Download - NAVI Toelichting brochure.indd
3
Toelichting opde Leidraaduitwisseling
van gevoeligeinformatie
Beheer van de Leidraad en de ToelichtingHet beheer van de Leidraad en de Toelichting daarop berust bij de directeur van het Nationaal Adviescentrum Vitale Infrastructuur (NAVI). Hij draagt zorg voor een actuele Leidraad. Praktijkervaringen en ontwikkelingen in nationale en internationale wet- en regelgeving en binnen bedrijven, worden door hem op relevantie voor deze Leidraad beoordeeld en verwerkt.
Copyright© Juni 2009 Nationaal Adviescentrum Vitale InfrastructuurAlle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder vooraf-gaande schriftelijke toestemming van het NAVI niet toegestaan.
Rechten en vrijwaringHet NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan.
U wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:1. het bedrijf, instelling of overheid dat de informatie beschikbaar stelt, wordt als bron vermeld;2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd
door de oorspronkelijke auteur(s) of instantie(s);4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.
5
Wat is het NAVI
In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de
verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen.
Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en
digitale dreigingen.
Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren:
Veilig platform voor informatie-uitwisseling
Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen.
Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen
bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen
partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken.
Aanbieden van kennis en expertise
Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de
vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld,
onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank.
Nationaal en internationaal contactpunt
Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale
infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor
de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en
buitenland, als bedrijven.
Voor meer informatie over het NAVI kunt u terecht op de website: www.navi-online.nl
6
Inhoudsopgave
1. Samenvatting Leidraad 8
2. Achtergrond Leidraad 9
2.1. Aanleiding 9
2.2. Meedenkers 9
2.3. Afbakening 10
2.3.1. Interne informatiebeveiliging 10
2.3.2. Informatie aan aannemers / leveranciers 10
3. Informatie en informatiebeveiliging 11
3.1. Begrippen: gevoelig en gerubriceerd 11
3.2. Enkele bestaande rubriceringsystemen 11
3.2.1. Bedrijfsrubriceringen 11
3.2.2. Vir-bi (rijksoverheid) 11
3.2.3. ABDO (ministerie van Defensie) 12
3.2.4. EU rubriceringen 12
3.3. ISO norm code voor informatiebeveiliging 12
4. Informatie-uitwisseling 13
4.1. Vormen van informatieverstrekking 13
4.2. Basis: vertrouwen 13
4.3. Cyclus van informatie-uitwisseling 13
4.4. Bijzondere informatie: persoonsgegevens 14
5. Methodieken voor uitwisseling 16
5.1. Information sharing and analysis centre 16
5.2. CPNI 16
5.3. NICC 17
5.4. Aanbevolen aanduidingtekst op document 18
5.4.1. Vermelding rubricering 18
5.4.2. Wit (openbaar) 18
5.4.3. Groen (besloten) 19
5.4.4. Geel (vertrouwelijk) 19
5.4.5. Rood (geheim) 19
5.5. Mogelijkheden van af te spreken gedragsregels 19
6. Informatie geven aan de overheid 21
6.1. Algemeen 21
6.2. Wet openbaarheid van bestuur (Wob) 21
6.2.1. Aandachtspunt 21
6.2.2. Uitzonderingsgronden 21
6.2.3. Afweging door bestuursorgaan en de rechter 22
6.3. Overheidsinspecties 22
6.4. Mogelijk te volgen stappen 23
6.4.1. Ga eerst in overleg met de overheid / het bestuursorgaan 23
6.4.2. Benoem de vertrouwelijke informatie en zonder die af 23
7
7. Andere wettelijke bepalingen 24
7.1. Wettelijke strafbaarstelling openbaar maken van geheimen 24
7.2. Wet milieubeheer artikel 19.1 25
7.3. Burgerlijk wetboek, artikel 162 25
Bijlage 1: Afkortingen en begrippen 26
8
1. Samenvatting LeidraadIn dit document wordt toelichting op de Leidraad gegeven, tevens is enige achtergrondinformatie opgenomen.
Basis voor een veilige informatie-uitwisseling is onderling vertrouwen. Vertrouwen moet opgebouwd worden.
Veelal hebben de deelnemers aan de uitwisseling al langere tijd contact met elkaar en is er een wederzijds
respect en vertrouwen opgebouwd. Het geschonken vertrouwen moet gekoesterd en onderhouden worden.
Op verzoek van en in samenspraak met diverse vitale bedrijven, brancheorganisaties en overheden heeft het
NAVI een Leidraad opgesteld. Er was behoefte aan een generiek te gebruiken referentiekader in de vorm van een
Leidraad voor de uitwisseling van gevoelige informatie.
De Leidraad is een losstaand document, bijvoorbeeld om het uit te reiken bij een eerste werkbijeenkomst en voor
het maken van afspraken voor de uitwisseling van gevoelige informatie.
Het gebruik van de Leidraad is vrijwillig, maar wanneer deelnemers aan de uitwisseling (ad-hoc of permanent)
afspreken de Leidraad te hanteren, is dat daarmee dan niet meer vrijblijvend.
In de Leidraad wordt gebruik gemaakt van een indeling met kleurcodes (wit, groen, geel en rood) die snel een
associatie geven van de mate van gevoeligheid. Deze kleurcodes worden al op diverse plaatsen gebruikt.
Wit (openbaar); -
Groen (besloten); -
Geel (vertrouwelijk); -
Rood (geheim). -
Aanbevolen wordt deze te gebruiken bij de multisectorale en publiekprivate informatie-uitwisseling waarbij de
vertrouwelijkheid van de informatieverstrekking geborgd moet worden.
In de Leidraad zijn geen concrete beveiligingsmaatregelen opgenomen. Elke deelnemer zal zich houden aan de
binnen zijn bedrijf, instelling of overheid geldende maatregelen. In deze toelichting is, informatief, een set van
mogelijk te gebruiken maatregelen opgenomen.
Hoewel de Leidraad geschreven is vanuit de intentie een bijdrage te leveren aan een zo optimaal mogelijke
beveiliging van de vitale infrastructuur van Nederland en in Europa, is de Leidraad ook bruikbaar voor de
uitwisseling van gevoelige informatie voor andere doeleinden.
Het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) hoopt met deze Leidraad een bijdrage te kunnen leveren
aan een veilige uitwisseling van gevoelige informatie.
9
2. Achtergrond Leidraad2.1. AanleidingOp verzoek van enkele bedrijven uit vitale sectoren organiseerde het NAVI op 23 september 2008 een bijeenkomst
over de uitwisseling van informatie. De bedrijven stelden drie vragen centraal:
1. Hoe om te gaan met rubricering en informatiebeveiliging bij vitale infrastructuur?
2. Hoe informatie te delen in multidisciplinaire en organisatieoverstijgende projectteams?
3. Hoe om te gaan met vertrouwelijke informatie in relatie tot bijvoorbeeld een vergunningaanvraag en/of in
relatie met de Wob?
De deelnemers gaven helder aan dat er bij vitale bedrijven grote behoefte bestaat aan meer duidelijkheid en
afspraken hoe om te gaan met multisectorale en publiek-private informatie-uitwisseling en tevens de noodzakelijke
vertrouwelijkheid van de informatieverstrekking te borgen. Ofwel, hoe kunnen we veilig communiceren zonder het
risico te lopen dat informatie in de verkeerde handen komt? Uitvoerig is toen gesproken over een set van afspraken
tussen de gesprekspartners die daarbij behulpzaam zou kunnen zijn. In het bijzonder gaat het hierbij om de aspecten
van rubricering van informatie en de bijbehorende afspraken en maatregelen voor wat betreft de uitwisseling van
informatie met andere partijen.
Het bovenliggende doel is de beveiliging van de bedrijven, instellingen en overheden die gezamenlijk de vitale
infrastructuur van Nederland vormen, te verbeteren c.q. op een adequaat niveau te houden.
De Nederlandse en soms ook de Europese samenleving is in belangrijke mate afhankelijk van een goed en continu
functioneren van deze bedrijven, instellingen en overheden. De overheden hebben daarbij veelal een dubbele rol.
Enerzijds zijn zij de regelgevende, gezaghebbende en toetsende overheid. Anderzijds beheren zij zelf ook delen
van de vitale infrastructuur1. Omdat deze bedrijven, instellingen en overheden samen een grote maatschappelijke
verantwoordelijkheid dragen in de bescherming en beveiliging van de vitale infrastructuur, is een gezamenlijk
optrekken van groot belang.
Om te komen tot een adequate beveiliging is informatie essentieel. Niet alleen informatie van het eigen bedrijf,
instelling of overheid, maar ook wat er op andere plekken gebeurt. Soms is die informatie te halen uit open
bronnen, maar veelal is dat niet de informatie waar echt behoefte aan is. De bedrijven, instellingen en overheden
die samen de vitale infrastructuur vormen, willen ervaringen met elkaar delen en van elkaar leren; (bijna) incidenten,
dreiginginformatie, modus operandi, innovaties, missers, van alles dat er toe bijdraagt dat de beveiliging adequaat is.
2.2. MeedenkersBij de totstandkoming van de Leidraad en het toelichtende document is dankbaar gebruik gemaakt van ter zake
kundige vertegenwoordigers van diverse bedrijven, brancheorganisaties en overheden. Daarnaast is tweemaal een
bespreking gevoerd met een breed samengestelde klankbordgroep.
De vertegenwoordigers waren afkomstig van:
Govcert (Computer Emergency Response Team van de Nederlandse overheid) -
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (AIVD, CZW en DNV-vitaal) -
Ministerie van Verkeer en Waterstaat (Inspectie VenW) -
Ministerie van Volkhuisvesting, Ruimtelijke Ordening en Milieu -
N.V. Nederlandse Gasunie -
Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) -
1 Voorbeelden zijn: keren en beheren oppervlakte water, hoofd (vaar)wegennet, openbaar bestuur, rechtsorde en openbare orde en veiligheid.
10
Netbeheer Nederland (brancheorganisatie van de regionale en landelijke netbeheerders) -
Platform voor InformatieBeveiliging (PvIB) -
Politie -
ProRail -
Shell International B.V. -
TenneT (netbeheerder van het landelijke elektriciteitsnetwerk) -
Vitens -
2.3. Afbakening
2.3.1. Interne informatiebeveiliging
In de Leidraad worden geen regels opgesteld voor het interne informatiebeveiligingsbeleid van bedrijven,
instellingen en overheden. Het is essentieel dat deelnemers aan de onderlinge informatie-uitwisseling een
dergelijk beleid hebben. Bij het opstellen van een dergelijk beleid kan gebruik gemaakt worden van het beleid
van andere deelnemende partijen. Het beleid van de rijksoverheid is een openbaar document: het Voorschrift
Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI).
Ook het interne beleid Informatiebeveiliging van het NAVI is beschikbaar, onder meer via www.navi-online.nl.
2.3.2. Informatie aan aannemers / leveranciers
De gevoelige informatie die een bedrijf of instelling verstrekt aan aannemers, leveranciers en dergelijke, behoort
door die ontvangers ook op een veilige wijze behandeld te worden. De Leidraad handelt daar niet over. De regels
die het bedrijf of instelling aan die aannemers en leveranciers wil opleggen, worden veelal vastgelegd worden
in het informatiebeveiligingsbeleid van het bedrijf of instelling dan wel in de algemene inkoopvoorwaarden.
Het ministerie van Defensie heeft dit bijvoorbeeld vastgelegd in hun Algemene Beveiligingseisen voor
Defensieopdrachten (ABDO)2. Dit document is via internet te raadplegen en bedrijven kunnen hier eventueel
suggesties uithalen voor het eigen beleid.
2 Algemene Beveiligingseisen voor Defensieopdrachten 2002 (ABDO 2002), ministerie van Defensie oktober 2006
11
3. Informatie en informatiebeveiliging3.1. Begrippen: gevoelig en gerubriceerdIn het gebruik komen veel verschillende termen voor, zoals:
Vertrouwelijke informatie; -
Bijzondere informatie; -
Gevoelige informatie; -
Afgeschermde informatie. -
Er bestaan dus verschillende termen voor hetzelfde begrip, maar ook eenzelfde term is voor meerdere uitleg vatbaar.
Dat leidt tot onduidelijkheid en verwarring. Daarom is het belangrijk om een unité de doctrine te hanteren.
In de Leidraad is gekozen om aan te sluiten bij de termen die in Europees verband in de EPCIP3- richtlijn worden
gebruikt. Daarin wordt gesproken over gevoelige informatie. Of in het Engels: sensitive information.
De EPCIP-richtlijn4 spreekt van gevoelige informatie in verband met de bescherming van kritieke (vitale) infrastructuur.
Dat zijn gegevens over vitale infrastructuur die, wanneer zij openbaar worden gemaakt, zouden kunnen worden
gebruikt om plannen te maken en feiten te plegen om vitale infrastructuurinstallaties te verstoren of te vernietigen.
Maar ook niet alle gevoelige informatie is allemaal even gevoelig. Het ene document bevat gevoeliger informatie
dan het andere. Daar zijn gradaties in aan te brengen. Voor het systeem om de gevoelige informatie in te delen
komen de termen geclassificeerd en gerubriceerd beide voor. Geclassificeerd is een letterlijke vertaling van de Engelse
term “classified”.
De Nederlandse overheid gebruikt de term “rubriceren” voor het indelen van de gevoelige informatie in klassen zoals
genoemd in het VIR-BI. Dat zijn de staatsgeheimen5 (zeer geheim, geheim en confidentieel) evenals departementaal
vertrouwelijk.
In de Leidraad wordt het begrip “gerubriceerd” gebruikt voor de gevoelige informatie die naar gevoeligheidswaarde
ingedeeld is. Gerubriceerde informatie is daarmee per definitie gevoelige informatie.
3.2. Enkele bestaande rubriceringsystemenHieronder worden enkele gebruikte rubriceringsystemen genoemd.
3.2.1. Bedrijfsrubriceringen
De meeste bedrijven hebben een informatiebeveiligingsbeleid ingevoerd met daarin opgenomen een
rubriceringindeling voor gevoelige informatie. Er is echter geen algemene eenduidigheid in de indelingen, de
aantallen niveaus verschillen en ook de beveiligingsmaatregelen bij een gelijkluidende rubriceringtermen zijn
verschillend. Waar bij het ene bedrijf bij informatie met de rubricering “geheim” de beveiligingsmaatregelen analoog
aan het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI) stg6 geheim worden getroffen,
heeft een ander bedrijf bij deze term de beveiligingsmaatregelen op het VIR-BI niveau departementaal vertrouwelijk.
3.2.2. VIR-BI (rijksoverheid)
Het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI) geeft regels voor de beveiliging
van Bijzondere Informatie bij de rijksdienst. Hierbij is bijzondere informatie: staatsgeheimen en overige bijzondere
informatie waarvan kennisname door niet gerechtigden nadelige gevolgen kan hebben voor de belangen van de
Staat, van zijn bondgenoten of van één of meer ministeries. Deze regels strekken er toe het aantal personen dat met
3 European Programme for Critical Infrastructure Protection4 EPCIP richtlijn 2008/114/EG van de raad, 8 december 2008 artikel 2, lid d5 STG = staatsgeheim6 stg = staatsgeheim
12
Bijzondere Informatie in aanraking komt zo beperkt mogelijk te houden. Daarnaast is het van belang dat zo spoedig
mogelijk actie wordt ondernomen bij kennisname door niet-gerechtigden (compromittering).7
De werking van het VIR-BI strekt zich niet verder uit dan de Rijksdienst. Het kan echter noodzakelijk zijn om
informatie die onder de rubricering ‘Bijzondere Informatie’ valt buiten de Rijksdienst te brengen. Het voorschrift
(VIR-BI) staat dit alleen toe indien er voldoende zekerheid bestaat dat een goede beveiliging, in overeenstemming
met de bepalingen van de betreffende aanwijzingen, is zeker gesteld.
3.2.3. ABDO (ministerie van Defensie)
De afspraken ten behoeve van het ministerie van Defensie met andere organisaties dan de Rijksdienst over het
verzekeren van een adequate beveiliging, zijn in de Algemene Beveiligingseisen Defensie Opdrachten (ABDO)
weergegeven. Deze afspraken zijn een afgeleide van de diverse regelingen op dit gebied (zoals VIR-BI), aangevuld
met algemene beveiligingseisen, betrouwbaarheidseisen voor wat betreft informatiebeveiliging en diverse
uitvoeringsbepalingen.8
3.2.4. EU rubriceringen
Binnen de Europese Commissie wordt de gevoelige informatie ook gerubriceerd in overeenstemming met hun
indeling. Ook heeft de Commissie een besluit vastgesteld hoe te handelen wanneer de Commissie uit hoofde van
een opdracht of subsidieovereenkomst bij externe entiteiten opdrachten plaatst voor taken die betrekking hebben op
gerubriceerde EU-gegevens of voor taken die dergelijke gegevens noodzakelijk maken en/of bevatten.9
3.3. ISO norm Code voor informatiebeveiligingNEN-ISO/IEC 27001 en 27002 zijn standaarden voor informatiebeveiliging die richtlijnen en algemene principes geeft
voor het initiëren, implementeren, onderhouden en verbeteren van informatie beveiligingsmanagement binnen een
organisatie. Deze Code voor informatiebeveiliging is onder begeleiding van de normcommissie van het Nederlandse
Normalisatie Instituut (NEN) tot stand gekomen. De standaard is breed toepasbaar en vertegenwoordigd de algemeen
geaccepteerde doelen voor informatiebeveiliging. De Code is geen formele wet- of regelgeving maar geniet wel
enige gezag. Begin 2008 is door het Forum Standaardisatie bepaald dat de Code voor Informatiebeveiliging als open
standaard dient te worden gebruikt.
In ISO 27001, A.10.8 worden normen gesteld voor de uitwisseling van informatie met het doel het handhaven van
beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe
entiteit.
Het artikel in dat hoofdstuk beschrijft:
Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld. -
Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de -
organisatie en externe partijen.
Media die informatie bevatten moeten worden beschermd tegen onbevoegde toegang, misbruik of corrumperen -
tijdens transport buiten de fysieke begrenzing van de organisatie.
Informatie die een rol speelt bij elektronische berichtuitwisseling moet op geschikte wijze worden beschermd. -
Voor meer gedetailleerde informatie wordt verwezen naar het nationale normalisatie-instituut NEN.10
Door de Leidraad uitwisseling gevoelige informatie te hanteren wordt bijgedragen aan de invulling van de
bepalingen uit de ISO 27001 e.v.
7 Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI), maart 20048 Algemene Beveiligingseisen voor Defensieopdrachten, januari 2006, ministerie van defensie9 Besluit van de Commissie, 2 augustus 2006 tot wijziging van besluit 2001/844/EG, EGKS, Euratom10 http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=BIBLIOGRAFISCHEGEGEVENS&contentID=224997
13
4. Informatie-uitwisselingDit hoofdstuk gaat specifiek in op het (vrijwillig) uitwisselen van informatie. Dat is anders dan het op wettelijke basis
moeten verstrekken van informatie aan de overheid.
4.1. Vormen van informatieverstrekkingEr zijn ruwweg drie redenen waarom informatie wordt verstrekt:
Bedrijfsnoodzaak; -
Verplichting aan de overheid; -
Ter wederzijdse “lering”. -
Een andere indeling is de wijze waarop informatie wordt gedeeld:
Mondeling (overleggen, telefonisch of soortgelijk); -
Door toezenden van schriftelijke stukken/documenten; -
Door het elektronisch toezenden van digitale stukken. -
Ongeacht de reden waarom en de wijze waarop is het wenselijk afspraken te hanteren over de mate van
gevoeligheid van informatie. Als voor het verstrekken van schriftelijke en digitale informatie meerdere eisen worden
gesteld aan de handelswijze, volstaat bij mondelinge uitwisseling veelal de afspraak tot hoever de informatie aan
anderen mag worden doorgegeven (of in het geheel niet).
4.2. Basis: vertrouwenHet is belangrijk dat geheimhoudingsvoorschriften in acht worden genomen met betrekking tot bepaalde gegevens
over vitale infrastructuurvoorzieningen die gebruikt kunnen worden om plannen te maken en feiten te plegen, welke
onaanvaardbare gevolgen voor vitale infrastructuurinstallaties kunnen hebben. Informatie over de bescherming
van bedrijven, instellingen en overheden die samen de vitale infrastructuur vormen, moet worden uitgewisseld
op basis van vertrouwen. Het gaat niet alleen om informatie over de ‘bescherming van’, maar ook over andere
bedrijfsgevoelige informatie (capaciteitsgegevens, netwerk, veiligheid en dergelijke). De uitwisseling van informatie
vereist een zodanige vertrouwensrelatie dat bedrijven, instellingen en overheden erop moeten kunnen vertrouwen
dat hun gevoelige gegevens bij de andere partij voldoende beschermd zijn.
Afspraken die gemaakt worden voor een veilige uitwisseling van informatie zijn niet formeel af te dwingen. Wel
kunnen onderling afspraken gemaakt worden hoe te handelen bij schending van het vertrouwen en openbaar maken
van gevoelige informatie. In de Leidraad zijn daartoe enkele mogelijke vormen van sanctie opgenomen. Deelnemers
aan de uitwisseling moeten elkaar kunnen vertrouwen. Veelal kennen de deelnemers elkaar al langere tijd en is een
wederzijds respect en vertrouwen opgebouwd. Nieuwe deelnemers kunnen geïntroduceerd worden door bestaande
deelnemers en ontlenen daaraan een zekere mate van vertrouwen welke in de loop der tijd moet groeien.
Vertrouwen moet worden opgebouwd. Vanuit die optiek is het onwenselijk dat vaste deelnemers aan diverse
overleggen waarin gevoelige informatie kan worden uitgewisseld, zich zonder meer laten vervangen voor iemand
anders.
14
4.3. Cyclus van informatie-uitwisseling Aan het verstrekken, ter beschikking stellen of op andere wijze uitwisselen van gevoelige informatie zijn beperkingen
en risico’s verbonden. Zo is het slechts zeer beperkt en onder strikte voorwaarden mogelijk om gevoelige informatie
van de rijksoverheid met bedrijven te delen. Ook bedrijven kunnen terughoudend zijn met het delen van gevoelige
informatie aan de overheid; de Wet openbaarheid van bestuur (Wob) heeft daarin een versterkende factor. Bedrijven
hebben eigen beleidsregels en afspraken over de omgang met gevoelige informatie. Ook bedrijven en instellingen
wisselen onderling gevoelige informatie uit. Bijvoorbeeld in de diverse bijeenkomsten over de kwaliteitsverbetering
van de beveiliging van de bedrijven binnen de vitale sectoren. Er is daarbij behoefte aan helderheid welke informatie
op een veilige wijze gedeeld kan worden. Het indelen naar rubriceringniveaus helpt daarbij. Het is belangrijk dat
informatie alleen in bezit is van en toegankelijk is voor bevoegde personen.
Informatie ontstaat, wordt gegenereerd in documenten of wordt ontwikkeld. Als informatie eenmaal aanwezig is,
wordt informatie:
- Opgeslagen;
- Gebruikt en verwerkt;
- Gedeeld en uitgewisseld;
- Gearchiveerd voor latere raadpleging of
- Vernietigd.
In alle fasen van deze levenscyclus van informatie dienen informatiebeveiligingsmaatregelen te zijn getroffen.
Door informatie te rubriceren is het eenvoudig om de omgangs¬vormen van desbetreffende informatie snel voor
iedereen duidelijk te maken. Het van toepassing zijnde rubriceringniveau bepaalt de noodzakelijke maatregelen die
onder meer kunnen bestaan uit het vermelden van het rubriceringniveau, eisen aan opslag, vervoer, verstrekking of
het wel of niet kunnen gebruiken op thuiswerkplekken of buiten de organisatie.
11 Gebaseerd op: Informatieblad informatie delen in samenwerkingsverbanden, College Bescherming Persoonsgegevens, december 2006
Levenscyclusvan
Informatie
Vernietiging
Acquisitie
Delen (in beweging)
Opslag(in rust)
ArchiveringGebruik
(in gebruik)
15
4.4. Bijzondere informatie: persoonsgegevens11 Indien het informatiedelen in het samenwerkingsverband ook het delen van persoonsgegevens inhoudt,
moet er voldaan worden aan de normen van de privacywetgeving. Dat betekent dat een aantal stappen moet
worden doorlopen en onder meer afgevraagd moet worden of informatie delen noodzakelijk is en zo ja, of een
beroepsgeheim het toestaat om die informatie te delen.
Op delen van informatie met persoonsgegevens in een samenwerkingsverband zijn verschillende wetten van
toepassing. De Wet bescherming persoonsgegevens (Wbp) is de algemene kaderwet. De Wet politiegegevens
bepaalt wat de politie met informatie mag doen. In de Wet geneeskundige behandelingsovereenkomst is de grens
van (medisch) beroepsgeheim bepaald en in de Wet gemeentelijke basisadministratie staat wat er met de gegevens
uit de gemeentelijke basisadministratie mag gebeuren.
Het verdient aanbeveling om werkafspraken met betrekking tot het delen van informatie binnen een
samenwerkingsverband vast te leggen in een convenant. Een convenant is een bindende overeenkomst waarin de
verdeling van de aansprakelijkheid, de gegevensstromen, het doel van de samenwerking, de resultaten en andere
afspraken (bijvoorbeeld over periodieke controles of audits) vastgelegd kan worden. Een convenant kan echter nooit
een wet opzij zetten, dus kunnen nooit meer bevoegdheden geschept worden dan de wet toekent. Ook is het niet
mogelijk wettelijke verplichtingen met een convenant opzij te zetten.
16
5. Methodieken voor uitwisselingHieronder worden enkele van de in gebruik zijnde methodieken voor de uitwisseling van gevoelige informatie
toegelicht. Mede op basis van deze methodieken is de ‘Leidraad uitwisseling gevoelige informatie’ ontwikkeld.
Tevens worden suggesties gedaan die gebruikt kunnen worden voor het aanduiden van documenten met gevoelige
informatie en de mogelijk te treffen maatregelen voor het beveiligingen van die informatie.
5.1. Information Sharing and Analysis CentreIn de Verenigde Staten van Amerika is er een Information Sharing and Analysis Centers Council (ISAC Council)
die als missie heeft: “.. to advance the physical and cyber security of the critical infrastructures of North America
by establishing and maintaining a framework for valuable interaction between and among the ISACs and with
government.”12
In een Information Sharing and Analysis Centre (ISAC) kunnen bedrijven per sector hun beveiligingsproblemen
vertrouwd en anoniem uitwisselen. Na analyse kan daaruit een waarschuwing aan alle deelnemende partijen volgen
over een risico of kwetsbaarheid, of een good practice om een risico af te wenden. Informatie wordt gedeeld
volgens een vertrouwelijkheidrubricering, het verkeerslichtmodel.
12 http://www.isaccouncil.org/about/13 Information Exchanges Example Membership Guidelines Version 1 ~ June 2004
roodBetekent dat de informatie zeer geheim is en alleen mondeling binnen de ISAC gedeeld mag worden.
groen Betekent dat informatie gedeeld mag worden binnen en buiten de organisatie, maar niet gepubliceerd.
geelGemerkte informatie mag alleen gedeeld worden met mensen binnen de eigen organisatie die deze informatie
nodig hebben om maatregelen te nemen.
wit Staat in dit model voor openbare informatie.
17
5.2. CPNIHet Britse Centre for the Protection of National Infrastructure (CPNI) hanteert ook deze kleurcodes13.
In hun ‘Framework for Vulnerability Information Sharing Introduction´ van februari 2007 schrijven zij:
“CPNI has agreed a labelling mechanism known as the “Traffic Light Protocol” (TLP) with members of its Information
Exchanges. This same protocol has now been accepted as a model for trusted information exchange by over 30 other
countries. The protocol provides for four “information sharing levels” for the handling of sensitive information. The
four information sharing levels are:
This framework is not a legal contract. It is a statement of the requirements for information sharing between CPNI
and the receiving organisation.
The Centre for the Protection of National Infrastructure (CPNI) and the receiving organization jointly agree:
to label vulnerability information to be shared with one of the four “information sharing levels” identified in the -
Traffic Light Protocol (TLP);
where necessary and appropriate to protectively mark the information in line with their own internal security -
policies and in accordance with the TLP;
to use the same degree of care to maintain confidentiality of shared vulnerability information as is used for their -
own internal or commercially sensitive information;
neither directly nor indirectly disclose to a third party in advance of the agreed public disclosure date, either the -
existence of, or details pertaining to, vulnerability information supplied under this framework without the prior
written approval of the originating organization;
not to use the vulnerability information disclosed for commercial advantage or marketing purposes; -
to restrict the release of vulnerability information solely to those persons within the organization with a -
legitimate need to know by virtue of their job or role. Such persons must be appropriately briefed on, and bound
by, the meaning of the TLP sharing mechanism;
to destroy vulnerability information that is no longer required; -
to disclaim liability for any damages arising from the use of the vulnerability information; -
that access to vulnerability information is offered free of any financial charge and without warranty of any kind; -
not to employ legal remedy to address any conflict arising from the disclosure or use of any vulnerability -
information provided.”
redPersonal for named recipients only. In the context of a meeting, for example, RED information is limited to those
present. In most circumstances RED information will be passed verbally or in person.
green Community wide. Information in this category can be circulated widely within a particular community. However,
the information may not be published or posted on the Internet, nor released outside of the community.
amberLimited distribution. The recipient may share AMBER information with others within their organization, but only
on a “need-to-know” basis.
white Unlimited. Subject to standard copyright rules, WHITE information may be distributed freely, without restriction.
18
5.3. NICCDe Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC, hanteert voor de uitwisseling van gevoelige
informatie ook een informatieprotocol14.
Om geheimhouding te waarborgen, hebben zij een aantal spelregels opgesteld voor het voeren van overleg.
a. Vertegenwoordigers van organisaties mogen zich niet laten vervangen;
b. Elke sector bepaalt zelf de agenda van het overleg;
c. De aanbieder van informatie beslist over het niveau van vertrouwelijkheid;
d. Nieuwe deelnemers moeten goedgekeurd worden door alle bestaande deelnemers;
e. Elke deelnemende organisatie mag twee vertegenwoordigers afvaardigen; alleen zij mogen de vergaderingen
persoonlijk bijwonen.
Ook bij hen geven kleurcodes het niveau van vertrouwelijkheid aan:
roodGeheime informatie die deelnemers alleen mondeling delen.
groen Informatie die gedeeld mag worden met andere organisaties, informatiefora of personen uit de IT-beveiligingswereld.
geelBeperkte geheimhouding. Deze informatie mag gedeeld worden met relevante personen binnen de deelnemende
organisaties.
wit Onbeperkte verspreiding.
14 Samen tegen cybercrime, NICC, oktober 2006
19
5.4. Aanbevolen aanduidingtekst documenten
5.4.1. Vermelding rubricering
Op rapporten, verslagen of andere vormen van schriftelijke weergave wordt de rubriceringaanduiding vermeld. Deze
vermelding staat op elke pagina.
Afhankelijk van het rubriceringniveau, wordt een document voorzien van een waarschuwing. Deze waarschuwing is
samen met het rubriceringniveau duidelijk zichtbaar op de eerste pagina van het document of op de pagina direct
volgend na de titelpagina.
Hieronder zijn voorbeelden van aanduidingteksten opgenomen die op documenten geplaatst kunnen worden.
5.4.2. Wit (openbaar)
U wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken
onder de hiernavolgende voorwaarden:
1. het bedrijf, instelling of overheid dat de informatie beschikbaar stelt, wordt als bron vermeld;
2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven
onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s);
4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde
waarschuwing.
5.4.3. Groen (besloten)
Dit document is gerubriceerd voor GROEN (besloten) gebruik. De informatie die in dit document en bijbehorende
bijlagen gepubliceerd is, is alleen bedoeld voor betrokken personen. Het gebruik van het document door een andere
partij dan de geadresseerde(n) is toegestaan, mits deze partij hiertoe geautoriseerd is door een geadresseerde.
5.4.4. Geel (vertrouwelijk)
Dit document is gerubriceerd als GEEL (vertrouwelijk). De informatie die in dit document en bijbehorende bijlagen
gepubliceerd is, is alleen bedoeld voor de geadresseerde(n). Het gebruik van het document door andere personen
dan de geadresseerde(n) is niet toegestaan, tenzij deze personen hiertoe expliciet geautoriseerd zijn door de
verstrekker. De informatie in dit document valt onder de bepalingen van een geheimhoudingsplicht.
5.4.5. Rood (geheim)
Dit document is gerubriceerd als ROOD (geheim). De informatie die in dit document en bijbehorende bijlagen
gepubliceerd is, is uitsluitend bedoeld voor de geadresseerde(n). Het gebruik van het document door anderen
dan de geadresseerde(n) is niet toegestaan. De informatie in dit document valt onder de bepalingen van een
geheimhoudingsplicht.
20
5.5. Mogelijkheden van af te spreken gedragsregels Onderstaand wordt een lijst van mogelijk af te spreken maatregelen gegeven. De lijst is bedoeld als handreiking aan
diegene die de informatie verstrekt wat hij aan de ontvanger vraagt. De lijst heeft op zich geen verplichtend karakter.
Het belangrijkste is de intentie die met het naleven van de afspraken wordt uitgesproken. De maatregelen zijn
principal-based en niet rule-based.
Maatregel
Informatie is specifiek gemaakt om openbaar te maken.
Informatie is niet-gevoelige informatie.
Informatie wordt alleen gedeeld met een bepaalde groep personen.
De informatie is vertrouwelijk.
Informatie mag selectief worden gedeeld met andere organisaties.
Informatie wordt alleen gedeeld met en is alleen toegankelijk voor direct betrokken
personen.
Toegang op basis van noodzakelijkheid of functie.
Toegang op basis van noodzakelijkheid.
Informatie mag worden gebruikt buiten een (beveiligde) kantooromgeving,
bijvoorbeeld telewerken.
Informatie is (op aanvraag) vrij toegankelijk of is vrijgegeven voor publicatie via
openbare bronnen zoals internet en de pers.
Informatie is voorzien van het rubriceringniveau.
Documenten zijn voorzien van doorlopende paginanummers, het totale aantal
pagina’s, datum en versienummer.
Schriftelijke informatie en gegevensdragers worden opgeborgen in de daarvoor
bestemde afsluitbare kast.
Schriftelijke informatie en gegevensdragers worden opgeborgen in de daarvoor
bestemde beveiligde kluis(kast).
Schriftelijke informatie en gegevensdragers worden opgeborgen in een
daarvoor bestemde beveiligde kluis(kast) die in een daarvoor bestemde beveiligde
ruimte staat.
wit groen geel rood
21
Maatregel
Schriftelijke informatie-uitwisseling vindt plaats per post in een (onopvallende)
dubbele enveloppe.
Schriftelijke informatie-uitwisseling vindt plaats per bekende koerier of (binnen
Nederland) met aangetekende post in een dubbele enveloppe.
Schriftelijke informatie en gegevensdragers worden alleen gebruikt op daartoe
aangewezen locaties.
Informatie wordt alleen met toestemming van de lijnmanager meegenomen en
indien dit voor de voortgang van de werkzaamheden noodzakelijk is.
Er worden niet meer reproducties gemaakt dan strikt noodzakelijk is.
Het bijmaken van reproducties wordt geregistreerd.
Schriftelijke informatie wordt van voorzien van een uniek exemplaarnummer.
Informatie wordt alleen verwerkt en/of opgeslagen op computers voorzien van
versleutelingprogrammatuur.
Informatie wordt alleen verwerkt en/of opgeslagen op stand-alone computers
voorzien van versleuteling¬programmatuur en toegangsbeveiliging met token.
Informatie mag niet worden uitgewisseld of geplaatst op een openbaar
toegankelijke internet website.
Informatie wordt niet op een geautomatiseerd computernetwerk (zoals websites,
document managementsystemen, een kennisbank, fileservers of persoonlijke
netwerkmappen) opgeslagen.
Elektronisch informatie-uitwisseling (e-mail) vindt beveiligd plaats (versleuteld).
Elektronisch informatie-uitwisseling (e-mail) vindt beveiligd plaats (versleuteld)
waarbij de authenticiteit van de verzender en ontvanger kan worden geverifieerd
(onweerlegbaarheid).
Informatie en gegevensdragers worden volgens voorschriften vernietigd.
Gecontroleerde toegang op individueel niveau / bezoekers worden begeleid.
Fysieke toegang is gecontroleerd op individueel niveau. Bezoekers worden
begeleid.
De identiteit van een gebruiker wordt mede vastgesteld op basis van een token of
biometrie.
Informatie wordt alleen mondeling of conform geldende (bedrijfs)voorschriften
opgeslagen en uitgewisseld.
wit groen geel rood
22
6. Informatie geven aan de overheid 6.1. AlgemeenIn de op 29 september 2008 gehouden bijeenkomst (zie 2.1) stelden de deelnemende vitale bedrijven ondermeer de
vraag: “Hoe om te gaan met vertrouwelijke informatie in relatie tot bijvoorbeeld een vergunningaanvraag en/of in
relatie met de Wob?” Dit onderwerp heeft vanuit beveiligingsoogpunt hun grote zorg.
De overheid heeft als hoeder van het algemene belang bepaalde informatie nodig. Het bedrijfsleven is, gelet op de
maatschappelijke verantwoordelijkheid die het heeft, uiteraard bereid daaraan zoveel als mogelijk en verantwoord is
invulling aan te geven. Informatieverstrekking aan de overheid is vaak verplicht op grond van wet- en regelgeving,
zoals voor de aanvraag van vergunningen of de informatieplicht op grond van de Wet rampen en zware ongevallen.
In het kader van het waarborgen van de nationale veiligheid en de bescherming van vitale infrastructuur, wordt
informatie ook vaak verstrekt in het kader van een publiek-private samenwerking. Het is van belang om bij deze
informatieverstrekking een goede balans te vinden tussen enerzijds de noodzakelijke vertrouwelijkheid en de
transparantie van besluitvorming anderzijds.
6.2. Wet openbaarheid van bestuur (Wob)De Wet openbaarheid van bestuur (Wob) regelt het recht van burgers op informatie van de overheid. Op die manier
wordt het inzicht van burgers in het overheidshandelen vergroot, wat de democratie en de deelname van burgers
aan de besluitvorming ten goede komt. De Wob is een algemene uitwerking van artikel 110 van de Grondwet.
Daarin is bepaald dat de overheid bij de uitvoering van haar taak openheid en openbaarheid betracht volgens de bij
de wet te stellen regels.
De overheid verschaft uit eigen beweging informatie zodra dat in het belang is van een goede en democratische
bestuursvoering.
Als de overheid bepaalde informatie niet actief openbaar heeft gemaakt, kan een burger de overheid (de Wob
gebruikt de term bestuursorgaan) verzoeken informatie openbaar te maken: het Wob-verzoek. De Wob gaat er daarbij
vanuit dat in beginsel de bij de overheid berustende informatie openbaar is. Een Wob-verzoek kan alleen worden
geweigerd wanneer een van de limitatief opgesomde uitzonderingsgronden van de Wob15 van toepassing is.
6.2.1. Aandachtspunt
Bij het verstrekken (bedrijf) en ontvangen (overheid) van de informatie is expliciete aandacht nodig voor de mogelijke
consequenties van de Wet openbaarheid van bestuur (Wob). Door de Wob bestaat er een reële kans dat gevoelige
informatie van bedrijven ongewenst toch openbaar gemaakt (moet) worden. Over de mogelijkheden om gevoelige
informatie ook onder de Wob vertrouwelijk te houden, zijn talrijke documenten en afstudeeropdrachten geschreven.
In dit hoofdstuk worden slechts enkele tips gegeven hoe de informatie, die al dan niet wettelijk aan de overheid
verstrekt wordt, op een veilige wijze overgedragen kan worden. Gelet op de juridische complexiteit, kan deze korte
notitie niet de intentie in zich hebben volledig te zijn en kunnen hier ook geen rechten aan ontleend worden.
15 Uit: Verzoeken o.b.v. de Wet openbaarheid bestuur. Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, directie CZW, augustus 2002
23
6.2.2. Uitzonderingsgronden
De Wet openbaarheid van bestuur (Wob) noemt in het artikel 10 enkele uitzonderingsmogelijkheden op de plicht
informatie te verstrekken. Te onderscheiden zijn absolute en relatieve uitzonderingsgronden.
Er zijn twee absolute uitzonderingsgronden, namelijk informatie is niet openbaar als dit de staatsveiligheid dient of
wanneer het bedrijfs- en fabricagegegevens betreft die door natuurlijke personen of rechtspersonen vertrouwelijk
aan de overheid zijn meegedeeld.
Informatie in het kader van de nationale veiligheid valt niet één op één onder de uitsluitinggrond van de -
staatsveiligheid, maar elementen uit het geheel kunnen vaak wel vertrouwelijk worden gehouden door als
overheid hier een beroep op te doen. Het is dan uiteindelijk aan de rechter om de afweging te maken of de
veiligheid van de staat kan worden geschaad door openbaarmaking van de informatie.
Bedrijfs- en fabricagegegevens die expliciet vertrouwelijk aan de overheid zijn meegedeeld, mogen niet openbaar -
gemaakt worden. Behalve wanneer het milieu-informatie16 is die effect heeft op de emissie17 (dus niet algemene
milieu-informatie). Dan vindt een belangenafweging plaats. In de belangenafwegingen wordt de beveiliging van
bedrijven en het voorkomen van sabotage imperatief meegenomen.
Daarnaast kent het Wob nog een aantal relatieve uitzonderingsgronden. Openbaarmaking van informatie kan op deze
gronden alleen geweigerd worden indien het belang van geheimhouding zwaarder weegt dan één van de belangen
in de uitzonderingsgronden (internationale betrekkingen van Nederland, de opsporing en vervolging van strafbare
feiten of het voorkomen van onevenredige bevoordeling of benadeling). De Wob wijst in artikel 10, lid 7 ook op
de belangen van beveiliging en het voorkomen van sabotage. De overheid zal deze afweging bij elk Wob-verzoek
moeten maken.
Belangrijke elementen in de afweging zijn daarom:
1. Zijn de bedrijfs- en fabricagegegevens vertrouwelijk aan de overheid medegedeeld?
2. Betreft het geen milieu-informatie of emissie-informatie?
3. Kan het gevolgen hebben voor de beveiliging en voorkomen van sabotage?
6.2.3. Afweging door bestuursorgaan en de rechter
Indien informatie wordt opgevraagd met een beroep op de Wet openbaarheid van bestuur, maakt in eerste instantie
de overheid (het bestuursorgaan) een beoordeling en afweging of de informatie verstrekt mag en kan worden.
Daarbij gebruikt ze de uitsluitinggronden. Indien het bestuursorgaan het Wob-verzoek (deels) afwijst, staat voor de
aanvrager de weg naar de rechter open. Ook de rechter beoordeelt de aanvraag en hij maakt afwegingen.
Als in het voortraject zorgvuldig overwogen is waarom bepaalde informatie vertrouwelijk moeten zijn en welke
niet, zal die zorgvuldigheid ook uit de aan te leveren stukken moeten blijken. Het is belangrijk een goede motivering
aan te voeren waarom delen van de verstrekte informatie vertrouwelijk moeten zijn en blijven. Die motivatie kan
de rechter overtuigen van de noodzaak de gevraagde (gevoelige) informatie niet openbaar te maken. Aspecten
ten aan zien van de beveiliging van het bedrijf en het voorkomen van sabotage zijn daarin belangrijk. Een extra
overweging voor de rechter kan zijn dat het bedrijf deel uitmaakt de vitale infrastructuur van Nederland (en Europa)
en dat er daarom extra aandacht voor de beveiliging is en maatregelen tegen sabotage genomen moeten worden.
Die motivering moet door de rechter in zijn belangenafweging meegenomen kunnen worden. Een goede, gedegen
motivatie is daarom van doorslaggevende betekenis.
16 Wat volgens de Wob milieu-informatie is, staat in artikel 19.1a van de Wet milieubeheer. Zie bijlage 7.217 Een en ander volgt uit het Verdrag van Aarhus.18 art. 2:17 Algemene wet bestuursrecht
24
6.3. OverheidsinspectiesHet is mogelijk dat overheidsinspecties op basis van de wet direct inzage moet hebben in bepaalde documenten. Dit
zouden ook gevoelige gegevens kunnen betreffen. Op gegevens die niet fysiek bij overheidsinstanties berusten is de
Wob niet van toepassing. Indien een inspectie die gegevens te allen tijd kan inzien bij het betreffende bedrijf, dan
komen de gegevens niet fysiek in handen van de overheid. De inspectie is daarmee geen ‘eigenaar’ van het papier
en de documenten zijn daarmee niet vatbaar voor de Wob. Maar er zijn ook gegevens die op grond van wettelijk
voorschrift wel bij de overheid behoren te berusten en daarmee binnen de reikwijdte van de Wob vallen.
Er moet rekening mee gehouden worden dat de toezichthouder bepaalde bevoegdheden heeft waaronder het
vorderen van inzage en om gegevens te kopiëren18. Met dit laatste komt de informatie wel in overheidshanden.
6.4. Mogelijk te volgen stappen6.4.1. Ga eerst in overleg met de overheid / het bestuursorgaan
Aanbevolen wordt om met (de voorzitter/vertegenwoordiger van) het betreffende bestuursorgaan19 overleg te
voeren over de door het bestuursorgaan gewenste gegevens nog voordat documenten (bijvoorbeeld ten behoeve
van de vergunningbeoordeling) worden verstrekt. Niet alle informatie die het bedrijf heeft, hoeft noodzakelijk te zijn
voor de beoordeling op een vergunningaanvraag of de publiek-private samenwerking. Er kan veelal een beperking
aangebracht worden. In het overleg komt ook de noodzakelijke vertrouwelijkheid van de informatie aan de orde.
Toegelicht kan worden wat het motief is voor die vertrouwelijkheid. Wenselijk is dat in het overleg heldere afspraken
gemaakt worden over de noodzakelijke vertrouwelijkheid van gedeelten van de informatie, hoe het bedrijf deze
informatie aanlevert en hoe (de documenten met) de vertrouwelijke gegevens onmiskenbaar herkenbaar zijn. Ook
moet dan worden afgesproken op welke wijze het bestuursorgaan de vertrouwelijke informatie behandelt. Daarbij
wordt gehandeld in overeenstemming met het informatiebeveiligingsbeleid van dat bestuursorgaan. Mocht het
bestuursorgaan geen informatiebeveiligingsbeleid hebben, is het raadzaam in ieder geval specifieke afspraken
te maken. Gehandeld kan worden analoog aan het Voorschrift Informatiebeveiliging Rijksoverheid - Bijzondere
Informatie (VIR-BI). Dat kan ook meebrengen dat bepaalde voorzieningen voor het bewaren van dergelijke
documenten moeten worden gerealiseerd.
Zinvol is deze afspraken schriftelijk vast te leggen. Belangrijk is daarbij op te letten dat niet in een verslag alsnog
vertrouwelijke informatie wordt vastgelegd.
Aanbevolen wordt om in de uiteindelijke informatieverstrekking aan te geven dat gedeelten van de informatie
vertrouwelijk aan het bestuursorgaan worden verstrekt onder verwijzing naar de gemaakte afspraken.
6.4.2. Benoem de vertrouwelijke informatie en zonder die af
Niet alle informatie die het bedrijf aan de overheid verstrekt, is vertrouwelijk. In documenten kunnen vertrouwelijke
passages staan, maar daarmee is niet per definitie alle informatie in dat document ook vertrouwelijk. Het verdient
aanbeveling een duidelijke scheiding aan te brengen tussen de vertrouwelijke informatie en de overige informatie.
Daarvoor zou het nodig kunnen zijn de vertrouwelijke passages uit een algemeen document weg te halen/laten.
Van de vertrouwelijke informatie kan dan eventueel een afzonderlijk document gemaakt worden. Belangrijk is ook
dat dit document dan (zeer) duidelijk te herkennen is als een vertrouwelijk stuk. Desgewenst kan er extra op het
document aangegeven worden dat openbaarmaking op grond van de Wob voor die informatie niet toegestaan is.
Daarbij kan een referentie gemaakt worden aan het gevoerde gesprek met (de voorzitter/vertegenwoordiger van) het
betreffende bestuursorgaan.
19 Bijvoorbeeld: college van Burgemeester en Wethouders, Gedeputeerde Staten van de provincie of het bestuur van een waterschap
25
7. Andere wettelijke bepalingen7.1. Wettelijke strafbaarstelling openbaar maken van geheimenArtikelen 98, 98a, 98b, 98c, 272, 273 van het Wetboek van Strafrecht geldend op 27 januari 2009.
Art. 98
1. Hij die een inlichting waarvan de geheimhouding door het belang van de staat of van zijn bondgenoten wordt
geboden, een voorwerp waaraan een zodanige inlichting kan worden ontleend of zodanig gegevens opzettelijk
verstrekt aan of ter beschikking stelt van een tot kennisneming daarvan niet gerechtigd persoon of lichaam,
wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanig inlichting, een zodanig voorwerk
of zodanige gegevens betreft, gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde
categorie.
2. Met dezelfde straf wordt gestraft hij die een inlichting die van een verboden plaats afkomstig is en de veiligheid
van de staat of van zijn bondgenoten in betrekking staat, een voorwerp waaraan een zodanige inlichting kan
worden ontleend, of zodanige gegevens opzettelijk verstrekt of ter beschikking stelt van een tot kennisneming
daarvan niet gerechtigd persoon of lichaam, indien hij weet of redelijkerwijs moet vermoeden dat het een
zodanige inlichting, een zodanig voorwerp of zodanige gegevens betreft.
Art. 98a.
1. Hij die een inlichting, een voorwerp of gegevens als bedoeld in artikel 98, hetzij opzettelijk openbaar maakt,
hetzij zonder daartoe gerechtigd te zijn opzettelijk verstrekt aan of ter beschikking stelt van een buitenlandse
mogendheid, een in het buitenland gevestigd persoon of lichaam, dan wel een zodanig persoon of lichaam dat
gevaar ontstaat dat de inlichting of de gegevens aan een buitenlandse mogendheid of aan een in het buitenland
gevestigd persoon of lichaam bekend wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een
zodanige inlichting of zodanige gegevens betreft, wordt gestraft met gevangenisstraf van ten hoogste vijftien
jaren of geldboete van de vijfde categorie.
2. Indien de schuldige heeft gehandeld in tijd van oorlog dan wel in dienst of in opdracht van een buitenlandse
mogendheid of van een in het buitenland gevestigd persoon of lichaam, kan levenslange gevangenisstraf of
tijdelijke van ten hoogste twintig jaren of geldboete van de vijfde categorie worden opgelegd.
3. Handelingen gepleegd ter voorbereiding van een misdrijf als omschreven in de voorgaande leden worden
gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.
Art. 98b
Hij aan wiens schuld het te wijten is dat een inlichting, een voorwerp of gegevens als bedoeld in artikel 98,
openbaar worden gemaakt of ter beschikking komt van een tot kennisneming daarvan niet gerechtigd persoon of
lichaam, wordt bestraft met een gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Art. 98c
1. Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie wordt gestraft:
1. Hij die opzettelijk een inlichting, een voorwerp of gegevens als bedoeld in artikel 98, zonder daartoe
gerechtigd te zijn, onder zich neemt of houdt;
2. Hij die enige handeling verricht, ondernomen met een oogmerk om, zonder daartoe gerechtigd te zijn, de
beschikking te krijgen over een inlichting, een voorwerp of gegevens als bedoeld in artikel 98;
3. Hij die tersluiks, onder een vals voorgeven, door middel van een vermomming of langs een ander dan de
gewone toegang op of in een verboden plaats komt of tracht te komen, aldaar in dier voege aanwezig is,
of zich op een van die wijzen of door een van die middelen vandaar verwijdert of tracht te verwijderen.
2. De bepaling onder 3 is niet toepasselijk, indien de rechter blijkt dat de dader niet heeft gehandeld met het
oogmerk bedoeld onder 2.
26
Art. 272
1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of
wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt
gestraft met gevangenisstraf van te hoogste een jaar of geldboete van de vierde categorie.
2. Indien dit misdrijf tegen een bepaalde persoon gepleegd is, wordt het slechts vervolgd op diens klacht.
Art. 273
1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft hij die
opzettelijk
1. aangaande een onderneming van handel, nijverheid of dienstverlening bij welke hij werkzaam is of is
geweest, bijzonderheden waarvan hem geheimhouding is opgelegd, bekend maakt of
2. gegevens die door misdrijf zijn verkregen uit een geautomatiseerd werk van een onderneming van
handel, nijverheid of dienstverlening en die betrekking hebben op deze onderneming, bekend maakt of uit
winstbejag gebruikt, indien deze gegevens ten tijde van de bekendmaking of het gebruik niet algemeen
bekend waren en daaruit enig nadeel kan ontstaan.
2. Niet strafbaar is hij die te goeder trouw heeft kunnen aannemen dat algemeen belang de bekendmaking vereiste.
3. Geen vervolging heeft plaats dan op klacht van het bestuur van de onderneming.
7.2. Wet milieubeheer artikel 19.11. In dit hoofdstuk en de daarop berustende bepalingen wordt verstaan onder milieu-informatie: alle informatie,
neergelegd in documenten, over:
a. de toestand van elementen van het milieu, zoals lucht en atmosfeer, water, bodem, land, landschap en
natuurgebieden met inbegrip van vochtige biotopen, kust- en zeegebieden, biologische diversiteit en
componenten, met inbegrip van genetisch gemodificeerde organismen, en interactie tussen deze elementen;
b. factoren, zoals stoffen, energie, geluid, straling of afval, met inbegrip van radioactief afval, emissies,
lozingen en ander vrijkomen van stoffen in het milieu die de onder a bedoelde elementen van het milieu
aantasten of waarschijnlijk aantasten;
c. maatregelen, met inbegrip van bestuurlijke maatregelen, zoals beleidsmaatregelen, wetgeving, plannen,
programma’s, milieuakkoorden en activiteiten die op de onder a en b bedoelde elementen en factoren van
het milieu een uitwerking hebben of kunnen hebben, alsmede maatregelen of activiteiten ter bescherming
van die elementen;
d. verslagen over de toepassing van de milieuwetgeving;
e. kosten-baten- en andere economische analyses en veronderstellingen die worden gebruikt in het kader van
de onder c bedoelde maatregelen en activiteiten;
f. de toestand van de gezondheid en veiligheid van de mens, met inbegrip van de verontreiniging van de
voedselketen, indien van toepassing, de levensomstandigheden van de mens, waardevolle cultuurgebieden
en bouwwerken, voor zover zij worden of kunnen worden aangetast door de onder a bedoelde
toestand van elementen van het milieu of, via deze elementen, door de onder b en c bedoelde factoren,
maatregelen of activiteiten.
7.3. Burgerlijk wetboek, artikel 162Artikel 162 Burgerlijk wetboek, boek 6, afdeling 1:
1. Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de
schade die de ander dientengevolge lijdt, te vergoeden.
2. Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een
wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en
ander behoudens de aanwezigheid van een rechtvaardigingsgrond.
3. Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een
oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt.
27
Bijlage 1: Afkortingen en begrippen
Afkorting Betekenis
ABDO Algemene Beveiligingseisen Defensie Opdrachten
ATb Alerteringssyteem Terrorismebestrijding
BAVO Beveiliging Afstemming Vitaal en Overheid
CPB College Bescherming Persoonsgegevens
CPNI Centre for the Protection of National Infrastructure
EPCIP European Programme for Critical Infrastructure Protection
ISAC Information Sharing and Analysis Centre
NAVI Nationaal Adviescentrum Vitale Infrastructuur
NICC Nationale Infrastructuur ter bestrijding van Cybercrime
PvIB Platform voor InformatieBeveiliging
Stg Staatsgeheim (conform VIR-BI)
VIR-BI Voorschrift Informatiebeveiliging Rijksoverheid - Bijzondere Informatie
Wbp Wet bescherming persoonsgegevens
Wob Wet openbaarheid van bestuur
Beveiligen
Beveiligingsafstemming
Vitaal en Overheid
Beveiligingsincident
Bevoegden
Compromittering
Derdepartijen regel
Document
European Programme for Critical
Infrastructure Protection
Onttrekken aan geweld, bedreiging, gevaar of schade door het treffen
van maatregelen.
Het plan Beveiligingsafstemming Vitaal en Overheid (BAVO) handelt over
de afstemming van de interne beveiligingsmaatregelen van een bedrijf uit
één van de vitale sectoren met de op de beveiliging gerichte maatregelen
van de gemeente, de regiopolitie en eventueel andere partners.
Een (informatie)beveiliging incident is een enkele of serie van ongewenste
of onverwachte gebeurtenissen die een significante kans hebben op het
veroorzaken van een ramp, het compromitteren van de bedrijfsprocessen
en een bedreiging vormen ten aanzien van de beveiliging.
Diegenen die een geautoriseerde / functionele toegang hebben tot
(onderdelen van) het bedrijf, locatie, proces, middelen of informatie.
De kennisname dan wel de mogelijkheid tot kennisnemen door een niet
gerechtigde van bijzondere informatie.
Analoog aan de in het verkeer tussen inlichtingen- en veiligheidsdiensten
gehanteerde regel dat gegevens die men van elkaar ontvangt alleen
voor eigen gebruik mogen worden aangewend en niet zonder vooraf
verkregen toestemming van de verstrekkende dienst aan derden mogen
worden verstrekt (ook wel aangeduid als derdelandregel).
Het begrip document heeft betrekking op brieven, notities, memo’s,
rapporten, presentaties, tekeningen, foto’s, film, kaarten, geluidsopnamen,
sms-en, digitale dragers (CD-rom, usb) of enige andere fysieke medium
waar informatie op weergegeven kan zijn.
Het European Programme for Critical Infrastructure Protection (EPCIP) is
een initiatief van de Europese Commissie om de bescherming van de
vitale infrastructuur in Europa te bevorderen. Op de site van EPCIP is
informatie over de voortgang van dit programma te vinden.
Begrip Toelichting
28
Exclusiviteit
Gerubriceerde gegevens
Gevoelige informatie
Informatie
Informatiebeveiliging
Informatiesysteem
Integriteit
Merkering
Rubricering
Staatsgeheim
Stg. Confidentieel
Een kwaliteitskenmerk van gegevens in het kader van de
informatiebeveiliging. Met exclusiviteit wordt bedoeld dat een gegeven
alleen te benaderen is door iemand die gerechtigd is het gegeven
te benaderen. Wie gerechtigd is een gegeven te benaderen, wordt
vastgesteld door de eigenaar van het gegeven.
Alle gegevens of materiaal, inclusief documenten, met betrekking
waartoe door een partij is bepaald dat deze bescherming tegen
ongeoorloofde openbaarmaking behoeven en die als zodanig
gewaarmerkt zijn in een beveiligingsrubricering.
Gegevens over kritieke (vitale) infrastructuur die, wanneer zij openbaar
worden gemaakt, zouden kunnen worden gebruikt om plannen te maken
en feiten te plegen om kritieke infrastructuurinstallaties te verstoren of te
vernietigen.
Een verzameling van gegevens (met of zonder context) opgeslagen
in gedachten, in geschriften (op bijv. papier) en/of op digitale
informatiedragers (elektronisch, optisch magnetisch).
Het proces van vaststellen van de vereiste kwaliteit van
informatie(systemen) in termen van vertrouwelijkheid, beschikbaarheid,
integriteit, onweerlegbaarheid en controleerbaarheid alsmede
het treffen, onderhouden en controleren van een samenhangend
pakket van bijbehorende (fysieke, organisatorische en logische)
beveiligingsmaatregelen.
Een samenhangend geheel van gegevensverzamelingen, en de daarbij
behorende personen, procedures, processen en programmatuur alsmede
de voor het informatiesysteem getroffen voorzieningen voor opslag,
verwerking en communicatie.
Een kwaliteitskenmerk voor gegevens, een object of dienst in het
kader van de (informatie)beveiliging. Het is een synoniem voor
betrouwbaarheid. Een betrouwbaar gegeven is juist (rechtmatigheid),
volledig (niet te veel en niet te weinig), tijdig (op tijd) en geautoriseerd
(gemuteerd door een persoon die gerechtigd is de mutatie aan te
brengen).
Aanduiding die een bepaalde wijze van behandelen van bijzondere
informatie aangeeft.
Vaststellen en aangeven dat een gegeven bijzondere informatie is en
het bepalen en aangeven van de mate van beveiliging die aan deze
informatie moet worden gegeven.
Bijzondere informatie waarvan de geheimhouding door het belang van
de Staat of haar bondgenoten wordt geboden.
Indien kennisnemen door niet gerechtigden schade kan toebrengen aan
het belang van de Staat of haar bondgenoten.
Begrip Toelichting
Nationaal Adviescentrum
Vitale Infrastructuur
T (070) 376 59 50
www.navi-online.nl
Lange Voorhout 13
2514 EA Den Haag
Postbus 20011
2500 EA Den Haag
Producten van het NAVI
In de reeks NAVI-producten zijn de volgende publicaties beschikbaar:
- Handreiking Risicoanalyse biedt een methode die de security manager in staat stelt een
goede risicoanalyse m.b.t. risico’s, dreigingen en kwetsbaarheden te maken. Deze nieuwe
handreiking onderscheidt zich van de vorige met een serie praktisch toepasbare modellen en
met de beschrijving van een visie over risico’s via de fysieke, digitale en personele poort.
- Handreiking Operator Security Plan biedt handvatten aan een beheerder van de
vitale infrastructuur om operationele beveiligingsmaatregelen te selecteren, in te
voeren en te beheren.
- Handreiking Beveiligingsafstemming Vitaal en Overheid beschrijft hoe in het operationele
pakket van beveiligingsmaatregelen de afstemming tussen het vitale bedrijf en de overheid
geregeld kan worden.
- Handreiking Security Awareness bevat een stappenplan, een plan van aanpak en diverse
voorbeelden, waarmee aandacht wordt besteed aan de menselijke en psychologische
aspecten van bewust en veilig handelen.
- Leidraad uitwisseling gevoelige informatie voorziet in de behoefte van vitale bedrijven om
een referentiekader en set van afspraken te hebben, waarmee op een veilige wijze gevoelige
informatie multidisciplinair en organisatieoverstijgend uitgewisseld kan worden.
In de reeks producten van derden zijn de volgende publicaties beschikbaar:
- Handreiking Security Management Systeem (SMS) voor de olie- en chemiesector. Deze
handreiking biedt handvatten aan een beheerder van installaties binnen de olie- en
chemiesector om een security management systeem in te richten. De handreiking is
opgesteld door het ministerie van VROM in samenwerking met het NAVI.
- US-CCU Checklist voor cybersecurity. Deze checklist is opgesteld door de onafhankelijke
U.S. Cyber Consequences Unit in de Verenigde Staten en biedt praktische handvatten voor
informatiebeveiliging. De checklist heeft een brede internationale verspreiding en is in
samenwerking met de US-CCU vertaald door het NAVI voor de Nederlandse markt.
- Pre-employment screening in Groot-Brittannië. Een handreiking van The Centre for the
Protection of National Infrastructure (CPNI).