NBIP logo

NBIP Self-assessment (Bbgt)

De Nederlandse Telecommunicatiewet verplicht aanbieders van openbare telecommunicatiediensten en openbare telecommunicatienetwerken technische voorzieningen te treffen waarmee hun diensten en/of netwerk aftapbaar voor bevoegde instanties. Een vordering om te tappen komt voor de meeste providers niet elke dag voorbij, daarom hebben providers gezamenlijk de Tapdienst opgezet in beheer van NBIP.

Aanbieders van openbare telecommunicatienetwerken en/of telecommunicatiediensten zijn verplicht medewerking te verlenen tot het aftappen of opnemen van telecommunicatie (die over hun telecommunicatienetwerken wordt afgewikkeld). Zie Telecommunicatiewet artikel 13.2 lid 1+2. Dit is nader uitgewerkt in het Besluit beveiliging gegevens telecommunicatie (Bbgt) en bevat minimaal te treffen maatregelen. Het doel van deze test is om je attent te maken op deze maatregelen.

Het betreft maatregelen op organisatorisch en technisch niveau. Dit betreft niet het gehele raamwerk aan maatregelen, maar een basis waarmee verdere invulling gemakkelijker wordt.

Het invullen van dit self-assessment duurt ongeveer 10 minuten en bevat enkele vragen om te bepalen of uw organisatie aandacht moet besteden aan haar beveiligingsplan en genomen maatregelen plus vragen over technische en organisatorische inrichting van je netwerk- en informatiesystemen.

De resultaten zijn primair voor jou (uit hoofde van je functie) persoonlijk gebruik en worden na verzending anoniem door NBIP verzameld.

Is jouw organisatie in Nederland actief als telecomaanbieder? Dan is het wettelijk verplicht zich als zodanig te registreren als een of meer van onderstaande van toepassing is:

  • organisatie biedt openbare elektronische communicatienetwerken aan
  • organisatie biedt openbare elektronische communicatiediensten aan
  • of organisatie legt bijbehorende voorzieningen aan of biedt deze aan

Je leest meer over aanbieders van openbare telecommunicatienetwerken en -diensten en bijbehorende verplichtingen op de website van de ACM.

Het lijkt erop dat je organisatie moet voldoen aan de Bbgt.

Wij proberen je met deze vragen bewust te maken van de verplichtingen die voortvloeien uit de Bbgt.

Besluit van 28 oktober 2003, houdende regels betreffende door aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten te treffen beveiligingsmaatregelen ten aanzien van gegevens betreffende het aftappen en opnemen van telecommunicatie. Zie Besluit beveiliging gegevens telecommunicatie

De Bbgt en de bijlage bevatten maatregelen. Deze dienen ten minste te bestaan uit:

  • maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;
  • maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;
  • maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;
  • maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;
  • maatregelen in het geval van calamiteiten.

De aanbieder (deelnemer) is en blijft verantwoordelijk voor de naleving door de derde (NBIP) van de verplichtingen op basis van een schriftelijke overeenkomst. Zie artikel 8.

Beveiligingsplan

Elke aanbieder is verplicht om een beveiligingsplan voor bevoegd aftappen te hebben. Zie artikel 3.

De aanbieder draagt zorg voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven hoe uitvoering is gegeven aan de maatregelen, bedoeld in de bijlage.

ISO maatregelen kunnen u hierbij helpen, maar ISO is wel iets anders dan Bbgt. Dit beveiligingsplan staat geheel los van uw eventuele ISO 27001 certificering.

Deze functionaris voert daartoe regelmatig controles uit en legt de resultaten daarvan ook structureel en opvraagbaar vast.

Beveiligingseisen ten aanzien van personeel

De aanbieder draagt er zorg voor dat bij het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag (VOG) hebben overgelegd. Zie artikel 4.

Aanvullende beveiligingseisen voor personeel dat in aanraking komt met LI (Lawful Interception) gegevens zijn een functieomschrijving en een getekende geheimhoudingsverklaring. Zie bijlage, punt 2.

Dit kan in een separate getekende geheimhoudingsverklaring verwerkt mogen worden of als addendum aan de arbeidsovereenkomst verbonden worden.

Toegangsbeveiliging van geautomatiseerde informatiesystemen

De toegang tot geautomatiseerde informatiesystemen met onder meer persoonsgebonden authenticatie (geen groepsaccounts). Zie bijlage, punt 5.

Het is van groot belang om direct te (laten) onderzoeken of er in uw bedrijfssystemen groepsaccounts aanwezig zijn die gebruikt worden bij het verwerken van gegevens in het kader van de Bbgt. Het gebruik van groepsaccounts (niet persoonsgebonden accounts) is zoals je waarschijnlijk weet niet veilig en kan bij een eventuele inspectie door de Rijksinspectie Digitale Infrastructuur als mogelijke overtreding worden beschoud.

Het is verplicht om ongeautoriseerde pogingen tot toegang van die systemen en bestanden te registreren en hier op te acteren.

Slot

Je hebt het self-assessment afgerond. De resultaten worden anoniem bij NBIP verzameld.

Lees hier de Grondslag beveiligingsplan bevoegd aftappen

Vragen aan Rijksinspectie Digitale Infrastructuur of NBIP kun je hieronder stellen.

De door jou gestelde vragen worden net als de door jou gegeven antwoorden anoniem verzameld en verwerkt.

NBIP logo
NBIP NEXT
‘Platform- en leveranciers onafhankelijke Cloud met Haven’

Donderdag 27 november – 13:50 – 14:30 uur

Haven is een open oplossing voor platform- en leveranciersonafhankelijke Cloud diensten. Haven is een bouwsteen van het pGDI en de NDS. Haven biedt agnostische inrichting van Cloud technologie en biedt organisaties een uitvoerbaar exit plan. 

Verwacht een bevlogen verhaal over de praktijk van ecosysteem gestuurd samenwerken waarbij we de kracht van digitalisering inzetten voor het maatschappelijk belang. 

Highlights 

  • Haven+
  • Ecosysteem gestuurd samenwerken
  • Platform- en leveranciersonafhankelijke Cloud diensten
  • Data Soevereiniteit


Over Jacco Brouwer

Jacco Brouwer is werkzaam voor de Vereniging Nederlandse Gemeenten als beleidscoördinator Cloud en behartigt de gemeentelijke belangen in het NDS uitvoeringsprogramma op Cloud. Vanuit het Kenniscentrum Innovatie bij VNG is Jacco de initiatiefnemer van de publieke Incubator GROEI waarmee VNG gemeentelijke samenwerking en innovaties vanuit een startup filosofie begeleiden bij de opschaling naar breed en collectief gebruik onder gemeenten en collega overheden. 

Jacqueline van de Werken is bijna 10 jaar actief als global general counsel bij Leaseweb, na een loopbaan in de advocatuur en actief te zijn geweest in legal & regulatory affairs bij buitenlandse telecom/ datacom aanbieders.

Sinds enige tijd is Jacqueline ook board member & secretaris van brancheorganisatie Dutch Cloud Community. Als president/chair bij Cloud Infrastructure Service Providers Europe richt ze zich ook op het behartigen van regulatory belangen van de IAAS cloud sector.

Woensdag 26 november 

Van vrijwillig naar verplicht: de nieuwe werkelijkheid van regelgeving voor providers

Interactieve sessie

11:15 – 12:00 uur

Ir. Bas Dunnebier EngD

Bas Dunnebier is Chief Science and Technology Officer (CSTO) bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). De CSTO speelt in op de kansen en uitdagingen die technologische en wetenschappelijke innovatie met zich meebrengen, onder meer voor de offensieve en defensieve taken van de dienst.

Eerder vervulde Dunnebier verschillende andere functies binnen de AIVD, waaronder die van hoofd Unit Weerbaarheid. Hij heeft daardoor een brede expertise ontwikkeld op het gebied van (cyber)weerbaarheid, inlichtingen, en technologieën zoals AI, quantum en cryptologie. Hij studeerde Toegepaste Wiskunde aan de Universiteit Twente, en Informatie- en Communicatietechnologie aan de Technische Universiteit Eindhoven. Voordat Dunnebier bij de AIVD kwam werken, werkte hij onder meer bij Thales, TNO en Technolution.

Het huidige dreigingsbeeld volgens de AIVD: wat nu te doen?

Woensdag 26 november 
14:00 – 14:35
Parkzaal: Wet- en Weerbaarheid

Tijdens zijn presentatie geeft Dr. Alberto P. Martí een update over het Europese project IPCEI Cloud Infrastructuur en Services (CIS).

Donderdag 27 november 
15:00 – 15:45 uur
Parkzaal: Op weg naar digitale autonomie

René deelt tijdens NBIP NEXT meer over de implementatie van de eEvidence wetgeving die per 18 augustus 2026 van kracht wordt voor internet service providers.

Woensdag 26 november 
15:00 – 15:35 uur
Parkzaal: Track Wet & weerbaarheid

Johan geeft tijdens NBIP NEXT als onderdeel van het DDoS Mitigatietrack een presentatie over hoe je het beste een WAF kan inzetten om layer 7 aanvallen te mitigeren.

Woensdag 26 november 
13:15 – 13:50 uur
Fonteinzaal: Collaborative DDoS mitigation track (ENGLISH)

Dr. Cristina Caffarra is een van de drijvende krachten achter EuroStack. Deze beweging, die het oor heeft van politici en beleidsmakers in Europa, maakt zich zich hard voor meer investeringen in Europese technologie vanuit de gedachte dat dit de enige weg is naar digitale autonomie. Caffarra is mededingingsexpert en kent de wereld van de grote techbedrijven van binnenuit. Ze leverde belangrijke bijdragen aan concurrentieonderzoeken naar fusies en anti-trustzaken voor de Europese Commissie. 

Caffarra neemt geen blad voor de mond en zegt waar het op staat: we moeten aan de slag met elkaar om de Europese digitale autonomie zo snel mogelijk handen en voeten te geven. Op NBIP NEXT deelt ze haar visie tijdens een inspirerende keynote waarna er mogelijkheid is om in discussie te gaan.

Donderdag 27 november 
13:15 – 13:50 uur
Parkzaal: Op weg naar digitale autonomie