Minimale eisen beveiligingsplan telecomaanbieders

In het beveiligingsplan omschrijft u als telecomaanbieder hoe u uw gegevens beveiligt. Er moet een minimum niveau van beveiligingsmaatregelen aanwezig zijn. Besteedt u werkzaamheden uit aan derden dan moet u een aantal afspraken schriftelijk vastleggen. 

Op deze pagina vindt u de eisen beveiligingsplan die op basis van hoofdstuk 13 van de Telecommunicatiewet moet worden opgesteld. Zaken die uitbesteed zijn aan derden, moeten ook beveiligd worden. Leest u daarvoor het 'Beveiligingsplan indien de werkzaamheden zijn uitbesteed aan derde(n)'.

Eisen beveiligingsplan dat op basis van hoofdstuk 13 van de Telecommunicatiewet moet worden opgesteld

Inleiding

Iedere aanbieder van openbare telecommunicatienetwerken en/of –diensten (hierna: aanbieder) heeft een aantal verplichtingen op basis van hoofdstuk 13 van de Telecommunicatiewet (Tw). Deze verplichtingen zijn onder meer:

  • medewerking verlenen aan de uitvoering van een bevel op grond van het Wetboek van Strafvordering dan wel een toestemming op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 tot het aftappen of opnemen van de door hem verzorgde telecommunicatie,
  • aangesloten zijn bij het CIOT-informatiesysteem,
  • het voldoen aan een vordering op basis van het Wetboek van Strafvordering dan wel een verzoek op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 tot het verstrekken van gegevens over een gebruiker of het telecommunicatieverkeer met betrekking tot die gebruiker,
  • het voldoen aan een vordering op basis van het Wetboek van Strafvordering dan wel een verzoek op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 tot het op voorgeschreven wijze achterhalen en verstrekken van gebruikersgegevens waarbij aanbieders aangegeven gegevens voor een periode van drie maanden moeten bewaren.

Alle gegevens die betrekking hebben op de hiervoor genoemde verplichtingen moeten door de aanbieder worden beveiligd. Dit houdt in dat de aanbieder een bevel, een toestemming, een vordering of een verzoek (hierna: aanvraag) van de behoeftestellers (opsporing- en veiligheid diensten) moet beveiligen tegen inzage door onbevoegden. Ook moeten de gegevens die op basis van de aanvraag door de aanbieder wordt verstrekt worden beveiligd. Tot slot moet er geheimhouding worden betracht met betrekking tot deze aanvraag en verstrekte gegevens. De manier waarop deze beveiliging en geheimhouding bij de aanbieder is geregeld moet worden beschreven in een beveiligingsplan. Het beveiligingsplan houdt dus meer in dan alleen de beveiliging bij aftappen.

Inhoud beveiligingsplan

In principe is de beveiligingsplicht van de gegevens een eigen aangelegenheid van de aanbieder. Toch heeft de wetgever een minimum-niveau van beveiligingsmaatregelen voorgeschreven. Dit minimum-niveau vindt u op deze pagina onder de kop 'Bijlage als bedoeld in artikel 2, derde lid, van het Besluit beveiliging gegevens telecommunicatie'). De genomen beveiligingsmaatregelen door de aanbieder moeten voldoen aan het minimum-niveau en moeten worden beschreven in een beveiligingsplan. Dit beveiligingsplan kan door Agentschap Telecom worden opgevraagd ter inzage.

Uitbesteding werkzaamheden aan derde(n)

Indien de aanbieder de uitvoering van de werkzaamheden geheel of gedeeltelijk laat uitvoeren naar derde zijn meerde eisen gesteld. Voor uitleg betreffende deze eisen wordt verwezen naar de pagina 'Beveiligingsplan indien de werkzaamheden zijn uitbesteed aan derde(n)'.

Uitwerking concrete eisen

I Beveiligingseis algemeen
In het beveiligingsplan moet aan bod komen welk perso(o)n(en) in het bedrijf is/zijn belast met het toezicht op de uitvoering en naleving van de beveiligingsmaatregelen. Tevens dient er te worden aangegeven hoe vaak deze functionaris controles houdt, en hoe dit wordt uitgevoerd en gelogd. Ook dient er van deze perso(o)n(en) een Verklaring Omtrent het Gedrag (VOG) aanwezig te zijn. Deze VOG kan aangevraagd worden bij uw gemeente.

II Beveiligingseisen t.a.v. personeel
Personeel is een belangrijke schakel in de beveiliging. Zo moet uit de functiebeschrijving blijken wie verantwoordelijk is voor het verwerken van de gegevens. Belangrijk is om goed te regelen wie toegang heeft tot de ruimten waar informatie en gegevens liggen. Uiteraard is geheimhouding en een geheimhoudingsverklaring een vereiste.

III Fysieke beveiliging en beveiliging van de omgeving
De fysieke beveiliging houdt feitelijk de beveiliging in van de apparatuur, het gebouw en de omgeving. Wat er in het beveiligingsplan dient terug te komen is waar de informatie en de gegevens zich in het bedrijf bevinden. En hoe documenten, dan wel verwisselbare gegevensdragers, worden bewaard. Tevens kan gedacht worden aan bijvoorbeeld de beschrijving van een sleutelbeheerplan, de toegangsregistratie en de fysieke maatregelen zoals het aangebrachte hang en sluitwerk.

IV Beheer van communicatie- en bedieningsprocessen
Het beheer van de communicatie- en bedieningsprocessen omvat alles wat met de informatie binnen het bedrijf te maken heeft. Denk aan rubricering (staatsgeheim of vertrouwelijk) van gegevens en de manier waarop gegevens vernietigd of verwijderd worden.

V Toegangsbeveiliging van geautomatiseerde informatiesystemen
De toegangsbeveiliging tot bestanden dient op een deugdelijke wijze te zijn beveiligd. Hierbij kan gedacht worden aan persoonsgebonden authenticatie of het aantal inlogpogingen die men heeft.

VI Ontwikkeling, onderhoud en reparatie van geautomatiseerde informatiesystemen
Als laatste moet worden beschreven hoe de reparatie en wijzigingen in apparatuur, software of procedures worden uitgevoerd. Beschrijf bijvoorbeeld waar en door wie het onderhoud en de
reparaties plaatsvinden.

Voor de gedetailleerde minimale eisen kan de bijlage van het Bbgt worden geraadpleegd, zie hieronder.

Bijlage als bedoeld in artikel 2, derde lid, van het Besluit beveiliging gegevens telecommunicatie (Bbgt)

I. Beveiligingseis algemeen
Er is een functionaris, belast met het toezicht op de uitvoering en naleving van de beveiligingsmaatregelen. De functionaris voert daartoe regelmatig controles uit en legt de resultaten daarvan vast.

II. Beveiligingseisen ten aanzien van personeel
a. In de functiebeschrijving van personeel dat belast is met de verwerking van de informatie en gegevens wordt de verantwoordelijkheid voor de beveiliging daarvan beschreven.
b. Personeel dat in aanraking komt met de informatie en gegevens tekent een geheimhoudingsverklaring.
c. Uitsluitend personeel dat overeenkomstig de functiebeschrijving belast is met de verwerking van de informatie en gegevens heeft toegang tot de informatie en de gegevens.

III. Fysieke beveiliging en beveiliging van de omgeving
a. De informatie en de gegevens worden zoveel mogelijk binnen één ruimte geconcentreerd.
b. De ruimte waarbinnen de informatie en de gegevens aanwezig zijn is deugdelijk fysiek beveiligd.
c. De fysieke beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
d. Toegang tot de ruimte waar de gegevens of de informatie zich bevindt is uitsluitend toegestaan aan daartoe geautoriseerde personen voor zover dit voor hun functie noodzakelijk is.
e. Het binnentreden en verlaten van de ruimte moet zodanig zijn geregeld dat er sprake is van gecontroleerde en achteraf herleidbare toegang op individueel niveau.
f. Documenten waarin, dan wel verwisselbare gegevensdragers waarop, de informatie en de gegevens zijn vastgelegd worden in deugdelijk beveiligde opbergmiddelen bewaard.
g. Personen belast met onderhouds- en reparatiewerkzaamheden in de ruimte waarin de informatie en de gegevens zich bevinden worden door eigen geautoriseerd personeel begeleid.

IV. Beheer van communicatie- en bedieningsprocessen
a. De status/rubricering van de informatie en de gegevens (staatsgeheim of vertrouwelijk) dient te allen tijde kenbaar te zijn.
b. Reproductie van de informatie of de gegevens is alleen toegestaan door daartoe geautoriseerde personen en uitsluitend voor zover dat nodig is voor de goede uitvoering van de bijzondere last dan wel toestemming op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 als bedoeld in artikel 13.2, eerste en tweede lid, van de wet dan wel een verzoek op grond van artikel 13.4 van de wet.
c. De informatie of de gegevens worden niet buiten de normale ruimte gebracht, tenzij dat voor de goede voortgang van de werkzaamheden noodzakelijk is. In dat geval wordt de verblijfplaats van de informatie of de gegevens geregistreerd.
d. De verwijdering en vernietiging van de informatie en gegevens geschiedt op een onomkeerbare wijze. Van de verwijdering en vernietiging wordt een rapport opgemaakt, dat in afschrift wordt gezonden aan de bevoegde autoriteit wie het aangaat dan wel een door deze aangewezen instantie.

V. Toegangsbeveiliging van geautomatiseerde informatiesystemen
a. De toegang tot geautomatiseerde informatiesystemen waarin de informatie en de gegevens worden verwerkt is op deugdelijke wijze beveiligd, onder meer door middel van persoonsgebonden authenticatie.
b. De logische beveiliging is zodanig ingericht dat ongeautoriseerde toegang en pogingen daartoe worden gedetecteerd en dat tijdige interventie plaatsvindt.
c. Het aantal foutieve inlogpogingen is beperkt tot drie. Overschrijding van het aantal foutieve inlogpogingen leidt tot  definitieve blokkering, welke uitsluitend door de functionaris, bedoeld in onderdeel I van deze bijlage, kan worden opgeheven. Het voorgaande is niet van toepassing op de systeembeheerder, met dien verstande dat bij drie foutieve inlogpogingen een hernieuwde inlogpoging slechts kan plaatsvinden via een voor noodsituaties ingericht account en persoonsgebonden authenticatie voor het gebruik waarvan door de functionaris, bedoeld in onderdeel I van deze bijlage toestemming moet worden verleend.
d. Het geautomatiseerde systeem, waarin de gegevens en de informatie worden verwerkt, wordt niet eerder verlaten dan nadat een (handmatig of automatisch) toegangsbeveiligingsmechanisme in werking is gesteld.
e. Alle handelingen met betrekking tot de verwerking van de informatie en de gegevens in het geautomatiseerde informatiesysteem worden persoonsgebonden vastgelegd teneinde onderzoek mogelijk te maken.
f. Toegang tot het geautomatiseerde informatiesysteem is uitsluitend voorbehouden aan daartoe geautoriseerd personeel.
g. De toegangsrechten van de gebruikers worden periodiek geëvalueerd.
h. De autorisaties van alle gebruikers worden vastgelegd.

VI. Ontwikkeling, onderhoud en reparatie van geautomatiseerde informatiesystemen
a. Alle wijzigingen in apparatuur, software of procedures die de beveiliging van de gegevens en informatie kunnen beïnvloeden zijn controleerbaar, dat wil zeggen bekend en beoordeeld door of namens de aanbieder als zijnde aanvaardbaar.
b. Het onderhouden van geautomatiseerde informatiesystemen, voor zover deze nog toegang verschaffen tot gegevens en informatie, vindt op locatie plaats.
c. In afwijking van onderdeel b, is het op afstand onderhouden van geautomatiseerde informatiesystemen slechts toegestaan, indien dit wordt uitgevoerd door daartoe geautoriseerde personen als bedoeld in onderdeel II van deze bijlage, en slechts op tijdstippen waarvoor door de functionaris, bedoeld in onderdeel I, onder a, van deze bijlage, toestemming is verleend en er aantoonbaar voldoende waarborgen bestaan voor het handhaven van het  beveiligingsniveau van de gegevens en informatie.
d. Reparatie aan het geautomatiseerde informatiesysteem waarin de informatie en de gegevens worden verwerkt vindt op locatie plaats. Van de eerste volzin kan worden afgeweken indien de informatie en gegevens zijn verwijderd en niet te achterhalen zijn.

Deze tekst als pdf-document (printen)

U kunt deze pagina via uw Google Chrome browser afdrukken of opslaan als pdf-document. Druk daarvoor op Ctrl P op uw toetsenbord, of ga via de drie puntjes rechtsboven in uw scherm naar 'Afdrukken'.