Bent u in Nederland actief als telecomaanbieder, dan bent u wettelijk verplicht u zich te registreren als u:
- openbare elektronische communicatienetwerken aanbiedt
- of openbare elektronische communicatiediensten aanbiedt
- of bijbehorende voorzieningen aanlegt of aanbiedt
Meer informatie op de website van de ACM.
Het lijkt erop dat uw bedrijf valt onder de Bbgt regelgeving.
Wij proberen u met deze vragen bewust te maken van de Bbgt regelgeving in Nederland.
Besluit van 28 oktober 2003, houdende regels betreffende door aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten te treffen beveiligingsmaatregelen ten aanzien van gegevens betreffende het aftappen en opnemen van telecommunicatie. Zie Besluit beveiliging gegevens telecommunicatie
De Bbgt en de bijlage bevatten maatregelen dienen ten minste te bestaan uit:
- maatregelen gericht op de personen die werkzaam zijn voor de aanbieder;
- maatregelen gericht op de toegang tot de gebouwen en ruimten waarin de gegevens en informatie aanwezig zijn;
- maatregelen gericht op een deugdelijke werking en beveiliging van het informatiesysteem waarin de gegevens en informatie worden verwerkt;
- maatregelen gericht op het voorkomen, vaststellen en onderzoeken van een ongeoorloofde inbreuk op de vertrouwelijkheid van de gegevens en informatie;
- maatregelen in het geval van calamiteiten.
De aanbieder (deelnemer) is en blijft verantwoordelijk voor de naleving door de derde (NBIP) van de verplichtingen op basis van een schriftelijke overeenkomst. Zie artikel 8.
Beveiligingsplan
Elke aanbieder is verplicht om een beveiligingsplan voor bevoegd aftappen te hebben. Zie artikel 3.
De aanbieder draagt zorg voor een beveiligingsplan, waarin hij aangeeft op welke wijze door hem uitvoering is gegeven aan zijn beveiligingsplicht. In het beveiligingsplan wordt ten minste aangegeven hoe uitvoering is gegeven aan de maatregelen, bedoeld in de bijlage.
ISO maatregelen kunnen u hierbij helpen, maar ISO is wel iets anders dan Bbgt. Dit beveiligingsplan staat geheel los van uw eventuele ISO 27001 certificering.
Deze functionaris voert daartoe regelmatig controles uit en legt de resultaten daarvan ook structureel en opvraagbaar vast.
Beveiligingseisen ten aanzien van personeel
De aanbieder draagt er zorg voor dat bij het verstrekken van informatie, de medewerking uitsluitend wordt verleend door personen, die aan hem een verklaring omtrent het gedrag (VOG) hebben overgelegd. Zie artikel 4.
Aanvullende beveiligingseisen voor personeel dat in aanraking komt met LI (Lawful Interception) gegevens zijn een functieomschrijving en een getekende geheimhoudingsverklaring.
Zie bijlage, punt 2.
Dit kan in een separate getekende geheimhoudingsverklaring verwerkt mogen worden of als addendum aan de arbeidsovereenkomst verbonden worden.
Toegangsbeveiliging van geautomatiseerde informatiesystemen
De toegang tot geautomatiseerde informatiesystemen met onder meer persoonsgebonden authenticatie (geen groepsaccounts). Zie bijlage, punt 5.
Het is van groot belang om direct te (laten) onderzoeken of er in uw bedrijfssystemen groepsaccounts aanwezig zijn die gebruikt worden bij het verwerken van gegevens in het kader van de Bbgt. Het gebruik van groepsaccounts (niet persoonsgebonden accounts) is zoals u weet niet veilig en zal bij een eventuele inspectie door Agentschap Telecom als mogelijke overtreding worden bestempeld.
Het is verplicht om ongeautoriseerde pogingen tot toegang van die systemen en bestanden te registreren en ook op te acteren.
Slot
U heeft het self-assessment afgerond. De resultaten worden anoniem bij NBIP verzameld.
Lees hier de Grondslag
beveiligingsplan bevoegd aftappen
Vragen aan Rijksinspectie Digitale Infrastructuur of NBIP kunt u hieronder stellen.
De door u gestelde vragen worden net als de door u gegeven antwoorden anoniem verzameld en verwerkt. De antwoorden op de meest gestelde vragen proberen wij te geven tijdens de sessies en publiceren wij in een FAQ
