NBIP Self-assessment (Bbgt)

De Nederlandse Telecommunicatiewet verplicht providers (aanbieder, telecomaanbieder) de technische voorzieningen te treffen om hun diensten af te tappen. Maar een tapbevel komt niet elke dag voorbij. De slimme oplossing is dus samen een tapdienst opzetten. De NBIP heeft dat gedaan.

Aanbieders van openbare telecommunicatienetwerken en/of telecommunicatiediensten zijn verplicht medewerking te verlenen tot het aftappen of opnemen van telecommunicatie (die over hun telecommunicatienetwerken wordt afgewikkeld) . Zie Telecommunicatiewet artikel 13.2 lid 1+2. Dit is nader uitgewerkt in het Besluit beveiliging gegevens telecommunicatie (Bbgt) en bevat minimaal te treffen maatregelen. Het doel van deze test is om u attent te maken op deze maatregelen.

Het betreft maatregelen op organisatorisch en technisch niveau. Dit betreft niet het gehele raamwerk aan maatregelen, maar een basis waarmee verdere invulling gemakkelijker wordt.

Het invullen van dit self-assessment duurt ongeveer 10 minuten en bevat enkele vragen om te bepalen of uw organisatie aandacht moet besteden aan haar beveiligingsplan en genomen maatregelen plus vragen over technische en organisatorische inrichting van uw netwerk- en informatiesystemen.

De resultaten zijn primair voor uw (uit hoofde van uw functie) persoonlijk gebruik en worden na verzending anoniem door NBIP verzameld.

Bent u in Nederland actief als telecomaanbieder, dan bent u wettelijk verplicht u zich te registreren als u:

• openbare elektronische communicatienetwerken aanbiedt
• of openbare elektronische communicatiediensten aanbiedt
• of bijbehorende voorzieningen aanlegt of aanbiedt

Meer informatie op de website van de ACM.

Het lijkt erop dat uw bedrijf valt onder de Bbgt regelgeving.

Wij proberen u met deze vragen bewust te maken van de Bbgt regelgeving in Nederland.

Besluit van 28 oktober 2003, houdende regels betreffende door aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten te treffen beveiligingsmaatregelen ten aanzien van gegevens betreffende het aftappen en opnemen van telecommunicatie. Zie Besluit beveiliging gegevens telecommunicatie

De Bbgt en de bijlage bevatten maatregelen dienen ten minste te bestaan uit:

• maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;
• maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;
• maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;
• maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;
• maatregelen in het geval van calamiteiten.

De aanbieder (deelnemer) is en blijft verantwoordelijk voor de naleving door de derde (NBIP) van de verplichtingen op basis van een schriftelijke overeenkomst. Zie artikel 8.

Beveiligingsplan

Elke aanbieder is verplicht om een beveiligingsplan voor bevoegd aftappen te hebben. Zie artikel 3.

De aanbieder draagt zorg voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven hoe uitvoering is gegeven aan de maatregelen, bedoeld in de bijlage.

ISO maatregelen kunnen u hierbij helpen, maar ISO is wel iets anders dan Bbgt. Dit beveiligingsplan staat geheel los van uw eventuele ISO 27001 certificering.

Deze functionaris voert daartoe regelmatig controles uit en legt de resultaten daarvan ook structureel en opvraagbaar vast.

Beveiligingseisen ten aanzien van personeel

De aanbieder draagt er zorg voor dat bij het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag (VOG) hebben overgelegd. Zie artikel 4.

Aanvullende beveiligingseisen voor personeel dat in aanraking komt met LI (Lawful Interception) gegevens zijn een functieomschrijving en een getekende geheimhoudingsverklaring. Zie bijlage, punt 2.

Dit kan in een separate getekende geheimhoudingsverklaring verwerkt mogen worden of als addendum aan de arbeidsovereenkomst verbonden worden.

Toegangsbeveiliging van geautomatiseerde informatiesystemen

De toegang tot geautomatiseerde informatiesystemen met onder meer persoonsgebonden authenticatie (geen groepsaccounts). Zie bijlage, punt 5.

Het is van groot belang om direct te (laten) onderzoeken of er in uw bedrijfssystemen groepsaccounts aanwezig zijn die gebruikt worden bij het verwerken van gegevens in het kader van de Bbgt. Het gebruik van groepsaccounts (niet persoonsgebonden accounts) is zoals u weet niet veilig en zal bij een eventuele inspectie door Agentschap Telecom als mogelijke overtreding worden bestempeld.

Het is verplicht om ongeautoriseerde pogingen tot toegang van die systemen en bestanden te registreren en ook op te acteren.