LegalizeBesluit van 18 april 2018, houdende regels inzake technische en organisatorische maatregelen met betrekking tot rechtstreeks geautomatiseerde toegang van de inlichtingen- en veiligheidsdiensten tot de gegevens verwerkt door informanten dan wel door ambtenaren van politie, van de Koninklijke marechaussee en van de rijksbelastingdienst (Besluit maatregelen rechtstreeks geautomatiseerde toegang inlichtingen- en veiligheidsdiensten)
Op de voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 15 augustus 2017, nr. 2017-0000212778, gedaan mede namens Onze Minister van Defensie;
Gelet op de artikelen 39, vierde lid, en 94, tweede lid, van de Wet op de inlichtingen- en veiligheidsdiensten 2017;
De Afdeling advisering van de Raad van State gehoord (advies van 25 oktober 2017, No. W04.17.0243/I);
Gezien het nader rapport van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 17 april 2018, nr. 2017-000058532, uitgebracht mede namens Onze Minister van Defensie;
Hebben goedgevonden en verstaan:
Artikel 1
In dit besluit wordt verstaan onder:
- b. toegangverlener: de persoon of instantie die op grond van artikel 39, derde lid, onderscheidenlijk 94, tweede lid, rechtstreeks geautomatiseerde toegang verleent tot de gegevens, bedoeld in artikel 39, eerste lid, onderscheidenlijk 94, eerste lid, van de wet.
Artikel 2
De toegangverlener neemt de noodzakelijke technische en organisatorische maatregelen teneinde de vertrouwelijkheid van gegevensbevragingen door en gegevensverstrekkingen aan de diensten te waarborgen.
De maatregelen, bedoeld in het eerste lid, dienen in ieder geval te bestaan uit:
- a. maatregelen gericht op de personen die kennis kunnen nemen van de gegevens die in het kader van rechtstreeks geautomatiseerde toegang door de diensten worden bevraagd en aan de diensten worden verstrekt;
- b. maatregelen gericht op de toegang tot de ruimte waarin het informatiesysteem is geïnstalleerd, waarvoor de diensten rechtstreeks geautomatiseerde toegang wordt verleend;
- c. maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarmee de rechtstreeks geautomatiseerde toegang wordt verleend, met inbegrip van de gegevens die zicht geven op de gegevensbevragingen door en gegevensverstrekkingen aan de diensten;
- d. maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevensbevragingen door en gegevensverstrekkingen aan de diensten.
Over de wijze waarop aan de voorgeschreven maatregelen uitvoering wordt gegeven vindt overleg plaats tussen de toegangverlener en de dienst.
Artikel 3
De toegangverlener stelt de desbetreffende dienst terstond op de hoogte, indien een ongeoorloofde inbreuk is gemaakt op de vertrouwelijkheid van de gegevensbevragingen door of gegevensverstrekkingen aan de diensten. Daarbij vermeldt de toegangverlener:
- a. welke gegevens het betreft;
- b. de wijze waarop de inbreuk heeft plaatsgevonden;
- c. vanaf welke datum en welk tijdstip de inbreuk heeft plaatsgevonden;
- d. welke maatregelen zijn genomen om verdere verspreiding van de gegevens tegen te gaan of herhaling van het gebeurde te voorkomen.
Artikel 4
Indien de toegangverlener de uitvoering van werkzaamheden uitbesteedt aan een derde en in dat kader de derde kennis neemt of kan nemen van gegevens betreffende gegevensbevragingen door en gegevensverstrekkingen aan de diensten, draagt de toegangverlener er zorg voor dat de derde zich verplicht:
- a. de gegevens te beveiligen tegen kennisneming door onbevoegden;
- b. met betrekking tot de gegevens geheimhouding te betrachten;
- c. de ingevolge dit besluit gestelde maatregelen na te leven;
- d. alle informatie te verstrekken die voor het toezicht op de naleving van de beveiligings- en geheimhoudingsverplichting noodzakelijk is.
De verplichtingen van de derde, bedoeld in het eerste lid, worden geregeld in een schriftelijke overeenkomst tussen de toegangverlener en de derde.
De dienst wordt tijdig op de hoogte gesteld van een voornemen van de toegangverlener tot het uitbesteden van de uitvoering van werkzaamheden aan een derde als bedoeld in het eerste lid. Op een daartoe strekkend verzoek van de dienst wordt inzage verleend in de overeenkomst, bedoeld in het tweede lid.
De toegangverlener is verantwoordelijk voor de naleving door de derde van de verplichtingen, bedoeld in het eerste lid.
Artikel 5
De diensten nemen de noodzakelijke technische en organisatorische maatregelen teneinde een rechtmatig gebruik door de diensten van de rechtstreeks geautomatiseerde toegang tot gegevens als bedoeld in de artikelen 39, derde lid, en 94, tweede lid, van de wet te waarborgen.
De maatregelen, bedoeld in het eerste lid, bestaan in ieder geval uit:
- a. maatregelen gericht op de personen die het informatiesysteem van de toegangverlener waartoe de rechtstreeks geautomatiseerde toegang wordt verleend, kunnen bevragen en daaruit gegevens kunnen ontvangen;
- b. maatregelen gericht op een deugdelijke werking van het systeem van de dienst waarmee rechtstreeks geautomatiseerde toegang wordt verkregen.
Het gebruik van het informatiesysteem van de dienst waarmee rechtstreeks geautomatiseerde toegang tot de gegevens wordt verkregen, wordt door de dienst vastgelegd. Daarbij wordt in ieder geval vastgelegd:
- a. gegevens waarmee de medewerker die van het systeem gebruik heeft gemaakt kan worden geïdentificeerd;
- b. de gegevens die in het kader van het gebruik van het systeem zijn ingevoerd;
- c. de gegevens die met gebruikmaking van het systeem zijn ontvangen;
- d. datum en tijdstip waarop van het systeem gebruik is gemaakt.
Artikel 6
Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip.
Artikel 7
Dit besluit wordt aangehaald als: Besluit maatregelen rechtstreeks geautomatiseerde toegang inlichtingen- en veiligheidsdiensten.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.