NBIP Self-assessment (Bbgt)

De Nederlandse Telecommunicatiewet verplicht providers (aanbieder, telecomaanbieder) de technische voorzieningen te treffen om hun diensten af te tappen. Maar een tapbevel komt niet elke dag voorbij. De slimme oplossing is dus samen een tapdienst opzetten. De NBIP heeft dat gedaan.

Aanbieders van openbare telecommunicatienetwerken en/of telecommunicatiediensten zijn verplicht medewerking te verlenen tot het aftappen of opnemen van telecommunicatie (die over hun telecommunicatienetwerken wordt afgewikkeld). Zie Telecommunicatiewet artikel 13.2 lid 1+2. Dit is nader uitgewerkt in het Besluit beveiliging gegevens telecommunicatie (Bbgt) en bevat minimaal te treffen maatregelen. Het doel van deze test is om je attent te maken op deze maatregelen.

Het betreft maatregelen op organisatorisch en technisch niveau. Dit betreft niet het gehele raamwerk aan maatregelen, maar een basis waarmee verdere invulling gemakkelijker wordt.

Het invullen van dit self-assessment duurt ongeveer 10 minuten en bevat enkele vragen om te bepalen of uw organisatie aandacht moet besteden aan haar beveiligingsplan en genomen maatregelen plus vragen over technische en organisatorische inrichting van je netwerk- en informatiesystemen.

De resultaten zijn primair voor jou (uit hoofde van je functie) persoonlijk gebruik en worden na verzending anoniem door NBIP verzameld.

Is jouw organisatie een telecomaanbieder?

Ja Nee Weet ik niet zeker

Is jouw organisatie in Nederland actief als telecomaanbieder? Dan is het wettelijk verplicht zich als zodanig te registreren als een of meer van onderstaande van toepassing is:

organisatie biedt openbare elektronische communicatienetwerken aan
organisatie biedt openbare elektronische communicatiediensten aan
of organisatie legt bijbehorende voorzieningen aan of biedt deze aan

Je leest meer over aanbieders van openbare telecommunicatienetwerken en -diensten en bijbehorende verplichtingen op de website van de ACM.

Het lijkt erop dat je organisatie moet voldoen aan de Bbgt.

Wij proberen je met deze vragen bewust te maken van de verplichtingen die voortvloeien uit de Bbgt.

Besluit van 28 oktober 2003, houdende regels betreffende door aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten te treffen beveiligingsmaatregelen ten aanzien van gegevens betreffende het aftappen en opnemen van telecommunicatie. Zie Besluit beveiliging gegevens telecommunicatie

De Bbgt en de bijlage bevatten maatregelen. Deze dienen ten minste te bestaan uit:

maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;
maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;
maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;
maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;
maatregelen in het geval van calamiteiten.

Ben je bekend met de Bbgt regelgeving?

Ja Nee Weet ik niet zeker

De aanbieder (deelnemer) is en blijft verantwoordelijk voor de naleving door de derde (NBIP) van de verplichtingen op basis van een schriftelijke overeenkomst. Zie artikel 8.

Heb je een schriftelijke overeenkomst met een derde (bijvoorbeeld dienstovereenkomst NBIP-Tapdiensten)?

Ja Nee Weet ik niet zeker

Beveiligingsplan

Elke aanbieder is verplicht om een beveiligingsplan voor bevoegd aftappen te hebben. Zie artikel 3.

De aanbieder draagt zorg voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven hoe uitvoering is gegeven aan de maatregelen, bedoeld in de bijlage.

ISO maatregelen kunnen u hierbij helpen, maar ISO is wel iets anders dan Bbgt. Dit beveiligingsplan staat geheel los van uw eventuele ISO 27001 certificering.

Heeft jouw organisatie een actueel beveiligingsplan?

Ja Nee Weet ik niet zeker

Is er een functionaris binnen de organisatie belast met het toezicht op de uitvoering en naleving van de in het plan vermelde beveiligingsmaatregelen?

Ja Nee Weet ik niet zeker

Deze functionaris voert daartoe regelmatig controles uit en legt de resultaten daarvan ook structureel en opvraagbaar vast.

Beveiligingseisen ten aanzien van personeel

De aanbieder draagt er zorg voor dat bij het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag (VOG) hebben overgelegd. Zie artikel 4.

Aanvullende beveiligingseisen voor personeel dat in aanraking komt met LI (Lawful Interception) gegevens zijn een functieomschrijving en een getekende geheimhoudingsverklaring. Zie bijlage, punt 2.

Bevat de functieomschrijving van het personeel dat in aanraking komt met LI gegevens de juiste taken en verantwoordelijkheden?

Ja Nee Weet ik niet zeker

Heeft personeel dat in aanraking komt met LI gegevens een getekende geheimhoudingsverklaring in het (personeels)dossier?

Ja Nee Weet ik niet zeker

Dit kan in een separate getekende geheimhoudingsverklaring verwerkt mogen worden of als addendum aan de arbeidsovereenkomst verbonden worden.

Heeft personeel dat in aanraking komt met LI gegevens een geactualiseerde VOG (Verklaring Omtrent het Gedrag) verklaring in het (personeels)dossier?

Ja Nee Weet ik niet zeker

Toegangsbeveiliging van geautomatiseerde informatiesystemen

De toegang tot geautomatiseerde informatiesystemen met onder meer persoonsgebonden authenticatie (geen groepsaccounts). Zie bijlage, punt 5.

Het is van groot belang om direct te (laten) onderzoeken of er in uw bedrijfssystemen groepsaccounts aanwezig zijn die gebruikt worden bij het verwerken van gegevens in het kader van de Bbgt. Het gebruik van groepsaccounts (niet persoonsgebonden accounts) is zoals je waarschijnlijk weet niet veilig en kan bij een eventuele inspectie door de Rijksinspectie Digitale Infrastructuur als mogelijke overtreding worden beschoud.

Zijn er groepsaccounts actief op systemen met betrekking tot LI? (denk aan: aanmeldnamen als admin/stagiaire/administratie)

Ja Nee Weet ik niet zeker

Het is verplicht om ongeautoriseerde pogingen tot toegang van die systemen en bestanden te registreren en hier op te acteren.

Is er logging en monitoring actief op systemen met betrekken tot LI?

Ja Nee Weet ik niet zeker

Slot

Je hebt het self-assessment afgerond. De resultaten worden anoniem bij NBIP verzameld.

Lees hier de Grondslag beveiligingsplan bevoegd aftappen

Vragen aan Rijksinspectie Digitale Infrastructuur of NBIP kun je hieronder stellen.

De door jou gestelde vragen worden net als de door jou gegeven antwoorden anoniem verzameld en verwerkt.

Vragen aan Rijksinspectie Digitale Infrastructuur (RDI):

Vragen aan NBIP: