

    • a. basis;

    • b. arbeidstijd;

    • c. taxivervoer.

  • 3 Het werkingsniveau basis is tevens een geïntegreerd onderdeel van de controlemodus, activerings- en keuringsmodus, en de bedrijfsmodus.

  • 4 De boordcomputer wisselt naar de volgende werkingsmodus afhankelijk van het type boordcomputerkaart dat in de kaartinterface is ingebracht en koppelt hier een gebruikersgroep aan overeenkomstig de volgende tabel:

    Type boordcomputerkaart

    Werkingsmodus

    Gebruikersgroep

    Geen

    Operationele modus: Basis

    ONBEKEND

    Chauffeurskaart

    Operationele modus: Arbeidstijd

    BESTUURDER

    Inspectiekaart

    Controlemodus

    TOEZICHTHOUDER

    Keuringskaart

    Activerings- en keuringsmodus

    WERKPLAATS

    Ondernemerskaart

    Bedrijfsmodus

    VERVOERDER

  • 5 In afwijking van de tabel, bedoeld in het vierde lid, leidt het invoeren van een inspectiekaart tijdens de deactivering, bedoeld in artikel 23, niet tot het automatisch selecteren van de controlemodus.

  • 6 De boordcomputer wisselt na een handmatig verzoek van de bestuurder daartoe tussen de werkingsniveaus van de operationele modus. Het werkingsniveau basis is daarbij altijd ingeschakeld.

  • 7 Indien het werkingsniveau taxivervoer is ingeschakeld, is tevens het werkingsniveau arbeidstijd ingeschakeld.

  • 8 Indien er geen chauffeurskaart aanwezig is stelt de boordcomputer de bestuurder in staat om bij het inschakelen van het werkingsniveau arbeidstijd handmatig het burgerservicenummer, bedoeld in de Wet algemene bepalingen burgerservicenummer, invoeren.

  • 9 De boordcomputer gebruikt de werkingsmodi om de voor die modi geldende toegangsregels voor toegangsrechten tot functies, objecten en gegevens toe te passen.

  • 10 Indien in de operationele modus het werkingsniveau arbeidstijd of taxivoer actief is, leidt het invoeren van de inspectiekaart tot het pauzeren van de operationele modus, inclusief de betreffende kaartsessie. Na het afsluiten van de controlemodus wordt de operationele modus hervat.

Artikel 5

  • 1 De bewegingsopnemer levert impulsen aan de boordcomputer.

  • 2 Het opnemen van de afgelegde afstand vindt automatisch plaats op basis van impulsen en de constante van de boordcomputer.

  • 3 De afgelegde afstand, bedoeld in het tweede lid vertoont tijdens gebruik per duizend meter ten hoogste een afwijking van plus of min twee procent ten opzichte van de werkelijk afgelegde afstand.

  • 4 De auto wordt verondersteld zich in de toestand rijden te bevinden wanneer gedurende een periode van vijf seconden door de boordcomputer, op basis van de bewegingsopnemer, ten minste een verplaatsing van veertien meter wordt waargenomen.

  • 5 De verplaatsingsopnemer is binnen de behuizing van de boordcomputer aangebracht en is van buitenaf niet bereikbaar.

  • 6 De verplaatsingsopnemer meet de resulterende versnelling die de boordcomputer in verschillende richtingen ondervindt.

  • 7 De auto wordt verondersteld zich in de toestand verplaatsen te bevinden wanneer er door de boordcomputer, op basis van de verplaatsingsopnemer, gedurende een periode van ten minste drie seconden een versnelling van ten minste 2 m/s2 wordt waargenomen.

Artikel 6

  • 1 Als de boordcomputer is ingeschakeld bepaalt de positiebepalingsensor continue de positie van de auto.

  • 2 De positiebepalingsensor levert met vaste intervallen de positiegegevens van de auto aan de boordcomputer.

  • 3 De positiegegevens, bedoeld in het tweede lid, bevatten ten minste de volgende gegevens:

    • a. de coördinaten;

    • b. of er een positie bepaald is;

    • c. het aantal satellieten op basis waarvan de positie van de auto bepaald is;

    • d. de HDOP-waarde uitgedrukt in een getal tussen nul en vijftig;

    • e. het tijdstip van de positiebepaling.

  • 4 De twee-dimensionale wortel uit het gemiddelde kwadraat van de afstand tussen door de positiebepalingssensor geleverde coördinaten en de werkelijke positie is kleiner dan 10 meter.

  • 5 De boordcomputer stelt op basis van de door de positiebepalingsensor geleverde informatie eenmaal per minuut de positie van de auto vast en registreert deze positie.

  • 6 De positiegegevens, bedoeld in het vijfde lid worden zodanig opgeslagen dat zij alleen overeenkomstig artikel 23, derde lid, overgebracht kunnen worden.

Artikel 7

  • 1 De boordcomputer stelt op basis van gegevens van de bewegingsopnemer en de constante van de boordcomputer continu de kilometerstand beschikbaar.

  • 2 De resolutie van de kilometerstand is 100 meter of nauwkeuriger.

  • 3 De boordcomputer gebruikt de gemeten posities van de positiebepalingsensor om afstanden te meten en daarmee de afstandsbepaling met de bewegingsopnemer te controleren.

  • 4 De controle tussen beide afstandsbepalingen, bedoeld in het derde lid, vindt steeds plaats op basis van de positiegegevens van een traject van 1000 meter waarbij de snelheid van de auto steeds hoger was dan tien kilometer per uur.

  • 5 Het verschil tussen de door beide sensoren berekende afstand bedraagt hierbij minder dan vijf procent.

§ 2.2. Registratie door de boordcomputer

Artikel 8

  • 1 De boordcomputer verwerkt en registreert gegevens op zodanige wijze dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens gewaarborgd zijn.

  • 2 De authenticiteit, integriteit en onweerlegbaarheid van de in het geheugen opgeslagen gegevens wordt gegarandeerd aan de hand van een elektronische handtekening.

Artikel 9

  • 2 De boordcomputer registreert iedere wijziging in het arbeidstijdpatroon, het tijdstip en de datum van deze wijzigingen en de aanwezigheid van een boordcomputerkaart in de kaartlezer.

  • 3 De bestuurder kan in de operationele modus, werkingsniveau arbeidstijd, handmatig de aanvang en het einde van een pauze aangeven. Een bij de aanvang van de pauze actief werkingsniveau taxivervoer wordt hiermee automatisch afgesloten.

  • 4 De bestuurder kan aan het begin van een kaartsessie handmatig aangeven dat hij nadat de voorgaande kaartsessie is afgesloten nog andere werkzaamheden dan rijden heeft uitgevoerd, of pauze heeft genoten. De boordcomputer legt hierbij vast of het andere werkzaamheden dan rijden of pauze betreft, en de datum en tijd van het begin en het einde hiervan.

  • 5 De boordcomputer zorgt er bij het afsluiten van een kaartsessie voor dat over de gegevens, bedoeld in het eerste lid, een elektronische handtekening wordt geplaatst door de chauffeurskaart en dat deze gegevens worden gekopieerd naar de chauffeurskaart.

  • 6 Indien er geen chauffeurskaart in de boordcomputer aanwezig is, wordt de elektronische handtekening door de boordcomputer geplaatst met behulp van de systeemkaart.

  • 7 De boordcomputer toont de gegevens waarover een elektronische handtekening geplaatst wordt. Deze omvatten ten minste de totalen van de aan de in het eerste lid bedoelde activiteiten bestede tijd.

Artikel 10

  • 1 De boordcomputer registreert in de operationele modus, werkingsniveau taxivervoer, per rit de ritadministratie en draagt zorg voor een aantoonbaar volledige registratie.

  • 2 De boordcomputer kan de ritadministratie per zitplaats gelijktijdig bijhouden.

  • 3 De boordcomputer registreert op het moment van optreden het beginpunt en het eindpunt van de rit in coördinaten.

  • 4 Indien de coördinaten van het beginpunt of het eindpunt van de rit niet beschikbaar zijn op het moment van optreden, vindt deze registratie alsnog plaats zodra deze coördinaten beschikbaar komen.

  • 5 De boordcomputer neemt de prijs van het vervoer per rit en eventuele toeslagen over uit de in de auto aanwezige taxameter.

  • 6 Indien het niet mogelijk is om de prijs van het vervoer per rit of de in rekening gebrachte toeslagen over te nemen uit de in de auto aanwezige taxameter, kunnen de prijs van het vervoer per rit of de toeslagen handmatig door de bestuurder in de boordcomputer worden ingevoerd.

  • 7 In de boordcomputer kan in de operationele modus, werkingsniveau taxivervoer, handmatig de aanvang en het einde van de rit worden ingegeven en kan worden aangegeven of sprake is van een beladen of een onbeladen rit.

  • 8 Direct na de beëindiging van een rit wordt door de boordcomputer met de systeemkaart een elektronische handtekening geplaatst over de ritadministratie voor de desbetreffende rit.

§ 2.3. Ritbewijs

Artikel 11

De boordcomputer stelt in de operationele modus, werkingsniveau taxivervoer, ten behoeve van het afdrukken van een ritbewijs ten minste de volgende gegevens, inclusief een korte aanduiding van het gegeven, ter beschikking:

  • a. het personenvervoernummer dat staat aangegeven op de vergunning, bedoeld in artikel 4, derde lid, van de Wet personenvervoer 2000;

  • b. het kenteken van de auto;

  • c. het telefoonnummer van de vervoerder, dan wel het telefoonnummer van de instantie waarmee de vervoerder is overeengekomen dat klachten over taxivervoer door deze instantie in behandeling worden genomen;

  • d. het telefoonnummer van het Landelijk Klachtenmeldpunt Taxivervoer;

  • e. het nummer van de chauffeurskaart van de bestuurder;

  • f. de plaatselijke datum en tijd bij het vertrek en de aankomst van de rit;

  • g. de coördinaten van de vertrek- en de aankomstplaats van de rit;

  • h. de afgelegde afstand van de rit in kilometers;

  • i. het ritbedrag;

  • j. opbouw van het ritbedrag, per tariefsoort bestaande uit het aantal eenheden en het bedrag per eenheid;

  • k. de eventueel in rekening gebrachte toeslagen, en

  • l. de totaalprijs.

§ 2.4. De werking van de boordcomputer

Artikel 12

  • 1 In de bedrijfs-, controle- en activerings- en keuringsmodus kan de boordcomputer op verzoek vanuit het geheugen gegevens overbrengen naar externe gegevensdragers via een overbrengingsinterface.

  • 2 In de bedrijfsmodus kunnen alleen de gegevens die zijn vastgelegd behorende bij de actieve bedrijfsvergrendeling worden overgebracht.

  • 3 De overbrenging van deze gegevens en de overbrengingsinterface, bedoeld in het eerste lid, voldoen aan de eisen die zijn vastgelegd in bijlage 2.

  • 4 In de bedrijfsmodus kan de overbrenging van deze gegevens tevens via een andere overbrengingsinterface plaatsvinden.

  • 5 Opgeslagen gegevens worden door de overbrenging niet verwijderd of veranderd.

Artikel 13

  • 1 Onverminderd artikel 12 is het toegestaan om in elke modus gegevens via een andere verbinding naar een voor deze verbinding geautoriseerd bedrijf over te brengen, dan wel een opdracht voor het overbrengen van gegevens aan de boordcomputer te verzenden buiten een fysieke verbinding tussen ondernemerskaart en boordcomputer.

  • 2 Ingeval van verzending buiten een fysieke verbinding tussen ondernemerskaart en boordcomputer kan de boordcomputer zelfstandig vaststellen dat de opdracht door een daartoe geautoriseerde ondernemerskaart is gegeven in de bedrijfsmodus en door de ondernemerskaart is voorzien van een elektronische handtekening.

  • 3 De in het tweede lid bedoelde autorisatie heeft een door de ondernemer in te stellen geldigheidsduur, die echter door de boordcomputer moet worden beëindigd bij verandering van de bedrijfsvergrendeling.

  • 4 Op een overbrenging als bedoeld in het eerste lid, zijn de gegevenstoegangsrechten van de bedrijfsmodus van toepassing.

Artikel 14

  • 1 Direct nadat het contact van de auto ingeschakeld is, wordt de boordcomputer automatisch ingeschakeld, tenzij de boordcomputer al ingeschakeld is.

  • 2 De boordcomputer kan uitsluitend handmatig uitgeschakeld worden nadat het contact is uitgeschakeld.

  • 3 De boordcomputer wordt uitsluitend automatisch uitgeschakeld indien:

    • a. zij zich bevindt in het werkingsniveau, bedoeld in artikel 4, tweede lid, onder a;

    • b. het contact is uitgeschakeld;

    • c. er gedurende meer dan twee uur geen activiteit is geweest van de kaartinterface en van het invoerscherm, en

    • d. gedurende meer dan twee uur geen toestand rijden of verplaatsen is gedetecteerd.

  • 4 Indien een stroomonderbreking heeft plaatsgevonden en de stroomvoorziening is hersteld, wordt de boordcomputer automatisch teruggebracht in de staat waarin de boordcomputer zich bevond voordat de stroomonderbreking optrad.

Artikel 15

  • 1 Het vergaren van gegevens vindt plaats met behulp van sensoren, tenzij de verplichte informatie niet via een sensor kan worden verkregen.

  • 2 Indien het vergaren van gegevens niet automatisch plaatsvindt met behulp van sensoren wordt de bestuurder in staat gesteld om de desbetreffende informatie handmatig in te voeren ofwel kan de verplichte informatie via een externe inrichting worden ingevoerd waarna de bestuurder de informatie handmatig kan accepteren.

  • 3 Uitsluitend de laatste handmatig ingevoerde en geaccepteerde informatie kan door de bestuurder worden geannuleerd. Deze handeling wordt door de boordcomputer geregistreerd.

  • 4 De sensoren die worden gebruikt voor de automatische gegevensregistratie genereren en communiceren de benodigde gegevens op betrouwbare wijze.

Artikel 16

  • 1 De tijd dat de auto rijdt, terwijl in de operationele modus het werkingsniveau arbeidstijd is geselecteerd, wordt automatisch geregistreerd als rijtijd, tenzij er sprake is van een pauze.

  • 2 De tijd waarin de auto stilstaat terwijl in de operationele modus het werkingsniveau arbeidstijd is geselecteerd, wordt automatisch geregistreerd als andere werkzaamheden dan rijden, tenzij er sprake is van een pauze.

Artikel 17

  • 1 De boordcomputer:

    • a. detecteert het inbrengen en uitnemen van boordcomputerkaarten en de aanwezigheid van een boordcomputerkaart in de kaartinterface;

    • b. negeert ingebrachte ongeldige boordcomputerkaarten;

    • c. leest bij het inbrengen van een boordcomputerkaart binnen vijf seconden de noodzakelijke gegevens af om het kaarttype, de kaarthouder en de geldigheid van de kaart vast te stellen en registreert deze gegevens onmiddellijk;

    • d. leest van de chauffeurskaart binnen vijf seconden de noodzakelijke gegevens af om de eerder gebruikte auto, de datum en het tijdstip van het einde van de laatste kaartsessie en de op dat moment geselecteerde activiteit te identificeren en om te controleren of de laatste kaartsessie correct is afgesloten en registreert deze gegevens onmiddellijk;

    • e. authenticeert de houder van de boordcomputerkaart direct bij het inbrengen van de boordcomputerkaart op basis van een persoonlijk identificatie nummer;

    • f. geeft selectieve toegangsrechten tot gegevens en functies op basis van het type boordcomputerkaart dat wordt ingevoerd, zoals beschreven in bijlage 1;

    • g. blokkeert een kaartsessie als bedoeld in artikel 6.2 van bijlage 1 indien een boordcomputerkaart wordt uitgenomen zonder dat door de gebruiker is aangegeven dat de sessie beëindigd dient te worden;

    • h. werkt op het moment van optreden de gegevens die op een geldige chauffeurskaart zijn opgeslagen bij met de gegevens, bedoeld in artikel 9, eerste lid;

    • i. stelt de bestuurder in staat de op de chauffeurskaart opgeslagen gegevens, bedoeld in artikel 9, eerste lid, over te brengen naar de boordcomputer conform artikel 8 van bijlage 2;

    • j. selecteert, leest en schrijft gegevens op de chauffeurskaart op de wijze zoals gespecificeerd in de hoofdstukken 5 en 6 en de paragrafen 8.9 tot en met 8.16 en 8.19 tot en met 8.21 van bijlage 4;

    • k. onderhoudt kaartsessies met chauffeurskaarten op de wijze zoals gespecificeerd in hoofdstuk 7 van bijlage 4;

    • l. laat een chauffeurs- of inspectiekaart elektronische handtekeningen genereren op de wijze zoals gespecificeerd in paragraaf 8.5 van bijlage 4;

    • m. laat een boordcomputerkaart authenticiteit handtekeningen genereren op de wijze zoals gespecificeerd in paragraaf 8.7 van bijlage 4;

    • n. laat een boordcomputerkaart zich aan de boordcomputer authenticiteren op de wijze zoals gespecificeerd in paragraaf 8.8 van bijlage 4;

    • o. controleert op de chauffeurskaart geregistreerde gegevens en verwijdert gecorrumpeerde delen daarvan op de wijze zoals gespecificeerd in paragrafen 8.17 en 8.18 van bijlage 4;

    • p. onderhoudt het op de chauffeurskaart aanwezige logboek van de door de bestuurder uitgevoerde gegevensleveringen van chauffeurskaartdata (zoals gedefinieerd in artikel 8 van bijlage 2) op de wijze zoals gespecificeerd in de paragrafen 8.22 en 8.23 van bijlage 4;

    • q. functioneert op correcte wijze met de systeemkaart;

    • r. gaat tijdens de inschakeling na of het serienummer, bedoeld in artikel 22, tweede lid, onderdeel b, overeenkomt met het serienummer van de boordcomputer, zoals vastgelegd op de chip van de systeemkaart;

    • s. koppelt zich, onder verantwoordelijkheid van de fabrikant, aan een vervangende systeemkaart op de wijze zoals gespecificeerd in hoofdstuk 3, in het bijzonder overeenkomstig het in paragraaf 3.1.2 gestelde, en overeenkomstig paragraaf 8.2 van bijlage 4;

    • t. biedt, ter ondersteuning van het vervangingsproces, bedoeld in onderdeel s, een gebruikersinterface die faciliteert dat de vervanging van de systeemkaart, ongeacht de locatie, ook kan worden uitgevoerd door de fabrikant of werkplaats;

    • u. communiceert met zijn systeemkaart op de wijze zoals gespecificeerd in hoofdstuk 4 van bijlage 4;

    • v. laat zijn systeemkaart elektronische handtekeningen genereren op de wijze zoals gespecificeerd in paragraaf 8.6 van bijlage 4;

    • w. koppelt zich, onder verantwoordelijkheid van de fabrikant en in diens productiefaciliteit dan wel bij reeds in gebruik zijnde boordcomputers volgens een door de fabrikant opgesteld beveiligingsconcept dat naar het oordeel van de Dienst Wegverkeer minstens dezelfde bescherming waarborgt, aan een eerste systeemkaart op de wijze zoals gespecificeerd in hoofdstuk 3, in het bijzonder overeenkomstig het in paragraaf 3.1.1 gestelde, en overeenkomstig paragraaf 8.2 van bijlage 4.

  • 2 Voor het vaststellen van de geldigheid van de boordcomputerkaart, als bedoeld in het eerste lid, onder c, verifieert de boordcomputer dat het boordcomputerkaartcertificaat is uitgegeven door een certificatieautoriteit die daarvoor door de minister is geautoriseerd en valideert de boordcomputer daarbij de geldigheid van het volledige certificeringspad tot en met het relevante stamcertificaat van de Staat der Nederlanden.

  • 3 Indien zich een fout voordoet bij het lezen of het schrijven van gegevens naar de boordcomputerkaart, voert de boordcomputer dezelfde leesopdracht onderscheidenlijk schrijfopdracht maximaal drie keer uit.

  • 4 Nadat een kaartsessie is gestart werkt de boordcomputer de gegevens die op een geldige chauffeurskaart zijn opgeslagen bij met de volgende gegevens:

    • a. het kenteken van de auto, en

    • b. het nummer van de ondernemerskaart van de vervoerder zoals vastgelegd in de ingeschakelde bedrijfsvergrendeling.

Artikel 18

  • 1 Voordat een kaart wordt uitgenomen zorgt de boordcomputer ervoor dat de kaartsessie volledig en succesvol wordt beëindigd.

  • 2 Het beëindigen van de kaartsessie vereist de aanwezigheid van de boordcomputerkaart in de kaartlezer en is alleen mogelijk indien de auto niet rijdt.

  • 3 Na het beëindigen van een kaartsessie schakelt de boordcomputer automatisch over naar de operationele modus, werkingsniveau basis.

  • 4 De handelingen, bedoeld in het eerste en derde lid, nemen maximaal vijf seconden in beslag.

Artikel 19

  • 1 De boordcomputer beheert de bedrijfsvergrendelingen die een vervoerder aanbrengt in de bedrijfsmodus.

  • 2 De bedrijfsvergrendeling verhindert inzage in de geregistreerde gegevens voor anderen dan de vervoerder voor wie de gegevens zijn geregistreerd, met uitzondering van de houder van een inspectie- of werkplaatskaart.

  • 3 Indien de ondernemerskaart in de kaartlezer wordt ingebracht wordt de bedrijfsvergrendeling automatisch ingeschakeld, waarna de ondernemerskaart kan worden uitgenomen.

  • 5 Een bedrijfsvergrendeling schakelt automatisch uit wanneer een andere vervoerder de vergrendeling inschakelt.

  • 6 Bij de eerste bedrijfsvergrendeling voor de betreffende vervoerder stelt de boordcomputer de ondernemer in staat handmatig de gegevens, bedoeld in artikel 11, onderdelen c en d, in te voeren.

  • 7 De boordcomputer stelt de vervoerder in staat om via de bedrijfsvergrendeling de gegevens, bedoeld in het zesde lid, te wijzigen.

Artikel 20

  • 1 De boordcomputer kan alle geregistreerde gegevens lezen.

  • 3 Wanneer de geheugencapaciteit volledig gebruikt is komen de meest recente gegevens in de plaats van de oudste gegevens, met uitzondering van de gegevens bedoeld in artikel 22, tweede en vijfde lid.

  • 4 Een stroomonderbreking van minder dan twaalf maanden beïnvloedt de in het geheugen opgeslagen gegevens niet.

Artikel 21

  • 1 Indien op basis van deze regeling geen andere informatie getoond behoeft te worden, toont de boordcomputer standaard de volgende gegevens:

    • a. de werkingsmodus en eventueel het werkingsniveau, bedoeld in artikel 4, eerste en tweede lid;

    • b. de kilometerstand, en

    • c. de plaatselijke datum en tijd.

  • 3 Op verzoek van de gebruiker toont de boordcomputer, naast de gegevens bedoeld in het eerste lid en tweede lid, gegevens waarvoor de gebruiker geautoriseerd is.

  • 4 Getoonde gegevens komen overeen met geregistreerde gegevens.

  • 5 Het leesvenster is ingeschakeld indien de boordcomputer is ingeschakeld.

§ 2.5. Activering, deactivering en onderzoek van de boordcomputer

Artikel 22

  • 1 In niet-geactiveerde toestand registreert de boordcomputer, uitgezonderd de gegevens, bedoeld in het tweede lid, geen gegevens en kan de boordcomputer uitsluitend de functies voor activering danwel deactivering uitvoeren.

  • 2 De boordcomputer registreert de volgende identificatiegegevens van de boordcomputer voor de levensduur van de boordcomputer:

    • a. de naam van de fabrikant;

    • b. het serienummer van de boordcomputer;

    • c. het versienummer en de datum van installatie van de programmatuur;

    • d. het versienummer en de datum van installatie van programmatuurrevisies;

    • e. het bouwjaar, en

    • f. het goedkeuringsnummer.

  • 3 De activering van de boordcomputer vindt plaats in de activerings- en keuringsmodus.

  • 4 Wanneer de boordcomputer zich in de niet-geactiveerde toestand bevindt wordt de activeringsfunctie van de boordcomputer automatisch opgestart bij de eerste invoer van een keuringskaart.

  • 5 Bij de activering van de boordcomputer worden de volgende gegevens tot het moment van deactivering geregistreerd:

    • a. het kenteken van de auto;

    • b. de kilometerstand van de auto bij activering;

    • c. de datum en het tijdstip van de activering;

    • d. het nummer van de keuringskaart;

    • e. de constante van de boordcomputer in impulsen per kilometer;

    • f. de effectieve omtrek van de wielbanden in millimeters;

    • g. de bandenmaat van de auto;

    • h. de aanwezigheid van een koppeling met de taxameter, en

    • i. resultaat van het activeringsonderzoek en eventuele opmerkingen.

  • 6 De boordcomputer stelt de gebruiker tijdens de activering in staat de impulsen te tellen om te komen tot de constante van de boordcomputer.

  • 7 Na activering is de boordcomputer volledig operationeel en kan deze, uitgezonderd activering zelf, alle functies uitvoeren.

Artikel 23

  • 1 De deactivering van de boordcomputer vindt plaats in de activerings- en keuringsmodus.

  • 2 Bij de deactivering van de boordcomputer worden alle in het geheugen geregistreerde gegevens overgebracht naar een externe gegevensdrager, met uitzondering van de gegevens, bedoeld in artikel 6, vijfde lid.

  • 3 Onverminderd het tweede lid kunnen de gegevens, bedoeld in artikel 6, vijfde lid, na een verzoek daartoe, uitsluitend bij deactivering worden overgebracht nadat naast de authenticatie op basis van een keuringskaart tevens een authenticatie op basis van een inspectiekaart heeft plaatsgevonden.

  • 4 De ingevolge het tweede en derde lid overgebrachte gegevens worden na een succesvolle overbrenging ervan gewist, met uitzondering van de gegevens, bedoeld in artikel 22, tweede lid.

  • 5 De boordcomputer geraakt na deactivering in inactieve toestand en kan van daaruit uitsluitend de activeringsmodus en de keuringsmodus aannemen.

Artikel 24

  • 1 Het onderzoek van de boordcomputer vindt plaats in de activerings- en keuringsmodus.

  • 2 Tijdens het onderzoek registreert de boordcomputer de volgende gegevens tot deactivering:

    • a. de datum en het tijdstip waarop het onderzoek wordt uitgevoerd;

    • b. het nummer van de keuringskaart, en

    • c. het resultaat van het onderzoek en eventuele opmerkingen.

§ 2.6. Gebeurtenissen, fouten en storingen

Artikel 25

  • 1 De boordcomputer is voorzien van een diagnosemechanisme dat ten minste het volgende vaststelt:

  • 2 Het diagnosemechanisme is niet toegankelijk voor de gebruiker of uitschakelbaar door de gebruiker.

  • 3 Bij het opstarten voert de boordcomputer een zelfbeproeving uit. De zelfbeproeving bevat ten minste een verificatie van de integriteit van de uitvoercode van de boordcomputer, een verificatie van de integriteit van geregistreerde systeemgegevens en het bestaan van storingen als bedoeld in artikel 26, zevende lid.

  • 4 Naast de zelfbeproeving als bedoeld in het derde lid, kan op ieder gewenst moment een ingebouwde beproeving worden gestart. De ingebouwde beproeving stelt de gebruiker in staat vast te stellen of de boordcomputer op correcte wijze functioneert.

  • 5 Op het moment van optreden registreert de boordcomputer de gebeurtenis, fout of storing, waarbij per optreden ten minste de gegevens worden vastgelegd zoals beschreven in bijlage 1, artikel 6.5, onderdeel FAU_GEN.1.2.

  • 6 De boordcomputer beschikt bij normaal gebruik over voldoende opslagcapaciteit voor het vastleggen van gebeurtenissen, fouten en storingen over een periode van ten minste 52 weken.

Artikel 26

  • 1 Een fout treedt op wanneer de correcte werking van de boordcomputer gedurende korte tijd wordt onderbroken.

  • 2 De boordcomputer detecteert ten minste de volgende fouten:

    • a. een integriteitfout in de uitvoercode;

    • b. een integriteitfout in de systeemgegevens;

    • c. een integriteitfout in de opgeslagen gebruikersgegevens;

    • d. een integriteitfout bij de gegevensuitvoer naar de chauffeurskaart;

    • e. een fout in de registratiefunctie;

    • f. een fout die de beveiliging, bedoeld in artikel 31, van de boordcomputer in gevaar brengt;

    • g. een fout bij de gegevensuitvoer naar externe inrichtingen;

    • h. een fout bij het gebruik van de systeemkaart;

    • i. een fout bij het gebruik van de boordcomputerkaart;

    • j. een fout in de bewegingsensor;

    • k. een fout in de positiebepalingsensor;

    • l. een fout in de koppeling met de taxameter.

  • 3 Een storing treedt op wanneer een onderbreking in de correcte werking van de boordcomputer door een gebeurtenis of fout een permanent karakter heeft.

  • 4 De boordcomputer detecteert ten minste de volgende storingen:

    • a. een storing in de werking van de registratiefunctie;

    • b. een storing in de werking van de beveiligingsfuncties;

    • c. een storing in de werking van de sensoren;

    • d. een storing in de overbrenging naar een externe interface zoals beschreven in bijlage 2;

    • e. een storing in de werking van de systeemkaart;

    • f. een storing in de werking van de boordcomputerkaarten.

  • 5 Bij het vastleggen van gebeurtenissen, fouten en storingen koppelt de boordcomputer daar een code aan, zoals beschreven in bijlage 2, artikel 6, zevende lid.

  • 6 Zolang de correcte werking van de beveiligingsfuncties, bedoeld in artikel 31, gegarandeerd is, blijft de boordcomputer na het detecteren van een fout doorgaan met het registreren van gegevens. Deze gegevens worden zodanig in de boordcomputer geregistreerd dat ze herkenbaar zijn als zijnde geregistreerd gedurende een periode waarin zich één of meerdere fouten hebben voorgedaan.

  • 7 De boordcomputer staakt het uitvoeren van verdere handelingen wanneer een storing wordt gedetecteerd als bedoeld in het vierde lid, onderdelen a, b, c en e.

Artikel 27

  • 1 Het optreden van de onderstaande gebeurtenissen leidt tot een fout als bedoeld in artikel 26, tweede lid, onderdeel i:

    • a. het inbrengen van een ongeldige boordcomputerkaart;

    • b. het inbrengen van een chauffeurskaart waarvan blijkt dat de datum en het tijdstip van de laatste registratie op de chauffeurskaart, op een later tijdstip valt dan de actuele datum en het tijdstip van de boordcomputer;

    • c. het niet op een juiste wijze afsluiten van een kaartsessie;

    • d. het inbrengen van een chauffeurskaart waarvan blijkt dat de laatste kaartsessie niet juist is afgesloten;

    • e. het ontstaan van onvoldoende opslagcapaciteit op de chauffeurskaart;

    • f. een niet-succesvolle authenticatiepoging;

    • g. het gedurende een periode van 28 kalenderdagen gebruiken van de operationele modus, werkingsniveau arbeidstijd, zonder geldige boordcomputerkaart.

  • 2 .*Het optreden van de onderstaande gebeurtenissen leidt tot een fout als bedoeld in artikel 26, tweede lid, onderdeel e:

    • a. het ontstaan van onvoldoende opslagcapaciteit op het geheugen van de boordcomputer, en

    • b. een onderbreking van ten minste vijf seconden in de stroomvoorziening van de boordcomputer.

  • 3 Het optreden van een toestand verplaatsen zonder dat er een toestand rijden wordt waargenomen leidt tot een fout als bedoeld in artikel 26, tweede lid, onderdeel j, tenzij er een toestand rijden is vastgesteld in de 20 seconden voor of na het optreden van de toestand verplaatsen.

Artikel 28

  • 5 Het meer dan 100 maal optreden binnen een kalenderdag van een gebeurtenis als bedoeld in artikel 26, tweede lid, onderdeel j of k, leidt tot een storing als bedoeld in artikel 26, vierde lid, onderdeel c.

Artikel 29

  • 1 De boordcomputer waarschuwt de gebruiker zodra het volgende wordt gedetecteerd:

    • a. het optreden en eindigen van fouten in de werking van de boordcomputer genoemd in artikel 26, tweede lid;

    • b. het optreden en eindigen van storingen in de werking van de boordcomputer genoemd in artikel 26, vierde lid.

  • 2 De waarschuwingssignalen worden in ieder geval in visuele vorm weergegeven.

  • 3 De waarschuwingssignalen zijn zowel overdag als ’s nachts duidelijk afleesbaar en herkenbaar en bevinden zich binnen het gezichtsveld van de bestuurder.

  • 4 Indien zich een fout of gebeurtenis voordoet als bedoeld in het eerste lid, onderdelen a en b, wordt de reden van de waarschuwing getoond. Behoudens het vijfde lid blijft de waarschuwing zichtbaar zo lang de fout of gebeurtenis voortduurt met een maximum van dertig seconden na het optreden daarvan.

  • 5 De waarschuwing, bedoeld in het vierde lid, blijft zichtbaar totdat de gebruiker handmatig bevestigt de waarschuwing te hebben opgemerkt:

    • a. ingeval van een storing;

    • b. na de tweede, vierde, zesde en achtste onderbreking van ten minste vijf seconden in de stroomvoorziening van de boordcomputer;

    • c. na het verstrijken van het zesde, twaalfde en achttiende uur na detectie van een fout in de bewegingsensor of de positiebepalingsensor; en

    • d. na de vijfentwintigste, vijftigste en vijfenzeventigste detectie binnen een kalenderdag van een fout in de bewegingsensor of de positiebepalingsensor.

§ 2.7. Eisen aan het functioneren van de boordcomputer

Artikel 30

  • 1 De boordcomputer voldoet aan de eisen die zijn neergelegd in NEN-ISO 10605 Severity level III. Met ESD contact ontladingen met 7 kV, ESD lucht ontladingen met 14 kV en Functional Status Classification A.

  • 2 De boordcomputer voldoet aan de eisen die zijn neergelegd in NEN-EN-IEC 60068-2-1 en NEN-EN-IEC 60068-2-2 en functioneert naar behoren binnen het temperatuurbereik van -20 °C tot +70 °C waarbij:

    • a. Conformiteit aan IEC 60068-2-1 wordt aangetoond volgens testtype Ad gedurende 16 uur, en

    • b. Conformiteit aan IEC 60068-2-2 wordt aangetoond volgens testtype Bd gedurende 16 uur.

  • 3 De boordcomputer voldoet aan de eisen die zijn neergelegd in NEN-EN-IEC 60068-2-30 en functioneert naar behoren binnen het vochtigheidsbereik van 10% tot 90% relatieve vochtigheid, aangetoond volgens testtype Db gedurende 24 uur met 6 cycli.

  • 4 De boordcomputer is beveiligd tegen kortsluiting, overspanning en polariteitomkering.

  • 5 De boordcomputer is bestand tegen kortstondige onderbrekingen of voedingspanningvariaties die worden veroorzaakt door het starten van de auto.

§ 2.8. Beveiligingseisen

Artikel 31

  • 1 De boordcomputer is voorzien van beveiligingsfuncties die de juiste en betrouwbare werking van de boordcomputer waarborgen.

  • 2 De beveiligingsfuncties, bedoeld in het eerste lid, voldoen aan de beveiligings-doelstellingen en de beveiligingseisen bedoeld in bijlage 1.

  • 3 De boordcomputer verifieert programmatuurrevisies door middel van een programmatuur veiligheidscertificatie, voordat deze in de boordcomputer geïmplementeerd worden.

  • 5 Implementeren van programmatuurrevisies als bedoeld in het vierde lid vindt uitsluitend in een erkende werkplaats plaats.

  • 6 De boordcomputer biedt de mogelijkheid om informatie meer dan één keer te voorzien van een elektronische handtekening.

  • 7 Bij het plaatsen van de elektronische handtekening blijft de informatie in de oorspronkelijke vorm behouden. De handtekening wordt als bijlage aan de ondertekende informatie toegevoegd, zodat de oorspronkelijke gegevens leesbaar zijn voor applicaties die geen elektronische handtekening ondersteunen.

Artikel 31a

De fabrikant voorziet erin dat de pin-code van de boordcomputerkaart gedeblokkeerd en gewijzigd kan worden op de wijze zoals gespecificeerd in de paragrafen 8.1, 8.3 en 8.4 van bijlage 4.

§ 3. Nationale typegoedkeuring boordcomputer

Artikel 32

  • 1 De Dienst Wegverkeer verleent een nationale typegoedkeuring voor een boordcomputer die voldoet aan de in paragraaf 2 opgenomen eisen.

Artikel 33

  • 1 Bij een aanvraag als bedoeld in artikel 32, eerste lid, overlegt de fabrikant in elk geval de volgende bescheiden in de Nederlandse of Engelse taal:

    • a. de specificaties volgens welke de boordcomputer is gebouwd;

    • b. een evaluatierapport waaruit blijkt dat het voldoen aan de eisen uit bijlage 1 bij deze regeling is getoetst door een laboratorium dat door een bij het Common Criteria Recognition Agreement aangesloten accreditatie-instelling is geaccrediteerd voor het uitvoeren van Common Criteria evaluaties;

    • c. de documenten die behoren bij het in onderdeel b bedoelde certificaat waarin de beveiligingsdoelstellingen en de door de certificerende instelling gemaakte opmerkingen zijn opgenomen;

    • d. één of meerdere testrapporten die zijn opgesteld door een testinstelling die werkt overeenkomstig ISO-IEC 17025, dan wel overeenkomstig kwaliteitsstandaarden die aantoonbaar een vergelijkbaar beschermingsniveau bieden, waaruit eenduidig blijkt:

      • 1°. dat de boordcomputer voldoet aan de in paragraaf 2 opgenomen eisen voor zover deze eisen niet vallen onder het certificaat als bedoeld in onderdeel b, en

      • 2°. op welke wijze dat is vastgesteld;

    • e. een schriftelijke en ondertekende verklaring van de fabrikant waarin deze verklaart dat hij de boordcomputer gaat produceren en dat de ingevolge onderdeel a overgelegde technische specificaties identiek zijn aan de technische specificaties waarvoor het beveiligingscertificaat en de in onderdeel d bedoelde testrapporten zijn afgegeven;

    • f. een beschrijving van de organisatorische maatregelen die zijn of zullen worden getroffen teneinde te borgen dat de te produceren boordcomputers zullen overeenstemmen met het goedgekeurde type, en

    • g. een gebruikers- en installatiehandleiding.

  • 2 Bij een aanvraag als bedoeld in artikel 32, eerste lid, wordt door de fabrikant voor de keuring een exemplaar van de boordcomputer ter beschikking van de Dienst Wegverkeer gesteld.

  • 3 De Dienst Wegverkeer kan in verband met de uitvoering van de typegoedkeuring bij de testinstelling die één of meerdere door de fabrikant overgelegde testrapporten, bedoeld in het eerste lid, onderdeel d, heeft opgesteld, nadere gegevens opvragen of een onderzoek ter plaatse uitvoeren voor zover dit nodig is voor de beoordeling van deze testrapporten.

  • 4 De fabrikant draagt zorg voor de medewerking van de door hem ingeschakelde testinstellingen aan het in het vorige lid bedoelde opvragen van gegevens of uit te voeren nader onderzoek.

  • 5 Na verlening van typegoedkeuring door de Dienst Wegverkeer, verstrekt de minister op aanvraag en na betaling van het daarvoor verschuldigde tarief, aan de betreffende fabrikant systeemkaarten die alleen ten behoeve van inbouw in de te produceren typegoedgekeurde boordcomputers mogen worden aangewend.

Artikel 35

  • 1 In de bij de programmatuur behorende programmatuurgegevens neemt de fabrikant ten minste de volgende gegevens op:

    • a. een programmatuurversienummer waarmee de combinatie van programmatuur en bijbehorende progammatuurgegevens uniek identificeerbaar is, en

    • b. de certificaten of publieke sleutels van alle certificatieautoriteiten waarmee de authenticiteit en geldigheid van de certificaten van boordcomputerkaarten en systeemkaarten kan worden geverifieerd.

  • 2 In de bij een programmatuurrevisie behorende programmatuurgegevens neemt de fabrikant ten minste de volgende gegevens op:

    • a. een programmatuurversienummer waarmee de combinatie van programmatuurrevisie en bijbehorende progammatuurgegevens uniek identificeerbaar is,

    • b. eventuele aanvullende of vervangende certificaten of publieke sleutels als bedoeld in het tweede lid onder b, en

    • c. een attribuut dat aanduidt of implementeren van de betreffende programmatuurrevisie al dan niet gevolgd moet worden door werkzaamheden als bedoeld in artikel 13, onder b, van de Regeling erkenning werkplaatsen boordcomputer taxi.

  • 3 De fabrikant distribueert de programmatuurrevisie inclusief de bijbehorende programmatuurgegevens niet eerder dan na een positieve beoordeling door de Dienst Wegverkeer.

  • 4 De boordcomputer vervangt de programmatuur met een programmatuurrevisie uitsluitend nadat de authenticiteit van de programmatuurrevisie is geverifieerd en uitsluitend in een van de volgende twee situaties:

    • a. indien de boordcomputer zich in de operationele modus, werkingsniveau basis, bevindt en het attribuut, bedoeld in het derde lid, onder c, aanduidt dat het implementeren van de programmatuurrevisie niet gevolgd hoeft te worden door werkzaamheden als bedoeld in artikel 13, onder b, van de Regeling erkenning werkplaatsen boordcomputer taxi;

    • b. indien de boordcomputer zich in de activerings- en keuringsmodus bevindt.

  • 5 Na vervanging van de programmatuur met een programmatuurrevisie neemt de boordcomputer het programmatuurversienummer van de programmatuurrevisie over als het programmatuurversienummer van de programmatuur.

§ 4. Overgangs- en slotbepalingen

Artikel 37

  • 1 Van een wijziging van de normbladen waarnaar in deze regeling verwezen wordt, doet de minister mededeling in de Staatscourant.

  • 2 Een wijziging in een normblad heeft voor deze regeling pas rechtsgevolgen op 1 januari van het jaar volgende op dat waarin de mededeling bedoeld in het eerste lid heeft plaatsgevonden.

Artikel 40

Deze regeling wordt aangehaald als: Regeling specificaties en typegoedkeuring boordcomputer taxi.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De

Minister

van Verkeer en Waterstaat,

C.M.P.S. Eurlings

Bijlage 1. bij de Regeling boordcomputer taxi

Beveiligingsprofiel Boordcomputer Taxi (PP-BCT)

Versie 1.8

Datum 6 februari 205

Status Defnitief

Inhoud

Artikel 1

Introductie

8

     

Artikel 2

Afkortingen, acroniemen, definities en referenties

8

Artikel 2.1

PP Referentie

8

Artikel 2.2

Claim voor voldoen aan de Common Criteria

9

Artikel 2.3

Notities

9

Artikel 2.4

Afkortingen en acroniemen

9

Artikel 2.5

Referentienormen

9

     

Artikel 3

Overzicht van de TOE

10

Artikel 3.1

Beschrijving van de TOE

10

Artikel 3.2

Levenscyclus van de TOE

11

Artikel 3.3

Entiteiten

13

Artikel 3.3.1

Subjecten – middelen

13

Artikel 3.3.2

Subjecten – gebruikers

14

Artikel 3.3.3

Objecten

14

Artikel 3.4

Begrenzingen van de TOE

16

     

Artikel 4

Beveiligingsprobleem

17

Artikel 4.1

Beveiligingsbeleid

17

Artikel 4.2

Aannames

19

     

Artikel 5

Beveiligingsdoelstellingen

19

Artikel 5.1

Beveiligingsdoelen voor de TOE

19

Artikel 5.2

Beveiligingsdoelen voor de omgeving

20

     

Artikel 6

Functionele beveiligingseisen

21

Artikel 6.1

Beveiligingsrollen

22

Artikel 6.2

Identificatie en Authenticatie

22

Artikel 6.3

BCT-toegangsbeleid

23

Artikel 6.4

Handtekeningen

25

Artikel 6.5

Beveiligingsaudit

26

Artikel 6.6

Bescherming van de BCT

28

     

Artikel 7

Garantieniveau

28

     

Artikel 8

Rationale

29

Artikel 8.1

Beveiligingsdoelstellingen

29

Artikel 8.1.1

Beveiligingsbeleid

29

Artikel 8.1.2

Aannames

30

Artikel 8.2

Beveiligingsdoelstellingen voor de TOE

30

Artikel 8.3

Afhankelijkheden

31

Artikel 1. Introductie

Deze bijlage is een beveiligingsprofiel (Protection Profile) voor de voertuigcomponenten van de boordcomputer in overeenstemming met de Common Criteria versie 3.1. Het beveiligingsprofiel geeft een beschrijving van het door de boordcomputer te implementeren beleid, de te realiseren beveiligingsdoelstellingen, en de te behalen beveiligingseisen, alsmede het vereiste garantieniveau voor de boordcomputer, zoals afgeleid is bij een eerdere afhankelijkheids- en kwetsbaarheidsanalyse.

Dit beveiligingsprofiel voor de boordcomputer is opgesteld voor de Inspectie Leefomgeving en Transport van het Ministerie van Infrastructuur en Milieu.

Artikel 2. Afkortingen, acroniemen, definities en referenties

Artikel 2.1. PP Referentie

Dit document is het ‘Beveiligingsprofiel Boordcomputer Taxi’ (PP-BCT) Versie 1.8, 6 februari 2015.

Artikel 2.2. Claim voor voldoen aan de Common Criteria

Dit beveiligingsprofiel voldoet aan Common Criteria versie 3.1 Revisie 4. Hoewel de ‘International English’ versie is gebruikt voor het ontwikkelen van dit beveiligingsprofiel, is (met toestemming van het certificeringsschema) dit profiel in het Nederlands.

Dit beveiligingsprofiel:

  • is CC Deel 2 conform;

  • is CC Deel 3 conform;

  • is EAL3 conform;

  • claimt niet te voldoen aan andere beveiligingsprofielen;

  • vereist strikte conformering van andere beveiligingsprofielen (PPs) of beveiligingsspecificaties (STs) die aan dit beveiligingsprofiel willen voldoen.

Artikel 2.3. Notities

Dit document volgt de naamgeving en notaties voor beveiligingsprofielen volgens de Common Criteria standaard. Er zijn unieke labels toegewezen aan entiteiten zodat deze gemakkelijk terug te vinden zijn. De labels beginnen met één van de onderstaande karakters:

A

Assumption (aanname)

O

Object (object)

OE

Security objective for the Environment (omgevingsdoelstellingen)

OT

Security objective for the TOE (beveiligingsdoelstelling)

P

Organisational Security Policy (beleid)

S

Subject (persoon, middel of een proces)

Artikel 2.4. Afkortingen en acroniemen

CA

Certificatieautoriteit

CC

Common Criteria (referentienorm)

CEN

European Committee for Standardization

CWA

CENWorkshop Agreements

EAL

Evaluation Assurance Level (garantieniveau)

EH

Elektronische handtekening

EPROM

Erasable Programmable Read Only Memory

ETSI

European Telecommunications Standards Institute

FIPS

Federal Information Processing Standards

GNSS

Global Navigation Satellite System

IEC

International Electrotechnical Commission

IETF

Internet Engineering Task Force

ISO

International Organisation for Standardisation

PIN

Personal identification number (PIN-code)

PP

Protection Profile (Beveiligingsprofiel)

PKI

Public Key Infrastructure (publieke sleutel methodiek)

PUB

Public

ROM

Read Only Memory (ROM-geheugen)

RFC

Request for Comments

SFP

Security Function Policy

SFR

Security Functional Requirement (Beveiligingseis)

SHA

Secure Hash Algorithm

ST

Security Target (Beveiligingsspecificatie)

TOE

Target of Evaluation (onderwerp van de evaluatie)

TS

Technical Standard

TSF

TOE Security Functionality

TSFI

TSF Interface

Artikel 2.5. Referentienormen

De TOE wordt getoetst conform het normenkader van Common Criteria for Information Technology Security Evaluation, versie 3.1, revisie 3, July 2009.

De TOE ondersteunt de volgende standaarden wanneer cryptografische bewerkingen dienen te worden uitgevoerd:

  • Het SHA cryptografische algoritme voor hash functies zoals gedefinieerd in de ISO/IEC 10118-3, FIPS PUB 180-2 en ETSI TS 102 176-1 standaarden;

  • ETSI TS 101 733 Electronic Signature Formats en de FIPS PUB 186-2 standaarden voor elektronische handtekeningen;

Artikel 3. Overzicht van de TOE

Artikel 3.1. Beschrijving van de TOE

De TOE is een controleapparaat bedoeld voor installatie in auto’s gebruikt voor taxivervoer. Het doel is om handhavingprocessen te helpen uitvoeren door de elektronische registratie van de ritadministratie en de arbeids-, rij- en rusttijden en het op aanvraag ter beschikking stellen van deze informatie aan bevoegde personen ter controle.

De TOE kent vier werkingsmodi, te weten: operationele modus, controle modus, activering/keuringsmodus en bedrijfsmodus. De operationele modus kent drie werkingsniveaus: basis, arbeidstijd en taxivervoer. Wanneer taxivervoer wordt aangeboden of arbeidstijd plaatsheeft, selecteert de bestuurder handmatig het corresponderende werkingsniveau. In de operationele modus, werkingsniveau arbeidstijd of taxivervoer, worden gegevens geregistreerd over de uitgevoerde taxiritten en de arbeids-, rij-, en rusttijden van de bestuurder. De aanvang en het beëindigen van een rit wordt door een actieve bedieningshandeling van de bestuurder bij de TOE kenbaar gemaakt. Hierbij dient de beladingtoestand (beladen/onbeladen) te worden aangegeven.

Daarnaast draagt de TOE in alle modi zorg voor het beschikbaar stellen van de basisgegevens tijd en afgelegde afstand, en de positie van het voertuig. In het werkingsniveau basis wordt ook de registratie van gebeurtenissen gevoerd. In de operationele modus is het werkingsniveau basis een apart werkingsniveau. In de overige modi integreert de TOE de basis functionaliteit met de overige functionaliteit van de betreffende modus.

De TOE bestaat ten minste uit een verwerkingseenheid, een geheugen, een tijdklok, een ISO 7816 kaartinterface, een ISO 7810 ID-000 kaartinterface ten behoeve van de systeemkaart, een positiebepalingssensor of een interface voor de positiebepalingssensor, een verplaatsingsopnemer, een interface voor de bewegingsopnemer, een gegevensoverbrengingsinterface, een interface voor de taxameter, een leesvenster en voorzieningen voor de invoer van gebruikersgegevens.

De TOE kan door middel van additionele verbindingen aan andere inrichtingen worden gekoppeld, of daarmee geïntegreerd worden.

Toegang tot de TOE wordt verleend door middel van een boordcomputerkaart met PIN-code en voorzien van een (authenticatie)certificaat. Er worden vier gebruikersrollen voorzien, te weten bestuurder, toezichthouder, werkplaats en vervoerder. De omschakeling tussen werkingsmodi gebeurt door het plaatsen van de correcte boordcomputerkaart in de TOE. Er worden vier verschillende kaarten onderscheiden, te weten: chauffeurskaart, inspectiekaart, keuringskaart en ondernemerskaart. Boordcomputerkaarten maken geen onderdeel uit van de TOE.

Bij aanvang van de dienst dient een chauffeurskaart in de TOE te zijn geplaatst. De bestuurder meldt zich aan met de chauffeurskaart en een persoonlijk identificatie code (PIN-code). De TOE registreert de persoonlijke arbeids-, rij- en rusttijden van de bestuurder en slaat deze op in het interne geheugen van de TOE en op de chauffeurskaart.

In voorkomende gevallen heeft een chauffeur geen kaart en dan dient hij zijn burgerservicenummer in te voeren. Dit burgerservicenummer dient alleen voor identificatie, en wordt door de TOE verder niet gecontroleerd.

De boordcomputerkaarten voor de bestuurder zijn voorzien van een certificaat voor het elektronisch identificeren van de persoon en het ondertekenen van geregistreerde gegevens.

De TOE gebruikt een systeemkaart welke is voorzien van certificaten voor identificatie van de TOE en het plaatsen van elektronische handtekeningen. Het certificaat ten behoeve van de TOE wordt in de productiefase in de vorm van de systeemkaart geïmplementeerd in de TOE. Deze certificaten worden uitgegeven onder verantwoordelijkheid van de Minister van Infrastructuur en Milieu. Systeemkaarten zijn geen onderdeel van de TOE.

De TOE voert gegevens uit naar een leesvenster en kan gegevens ter beschikking stellen ten behoeve van een externe printer en externe inrichtingen.

De operationele omgeving van de TOE geïnstalleerd in de auto is weergegeven in onderstaande figuur.

Bijlage 255198.png
Figuur 1

De systeemkaart plaatst een elektronische handtekening (EH) per uitgevoerde rit over alle ritgegevens terstond nadat de bestuurder heeft aangegeven dat de rit teneinde is.

De chauffeurskaart plaatst een elektronische handtekening bij het einde van de dienst van de bestuurder over de arbeids-, rij- en rusttijden van de bestuurder gedurende de dienst. Hiervoor wordt het persoonsgebonden certificaat van de chauffeurkaart gebruikt waarbij de bestuurder vooraf zijn goedkeuring verleent door het ingeven van de PIN-code van de chauffeurskaart.

De systeemkaart plaatst een elektronische handtekening over de geregistreerde gegevens wanneer deze worden opgeslagen en wanneer deze worden uitgevoerd naar een externe gegevensdrager.

De koppeling van bestuurder aan de geregistreerde gegevens en de waarborging van de integriteit en authenticiteit van de gegevens wordt in onderstaande figuur geïllustreerd:

Bijlage 255199.png
Figuur 2

Artikel 3.2. Levenscyclus van de TOE

De typische levenscyclus van een TOE wordt geïllustreerd door onderstaande figuur. Het verkrijgen van een typegoedkeuring is een verantwoordelijkheid van de fabrikant. Eventuele reparaties worden uitgevoerd door, of onder verantwoordelijkheid van, de fabrikant. Installatie van eventuele nieuwere versies van programmatuur mogen door erkende werkplaatsen met een programmatuurrevisie worden uitgevoerd na een succesvolle authenticatie met een keuringskaart.

Indien naar het oordeel van de Dienst Wegverkeer bij/na het implementeren van een bepaalde programmatuurrevisie geen kalibratie van de boordcomputer benodigd is, dan mag die programmatuurrevisie ook buiten een erkende werkplaats door eenieder op de boordcomputer geïmplementeerd worden indien deze zich in operationele modus met werkingsniveau basis bevindt en er geen gebruikerssessie actief is.

Teneinde de blijvend correcte werking van de boordcomputer te kunnen waarborgen, moet de boordcomputer ten aanzien van het implementeren van programmatuurrevisies de volgende acties uitvoeren:

  • De boordcomputer moet verhinderen dat een programmatuurrevisie die wel gevolgd moet worden door kalibratie kan worden geïnstalleerd zonder een voorafgaande succesvolle authenticatie met een keuringskaart.

  • De boordcomputer moet van elke aangeboden programmatuurrevisie en daarin opgenomen programmatuur vaststellen dat deze integer en authentiek is, alvorens deze te installeren.

  • De boordcomputer moet van elke aangeboden programmatuurrevisie middels een door de Dienst Wegverkeer goedgekeurde op versienummers gebaseerde controle vaststellen dat de programmatuurrevisie geschikt is voor het vervangen van de op de boordcomputer operationele programmatuur, alvorens de programmatuurrevisie te installeren.

  • De boordcomputer moet elke succesvol geïnstalleerde programmatuurrevisie direct na installatie in zijn geheugen registreren onder vermelding van de na installatie geldende basisgegevens, gebeurtenisgegevens en systeemgegevens.

Bijlage 255200.png
Figuur 3

Artikel 3.3. Entiteiten

Voor de TOE zijn de volgende types van entiteiten (subjecten en objecten) relevant:

Artikel 3.3.1. Subjecten – middelen

S.BEWEGINGSOPNEMER

Het instrument, of een deel ervan, gekoppeld aan de TOE dat een signaal in de vorm van een impuls afgeeft over de beweging van de auto op basis waarvan de TOE de afgelegde afstand van de auto kan bepalen.

S.POSITIEBEPALINGSSENSOR

Het instrument, of een deel ervan, gekoppeld aan de TOE dat een signaal afgeeft aan de TOE over de locatie van de auto op basis van verkregen informatie van een satelliet positiebepalingsysteem.

S.BOORDCOMPUTERKAART

De geheugenkaart met chip voor gebruik in de TOE waarmee de TOE de identiteit van de kaarthouder kan vaststellen en waarop gegevens kunnen worden opgeslagen.

S.SYSTEEMKAART

De geheugenkaart met chip die de TOE in staat stelt een elektronische handtekening te plaatsen.

S.PRINTER

Een externe inrichting waaraan gegevens beschikbaar kunnen worden gesteld voor het afdrukken op papier.

S.TAXAMETER

De geijkte externe inrichting voor het bepalen van de ritprijs op basis van een tarievenstructuur.

S.HANDHAVINGSMIDDELEN

Fysiek aan de TOE gekoppelde hulpmiddelen, waaronder externe gegevensdragers en ook te beschouwen als externe gegevensdragers, t.b.v. toezichthouders voor het uitlezen en eventueel verwerken van gegevens.

S.KALIBRATIEMIDDELEN

Fysiek aan de TOE gekoppelde hulpmiddelen, waaronder externe gegevensdragers en ook te beschouwen als externe gegevensdragers, t.b.v. een erkende werkplaats voor het uitlezen van gegevens en/of het ijken, kalibreren, activeren en deactiveren van de TOE.

S.BEDRIJFSMIDDELEN

Fysiek of logisch aan de TOE gekoppelde hulpmiddelen, waaronder externe gegevensdragers en ook te beschouwen als externe gegevensdragers, t.b.v. de vervoerder voor de overdracht van gegevens van en naar de bedrijfsadministratie.

S.UPDATEMIDDELEN

Fysiek of logisch aan de TOE gekoppelde hulpmiddelen, waaronder externe gegevensdragers en ook te beschouwen als externe gegevensdragers, voor de overdracht van programmatuurrevisies naar de TOE.

Artikel 3.3.2. Subjecten – gebruikers

S.CHAUFFEURSKAART

Een aan de bestuurder afgegeven boordcomputerkaart waarmee de boordcomputer de identiteit van de desbetreffende bestuurder kan vaststellen, een elektronische handtekening kan plaatsen, en waarmee de operationele modus van de TOE kan worden geactiveerd.

S.INSPECTIEKAART

Een aan de met het toezicht op de naleving belaste persoon afgegeven boordcomputerkaart die de desbetreffende persoon identificeert en waarmee de controlemodus van de boordcomputer kan worden geactiveerd.

S.KEURINGSKAART

Een aan een erkende werkplaats afgegeven boordcomputerkaart die de desbetreffende werkplaats identificeert en waarmee de activerings- en keuringsmodus van de boordcomputer kan worden geactiveerd.

S.ONDERNEMERSKAART

Een aan een vervoerder afgegeven boordcomputerkaart die de desbetreffende vervoerder identificeert en waarmee de bedrijfsmodus van de boordcomputer kan worden geactiveerd.

Artikel 3.3.3. Objecten

O.BASISGEGEVENS

De tijd, afgelegde afstand en gegevens betreffende verplaatsing zoals bijgehouden door de TOE.

O.ARBEIDSTIJDGEGEVENS

De arbeids-, rij- en rusttijden gegevens van de bestuurder zijnde de rijtijd, pauze en andere werkzaamheden dan rijden geregistreerd door de TOE.

O.RITGEGEVENS

De gegevens per individuele rit bestaande uit ten minste de begin- en eindlocatie, de begin- en einddatum en tijd, afgelegde afstand, de ritprijs, de beladingstoestand en identiteit van de bestuurder geregistreerd door de TOE.

O.BEDRIJFSGEGEVENS

Gegevens over de vervoerder, waaronder autorisaties voor het gedurende een bepaalde periode onafhankelijk van een kaartsessie uitlezen van de TOE, zoals zijn vastgelegd op de TOE.

O.KAARTHOUDERGEGEVENS

Gegevens opgeslagen op de boordcomputerkaart ingebracht in de TOE.

O.POSITIEGEGEVENS

Gegevens betreffende de locatie van de auto die door de S.POSITIEBEPALINGSSENSOR aan de TOE worden aangeleverd.

O.BEWEGINGSGEGEVENS

Gegevens betreffende snelheid en afgelegde afstand die door S.BEWEGINGSOPNEMER of S.POSITIEBEPALINGSSENSOR aan de TOE worden aangeleverd.

O.GEBEURTENISGEGEVENS

Gegevens geregistreerd door de TOE met betrekking tot routinematige en uitzonderlijke gebeurtenissen op basis waarvan analyses mogelijk zijn en de verantwoordelijke gebruiker of proces kan worden bepaald.

O.SYSTEEMGEGEVENS

Specifieke gegevens ter ondersteuning of noodzakelijk voor het functioneren van de TOE of voor identificatie en instellingen van de TOE functies, bestaande uit O.VASTE_SYSTEEMGEGEVENS, O.VARIABELE_SYSTEEMGEGEVENS en O.PROGRAMMATUURGEGEVENS.

O.VASTE_SYSTEEMGEGEVENS

Vaste gegevens van de TOE, zoals de naam van diens fabrikant, het serienummer en het bouwjaar.

O.VARIABELE_SYSTEEMGEGEVENS

Wijzigbare gegevens van de TOE, waaronder het kenteken van de auto en O.INSTELLINGSGEGEVENS.

O.INSTELLINGSGEGEVENS

Die subset van O.VARIABELE_SYSTEEMGEGEVENS die aan kalibratie onderhevig is.

O.PROGRAMMATUUR

De combinatie van TOE uitvoerbare code en gegevens zoals de CA certificaathiërarchie(ën) nodig voor het verifiëren van de geldigheid en authenticiteit van certificaten van boordcomputer- en systeemkaarten, alsmede de bij dat geheel behorende O.PROGRAMMATUURGEGEVENS.

O.PROGRAMMATUURGEGEVENS

Versie-identificerende (vaste) gegevens van O.PROGRAMMATUUR, waaronder een versienummer en een goedkeuringsnummer. De O.PROGRAMMATUURGEGEVENS van de op de TOE operationele O.PROGRAMMATUUR vormen eveneens een subset van O.SYSTEEMGEGEVENS.

O.PROGRAMMATUURREVISIE

De combinatie van een versie van O.PROGRAMMATUUR die is bedoeld om de op de TOE operationele O.PROGRAMMATUUR of delen daarvan te vervangen, een O.KALIBRATIEINDICATIE en een O.VERVANGBARE_VERSIES.

O.KALIBRATIEINDICATIE

Een vast attribuut van een O.PROGRAMMATUURREVISIE dat aanduidt of het vervangen van de op de TOE operationele O.PROGRAMMATUUR met de in de O.PROGRAMMATUURREVISIE opgenomen O.PROGRAMMATUUR wel (positief) of niet (negatief) gevolgd moet worden door kalibratie van O.INSTELLINGSGEGEVENS.

O.VERVANGBARE_VERSIES

Een in een O.PROGRAMMATUURREVISIE opgenomen criterium (zoals een lijst of wildcard) waarmee een versienummer kan worden vergeleken om te bepalen of het met dat criterium correspondeert.

Ter verduidelijking is in de onderstaande figuur de samenhang van de op de TOE aanwezige O.SYSTEEMGEGEVENS en de op de TOE operationele O.PROGRAMMATUUR en hun subobjecten / attributen grafisch weergegeven.

Bijlage 255201.png
Figuur 4

Eveneens ter verduidelijking is in de onderstaande figuur de opbouw van een O.PROGRAMMATUURREVISIE opgenomen.

Bijlage 255202.png
Figuur 5

Artikel 3.4. Begrenzingen van de TOE

De TOE (Target of Evaluation) is de selectie van hardware en software en bijbehorende handleidingen die uiteindelijk wordt geëvalueerd. De TOE moet alle functionaliteit omvatten die nodig is om aan de eisen in dit profiel te voldoen, maar mag daarnaast ook andere zaken bevatten, zoals een routeplanningsapplicatie.

De minimale omvang van de TOE wordt schematisch weergegeven in onderstaande figuur:

Bijlage 255203.png
Figuur 6

Alle onderdelen die in deze afbeelding binnen de grijze omheining worden weergegeven moeten onderdeel zijn van de TOE. Dus bijvoorbeeld de (voertuig) sensor voor bewegingsgegevens (bewegingsopnemer) en de positiebepalingssensor (GNSS) hoeven geen deel uit te maken van de TOE maar de aansluiting van deze sensoren weer wel

Andere zaken die in deze figuur zijn weergegeven (zoals de taxameter en de printer), mogen onderdeel zijn van de TOE, hoewel dit niet altijd praktisch is. Ook extra software en hardware die niet in deze figuur zijn weergegeven (zoals de bovengenoemde routeplanningsapplicatie) mogen deel uitmaken van de TOE.

Daarnaast is het toegestaan om extra hardware of software binnen de fysieke behuizing van de TOE op te nemen, zonder dat deze hardware of software meteen onderdeel worden van de TOE. Het is echter niet toegestaan om tijdens de evaluatie van de TOE aan te nemen dat deze extra hardware of software vertrouwd of goedaardig is: de evaluatie van de TOE dient ondubbelzinnig aan te tonen dat de TOE nog steeds voldoet aan dit Beschermingsprofiel als deze opgenomen hardware of software niet vertrouwd of goedaardig is.

Artikel 4. Beveiligingsprobleem

Artikel 4.1. Beveiligingsbeleid

P.VASTLEGGEN

De TOE legt de volgende gegevens vast, afhankelijk van de werkingsmodus en het actieve werkingsniveau:

  • Operationele modus basis: In ingeschakelde toestand registreert de TOE altijd de positie- en gebeurtenisgegevens. Direct na installatie van een programmatuurrevisie registreert de TOE de na installatie geldende basisgegevens, gebeurtenisgegevens en systeemgegevens. Indien een boordcomputerkaart is ingebracht registreert de TOE de identiteit van de kaarthouder;

  • Operationele modus arbeidstijd: Na een handmatige selectie van het werkingsniveau arbeidstijd, registreert de TOE de positie- en gebeurtenisgegevens en de arbeidstijdgegevens. Het werkingsniveau arbeidstijd wordt automatisch geselecteerd door het inbrengen van de chauffeurskaart, en kan zonder chauffeurskaart handmatig geselecteerd worden na het invoeren van een burgerservicenummer. Indien een boordcomputerkaart is ingebracht registreert de TOE de identiteit van de kaarthouder, indien identificatie plaatsvindt met een burgerservicenummer, dan registreert de TOE dit burgerservicenummer;

  • Operationele modus taxivervoer: Na een handmatige selectie van het werkingsniveau taxivervoer, registreert de TOE de positie- en gebeurtenisgegevens, de arbeidstijdgegevens en de ritgegevens. Indien een boordcomputerkaart is ingebracht registreert de TOE de identiteit van de kaarthouder, indien identificatie plaatsvindt met een burgerservicenummer, dan registreert de TOE dit burgerservicenummer;

  • Controlemodus: De TOE registreert de positie- en gebeurtenisgegevens en de identiteit van de kaarthouder;

  • Activering/keuringsmodus: De TOE registreert de positie- en gebeurtenisgegevens en de identiteit van de kaarthouder. Direct na installatie van een programmatuurrevisie registreert de TOE de na installatie geldende basisgegevens, gebeurtenisgegevens en systeemgegevens;

  • Bedrijfsmodus: De TOE registreert de positie- en gebeurtenisgegevens en de identiteit van de kaarthouder.

P.BEWAREN_EN_BORGEN

De TOE bewaart de vastgelegde gegevens zodat:

  • wijzigingen van de gegevens detecteerbaar zijn;

  • de gegevens onweerlegbaar gekoppeld zijn aan de TOE;

  • de gegevens onweerlegbaar gekoppeld zijn aan de houder van een boordcomputerkaart.

P.ACTIES

De TOE kan de volgende acties uitvoeren, afhankelijk van de werkingsmodus, het actieve werkingsniveau en de ingebrachte en geauthenticeerde boordcomputerkaart:

  • Selecteren van de juiste werkingsmodus;

  • Activering, deactivering en onderzoek van de TOE;

  • Instellen van de bedrijfsvergrendeling;

  • Detecteren en registreren van storingen1;

  • Detecteren en registeren van fouten2;

  • Detecteren en registeren van gebeurtenissen;

  • Gegevens tonen op een leesvenster;

  • Gegevens overbrengen van en naar een externe gegevensdrager;

  • Gegevens overbrengen van de chauffeurskaart naar de TOE;

  • Gegevens overbrengen naar een externe inrichting;

  • Gegevens beschikbaar stellen t.b.v. een printer;

  • Geven van waarschuwingssignalen

  • Programmatuurrevisies overbrengen van externe updatemiddelen naar de TOE;

  • Programmatuur van de TOE updaten met programmatuur uit een programmatuurrevisie.

P.UITVOEREN_GEGEVENS

De TOE kan de geregistreerde gegevens uitvoeren, afhankelijk van de ingebrachte boordcomputerkaart:

  • Geen kaart, geen andere authenticatie:

    • systeemgegevens naar een leesvenster.

  • Geen kaart, authenticatie op basis van burgerservicenummer:

    • systeemgegevens naar een leesvenster;

    • ritgegevens van de huidige sessie naar een leesvenster;

    • arbeids-, rij- en rusttijden van de huidige sessie naar een leesvenster;

    • ritgegevens van de huidige sessie naar een uitvoerinterface voor een printer;

    • arbeids-, rij- en rusttijden van de huidige sessie naar een uitvoerinterface voor een printer;

  • Chauffeurskaart:

    • systeemgegevens naar een leesvenster;

    • eigen ritgegevens naar een leesvenster;

    • eigen arbeids-, rij- en rusttijden naar een leesvenster;

    • eigen arbeids-, rij- en rusttijden naar de chauffeurskaart;

    • eigen ritgegevens naar een uitvoerinterface voor een printer;

    • eigen arbeids-, rij- en rusttijden naar een uitvoerinterface voor een printer.

  • Inspectiekaart: alle gegevens met uitzondering van positiegegevens en beveiligingsgegevens,

    • naar een leesvenster;

    • naar een uitvoerinterface voor een printer;

    • naar een extern handhavingsmiddel.

  • Keuringskaart: alle gegevens met uitzondering van positiegegevens en beveiligingsgegevens,

    • naar een leesvenster;

    • naar een uitvoerinterface voor een printer;

    • naar een extern kalibratiemiddel.

  • Keuringskaart, na actieve handeling gevolgd door Inspectiekaart: de positiegegevens naar een extern handhavingsmiddel.

  • Ondernemerskaart: alle gegevens vastgelegd in de bedrijfsvergrendeling voor de desbetreffende vervoerder met uitzondering van positiegegevens en beveiligingsgegevens,

    • naar een leesvenster;

    • naar een uitvoerinterface voor een printer;

    • naar een extern bedrijfsmiddel.

  • Ondernemerskaart: systeemgegevens

    • naar een leesvenster;

    • naar een uitvoerinterface voor een printer;

    • naar een extern bedrijfsmiddel.

De TOE kan

  • de systeemgegevens en

  • alle gegevens vastgelegd in de bedrijfsvergrendeling voor een bepaalde vervoerder met uitzondering van positiegegevens en beveiligingsgegevens

uitvoeren naar een extern bedrijfsmiddel (op afstand of lokaal) indien

  • de TOE voor de betreffende vervoerder vergrendeld is en

  • de TOE, als onderdeel van de bedrijfsgegevens, beschikt over een unieke autorisatie voor deze uitvoer die

  • een nog niet verstreken geldigheidsperiode voor deze uitvoer vermeldt.

P.INVOEREN_GEGEVENS

De TOE kan gegevens invoeren, afhankelijk van de ingebrachte boordcomputerkaart:

  • Keuringskaart:

    • variabele systeemgegevens van het bedieningspaneel;

    • variabele systeemgegevens van een extern kalibratiemiddel.

  • Ondernemerskaart:

    • bedrijfsgegevens van het bedieningspaneel;

    • bedrijfsgegevens van een extern bedrijfsmiddel.

De TOE kan, onafhankelijk van het bestaan van een gebruikerssessie:

  • Programmatuurrevisies invoeren van een extern updatemiddel;

  • Bedrijfsgegevens,

    waaronder unieke autorisaties voor gegevensuitvoer zoals vermeld onder P.UITVOEREN_GEGEVENS,

    invoeren van een extern bedrijfsmiddel (op afstand of lokaal), indien

  • de TOE voor de betreffende vervoerder vergrendeld is en

  • de bedrijfsgegevens zijn ondertekend door een ondernemerskaart van die vervoerder.

P.VEILIG_UPDATEN

De TOE kan zijn operationele programmatuur updaten met de programmatuur uit een (van een extern updatemiddel afkomstige) programmatuurrevisie indien de TOE heeft vastgesteld dat

  • de programmatuurrevisie integer en authentiek is,

  • uit het corresponderen van het versienummer van de op de TOE operationele programmatuur met de door de Dienst Wegverkeer goedgekeurde invulling van O.VERVANGBARE_VERSIES blijkt dat de programmatuur uit de programmatuurrevisie geschikt is voor het updaten van de in de TOE operationele programmatuur en

  • een van de volgende situaties van toepassing is:

    • op de TOE is een werkplaatssessie actief of

    • op de TOE is geen gebruikerssessie actief en uit de door de Dienst Wegverkeer goedgekeurde invulling van O.KALIBRATIEINDICATIE blijkt dat het updaten niet gevolgd hoeft te worden door kalibratie van de TOE.

P.DEACTIVERING

De TOE kan met behulp van een keuringskaart worden gedeactiveerd. Alle gegevens opgeslagen op de TOE tijdens de deactivering worden overgebracht naar een extern kalibratiemiddel met uitzondering van positiegegevens. Positiegegevens kunnen alleen worden overgebracht naar extern handhavingsmiddel als er tijdens P.DEACTIVERING op de TOE wordt aangemeld met achtereenvolgens S.KEURINGSKAART en S.INSPECTIEKAART.

Artikel 4.2. Aannames3

A.BEDIENING

Er wordt verondersteld dat de bestuurder van de auto de TOE juist bedient en correct het werkingsniveau, de beladingtoestand en het moment van aanvang en beëindiging van een rit selecteert.

A.SENSOREN

Er wordt verondersteld dat de gegevens aangeboden op de sensorinterface(s) correct zijn.

A.SYSTEEMKAART

Er wordt verondersteld dat de systeemkaart een certificaat bevat welk onweerlegbaar is gekoppeld met de TOE; alle gegevens die door de TOE worden aangeboden correct ondertekent; de handtekening terugstuurt naar de TOE.

A.BOORDCOMPUTERKAART

Er wordt verondersteld dat een ingebrachte boordcomputerkaart een certificaat bevat welk onweerlegbaar is gekoppeld met de boordcomputerkaarthouder; alle gegevens die door de TOE worden aangeboden correct ondertekent; de handtekening terugstuurt naar de TOE.

A.BOORDCOMPUTERKAARTHOUDER

Er wordt verondersteld dat boordcomputerkaarthouders hun boordcomputerkaart niet aan derden uitreiken en hun PIN-code geheim houden.

A.PRINTER

Er wordt verondersteld dat gegevens die worden aangeboden ten behoeve van een aangesloten printer, correct worden afgedrukt door die printer.

A.VOOR_ACTIVERING

De TOE wordt in inactieve toestand geleverd aan voertuigfabrikanten, installateurs en/of erkende werkplaatsen. Deze zullen de TOE installeren waarna een erkende werkplaats de TOE zal kalibreren en vervolgens activeren. Na activering kan de TOE door een erkende werkplaats middels deactivering weer in inactieve toestand worden teruggebracht. De cyclus van activering en deactivering door erkende werkplaatsen kan zich gedurende de levensduur van de TOE meerdere keren herhalen.

Voertuigfabrikanten, installateurs en/of erkende werkplaatsen zullen de integriteit van de TOE beschermen zolang de TOE zich niet in actieve toestand bevindt.

Artikel 5. Beveiligingsdoelstellingen

Artikel 5.1. Beveiligingsdoelen voor de TOE

OT.AUDIT

De TOE legt beveiligingsrelevante gebeurtenisgegevens vast en toont deze op het beeldscherm.

OT.AUTHENTICATIE_BOORDCOMPUTERKAART

De TOE zal een ingebrachte boordcomputerkaart authenticeren door middel van zowel:

  • een door de eigenaar van de boordcomputerkaart in te brengen PIN;

  • een op de boordcomputerkaart aanwezig geldig en authentiek certificaat.

OT.VASTLEGGEN

De TOE legt gegevens vast volgens de regels van P.VASTLEGGEN en zodanig dat de geregistreerde gegevens een correcte afspiegeling zijn van de waarden aangeboden op de sensorinterface(s).

OT.KOPPELEN_AAN_SYSTEEMKAART

De TOE zal gegevens die geregistreerd dienen te worden aan de systeemkaart aanbieden ter ondertekening met een elektronische handtekening.

OT.KOPPELEN_AAN_BOORDCOMPUTERKAART

De TOE zal arbeids-, rij- en rusttijden van de bestuurder die geregistreerd dienen te worden, aan de chauffeurskaart aanbieden ter ondertekening met een elektronische handtekening.

OT.OPSLAAN

De TOE zal gegevens die geregistreerd dienen te worden opslaan. De gegevens zullen gezamenlijk worden opgeslagen met de elektronische handtekeningen over deze gegevens.

OT.UITVOEREN_GEGEVENS

De TOE kan geregistreerde gegevens uitvoeren volgens de regels van P.UITVOEREN_GEGEVENS. Tenzij gegevens worden uitgevoerd naar printer of leesvenster worden de bij de gegevens opgeslagen elektronische handtekeningen eveneens uitgevoerd.

OT.INVOEREN_GEGEVENS

De TOE kan gegevens invoeren volgens de regels van P.INVOEREN_GEGEVENS.

OT.FYSIEKE_BEVEILIGING

De TOE biedt fysieke weerstand zodanig dat het openmaken van de TOE in een laboratorium kan worden vastgesteld.

OT.BEWAKING_INTEGRITEIT

De TOE zal de integriteit van de gegevens ten minste bewaken door:

  • Het testen van de integriteit van opgeslagen gegevens bij het opstarten van de TOE (O.SYSTEEMGEGEVENS), op verzoek van een gebruiker of bij het overbrengen van gegevens;

  • Het testen van de integriteit van de op de TOE operationele O.PROGRAMMATUUR bij het opstarten van de TOE of op verzoek van een gebruiker;

  • Het testen van de correcte werking van de TOE en de S.SYSTEEMKAART bij het opstarten van de TOE of op verzoek van een gebruiker.

OT.VEILIG_UPDATEN

De TOE kan zijn operationele programmatuur updaten met de programmatuur uit een (van een extern updatemiddel afkomstige) programmatuurrevisie indien de TOE heeft vastgesteld dat

  • de programmatuurrevisie integer en authentiek is,

  • het versienummer van de op de TOE operationele programmatuur correspondeert met het criterium in O.VERVANGBARE_VERSIES en

  • een van de volgende situaties van toepassing is:

    • op de TOE is een werkplaatssessie actief of

    • op de TOE is geen gebruikerssessie actief en O.KALIBRATIEINDICATIE is negatief.

Artikel 5.2. Beveiligingsdoelen voor de omgeving

OE.VOOR_ACTIVERING

De TOE wordt in inactieve toestand geleverd aan voertuigfabrikanten, installateurs en/of erkende werkplaatsen. Deze zullen de TOE installeren waarna een erkende werkplaats de TOE zal kalibreren en vervolgens activeren. Na activering kan de TOE door een erkende werkplaats middels deactivering weer in inactieve toestand worden teruggebracht. De cyclus van activering en deactivering door erkende werkplaatsen kan zich gedurende de levensduur van de TOE meerdere keren herhalen.

Voertuigfabrikanten, installateurs en/of erkende werkplaatsen zullen de integriteit van de TOE beschermen zolang de TOE zich niet in actieve toestand bevindt.

OE.SENSOREN

De omgeving van de TOE dient ervoor zorg te dragen dat de gegevens die worden aangeboden op de sensorinterface(s) correct zijn. Dit kan bijvoorbeeld door:

  • correcte installatie van TOE en sensoren in het voertuig;

  • controle van het voertuig op manipulatie van sensoren en/of aansluiting.

OE.PRINTER

De omgeving van de TOE dient ervoor zorg te dragen dat de gegevens die worden aangeboden door de TOE aan de printer correct worden afgedrukt. Dit kan bijvoorbeeld door:

  • correcte installatie van TOE en printer in het voertuig;

  • controle van het voertuig op manipulatie van printer en/of aansluiting.

OE.BEDIENING

De omgeving van de TOE dient ervoor zorg te dragen dat de bestuurder van de auto correct gebruik maakt van de mogelijkheden om het werkingsniveau, de beladingtoestand, het begin en einde van een rit en de aanvang en einde van de dienst te selecteren. Dit kan bijvoorbeeld door:

  • handleidingen en instructies;

  • opleiding en training;

  • ergonomisch ontwerp van de TOE en montage in de auto.

OE.SYSTEEMKAART

De omgeving van de TOE dient een systeemkaart te bevatten die:

  • een certificaat bevat welk onweerlegbaar is gekoppeld met de TOE;

  • alle gegevens die door de TOE worden aangeboden correct ondertekent;

  • de handtekening terugstuurt naar de TOE.

OE.BOORDCOMPUTERKAART

De omgeving van de TOE dient boordcomputerkaarten te bevatten die:

  • een certificaat bevat welk onweerlegbaar is gekoppeld met de boordcomputerkaarthouder;

  • alle gegevens die door de TOE worden aangeboden correct ondertekent;

  • de handtekening terugstuurt naar de TOE.

OE.BOORDCOMPUTERKAARTHOUDER

Boordcomputerkaarthouders dienen hun boordcomputerkaart niet aan derden uit te reiken en hun PIN-code geheim te houden. Bestuurders mogen maar één geldige chauffeurskaart in hun bezit hebben.

OE.DEACTIVERING

De TOE wordt buiten gebruik gesteld (deactivering) door erkende werkplaatsen. De opgeslagen gegevens worden hierbij verwijderd met uitzondering van O.SYSTEEMGEGEVENS, O.PROGRAMMATUUR en O.POSITIEGEGEVENS.

OE.VEILIG_UPDATEN

De omgeving van de TOE dient programmatuurrevisies aan te leveren waarvan, voorafgaand aan het door de fabrikant aan de programmatuurrevisie aanbrengen van enig integriteits- en authenticiteitskenmerk,

  • de door de fabrikant gekozen invulling van O.VERVANGBARE_VERSIES zodanig is dat deze door de TOE wordt gebruikt om vast te stellen of de programmatuur uit de desbetreffende programmatuurrevisie geschikt is voor het updaten van de op de TOE operationele programmatuur en

  • de door de fabrikant gekozen invulling van O.KALIBRATIEINDICATIE en O.VERVANGBARE_VERSIES is goedgekeurd door de Dienst Wegverkeer.

Artikel 6. Functionele beveiligingseisen

De functionele beveiligingseisen zijn verdeeld in een aantal functionele groepen. Iedere groep bevat één of meer onderling samenhangende eisen. De groepen zijn:

  • Beveiligingsrollen: Deze definiëren de verschillende rollen en modi van de TOE, en hoe deze rollen worden aangenomen.

  • Identificatie en Authenticatie: Deze definiëren hoe boordcomputerkaarten en andere randapparatuur worden geïdentificeerd en waar nodig geauthenticeerd.

  • BCT-toegangsbeleid: Hier wordt beschreven wat wordt vastgelegd, en wie daar wat mee mag doen.

  • Handtekeningen: Hier wordt beschreven hoe handtekeningen worden gevraagd aan Systeemkaart en Boordcomputerkaart

  • Beveiligingsaudit: Hier wordt beschreven hoe welke systeemgebeurtenissen worden geregistreerd en hoe deze zijn beschermd

  • Bescherming van de BCT: Hier wordt beschreven hoe de fysieke beveiliging van de BCT werkt en hoe de integriteit wordt gewaarborgd.

Artikel 6.1. Beveiligingsrollen

FMT_SMR.2 Restricties op gebruikersrollen

FMT_SMR.2.1 De TSF kent de volgende gebruikersrollen:

  • BESTUURDER

  • TOEZICHTHOUDER

  • WERKPLAATS

  • VERVOERDER

  • ONBEKEND

FMT_SMR.2.2 De TSF kan rollen met gebruikers associëren

FMT_SMR.2.3 De TSF zal de volgende regels afdwingen:

  • De rol BESTUURDER wordt aangenomen (en de werkingsmodus wordt Operationele Modus Arbeidstijd) als S.CHAUFFEURSKAART is ingebracht en geauthenticeerd, of als geen S.BOORDCOMPUTERKAART is ingebracht en de gebruiker met het burgerservicenummer is geïdentificeerd.

  • De rol TOEZICHTHOUDER wordt aangenomen (en de werkingsmodus wordt Controle Modus) als S.INSPECTIEKAART is ingebracht en geauthenticeerd

  • De rol WERKPLAATS wordt aangenomen (en de werkingsmodus wordt Activerings/Keuringsmodus) als S.KEURINGSKAART is ingebracht en geauthenticeerd

  • De rol VERVOERDER wordt aangenomen (en de werkingsmodus wordt Bedrijfsmodus) als S.ONDERNEMERSKAART is ingebracht en geauthenticeerd

  • De rol ONBEKEND wordt aangenomen (en de werkingsmode wordt Operationele Modus Basis) als:

    • Geen kaart is ingebracht en de gebruiker heeft zich niet met burgerservicenummer geïdentificeerd

    • Wel een kaart is ingebracht maar de authenticatie faalt

Artikel 6.2. Identificatie en Authenticatie

FIA_UID.1 Tijd van identificatie (Boordcomputerkaarten)

FIA_UID.1.1 De TSF staat het registreren van de O.POSITIEGEGEVENS, en O.GEBEURTENISGEGEVENS namens de gebruikersrol ONBEKEND toe, voordat een gebruiker is geïdentificeerd.

FIA_UID.1.2 De TSF eist dat S.CHAUFFEURSKAART, S.INSPECTIEKAART, S.KEURINGSKAART, en S.ONDERNEMERSKAART succesvol zijn geïdentificeerd op basis van de identiteit weergegeven in het certificaat op die boordcomputerkaart, alvorens andere handelingen te verrichten namens de desbetreffende gebruiker.

FIA_UAU.1 Tijd van authenticatie (Boordcomputerkaarten)

FIA_UAU.1.1 De TSF staat het registreren van de O.BASISGEGEVENS, O.ARBEIDSTIJDGEGEVENS, O.RITGEGEVENS, O.POSITIEGEGEVENS, O.BEWEGINGSGEGEVENS en O.GEBEURTENISGEGEVENS namens de gebruikersrol ONBEKEND toe, voordat een gebruiker is geauthenticeerd.

FIA_UAU.1.2 De TSF eist dat S.CHAUFFEURSKAART, S.INSPECTIEKAART, S.KEURINGSKAART en S.ONDERNEMERSKAART succesvol zijn geauthenticeerd op basis van:

  • Een minimaal 4 karakter lange PIN (deze authenticatie wordt door S.CHAUFFEURSKAART, S.INSPECTIEKAART, S.KEURINGSKAART en S.ONDERNEMERSKAART uitgevoerd en het resultaat wordt door deze aan de TSF gerapporteerd), en

  • Verificatie dat het certificaat op de boordcomputerkaart geldig en authentiek is.

FIA_AFL.1 Falen van authenticatie (FIA_AFL)

FIA_AFL.1.1 De TSF detecteert wanneer vijf (5) opeenvolgende niet-succesvolle authenticatiepogingen plaatsvinden gerelateerd aan het authenticeren van dezelfde S.CHAUFFEURSKAART, S.INSPECTIEKAART, S.KEURINGSKAART of S.ONDERNEMERSKAART

FIA_AFL.1.2 Als er vijf (5) opeenvolgende niet-succesvolle authenticatiepogingen zijn gedetecteerd, dan zal de TSF:

  • een gebeurtenis genereren;

  • de gebruiker waarschuwen;

  • aannemen dat de gebruikersrol ONBEKEND is.

FIA_UAU.6 Herauthenticeren

FIA_UAU.6.1 De TSF zal S.CHAUFFEURSKAART, S.INSPECTIEKAART, S.KEURINGSKAART en S.ONDERNEMERSKAART herauthenticeren onder de volgende condities:

  • bij het plaatsen van een elektronische handtekening door een boordcomputerkaart;

  • bij het invoeren van de boordcomputerkaart;

  • bij het opheffen van een geblokkeerde kaartsessie;

  • bij herstel van de stroomvoorziening na een onderbreking

FTA_SSL.2 Blokkeren van een sessie op initiatief van een gebruiker

FTA_SSL.2.1 De TSF zal S.BOORDCOMPUTERKAART toestaan een sessie te blokkeren door het uitnemen van S.BOORDCOMPUTERKAART zonder dat is aangegeven dat de sessie van de gebruiker is beëindigd en als de auto zich in de toestand stilstaan bevindt door middel van:

  • het wissen van het scherm

  • het blokkeren van alle invoerapparatuur behalve die benodigd is voor het opheffen van de blokkering

FTA_SSL.2.2 De TSF eist dat de volgende handelingen plaatsvinden alvorens de blokkering op te heffen:

  • het opnieuw inbrengen van dezelfde S.CHAUFFEURSKAART waarvoor de kaartsessie is geblokkeerd.

FTA_SSL.3 Automatisch beëindigen van een sessie

FTA_SSL.3.1 De TSF beëindigt een kaartsessie:

  • als een geblokkeerde S.CHAUFFEURSKAART sessie niet binnen 60 minuten wordt hervat;

  • meteen als een andere S.BOORDCOMPUTERKAART wordt ingebracht dan waarvoor de TSF is geblokkeerd, tenzij

    • de TSF in de toestand P.DEACTIVERING is geplaatst door een S.KEURINGSKAART waarna een S.INSPECTIEKAART wordt aangeboden, of;

    • in de Operationele Modus Arbeidstijd of Operationele Modus Taxivervoer een S.INSPECTIEKAART wordt aangeboden;

  • als in een sessie van een S.ONDERNEMERSKAART, S.INSPECTIEKAART of S.KEURINGSKAART gedurende 5 minuten geen handelingen aan de TSF verricht.

FIA_UID.2 Identificatie voor enige actie (Systeemkaart)

FIA_UID.2.1 De TSF identificeert S.SYSTEEMKAART op basis van de identiteit weergegeven in het machine-gebonden certificaat zoals vastgelegd op de systeemkaart verbonden met de TOE, alvorens handelingen te verrichten namens S.SYSTEEMKAART.

FIA_UID.2 Identificatie voor enige actie (Overigen)

FIA_UID.2.1 De TSF identificeert S.BEWEGINGSOPNEMER, S.POSITIEBEPALINGSSENSOR, S.PRINTER, S.TAXAMETER, S.HANDHAVINGSMIDDELEN, S.KALIBRATIEMIDDELEN, S.BEDRIJFSMIDDELEN en S.UPDATEMIDDELEN op basis van hun aanwezigheid op de daarvoor bestemde interface, alvorens handelingen te verrichten namens de desbetreffende subjecten.

Artikel 6.3. BCT-toegangsbeleid

FDP_ACC.2 Volledige toegangscontrole

FDP_ACC.2.1 De TSF dwingt het toepassen van het BCT-toegangsbeleid af voor alle subjecten, alle objecten en alle handelingen4.

FDP_ACC.2.2 De TSF garandeert dat alle verrichtingen tussen een subject gecontroleerd door de TSF en een object gecontroleerd door de TSF zijn onderworpen aan een toegangscontrole SFP.

FDP_ACF.1 Toegangscontrole op basis van attributen

FDP_ACF.1.1 De TSF dwingt het toepassen van het BCT-toegangsbeleid af voor objecten voor alle subjecten en alle objecten.

FDP_ACF.1.2 De TSF dwingt de volgende regels af om te bepalen of een verrichting tussen gecontroleerde subjecten en gecontroleerde objecten is toegestaan:

  • TSF zal:

    • Altijd O.BEWEGINGSGEGEVENS inlezen, samenvatten, en samen met de tijd5 en de gegevens betreffende verplaatsing beschikbaar stellen als O. BASISGEGEVENS;

    • Altijd O.POSITIEGEGEVENS inlezen en vastleggen;

    • O.ARBEIDSTIJDGEGEVENS vastleggen in Operationele Modus Arbeidstijd en Operationele Modus Taxivervoer;

    • O.RITGEGEVENS vastleggen in Operationele Modus Taxivervoer.

    • Altijd O.PROGRAMMATUURREVISIEs (kunnen) inlezen van S.UPDATEMIDDELEN en (t.b.v. een eventuele update) vastleggen;

    • Direct na het uitvoeren van een software update met een O.PROGRAMMATUURREVISIE de na de update geldende O.BASISGEGEVENS, O.GEBEURTENISGEGEVENS en O.SYSTEEMGEGEVENS vastleggen in Operationele Modus Basis c.q. Activerings- en Keuringsmodus;

    • O.BEDRIJFSGEGEVENS van een bepaalde vervoerder (kunnen) inlezen van S.BEDRIJFSMIDDELEN, indien:

      • de TSF voor de desbetreffende vervoerder is vergrendeld en

      • de O.BEDRIJFSGEGEVENS zijn ondertekend door een S.ONDERNEMERSKAART van de desbetreffende vervoerder;

    • De volgende gegevens:

      • O.SYSTEEMGEGEVENS en

      • alle O.BASISGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.RITGEGEVENS, O.BEDRIJFSGEGEVENS, O.KAARTHOUDERGEGEVENS en O.GEBEURTENISGEGEVENS geregistreerd gedurende de periode dat de TSF voor de desbetreffende vervoerder is vergrendeld of vergrendeld geweest (bedrijfsvergrendeling)

      (kunnen) uitvoeren naar S.BEDRIJFSMIDDELEN, indien:

      • de TSF voor de desbetreffende vervoerder is vergrendeld en

      • de TSF, als onderdeel van O.BEDRIJFSGEGEVENS, beschikt over een unieke autorisatie voor deze uitvoer die

        • een nog niet verstreken geldigheidsperiode voor deze uitvoer vermeldt.

    • NB: Als gegevens worden vastgelegd dan is dat inclusief de elektronische handtekening6.

  • ONBEKEND mag de in de TOE operationele O.PROGRAMMATUUR door de O.PROGRAMMATUUR uit een (van S.UPDATEMIDDELEN afkomstige) O.PROGRAMMATUURREVISIE vervangen indien:

    • de O.PROGRAMMATUURREVISIE integer en authentiek is,

    • het versienummer van de in de TOE operationele O.PROGRAMMATUUR correspondeert met het criterium in O.VERVANGBARE_VERSIES uit de O.PROGRAMMATUURREVISIE en

    • de O.KALIBRATIEINDICATIE uit de O.PROGRAMMATUURREVISIE negatief is.

  • ONBEKEND mag O.SYSTEEMGEGEVENS tonen op een leesvenster.

  • BESTUURDER mag de eigen:

    • O.RITGEGEVENS, O.ARBEIDSTIJDENGEGEVENS en O.KAARTHOUDERGEGEVENS tonen op een leesvenster;

    • O.ARBEIDSTIJDENGEGEVENS opslaan op de S.CHAUFFEURSKAART;

    • O.ARBEIDSTIJDENGEGEVENS van de S.CHAUFFEURSKAART overbrengen naar de TOE;

    • O.RITGEGEVENS en O.KAARTHOUDERGEGEVENS uitvoeren naar S.PRINTER.

  • BESTUURDER mag O.SYSTEEMGEGEVENS tonen op een leesvenster.

  • TOEZICHTHOUDER mag alle O.BASISGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.RITGEGEVENS, O.BEDRIJFSGEGEVENS, O.KAARTHOUDERGEGEVENS, O.GEBEURTENISGEGEVENS en O.SYSTEEMGEGEVENS

    • tonen op een leesvenster;

    • uitvoeren naar S.PRINTER;

    • uitvoeren naar S.HANDHAVINGSMIDDELEN.

  • TOEZICHTHOUDER mag, mits de TOE is gedeactiveerd, O.POSITIEGEGEVENS

    • uitvoeren naar S.HANDHAVINGSMIDDELEN.

  • WERKPLAATS mag de TOE deactiveren.

  • WERKPLAATS mag O.VARIABELE_SYSTEEMGEGEVENS aanpassen

    • vanaf het bedieningspaneel;

    • vanaf S.KALIBRATIEMIDDELEN.

  • WERKPLAATS mag de in de TOE operationele O.PROGRAMMATUUR door de O.PROGRAMMATUUR uit een (van S.UPDATEMIDDELEN afkomstige) O.PROGRAMMATUURREVISIE vervangen indien:

    • de O.PROGRAMMATUURREVISIE integer en authentiek is en

    • het versienummer van de in de TOE operationele O.PROGRAMMATUUR correspondeert met het criterium in O.VERVANGBARE_VERSIES uit de O.PROGRAMMATUURREVISIE.

  • WERKPLAATS mag alle O.BASISGEGEVENS, O.RITGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.BEDRIJFSGEGEVENS, O.KAARTHOUDERGEGEVENS, O.GEBEURTENISGEGEVENS en O.SYSTEEMGEGEVENS

    • tonen op een leesvenster;

    • uitvoeren naar S.PRINTER;

    • uitvoeren naar S.KALIBRATIEMIDDELEN.

  • VERVOERDER mag alle O.BASISGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.RITGEGEVENS, O.BEDRIJFSGEGEVENS, O.KAARTHOUDERGEGEVENS en O.GEBEURTENISGEGEVENS geregistreerd gedurende de periode dat de TSF voor de desbetreffende vervoerder is vergrendeld of vergrendeld geweest (bedrijfsvergrendeling)

    • tonen op een leesvenster;

    • uitvoeren naar S.PRINTER;

    • uitvoeren naar S.BEDRIJFSMIDDELEN.

  • VERVOERDER mag alle O.SYSTEEMGEGEVENS

    • tonen op een leesvenster;

    • uitvoeren naar S.PRINTER;

    • uitvoeren naar S.BEDRIJFSMIDDELEN.

  • VERVOERDER mag O.BEDRIJFSGEGEVENS aanpassen

    • vanaf het bedieningspaneel;

    • vanaf S.BEDRIJFSMIDDELEN.

FDP_ACF.1.3 -7

FDP_ACF.1.4 De TSF zal expliciet toegang van subjecten naar objecten weigeren gebaseerd op de volgende regel:

  • Alle niet in FDP_ACF.1.2 genoemde toegang is niet toegestaan

FDP_ETC.2 Export van gegevens met attributen

FDP_ETC.2.1 De TSF dwingt het gebruik van het BCT-toegangsbeleid af wanneer O.BASISGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.RITGEGEVENS, O.POSITIEGEGEVENS, O.BEDRIJFSGEGEVENS, O.GEBEURTENISGEGEVENS en O.SYSTEEMGEGEVENS gegevens worden overgebracht naar externe gegevensdragers of inrichtingen buiten de TSF.

FDP_ETC.2.2 De TSF exporteert gegevens inclusief de bijbehorende elektronische handtekening over deze gegevens, behalve als deze naar S.PRINTER of het leesvenster worden geëxporteerd.

FDP_ETC.2.3 De TSF garandeert dat de elektronische handtekening onlosmakelijk is geassocieerd met de geëxporteerde gegevens.

FDP_ETC.2.4 De TSF dwingt de volgende regels af wanneer gegevens worden geëxporteerd van de TSF:

  • De TSF handhaaft de rangschikking van gegevens (berichtvolgorde) bij gegevensoverdracht naar externe gegevensdragers of inrichtingen;

FDP_ITC.1 Import van gegevens zonder attributen

FDP_ITC.1.1 De TSF dwingt het gebruik van het BCT-toegangsbeleid af wanneer gegevens worden ingelezen van S.BOORDCOMPUTERKAARTEN, S.BEWEGINGSOPNEMER, S.POSITIEBEPALINGSSENSOR, S.HANDHAVINGSMIDDELEN, S.KALIBRATIEMIDDELEN, S.BEDRIJFSMIDDELEN, S.UPDATEMIDDELEN of S.TAXAMETER.FDP_ITC.1.2 De TSF negeert attributen wanneer gegevens worden ingelezen door de TSF.

FDP_ITC.1.3 De TSF dwingt de volgende regels af wanneer gegevens worden ingelezen door de TSF:

  • De TSF verwerkt gegevens alleen wanneer deze afkomstig zijn van:

    • de interne tijdklok van de TSF;

    • de interne verplaatsingsopnemer van de TSF;

    • contact signaal (ignition sense);

    • invoer door de gebruiker via het bedieningspaneel;

    • S.BEWEGINGSOPNEMER;

    • S.POSITIEBEPALINGSSENSOR;

    • S.BOORDCOMPUTERKAARTEN;

    • S.SYSTEEMKAART;

    • S.TAXAMETER;

    • S.BEDRIJFSMIDDELEN;

    • S.UPDATEMIDDELEN.

Artikel 6.4. Handtekeningen

FDP_DAU.2 Data authenticatie met identiteit

FDP_DAU.2.1 De TSF kan een bewijs van de validiteit van gegevens genereren als volgt:

  • Een hash van O.RITGEGEVENS wordt ondertekend door de S.SYSTEEMKAART over de volledige set van desbetreffende O.RITGEGEVENS direct bij het registreren van deze gegevens per individuele rit;

  • Een hash van O.ARBEIDSTIJDGEGEVENS wordt ondertekend door S.CHAUFFEURSKAART direct bij het registreren van deze gegevens bij het beëindigen van de dienst van de bestuurder of het afsluiten van de kaartsessie;

  • Een hash van O.ARBEIDSTIJDGEGEVENS wordt ondertekend door S.SYSTEEMKAART direct bij het registreren van deze gegevens indien de S.CHAUFFEURSKAART niet beschikbaar is;

  • Een hash van alle gegevens overgebracht naar S.HANDHAVINGSMIDDELEN, S.BEDRIJFSMIDDELEN, S.KALIBRATIEMIDDELEN wordt ondertekend door de S.SYSTEEMKAART op het moment van de overdracht;

  • Hashes van alle geregistreerde O.BASISGEGEVENS, O.ARBEIDSTIJDENGEGEVENS, O.RITGEGEVENS, O.POSITIEGEGEVENS, O.BEDRIJFSGEGEVENS en O.GEBEURTENISGEGEVENS worden ondertekend door S.SYSTEEMKAART.

FDP_DAU.2.2 De TSF levert S.BOORDCOMPUTERKAART een mogelijkheid om het bewijs van de integriteit en authenticiteit van de gegevens en de identiteit van de gebruiker die de gegevens heeft ondertekend te verifiëren.

FTP_ITC.1 Vertrouwd kanaal tussen TSFs

FTP_ITC.1.1 De TSF levert een communicatiekanaal tussen de TSF en de S.SYSTEEMKAART. Dit communicatiekanaal is gescheiden van andere communicatiekanalen, levert zekere identificatie van de eindpunten, en beschermt de data op het kanaal tegen wijzigen of lekken.

FTP_ITC.1.2 De TSF mag alleen zelf communicatie initiëren over het vertrouwde kanaal.

FTP_ITC.1.3 De TSF zal communicatie initiëren over het vertrouwde kanaal voor het door S.SYSTEEMKAART laten zetten van handtekeningen en het ontvangen van deze handtekeningen.

FCS_COP.1 Cryptografische operaties

FCS_COP.1.1 De TSF zal hash-operaties uitvoeren volgens zowel het SHA-1 en het SHA-256 cryptografische algoritme zoals gedefinieerd in de ISO/IEC 10118-3, FIPS PUB 180-2 en ETSI TS 102 176-1 standaarden.

Artikel 6.5. Beveiligingsaudit

FAU_GEN.1 Genereren van gebeurtenisgegevens8

FAU_GEN.1.1 De TSF genereert een gebeurtenis record van de volgende gebeurtenissen:

  • het aanzetten van de TOE;

  • het uitzetten van de TOE;

  • het optreden van storingen9 in de werking van de TSF;

    • a. een storing in de werking van de registratiefunctie;

    • b. een storing in de werking van de beveiligingsfuncties;

    • c. een storing in de werking van de sensoren;

    • d. een storing in de overbrenging naar een externe interface

    • e. een storing in de werking van de systeemkaart;

    • f. een storing in de werking van de boordcomputerkaarten.

  • het optreden van fouten10 in de werking van de TSF;

    • a. een integriteitfout in de programmatuur;

    • b. een integriteitfout in de systeemgegevens;

    • c. een integriteitfout in de opgeslagen gebruikersgegevens;

    • d. een integriteitfout bij de gegevensuitvoer naar de chauffeurskaart;

    • e. een fout in de registratiefunctie;

    • f. een fout die de beveiliging van de boordcomputer in gevaar brengt;

    • g. een fout bij de gegevensuitvoer naar externe inrichtingen;

    • h. een fout bij het gebruik van de systeemkaart;

    • i. een fout bij het gebruik van de boordcomputerkaart;

    • j. een fout in de bewegingsensor;

    • k. een fout in de positiebepalingsensor;

    • l. een fout in de koppeling met de taxameter.

  • het inbrengen van S.BOORDCOMPUTERKAART;

  • het uitnemen van S.BOORDCOMPUTERKAART;

  • het inbrengen van een ongeldige S.BOORDCOMPUTERKAART;

  • het inbrengen van een S.CHAUFFEURSKAART waarvan blijkt dat de datum en het tijdstip van de laatste registratie op S.CHAUFFEURSKAART op een later tijdstip valt dan de actuele datum en tijdstip volgens de tijdwaarneming van de TSF;

  • het niet juist afsluiten van de kaartsessie;

  • het inbrengen van S.CHAUFFEURSKAART waarvan blijkt dat de laatste kaartsessie niet juist is afgesloten;

  • het ontstaan van onvoldoende opslagcapaciteit;

  • het verdwijnen van onvoldoende opslagcapaciteit;

  • het ontstaan van onvoldoende opslagcapaciteit op de S.CHAUFFEURSKAART;

  • het verdwijnen van onvoldoende opslagcapaciteit op de S.CHAUFFEURSKAART;

  • het ontstaan van een onderbreking van ten minste 5 seconden in de stroomvoorziening van de TOE;

  • het verdwijnen van een onderbreking van ten minste 5 seconden in de stroomvoorziening van de TOE;

  • het begin van een periode waarin de contactgeschakelde voedingsbron is uitgeschakeld in de toestand rijden;

  • het einde van een periode waarin de contactgeschakelde voedingsbron is uitgeschakeld in de toestand rijden;

  • het vaststellen van een toestand verplaatsen door de verplaatsingsopnemer van de TOE wanneer er geen O.BEWEGINGSGEGEVENS van de S.BEWEGINGSOPNEMER worden verkregen;

  • het begin van het niet kunnen verkrijgen van O.POSITIEGEGEVENS gedurende 5 minuten;

  • het einde van het niet kunnen verkrijgen van O.POSITIEGEGEVENS gedurende 5 minuten;

  • een afwijking van meer dan twee procent tussen de, met behulp van O.BEWEGINGSGEGEVENS en de constante van de boordcomputer in de O.SYSTEEMGEGEVENS, berekende afstand en de werkelijke afstand;

  • een afwijking van meer dan vijf procent tussen de O.BEWEGINGSGEGEVENS en de O.POSITIEGEGEVENS;

  • het ontstaan van een onderbreking in de koppeling met S.TAXAMETER;

  • het verdwijnen van een onderbreking in de koppeling met S.TAXAMETER;

  • het overbrengen van gegevens inclusief de naam van de gebruikte interface;

  • het activeren van de TSF;

  • het keuren van de TSF;

  • het deactiveren van de TSF;

  • het vergrendelen van de TSF;

  • het inschakelen van een werkingsmodus inclusief naam werkingsmodus;

  • het uitschakelen van een werkingsmodus inclusief naam werkingsmodus;

  • het begin van rijden in de operationele modus werkingsniveau taxivervoer zonder S.CHAUFFEURSKAART;

  • het einde van rijden in de operationele modus werkingsniveau taxivervoer zonder S.CHAUFFEURSKAART;

  • het detecteren van een niet-succesvolle authenticatiepoging;

  • het installeren van een programmatuurrevisie;

  • starten of stoppen van audit- en beveiligingsfuncties;

  • het uitblijven of weigeren van een elektronische handtekening door S.CHAUFFEURSKAART of S.SYSTEEMKAART;

  • het detecteren van een niet-geautoriseerde (poging tot) wijziging van de TSF configuratie, waaronder het detecteren van een (of meer) van de volgende aan het installeren van een programmatuurrevisie gerelateerde situaties:

    • a. een integriteit- of authenticiteitfout in de aangeboden O.PROGRAMMATUURREVISIE;

    • b. het versienummer van de in de TOE operationele O.PROGRAMMATUUR correspondeert niet met het criterium in O.VERVANGBARE_VERSIES uit de aangeboden O.PROGRAMMATUURREVISIE;

    • c. het aanbieden van een O.PROGRAMMATUURREVISIE met een positieve O.KALIBRATIEINDICATIE terwijl de TOE zich niet in activerings- en keuringsmodus bevindt;

  • toegang tot het gebeurtenissenlogboek.

FAU_GEN.1.2 De TSF legt per gebeurtenis ten minste de volgende informatie vast zoals die geldt op het moment van optreden:

  • een automatisch gegenereerd oplopend volgnummer;

  • type van de gebeurtenis (de gebeurteniscode);

  • de datum en het tijdstip als gecoördineerde wereldtijd;

  • de kilometerstand;

  • de verplaatsingstoestand van de auto (rijden/stilstaan);

  • de werkingsmodus en werkingsniveau van de TOE;

  • waar relevant, de uitkomst van de gebeurtenis;

  • waar relevant, aanvullende relevante informatie, waaronder, bij detectie van een niet geautoriseerde (poging tot) installeren van een programmatuurrevisie, vermelding van de specifieke reden waarom dit niet geautoriseerd is;

als een storing of fout is opgetreden tevens:

  • de gebeurteniscode van de aanleiding voor de storing of fout;

als een S.BOORDCOMPUTERKAART is ingebracht in de TSF tevens:

  • het kaartnummer en kaartsoort;

  • de gebruikeridentificatiecode;

als geen S.BOORDCOMPUTERKAART is ingebracht, maar de gebruiker is geïdentificeerd met een burgerservicenummer:

  • het burgerservicenummer.

FAU_SAA.1 Detectie van potentiële inbreuk op beveiliging

FAU_SAA.1.1 De TSF beschouwt de in FAU_GEN.1.1 met een – gemarkeerde gebeurtenissen als beveiligingsrelevant.

FAU_ARP.1 Automatische respons op gebeurtenissen

FAU_ARP.1.1 De TSF geeft een waarschuwingsignaal op het leesvenster wanneer een beveiligingsrelevante gebeurtenis wordt gedetecteerd.

FAU_STG.1 Bescherming van gebeurtenisgegevens

FAU_STG.1.1 De TSF beschermt de opgeslagen gebeurtenis records in O.GEBEURTENISGEGEVENS tegen ongeautoriseerd verwijderen.

FAU_STG.1.2 De TSF voorkomt ongeautoriseerde aanpassingen in de opgeslagen gebeurtenis records in O.GEBEURTENISGEGEVENS.

FAU_STG.4 Voorkomen van verlies van gebeurtenisgegevens

FAU_STG.4.1 De TSF overschrijft de oudste gebeurtenis records met nieuwere wanneer de opslagcapaciteit voor de O.GEBEURTENISGEGEVENS vol is.

FRU_RSA.2 Maximum en minimum quotas

FRU_RSA.2.1 -11

FRU_RSA.2.2 De TSF garandeert een minimum hoeveelheid opslagcapaciteit voldoende voor 365 dagen van normaal gebruik tegelijkertijd te gebruiken voor:

  • O.BASISGEGEVENS;

  • O.RITGEGEVENS;

  • O.POSITIEGEGEVENS;

  • O.BEDRIJFSGEGEVENS;

  • O.GEBEURTENISGEGEVENS;

FPT_STM.1 Tijd

FPT_STM.1.1 De TSF is in staat om betrouwbare tijdsregistraties uit te voeren in de Universal Time Coordinated met een afwijking van ten hoogste één (1) seconde en een resolutie van één (1) seconde of nauwkeuriger.

Artikel 6.6. Bescherming van de BCT

FPT_PHP.1 Passieve detectie van fysieke aanvallen

FPT_PHP.1.1 De TSF zal een laboratorium in staat stellen om fysieke aanvallen ondubbelzinnig te detecteren12.

FPT_PHP.1.2 De TSF zal het mogelijk maken om te bepalen dat fysieke aanvallen op de TSF, de S.SYSTEEMKAART of de verbinding tussen TSF en de S.SYSTEEMKAART hebben plaatsgevonden.

FPT_TST.1 Testen van de TSF

FPT_TST.1.1 De TSF zal een verzameling zelf-testen doen bij het opstarten om de correcte werking van de TSF te demonstreren.

FPT_TST.1.2 De TSF zal TOEZICHTHOUDER, WERKPLAATS en VERVOERDER de mogelijkheden bieden om de integriteit van de TSF data te verifiëren.

FPT_TST.1.3 De TSF zal ONBEKEND, TOEZICHTHOUDER, WERKPLAATS en VERVOERDER de mogelijkheden bieden om de integriteit van de op de TOE operationele O.PROGRAMMATUUR, waaronder de TSF uitvoerbare programmatuurcode (executables), te verifiëren.

Artikel 7. Garantieniveau

Voor de typegoedkeuring van de boordcomputer wordt een Common Criteria garantieniveau vereist van ten minste EAL3. Dit niveau analyseert de geclaimde beveiligingsfuncties door middel van een analyse van functionele en interface specificatie, (gebruikers)documentatie en een beschrijving van de architectuur van de boordcomputer. De analyse wordt ondersteund met onafhankelijk testen, verificatie van de testresultaten van de ontwikkelaar een beperkt onderzoek naar zwakheden. Daarnaast worden aspecten van de gebruikte ontwerpmiddelen, configuratiebeheer en leveringsprocedures beschouwd.

In combinatie met een uitgebreid en formeel geëvalueerd beveiligingsprofiel (Protection Profile), een periodiek onderzoek en actieve handhaving, kan aannemelijk worden gemaakt dat goedgekeurde boordcomputers voldoende weerstand zullen bieden tegen de onderkende dreigingen en dat gebrekkig functionerende boordcomputers kunnen worden opgespoord.

Artikel 8. Rationale

Artikel 8.1. Beveiligingsdoelstellingen

Deze sectie bevat een uitleg dat de beveiligingsdoelstellingen het gehele beveiligingsprobleem adresseren. Dit beveiligingsprobleem bestaat uit drie delen:

  • Dreigingen: Dit profiel bevat geen dreigingen, dus er is ook geen uitleg

  • Beveiligingsbeleid: Zie sectie 8.1.1

  • Aannames: Zie sectie 8.1.2

Artikel 8.1.1. Beveiligingsbeleid

Deze sectie bevat een uitleg dat de beveiligingsdoelstellingen alle delen van het beveiligingsbeleid implementeren.

P.VASTLEGGEN

Deze wordt direct ondervangen door OT.VASTLEGGEN. Daarnaast vindt indirecte ondersteuning plaats door OT.FYSIEKE_BEVEILIGING en OT.AUTHENTICATIE_BOORDCOMPUTERKAART.

P.BEWAREN_EN_BORGEN

Het bewaren van de gegevens wordt ondervangen door:

  • OT.OPSLAAN, wat de gegevens en alle elektronische handtekeningen opslaat.

Het detecteren van de wijzigingen in de vastgelegde gegevens wordt ondervangen door:

  • Het aanbieden van de gegevens aan de systeemkaart (OT.KOPPELEN_AAN_SYSTEEMKAART) en het door deze ondertekenen van de gegevens (OE.SYSTEEMKAART);

  • Het aanbieden van gegevens aan de boordcomputerkaart (OT.KOPPELEN_AAN_BOORDCOMPUTERKAART) en het door deze ondertekenen van de gegevens (OE.BOORDCOMPUTERKAART).

Het onweerlegbaar koppelen aan de TOE wordt ondervangen door:

  • Het aanbieden van de gegevens aan de systeemkaart (OT.KOPPELEN_AAN_SYSTEEMKAART) en het door deze ondertekenen van de gegevens (OE.SYSTEEMKAART);

  • Dat de systeemkaart een certificaat bevat welk onweerlegbaar is gekoppeld aan de TOE (OE.SYSTEEMKAART).

Het onweerlegbaar koppelen aan de boordcomputerkaarthouder wordt ondervangen door:

  • Het aanbieden van gegevens aan de boordcomputerkaart (OT.KOPPELEN_AAN_BOORDCOMPUTERKAART) en het door deze ondertekenen van de gegevens (OE.BOORDCOMPUTERKAART);

  • Dat de boordcomputerkaart een certificaat bevat welk onweerlegbaar is gekoppeld aan de boordcomputerkaarthouder (OE.BOORDCOMPUTERKAART);

  • Dat de boordcomputerkaarthouder zich authenticeert met een PIN bij het insteken van de kaart (OT.AUTHENTICATIE_BOORDCOMPUTERKAART);

  • Dat de boordcomputerkaarthouder zijn kaart veilig bewaart en zijn PIN geheim houdt. (OE.BOORDCOMPUTERKAARTHOUDER).

Daarnaast vindt indirecte ondersteuning plaats door OT.FYSIEKE_BEVEILIGING, OT.AUDIT en OT.BEWAKING_INTEGRITEIT.

P.ACTIES

Deze wordt direct ondervangen door OT.AUDIT, OT.UITVOEREN_GEGEVENS, OT.INVOEREN_GEGEVENS, OT_VEILIG_UPDATEN, OT.AUTHENTICATIE_BOORDCOMPUTERKAART en OE.BEDIENING. Daarnaast vindt indirecte ondersteuning plaats door OT.FYSIEKE_BEVEILIGING en OT.BEWAKING_INTEGRITEIT.

P.UITVOEREN_GEGEVENS

Deze wordt direct ondervangen door OT.UITVOEREN_GEGEVENS, OT.AUTHENTICATIE_BOORDCOMPUTERKAART en OE.BEDIENING. Daarnaast vindt indirecte ondersteuning plaats door OE.PRINTER.

P.INVOEREN_GEGEVENS

Deze wordt direct ondervangen door OT.INVOEREN_GEGEVENS, OT.AUTHENTICATIE_BOORDCOMPUTERKAART en OE.BEDIENING.

P.VEILIG_UPDATEN

Deze wordt direct ondervangen door OT.VEILIG_UPDATEN, OE.VEILIG_UPDATEN, OT.AUTHENTICATIE_BOORDCOMPUTERKAART en OE.BEDIENING. Daarnaast vindt indirecte ondersteuning plaats door OT.INVOEREN_GEGEVENS.

P.DEACTIVERING

Deze wordt direct ondervangen door OE.DEACTIVERING (voor deactivering en verwijderen gegevens), OT.UITVOEREN_GEGEVENS (voor wat betreft het uitvoeren van gegevens) en OT.AUTHENTICATIE_BOORDCOMPUTERKAART.

Artikel 8.1.2. Aannames

Deze sectie bevat een uitleg dat de beveiligingsdoelstellingen alle aannames implementeren.

A.BEDIENING

Deze wordt direct ondervangen door OE.BEDIENING.

A.SENSOREN

Deze wordt direct ondervangen door OE.SENSOREN.

A.SYSTEEMKAART

Deze wordt direct ondervangen door OE.SYSTEEMKAART.

A.BOORDCOMPUTERKAART

Deze wordt direct ondervangen door OE.BOORDCOMPUTERKAART.

A.BOORDCOMPUTERKAARTHOUDER

Deze wordt direct ondervangen door OE.BOORDCOMPUTERKAARTHOUDER.

A.PRINTER

Deze wordt direct ondervangen door OE.PRINTER.

A.VOOR_ACTIVERING

Deze wordt direct ondervangen door OE.VOOR_ACTIVERING.

Artikel 8.2. Beveiligingsdoelstellingen voor de TOE

OT.AUDIT

Deze wordt gerealiseerd door FAU_GEN.1 die specificeert welke gegevens er van welke gebeurtenissen worden vastgelegd.

Dit wordt ondersteund door:

  • FPT_STM.1 die aangeeft dat er een klok is die nauwkeurig de tijd aangeeft (zodat de juiste datum en tijd wordt opgeslagen bij de gebeurtenisgegevens)

  • FAU_SAA.1 die aangeeft welke van de gebeurtenissen beveiligingsrelevant zijn

  • FAU_ARP.1 die aangeeft dat beveiligingsrelevante gegevens ook allemaal worden getoond op het leesvenster

  • FAU_STG.1 die aangeeft dat de gegevens niet zo maar kunnen worden verwijderd of veranderd

  • FRU_RSA.2 dat vastlegt dat er genoeg opslagruimte moet zijn voor 365 dagen normaal gebruik

  • FAU_STG.4 dat vastlegt dat oude gegevens worden overschreven als de opslagruimte vol raakt

OT.AUTHENTICATIE_BOORDCOMPUTERKAART

Deze wordt gerealiseerd door FIA_UID.1 (Boordcomputerkaarten) en FIA_UAU.1 (Boordcomputerkaarten) welke de I&A regels voor boordcomputerkaarten geven

Dit wordt ondersteund door:

  • FIA_AFL.1 die aangeeft wat er gebeurt bij falende authenticatie

  • FIA_UAU.6 die aangeeft dat er onder sommige omstandigheden nogmaals moet worden geauthenticeerd

  • FTA_SSL.2 die tijdelijke blokkade van een sessie toelaat

  • FTA_SSL.3 die aangeeft wanneer een sessie wordt afgebroken

OT.VASTLEGGEN

Deze wordt gerealiseerd door FDP_ACC.2 en FDP_ACF.1 die de regels van P.VASTLEGGEN implementeren.

Dit wordt ondersteund door:

  • FIA_UID.2 (Overigen) die S.BEWEGINGSSENSOR en S.POSITIEBEPALINGSSENSOR identificeren;

  • FDP_ITC.1 die vastlegt dat gegevens mogen worden ingelezen van S.BEWEGINGSSENSOR en S.POSITIEBEPALINGSSENSOR;

  • FRU_RSA.2 die vastlegt dat er genoeg opslagruimte moet zijn voor 365 dagen normaal gebruik;

  • FIA_UID.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART identificeert;

  • FIA_UAU.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART authenticeert.

OT.KOPPELEN_AAN_SYSTEEMKAART

Deze wordt gerealiseerd door FDP_DAU.2 die het zetten van een handtekening implementeert. Dit wordt ondersteund door:

  • FIA_UID.2 (Systeemkaart) die S.SYSTEEMKAART identificeert.

  • FCS_COP.1 die een hash genereert (de hash wordt getekend in plaats van de gegevens)

  • FTP_ITC.1 die ervoor zorgdraagt dat de hash niet wordt veranderd voordat deze wordt getekend

  • FDP_ACF.1 die specificeert dat de handtekening ook wordt opgeslagen

OT.KOPPELEN_AAN_BOORDCOMPUTERKAART

Deze wordt gerealiseerd door FDP_DAU.2 die het zetten van een handtekening implementeert. Dit wordt ondersteund door:

  • FIA_UID.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART identificeert.

  • FIA_UAU.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART authenticeert.

  • FCS_COP.1 die een hash genereert (de hash wordt getekend in plaats van de gegevens)

  • FDP_ACF.1 die specificeert dat de handtekening ook wordt opgeslagen

  • FMT_SMR.2 die de verschillende rollen specificeert die bij de verschillende boordcomputerkaarten horen

OT.OPSLAAN

Zie OT.VASTLEGGEN, OT.KOPPELEN_AAN_SYSTEEMKAART en OT.KOPPELEN_AAN_BOORDCOMPUTERKAART. Daarnaast wordt dit ondersteund door:

  • FRU_RSA.2 die vastlegt dat er genoeg opslagruimte moet zijn voor 365 dagen normaal gebruik

OT.UITVOEREN_GEGEVENS

Deze wordt gerealiseerd door FDP_ACC.2 en FDP_ACF.1 die de regels van P.UITVOEREN_GEGEVENS implementeren. Dit wordt ondersteund door:

  • FIA_UID.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART identificeert.

  • FIA_UAU.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART authenticeert.

  • FMT_SMR.2 die de verschillende rollen definieert;

  • FIA_UID.2 (Overigen) die de verschillende soorten randapparatuur identificeert waar naar toe kan worden uitgevoerd;

  • FDP_ETC.2 die ervoor zorg draagt dat de elektronische handtekening mee wordt uitgevoerd.

OT.INVOEREN_GEGEVENS

Deze wordt gerealiseerd door FDP_ACC.2 en FDP_ACF.1 die de regels van P.INVOEREN_GEGEVENS implementeren. Dit wordt ondersteund door:

  • FIA_UID.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART identificeert.

  • FIA_UAU.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART authenticeert.

  • FMT_SMR.2 die de verschillende rollen definieert;

  • FIA_UID.2 (Overigen) die de verschillende soorten randapparatuur identificeert waarvandaan kan worden ingevoerd;

  • FDP_ITC.1 die regels voor het invoeren vastlegt.

OT.FYSIEKE_BEVEILIGING

Deze wordt direct gerealiseerd door FPT_PHP.1.

OT.BEWAKING_INTEGRITEIT

Deze wordt direct gerealiseerd door FPT_TST.1.

OT.VEILIG_UPDATEN

Deze wordt direct gerealiseerd door FDP_ACC.2 en FDP_ACF.1 die de regels van P.VEILIG_UPDATEN implementeren. Dit wordt ondersteund door:

  • FIA_UID.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART identificeert.

  • FIA_UAU.1 (Boordcomputerkaarten) die S.BOORDCOMPUTERKAART authenticeert.

  • FMT_SMR.2 die de verschillende rollen definieert;

  • FIA_UID.2 (Overigen) die de verschillende soorten randapparatuur identificeert waarvandaan kan worden ingevoerd;

  • FDP_ITC.1 die regels voor het invoeren definieert;

  • FAU_GEN.1 die gebeurtenissen m.b.t. P.VEILIG_UPDATEN definieert.

Artikel 8.3. Afhankelijkheden

De volgende afhankelijkheden zijn niet vervuld:

  • FMT_MSA.3 (van FDP_ACF.1 en FDP_ITC.1): aangezien er geen attributen worden gebruikt, hoeven de attributen ook niet te worden geïnitialiseerd;

  • FDP.ITC.1 of FDP_ITC.2 of FCS_CKM.1 (van FCS.COP.1): aangezien hashing geen sleutels gebruikt, hoeven de sleutels ook niet te worden geïmporteerd of gegenereerd;

  • FCS_CKM.4 (van FCS_COP.1): aangezien hashing geen sleutels gebruikt, hoeven de sleutels ook niet te worden vernietigd.

Bijlage 2. bij de Regeling specificaties en typegoedkeuring boordcomputer taxi

Gegevensoverbrengingsinterface Boordcomputer Taxi

Versie 2.2

Datum 8 december 2014

Status DEFINITIEF

Inhoud

Artikel 1

Definities

34

     

Artikel 2

Algemeen

34

Artikel 2.1

Doel 6

34

Artikel 2.2

Hardware koppeling 6

34

Artikel 2.3

Snelheidseis gegevenslevering 6

34

Artikel 2.4

Bestandsformaat 7

35

Artikel 2.5

Overbrengingsprotocol 7

35

Artikel 2.6

Totstandkoming gegevenslevering 7

35

Artikel 2.6.1

Periode gegevenslevering 7

35

Artikel 2.6.2

Verwerking gegevenslevering 9

37

Artikel 2.7

Authenticatie en autorisatie 10

37

Artikel 2.8

Integriteit 10

38

Artikel 2.8.1

Integriteit exportbericht 10

38

Artikel 2.8.2

Integriteit geregistreerde gegevens 14

41

Artikel 2.8.3

Processchema’s 15

42

Artikel 2.9

Foutafhandeling 19

44

Artikel 2.9.1

Functionele fouten 19

45

Artikel 2.9.2

Technische fouten 19

45

Artikel 2.9.3

Onvolledige gegevens 19

45

Artikel 2.10

Overige kenmerken 19

45

     

Artikel 3

Ritadministratie 20

45

Artikel 3.1

Gegevens en functionele en technische berichtstructuur 20

45

Artikel 3.2

Ritadministratie.xsd 22

47

Artikel 3.3

Volgorde gegevens 24

49

Artikel 3.4

Integriteit gegevens 24

50

Artikel 3.5

Overige kenmerken 25

50

Artikel 3.5.1

Naamgeving 25

50

Artikel 3.5.2

Berichtgrootte 25

50

     

Artikel 4

Arbeids-, rij- en rusttijden 25

50

Artikel 4.1

Gegevens en functionele en technische berichtstructuur 25

50

Artikel 4.2

Arbeidstijden.xsd 27

53

Artikel 4.3

Volgorde gegevens 29

56

Artikel 4.4

Integriteit gegevens 30

56

Artikel 4.5

Overige kenmerken 30

57

Artikel 4.5.1

Naamgeving 30

57

Artikel 4.5.2

Berichtgrootte 31

57

     

Artikel 5

Coördinaten 31

57

Artikel 5.1

Gegevens en functionele en technische berichtstructuur 31

57

Artikel 5.2

Coordinaten.xsd 32

58

Artikel 5.3

Volgorde gegevens 33

60

Artikel 5.4

Integriteit gegevens 33

60

Artikel 5.5

Overige kenmerken 33

60

Artikel 5.5.1

Naamgeving 33

60

Artikel 5.5.2

Berichtgrootte 33

60

     

Artikel 6

Gebeurtenis 34

60

Artikel 6.1

Gegevens en functionele en technische berichtstructuur 34

60

Artikel 6.2

Gebeurtenis.xsd 35

62

Artikel 6.3

Volgorde gegevens 37

63

Artikel 6.4

Integriteit gegevens 37

64

Artikel 6.5

Codetabel 37

64

Artikel 6.6

Overige kenmerken 39

65

Artikel 6.6.1

Naamgeving 39

65

Artikel 6.6.2

Berichtgrootte 39

65

     

Artikel 7

Onderzoek 39

66

Artikel 7.1

Gegevens en functionele en technische berichtstructuur 39

66

Artikel 7.2

Onderzoek.xsd 41

68

Artikel 7.3

Volgorde gegevens 43

71

Artikel 7.4

Integriteit gegevens 43

71

Artikel 7.5

Overige kenmerken 44

71

Artikel 7.5.1

Naamgeving 44

71

Artikel 7.5.2

Berichtgrootte 44

72

     

Artikel 8

Chauffeurskaartdata 44

72

Artikel 8.1

Gegevens en functionele en technische berichtstructuur 44

72

Artikel 8.2

Chauffeurskaartdata.xsd 45

73

Artikel 8.3

Volgorde gegevens 47

74

Artikel 8.4

Integriteit gegevens 47

75

Artikel 8.5

Overige kenmerken 47

75

Artikel 8.5.1

Naamgeving 47

75

Artikel 8.5.2

Berichtgrootte 47

75

     

Artikel 9

Toelichting specificaties gegevensleveringen en algemene XSD 48

75

Artikel 9.1

Toelichting bij specificaties van gegevensleveringen 48

75

Artikel 9.2

Algemene XML schema definities in bcttypes.xsd 48

77

Artikel 1. Definities

In deze bijlage wordt verstaan onder:

  • a. XML: eXtensible Markup Language;

  • b. USB: Universal Serial Bus;

  • c. ritadministratie.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering ritadministratie;

  • d. arbeidstijden.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering Arbeids-, rij en rusttijden;

  • e. coordinaten.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering coördinaten;

  • f. gebeurtenis.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering gebeurtenis;

  • g. onderzoek.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering onderzoek;

  • h. chauffeurskaartdata.xsd: XML schema definitie van het resultaatbericht van de gegevenslevering chauffeurskaartdata;

  • i. bcttypes.xsd: XML schema definitie van de gegevenstypen die in de XML schema definities genoemd onder c. t/m h. worden gebruikt.

Artikel 2. Algemeen

Aan dit document wordt gerefereerd als ‘Gegevensoverbrengingsinterface Boordcomputer Taxi Versie 2.2’. Deze versie dateert van 8 december 2014’.

Artikel 2.1. Doel

In dit artikel worden de gemeenschappelijke kenmerken beschreven die gelden voor de gegevensleveringen ‘Ritadministratie’, ‘Arbeids-, rij- en rusttijden’, ‘Coördinaten’, ‘Gebeurtenis’, ‘Onderzoek’ en ‘Chauffeurskaartdata’.

Artikel 2.2. Hardware koppeling

De overbrengingsinterface die gebruikt wordt voor de gegevensoverbrenging naar een externe gegevensdrager is een USB poort. Er geldt:

  • a. de USB poort moet aantoonbaar compliant zijn met de specificaties zoals opgesteld door het USB Implementers Forum, Inc.;

  • b. de USB poort is een USB type A connector.

De snelheidseis, als beschreven in artikel 2.3, is leidend bij de keuze van USB 1.1 of hoger. Als de snelheidseis van alle gegevensleveringen (‘Ritadministratie’, ‘Arbeids-, rij- en rusttijden’, ‘Coördinaten’, ‘Gebeurtenis’ ‘Onderzoek’ en ‘Chauffeurskaartdata’) beschreven in deze bijlage gehaald kan worden met USB 1.1 (12 Mbit/s) dan is USB 1.1 toegestaan, zo niet dan moet USB 2.0 (480 Mbit/s) of hoger gebruikt worden.

Artikel 2.3. Snelheidseis gegevenslevering

Na opvragen van een gegevenslevering moet het corresponderende XML bericht binnen de volgende termijnen beschikbaar zijn op het externe gegevensdrager:

  • a. Bestand tot 3 Mbyte binnen 10 seconden;

  • b. Voor iedere Mbyte die het bestand groter is kan de termijn met 3 seconden worden vergroot.

Artikel 2.4. Bestandsformaat

Voor externe opslagmedia moet het bestandssysteem FAT32 ondersteund worden.

Artikel 2.5. Overbrengingsprotocol

De boordcomputer fungeert als host en neemt het initiatief voor gegevensoverdracht naar de externe gegevensdrager.

Artikel 2.6. Totstandkoming gegevenslevering

Om een gegevenslevering tot stand te laten komen, stelt de boordcomputer de houder van een boordcomputerkaart in staat om:

  • a. zich met de boordcomputerkaart te authenticeren;

  • b. de externe gegevensdrager met de overbrengingsinterface van de boordcomputer te verbinden;

  • c. op de boordcomputer één of meerdere gegevensleveringen te selecteren. Standaard zijn alle gegevensleveringen waarvoor de gebruiker is geautoriseerd geselecteerd;

  • d. op de boordcomputer een periode in te voeren waarover gegevens opgevraagd moeten worden voor de betreffende gegevenslevering(en).

  • e. op de boordcomputer de betreffende gegevenslevering(en) over de ingevoerde periode met één gebruikershandeling starten.

Nadat alle geselecteerde gegevensleveringen succesvol zijn afgerond en de berichten met de gegevens beschikbaar zijn op de externe gegevensdrager, toont de boordcomputer een melding dat de gegevens beschikbaar zijn.

Artikel 2.6.1. Periode gegevenslevering

De periode, als bedoeld in artikel 2.6, onderdeel d, bedraagt per levering maximaal 1 jaar, met uitzondering van de gegevenslevering ‘Onderzoek’ die geen maximum periode kent, en de gegevenslevering ‘Chauffeurskaartdata’ die de periode van de arbeids-, rij- en rusttijdendata van de chauffeurskaart overneemt.

De standaardwaarde voor ‘Datumtijd begin periode’ is het tijdstip van opvragen minus 29 kalenderdagen, met uitzondering van de gegevenslevering ‘Onderzoek’, waar ‘Datumtijd begin periode’ standaard leeg is, en de gegevenslevering ‘Chauffeurskaartdata’, waar de standaarwaarde voor ‘Datumtijd begin periode’ overeenkomt met het oudste record op de chauffeurskaart. ‘Datumtijd einde periode’ is standaard leeg. Als bij opvragen van een gegevenslevering ‘Datumtijd begin periode’ leeg is, wordt deze gevuld met de datum en het tijdstip van de activering. Is ‘Datumtijd einde periode’ leeg, dan wordt ‘Datumtijd einde periode’ gevuld met de datum en het tijdstip waarop het bericht wordt samengesteld;

In de gegevenslevering ‘Coördinaten’, ‘Gebeurtenis’ en ‘Onderzoek’ worden alle gegevens opgenomen die binnen de opgevraagde periode vallen.

In de gegevenslevering ‘Ritadministratie’, ‘Arbeidstijd’ en ‘Chauffeurskaartdata’ worden alle gegevensets opgenomen die de gevraagde periode, inclusief grenzen, overlappen. In de onderstaande tabel is de selectie voor deze gegevensleveringen verder uitgewerkt. Alle gegevensets worden opgenomen die voldoen aan één van de onderstaande condities:

Conditie 1

Datumtijd begin gegevenset ligt vóór Datumtijd begin periode

en

Datumtijd einde gegevenset is gelijk aan Datumtijd begin periode

Conditie 2

Datumtijd begin gegevenset ligt vóór Datumtijd begin periode

en

Datumtijd einde gegevenset ligt ná Datumtijd begin periode

en

Datumtijd einde gegevenset ligt vóór Datumtijd einde periode

Conditie 3

Datumtijd begin gegevenset ligt vóór Datumtijd begin periode

en

Datumtijd einde gegevenset ligt ná Datumtijd einde periode

Conditie 4

Datumtijd begin gegevenset is gelijk aan Datumtijd begin periode

en

Datumtijd einde gegevenset ligt ná Datumtijd begin periode

en

Datumtijd einde gegevenset ligt vóór Datumtijd einde periode

Conditie 5

Datumtijd begin gegevenset is gelijk aan Datumtijd begin periode

en

Datumtijd einde gegevenset is gelijk aan Datumtijd einde periode

Conditie 6

Datumtijd begin gegevenset is gelijk aan Datumtijd begin periode

en

Datumtijd einde gegevenset ligt na Datumtijd einde periode

Conditie 7

Datumtijd begin gegevenset ligt na Datumtijd begin periode

en

Datumtijd begin gegevenset ligt voor Datumtijd einde periode

en

Datumtijd einde gegevenset ligt na Datumtijd begin periode

en

Datumtijd einde gegevenset ligt voor Datumtijd einde periode

Conditie 8

Datumtijd begin gegevenset ligt na Datumtijd begin periode

en

Datumtijd begin gegevenset ligt voor Datumtijd einde periode

en

Datumtijd einde gegevenset is gelijk aan Datumtijd einde periode

Conditie 9

Datumtijd begin gegevenset ligt na Datumtijd begin periode

en

Datumtijd begin gegevenset ligt voor Datumtijd einde periode

en

Datumtijd einde gegevenset ligt na Datumtijd einde periode

Conditie 10

Datumtijd begin gegevenset is gelijk aan Datumtijd einde periode

en

Datumtijd einde gegevenset ligt na Datumtijd einde periode

De tabel kan als volgt gevisualiseerd worden. Alle gegevenssets behalve gegevensset 11 en 12 worden in het bericht opgenomen.

Bijlage 255204.png
Figuur 1

Artikel 2.6.2. Verwerking gegevenslevering

Aanvragen van een gegevenslevering is een synchrone aanvraag die direct verwerkt moet worden.

Als de boordcomputer bezig is met de verwerking van een aanvraag voor een gegevenslevering, dan is het niet mogelijk om dezelfde gegevenslevering of een andere gegevenslevering aan te vragen zolang de huidige aanvraag niet is afgerond.

Het is wel eenvoudig mogelijk om een aanvraag te onderbreken. Na onderbreken van de huidige aanvraag is een nieuwe aanvraag van een gegevenslevering direct (< 1 seconde wachten) mogelijk.

De overige functies van de boordcomputer blijven functioneren als de boordcomputer bezig is met het verwerken van een aanvraag voor een gegevenslevering ‘Ritadministratie’, ‘Arbeids-, rij- en rusttijden’, ‘Coördinaten’, ‘Gebeurtenis’, ‘Onderzoek’ of ‘Chauffeurskaartdata’.

Overschrijven van een bericht op de externe gegevensdrager met dezelfde naam, is alleen toegestaan na een bevestiging van de gebruiker.

Artikel 2.7. Authenticatie en autorisatie

Aanvragen van de gegevensleveringen ‘Ritadministratie’, ‘Arbeids-, rij- en rusttijden’, ‘Coördinaten’, ‘Gebeurtenis’, ‘Onderzoek’ en ‘Chauffeurskaartdata’ moet alleen mogelijk zijn voor daartoe geauthenticeerde en geautoriseerde gebruikers.

Artikel 2.8. Integriteit

De door de boordcomputer geregistreerde gegevens worden voorzien van een elektronische handtekening zodat achteraf de authenticiteit en integriteit van deze gegevens kan worden vastgesteld. Voor het aanmaken van de elektronische handtekeningen worden de boordcomputerkaarten gebruikt.

De integriteit van gegevens wordt onderverdeeld in ‘integriteit exportbericht’ en ‘integriteit geregistreerde gegevens’.

Artikel 2.8.1. Integriteit exportbericht

De boordcomputer kent zes gegevensleveringen, te weten ‘Ritadministratie’, ‘Arbeids-, rij- en rusttijden’, ‘Coördinaten’, ‘Gebeurtenis’, ‘Onderzoek’ en ‘Chauffeurskaartdata’. Deze gegevensleveringen worden elk in een exportbericht vanuit de boordcomputer overgebracht. Dit exportbericht is een XML bericht dat bestaat uit een gegevenslevering-element zoals gespecificeerd in één van de artikelen 3 t/m 8, gevolgd door een element met een elektronische handtekening berekend over het gegevenslevering-element en de identificatie van de sleutel gebruikt voor het berekenen van de elektronische handtekening.

Voor het genereren en de opmaak van de elektronische handtekening wordt gebruik gemaakt van de W3C Recommendation ‘XML Signature Syntax and Processing Version 1.1’ (XMLDSIG11) van 11 april 2013. De XMLDSIG11 specificatie (http://www.w3.org/TR/xmldsig-core1/) is een door het World Wide Web Consortium (W3C) ontworpen standaard voor de XML syntax en het genereren van elektronische handtekeningen.

Het XML exportbericht bestaat uit een <Envelope>-element met daarin een van de gegevenslevering-elementen <Ritadministratie>, <Arbeidstijden>, <Coordinaten>, <Gebeurtenis>, <Onderzoek> of <Chauffeurskaartdata>, gevolgd door een <Signature>-element. Het gegevenslevering-element bevat een resultaatbericht van een gegevenslevering zoals gespecificeerd in één van de artikelen 3 t/m 8. Het <Signature>-element is opgebouwd conform de XMLDSIG11 specificatie en bevat achtereenvolgens de elementen

  • a. <SignedInfo> met daarin o.a. verwijzingen naar en de ‘message digests’ van het gegevenslevering-element respectievelijk het <KeyInfo> element,

  • b. <SignatureValue> met daarin de elektronische handtekening over het <SignedInfo> element en

  • c. <KeyInfo> met daarin een representatie van het certificaat behorende bij de sleutel die voor de handtekening werd gebruikt.

Het XML exportbericht kent, afhankelijk van de omsloten gegevenslevering, een van de volgende structuren:

Bijlage 255205.png

Het <Signature> element in eender welke van de zes bovenstaande XML exportberichten heeft altijd de volgende, aan de XMLDSIG11 conformerende, opbouw:

Bijlage 255206.png

Toelichting:

  • a. de waarden op een gele achtergrond betreffen voorbeelden; deze waarden moeten door de boordcomputer berekend en/of bepaald worden;

  • b. het gegevenslevering-element uit de omvattende <Envelop> bevat het resultaat bericht van een gegevenslevering en heeft een Id gelijk aan ‘idGegevenslevering’;

  • c. het <KeyInfo> heeft een Id gelijk aan ‘idKeyInfo’;

  • d. het <SignedInfo> element verwijst met twee <Reference> elementen naar twee te ondertekenen elementen op basisvan hun Id (zie de tekst op een blauwe achtergrond);

  • e. zowel het gegevenlevering-element als het <KeyInfo>-element worden als volgt getransformeerd: eerst gecanonicaliseerd en daarna van alle overbodige witruimte ontdaan:

    • 1. de witruimte van alle text() nodes worden genormaliseerd met normalize-space(.);

    • 2. de (enige) text() node van elk element met Base64 gecodeerde inhoud wordt bovendien van alle (resterende) spaties ontdaan met translate(..., ‘ ’, ‘’) (zie de tekst op een groene achtergrond).

  • f. het <DigestValue> element van het eerste <Reference> element moet worden gevuld met de Base64 codering van de SHA-256 hash van het (volgens e. getransformeerde) gegevenslevering-element;

  • g. het <DigestValue> element van het tweede <Reference> element moet worden gevuld met de Base64 codering van de SHA-256 hash van het (volgens e. getransformeerde) <KeyInfo>-element;

  • h. het <SignedInfo> element moet, zoals hierboven weergegeven, ontdaan van alle overbodige witruimte in de envelop worden opgenomen, omdat de XMLDSIG11 standaard niet voorziet in het toepassen van enige andere transformatie dan canonicaliseren van dit element;

  • i. het <SignatureValue> element moet worden gevuld met de Base64 codering van de RSA-SHA256 (PKCS#1 v1.5) handtekening die berekend is over het (volgens h. opgemaakte en daarna gecanocaliseerde) <SignedInfo> element. Voor het opbouwen van deze handtekening wordt verwezen naar sectie 6.4.2 van XMLDSIG11;

  • j. het <X509Certificate> element moet worden gevuld met de Base64 codering van het DER-gecodeerde certificaat behorende bij de RSA-sleutel waarmee de <SignatureValue> is berekend (in dit geval het boordcomputercertificaat);

  • k. Alle canonicalisatie moet plaatsvinden conform ‘Exclusive XML Canonicalization Version 1.0, 18 July 2002’ (XML-EXC-C14N) met identifier http://www.w3.org/2001/10/xml-exc-c14n#;

  • l. Alle XSL transformaties moeten plaatsvinden conform ‘XSL Transformations (XSLT) Version 1.0, 16 November 1999’ (XSLT) met identifier http://www.w3.org/TR/1999/REC-xslt-19991116 en de daaraan gerelateerde standaard ‘XML Path Language (XPath) Version 1.0, 16 November 1999’ met identifier http://www.w3.org/TR/1999/REC-xpath-19991116;

  • m. Alle Base64 codering vindt in eerste instantie plaats op basis van de specificatie in XMLDSIG11;

  • n. Voorafgaand aan hashing en/of ondertekening van een XML node moet die node worden gecanonicaliseerd volgens XML-EXC-C14N en moet:

    • 1. elke text-node worden genormaliseerd volgens de XPath normalize-space functie;

    • 2. elke text-node die Base64 gecodeerd is bovendien worden ontdaan van alle resterende spaties conform de XPath functie translate(string, ‘ ’, ‘’).

De keuze van het algoritme voor de Digest en de Signature is afhankelijk van het certificaat op de kaart waarmee de handtekening wordt gezet. Als dit in de toekomst anders wordt dan SHA-256 respectievelijk RSA-SHA256’ zullen de algoritmes voor Digest en Signature meeveranderen.

Artikel 2.8.2. Integriteit geregistreerde gegevens

Bepaalde gegevenssets, die door de boordcomputer taxi worden geregistreerd, dienen vanaf het moment van vastleggen de waarborg van integriteit en authenticiteit te bevatten. In de specificatie van elke soort gegevenslevering in artikel 3 t/m 8 wordt aangegeven welke gegevensset dit betreft, op welke momenten deze gegevensset met een elektronische handtekening worden ondertekend en als zodanig moeten worden vastgelegd en met welke private sleutel die ondertekening moet gebeuren.

Voor een gegevensset die bij vastleggen elektronisch ondertekend wordt, wordt een tekenbericht gegenereerd. Dit tekenbericht is, op enkele uitzonderingen na, gelijk aan het (corresponderende) XML exportbericht:

Bijlage 255207.png

Voor de namespace en de structuur van het betreffende <Data> element wordt verwezen naar de artikelen 3.4, 4.4, 6.4, 7.4, respectievelijk 8.4.

Ook het <Signature> element van het tekenbericht wijkt op slechts enkele onderdelen af van die van het XML exportbericht:

  • a. Het eerste <Reference> element heeft een andere URI, namelijk ‘#idData’;

  • b. De inhoud van het <X509Certificate> element representeert, afhankelijk van het gestelde in de artikelen 3.1, 4.1, 6.1, 7.1, respectievelijk 8.1, ofwel het boordcomputercertificaat ofwel het chauffeurskaartcertificaat.

Na generatie van het tekenbericht wordt de waarde van het element <SignatureValue> als <Integriteit> element opgeslagen bij de gegevens waarover de elektronische handtekening is berekend. Het tekenbericht zelf hoeft niet te worden opgeslagen, zolang de getekende gegevens in de vorm waarin zij werden getekend kunnen worden gereproduceerd. Dat betekent dat de boordcomputer, behalve de gegevens die het <Data> element vormen, het certificaat dat voor ondertekening werd gebruikt, moet vastleggen.

Het genereren en vastleggen van de elektronische handtekening over het <Data> element vindt plaats bij het vastleggen van de gegevens die het <Data> element vormen.

Bij het samenstellen van een exportbericht worden de gegevens van het <Data> element onveranderd overgenomen uit de administratie op de boordcomputer. Het <Data> element wordt opnieuw geproduceerd, en moet exact gelijk zijn aan het <Data> element waarvoor een elektronische handtekening is berekend bij vastleggen van het gegeven. De geregistreerde elektronische handtekening moet worden overgenomen in het <Integriteit> element, het is niet toegestaan om de elektronische handtekening opnieuw te berekenen. Ook moet per <Integriteit> element het voor de betreffende handtekening gebruikte certificaat onveranderd worden overgenomen uit de administratie op de boordcomputer.

Artikel 2.8.3. Processchema’s

Een mogelijk proces voor samenstellen van de elementen voor een tekenbericht en het genereren van de elektronische handtekening over die elementen is weergegeven in figuur 2.

Bijlage 255208.png
Figuur 2

Van de output van de groen gekleurde deelprocessen kan het tekenbericht (zonder <SignatureValue>) worden samengesteld. De 256-bytes RSA handtekening zou daarna gebruikt kunnen worden voor het completeren van het tekenbericht, maar moet in ieder geval worden gearchiveerd in de boordcomputer.

Figuur 3 geeft een mogelijk proces voor samenstellen van de elementen van een exportbericht weer. Het exportbericht kan worden geassembleerd met de output van de groen gekleurde deelprocessen.

Bijlage 255209.png
Figuur 3

Artikel 2.9. Foutafhandeling

Bij het opvragen van de gegevensleveringen kunnen foutsituaties optreden. Hierbij kan onderscheid gemaakt worden tussen functionele fouten, technische fouten en niet volledige gegevens.

Artikel 2.9.1. Functionele fouten

Bij onderstaande foutsituaties moet de boordcomputer de bijbehorende foutmelding tonen:

Foutsituatie

Afhandeling

Boordcomputer is niet vergrendeld sinds laatste activering.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Boordcomputer is niet vergrendeld sinds laatste activering’.

Er is geen externe gegevensdrager verbonden met de overbrengingsinterface van de boordcomputer als de gebruiker een gegevenslevering start.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Geen externe gegevensdrager beschikbaar’.

Datumtijd begin periode’ bevat geen geldige waarde als de gebruiker een gegevenslevering start. ‘Datumtijd begin periode’ is verplicht.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Datumtijd begin periode bevat geen geldige waarde’.

Datumtijd einde periode’ bevat geen geldige waarde als de gebruiker een gegevenslevering start. ‘Datumtijd einde periode’ mag leeg zijn.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Datumtijd einde periode bevat geen geldige waarde’.

Datumtijd einde periode’ ligt voor ‘Datumtijd begin periode’ als de gebruiker een gegevenslevering start.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Datumtijd einde periode ligt voor Datumtijd begin periode’.

Overige functionele foutsituaties

Verwerking gegevenslevering stopt en de boordcomputer toont een foutmelding.

Artikel 2.9.2. Technische fouten

Foutsituatie

Afhandeling

Exporteren van een bericht naar de externe gegevensdrager gaat fout.

Verwerking gegevenslevering(en) stopt en de boordcomputer toont de melding ‘Exporteren van een bericht naar de externe gegevensdrager is niet gelukt’.

Overige technische foutsituaties.

Verwerking gegevenslevering stopt en de boordcomputer toont een foutmelding.

Artikel 2.9.3. Onvolledige gegevens

Het niet volledig zijn van gegevens op de boordcomputer mag geen reden zijn om een resultaat bericht niet te exporteren.

Artikel 2.10. Overige kenmerken

Kenmerk

Invulling

Tekenset bericht

De Unicode tekensets ‘Basic Latin’, ‘Latin-1 Supplement’ en ‘Latin Extended-A’, alsmede de controle karakters tab, linefeed en carriage return karakters.

Code points: U+0009, U+000A, U+000D, U+0020 t/m U+007E en U+00A0 t/m U+017F.

Codering bericht

UTF-8

Artikel 3. Ritadministratie

Artikel 3.1. Gegevens en functionele en technische berichtstructuur

Voor het bericht ‘Ritadministratie’ worden de volgende gegevens en functionele en technische berichtstructuur onderkend:

Entiteit / attribuut

XML element

Inhoud

G

C

BERICHT

Ritadministratie;

Id=”idGegevenslevering”

SEQ

V

1

 

Datumtijd samenstellen bericht

DatTdSmBr

DT

V

1

KORTE IDENTIFICATIE BOORDCOMPUTER

KortIdBCT

SEQ

V

1

 

Goedkeuringsnummer

GdKrgsNr

S28 *)

V

1

Programmatuur versienummer

ProgVrNr

C50

V

1

PERIODE

Periode

SEQ

V

1

 

Datumtijd begin periode

DatTdBegPr

DT

V

1

Datumtijd einde periode

DatTdEndPr

DT

V

1

AUTO

Auto

SEQ

V

1

 

Kenteken

Kntkn

S6

V

1

CERTIFICAAT BOORDCOMPUTER

CertificaatBCT

SEQ

V

1

 

Publieke sleutel boordcomputer

PubliekeSleutel; codering=”base64”

B *)

V

1

VERVOERDER

Vervoerder

SEQ

V

1..*

 

KvK-nummer

KvKnr

S12 *)

V

1

P-nummer

Pnr

S8 *)

V

1

ONDERNEMERSKAART

Ondernemerskaart

SEQ

V

1..*

 

Ondernemerskaart volgnummer

OkVgNr

S5 *)

V

1

RIT

Rit

SEQ

C

0..*

 

DATA

Data; Id=”idData”

SEQ

V

1

 

Rit volgnummer

RtVgNr

I(1..∞)

V

1

Mutatiecode

MtCd

{‘I’, ‘D’, ‘M’}

V

1

Datumtijd registratie

DatTdReg

DT

V

1

Type rit

Type

{‘B’, ‘O’}

V

1

Coördinaat beginpunt rit

LocBeg

SEQ

V

1

 

Breedtegraad

Lat

D2.6(-90..+90)

V

1

Lengtegraad

Lon

D3.6(-180..+180)

V

1

Datumtijd begin rit

DatTdBeg

DT

V

1

Km stand begin rit

KmStdBeg

I8(0..MAX)

V

1

Coördinaat eindpunt rit

LocEnd

SEQ

C

0..1

 

Breedtegraad

Lat

D2.6(-90..+90)

V

1

Lengtegraad

Lon

D3.6(-180..+180)

V

1

Datumtijd einde rit

DatTdEnd

DT

C

0..1

Km stand einde rit

KmStdEnd

I8(0..MAX)

C

0..1

Ritprijs

Prijs

I(0..∞)

C

0..1

BESTUURDER

Bestuurder

SEQ

V

1

 

Chauffeursidentificatienummer

ChIdNr

S9 *)

V

1

Chauffeurskaart volgnummer

CkVgNr

S5 *)

V

1

INTEGRITEIT

Integriteit

SEQ

C

0..1

 

Elektronische handtekening boordcomputer

ElHdBc; codering=”base64”

B

K

1

Elektronische handtekening fout

ElHdFout

S

Datumtijd handtekening

DatTdHd

DT

V

1

Voor de legenda van het bovenstaande overzicht wordt verwezen naar artikel 10.

Toelichting:

  • a. De PERIODE is het tijdvak waarover de gebruiker de ritadministratie heeft opgevraagd.

  • b. RIT wordt per BESTUURDER uniek geïdentificeerd door een volgnummer.

  • c. Er zijn 2 mogelijke waarden voor ‘Type rit’: ‘B’ voor een beladen rit en ‘O’ voor een onbeladen rit.

  • d. De DATA van een RIT moet ondertekend worden met de elektronische handtekening van de boordcomputer om de integriteit van de ritgegevens achteraf te kunnen bepalen. Daartoe bevat INTEGRITEIT het attribuut ‘Elektronische handtekening boordcomputer’. Indien bij het genereren van de handtekening een gebeurtenis met foutcode S005 of F008 optreedt, wordt, in plaats van de handtekening, deze foutcode geregistreerd in het attribuut ‘Elektronische handtekening fout’.

  • e. De Ritprijs is in eurocenten.

  • f. Een kilometerstand wordt opgenomen als een geheel getal, afgerond of afgekapt op een hele kilometer.

  • g. Voor een RIT wordt de bestuurder opgenomen in het bericht.

  • h. Alleen als de chauffeurskaart niet beschikbaar is tijdens registratie van een RIT moet ‘Chauffeurskaart volgnummer’ van de BESTUURDER volledig gevuld worden met nullen.

  • i. De attributen ‘Coördinaat eindpunt rit’, ‘Datumtijd einde rit’, ‘Km stand einde rit’, ‘Ritprijs’ en de entiteit INTEGRITEIT zijn verplicht tenzij de RIT nog niet is beëindigd.

  • j. De mutatiecode van een RIT is ‘I’ als het volgnummer van de RIT voor de eerste keer wordt geregistreerd. De I staat voor Insert.

  • k. Annuleren van de laatste handmatig ingevoerde ‘Aanvang rit’ is mogelijk. Het te annuleren record bevat alleen gegevens van het begin van de rit (‘Rit volgnummer’, ‘Mutatiecode’, ‘Datumtijd registratie’, ‘Type rit’, ‘Coördinaat beginpunt rit’, ‘Datumtijd begin rit’ en ‘Km stand begin rit’). Annuleren moet op de volgende manier worden aangegeven:

    • 1. De gegevens van het te annuleren record worden ongewijzigd ondertekend met de elektronische handtekening van de boordcomputer.

    • 2. Een nieuwe record wordt geregistreerd met de volgende gegevens: het volgnummer is gelijk aan het volgnummer van het te annuleren record uit k.1, mutatiecode is ‘D’, ‘Datumtijd registratie’ is het tijdstip van registreren van dit nieuwe record, en de waarden van de overige attributen zijn gelijk aan de waarden van de overeenkomstige attributen van het te annuleren record. Ook dit record moet ondertekend worden met de elektronische handtekening van de boordcomputer.

  • l. Annuleren van de laatste handmatig ingevoerde ‘Einde rit’ is mogelijk. Het te annuleren record bevat zowel gegevens van het begin van de rit (‘Volgnummer’, ‘Mutatiecode’, ‘Datumtijd registratie’, ‘Type rit’, ‘Coördinaat beginpunt rit’, ‘Datumtijd begin rit’ en ‘Km stand begin rit’) als einde van de rit (‘Coördinaat einde rit’, ‘Datumtijd einde rit’, ‘Km stand einde rit’, ‘Ritprijs’). Annuleren moet op de volgende manier worden aangegeven:

    • 1. De gegevens van het te annuleren record worden ongewijzigd ondertekend met de elektronische handtekening van de boordcomputer als dit nog niet is gebeurd.

    • 2. Een nieuwe record wordt geregistreerd met de volgende gegevens: het volgnummer is gelijk aan het volgnummer van het te annuleren record uit l.1, mutatiecode is ‘D’, ‘Datumtijd registratie’ is het tijdstip van registreren van dit nieuwe record, en de waarden van de overige attributen zijn gelijk aan de waarden van de overeenkomstige attributen van het te annuleren record. Ook dit record moet ondertekend worden met de elektronische handtekening van de boordcomputer.

    • 3. Een volgend nieuw record wordt geregistreerd met de volgende gegevens: het volgnummer is gelijk aan het volgnummer van het te annuleren record uit l.1, mutatiecode is ‘M’, ‘Datumtijd registratie’ is het tijdstip van registreren van dit nieuwe record, de waarden van de attributen ‘Type rit’, ‘Coördinaat begin rit’, ‘Datumtijd begin rit’ en ‘Km stand begin rit’ zijn gelijk aan de waarden van de overeenkomstige attributen van het te annuleren record, en de attributen ‘Coördinaat einde rit’, ‘Datumtijd einde rit’, ‘Km stand einde rit’ en ‘Ritprijs’ zijn initieel leeg om gevuld te worden bij het opnieuw uitvoeren van de handmatige actie ‘Einde rit’.

  • m. het attribuut ‘Publieke sleutel boordcomputer’ dient te worden gevuld met het gehele X509 certificaat van de boordcomputer.

Artikel 3.2. Ritadministratie.xsd

De onderstaande Ritadministratie.xsd wordt gebruikt.

Bijlage 255211.png
Bijlage 255212.png

Voor de definitie van bcttypes.xsd wordt verwezen naar artikel 9.

Artikel 3.3. Volgorde gegevens

De geselecteerde ritten moeten gegroepeerd per vervoerder, en daarbinnen per ondernemerskaart, in oplopende volgorde van volgnummer worden opgenomen in de ritadministratie.

Artikel 3.4. Integriteit gegevens

Alle ritten worden ondertekend worden met een elektronische handtekening op basis van de private sleutel van de systeemkaart.

De ritadministratie bevat een element <Rit> en <Rit> bevat de elementen <Data> en <Integriteit>. Het <Data> element bevat de volgende ritgegevens:

  • a. RtVgNr

  • b. MtCd

  • c. DatTdReg

  • d. Type

  • e. LocBeg.Lat en LocBeg.Lon

  • f. DatTdBeg

  • g. KmStdBeg

  • h. LocEnd.Lat en LocEnd.Lon

  • i. DatTdEnd

  • j. KmStdEnd

  • k. Prijs

  • l. Bestuurder.ChIdNr

  • m. Bestuurder.CkVgNr

Het <Integriteit> element bevat de elektronische handtekening van het bijbehorende Data element.

Bij het samenstellen van de ritadministratie moeten de gegevens van het <Data> element onveranderd worden overgenomen uit de ritadministratie op de boordcomputer. Het berekenen van de ‘Elektronische handtekening boordcomputer’ van het <Data> element van een <Rit> wordt gedaan bij het beëindigen van de rit. De vastgelegde ‘Elektronische handtekening boordcomputer’ wordt per <Rit> onveranderd overgenomen in het onderliggende <Integriteit> element.

Artikel 3.5. Overige kenmerken

Artikel 3.5.1. Naamgeving

De naamgeving van de gegevenslevering ‘Ritadministratie’ is als volgt:

Bijlage 255213.png

Hierbij worden de cursief gedrukte gegevens gevuld met de corresponderende registratiewaarde. De volgende formaten worden hierbij gebruikt:

Gegeven

Formaat

Kenteken

Zoals opgenomen in de gegevenslevering zelf

DatumtijdSamenstellenBericht

CCYYMMDDHHMMSS

DatumtijdBeginPeriode

CCYYMMDDHHMM

DatumtijdEindePeriode

CCYYMMDDHHMM

Artikel 3.5.2. Berichtgrootte

Bij 100 ritten is het bericht ‘ritadministratie’ maximaal 100 Kbyte groot.