Beveiligingsvoorschrift Rijksdienst 2005

8 december 2005

Nr. 05M480206

De Minister-President, Minister van Algemene Zaken,

Handelende in overeenstemming met het gevoelen van de ministerraad;

Besluit:

A

Algemeen

Artikel 1

Verklaring van de gebruikte begrippen

In deze regeling wordt verstaan onder:

a. minister: elke minister voor wat betreft het onder zijn leiding staande ministerie en de onder zijn verantwoordelijkheid werkzame instellingen, diensten of bedrijven;

b. secretaris-generaal: de ambtenaar genoemd in het Besluit regeling functie en verantwoordelijkheid van de secretaris-generaal, dan wel diens plaatsvervanger.

Artikel 2

Reikwijdte

1. Deze regeling geldt voor de ministeries, de onder verantwoordelijkheid van de minister werkzame instellingen, diensten en bedrijven.

2. Deze regeling is van toepassing op de beveiliging van de organisatie, medewerkers, materieel, informatiesystemen, gebouwen en overige objecten.

3. De secretaris-generaal kan bepalen dat deze regeling op dienstonderdelen met een bijzondere taak of delen van die dienstonderdelen niet van toepassing is.

B

Integrale beveiliging

Artikel 3

Algemene zorg voor de integrale beveiliging

1. De secretaris-generaal is verantwoordelijk voor de integrale beveiliging van de organisatie, medewerkers, materieel, informatiesystemen, gebouwen en overige objecten, en de inrichting en werking van de beveiligingsorganisatie.

2. Binnen de kaders te stellen door de secretaris-generaal is elk diensthoofd verantwoordelijk voor de integrale beveiliging van zijn dienstonderdeel, de inrichting en werking van de beveiligingsorganisatie evenals de zorg voor en de beveiliging van de informatie die aan zijn dienstonderdeel is toevertrouwd.

C

Structuur departementale beveiligingsorganisatie

Artikel 4

Beveiligingsambtenaar

1. De secretaris-generaal wijst een beveiligingsambtenaar aan die belast is met de integrale beveiliging van organisatie, medewerkers, materieel, informatiesystemen, gebouwen en overige objecten, alsmede het toezicht op de werking van de beveiligingsorganisatie en de informatiebeveiliging.

2. Er kan voor twee of meer ministeries één beveiligingsambtenaar wordt aangesteld.

3. De secretaris-generaal stelt de instructie voor de beveiligingsambtenaar vast, die tenminste de elementen van de voorbeeldinstructie in de bijlage van deze regeling bevat.

4. De aanstelling van de beveiligingsambtenaar wordt bekend gemaakt in de Staatscourant.

Artikel 5

Taken beveiligingsambtenaar

1. De beveiligingsambtenaar draagt, onverminderd het bepaalde in het Voorschrift informatiebeveiliging rijksdienst-bijzondere informatie 2004 (VIR-BI), zorg voor:

a. opstelling van het departementale integrale beveiligingsbeleid;

b. totstandkoming van de departementale risicoanalyse en het departementale integrale beveiligingsplan;

c. coördinatie van en toezicht op de beveiligingstaken van de hoofden van dienst;

d. initiëring van periodieke inspecties van de integrale beveiliging;

e. periodieke rapportage over de stand van de integrale beveiliging.

2. De beveiligingsambtenaar kan door de secretaris-generaal worden belast met aanvullende taken of bijzondere opdrachten.

3. De beveiligingsambtenaar kan namens de secretaris-generaal aanwijzingen geven aan iedere ambtenaar voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften.

Artikel 6

Taken beveiligingscoördinator

1. De secretaris-generaal kan op voordracht van de beveiligingsambtenaar beveiligingscoördinatoren aanstellen.

2. De beveiligingscoördinator draagt namens zijn diensthoofd en binnen de door de beveiligingsambtenaar gestelde beleidskaders, voor zijn dienstonderdeel of dienstonderdelen zorg voor:

a. opstelling van uitvoeringsrichtlijnen voor het integrale beveiligingsbeleid;

b. totstandkoming van de risicoanalyse en het integrale beveiligingsplan;

c. coördinatie van en toezicht op de implementatie van beveiligingseisen en voorschriften bij het dienstonderdeel;

d. initiëring van periodieke inspecties van de integrale beveiliging;

e. periodieke rapportage over de stand van de integrale beveiliging aan het diensthoofd, de beveiligingsambtenaar en aan overige instanties belast met toezicht en controle op de beveiliging.

3. De beveiligingscoördinator kan namens zijn diensthoofd aanwijzingen geven aan ambtenaren in verband met de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften.

D

Coördinatie en afstemming

Artikel 7

Coördinatie

1. De beveiligingsambtenaren vormen het Coördinerend Beraad Integrale Beveiliging, dat tot taak heeft het SG-beraad te adviseren over:

a. inrichting en werking van de voorbeeldinstructie;

b. inhoud en werking van de beveiligingsorganisatie;

c. ontwikkeling van definities, normen en criteria voor integrale beveiliging;

d. afstemming van beveiligingsmaatregelen die het ministerie overstijgen.

2. De leden kiezen om de drie jaar uit hun midden een voorzitter.

E

Overige bepalingen

Artikel 8

Verplichtingen

In het geval van een inbreuk op de beveiliging of een vermoeden daarvan neemt de beveiligingsambtenaar, een beveiligingscoördinator dan wel een functionaris belast met beveiliging onverwijld maatregelen om de beveiliging te herstellen en herhaling te voorkomen.

F

Slotbepaling

Artikel 9

Slotbepaling

1. Het Beveiligingsvoorschrift 1949 wordt ingetrokken.

2. Dit besluit treedt in werking met ingang van 1 december 2005 en werkt terug tot en met 1 mei 2005.

3. Dit besluit wordt aangehaald als: Beveiligingsvoorschrift rijksdienst 2005.

Dit besluit zal met de toelichting en de bijlage daarbij in de Staatscourant worden geplaatst.

De Minister-President, Minister van Algemene Zaken, J.P. Balkenende.

Toelichting

Aanhef

Deze regeling vervangt het Beveiligingsvoorschrift 1949. Er is aansluiting gezocht bij de methodiek die reeds werd gehanteerd in het oude beveiligingsvoorschrift Het Voorschrift informatiebeveiliging rijksdienst 1994 (VIR) en het Voorschrift informatiebeveiliging rijksdienst – bijzondere informatie 2004 (VIR-BI) sluiten daarbij aan. Daar waar het Beveiligingsvoorschrift Rijksdienst 2005 regels stelt voor de algemene beveiligingszorg gaan het VIR en het VIR-BI nader in op specifieke aspecten. Het VIR stelt nadere regels als het gaat om de algemene informatiebeveiliging en het VIR-BI voor de beveiliging van bijzondere informatie (staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet-gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, zijn bondgenoten of van één of meerdere ministeries. Gezien het belang van de beveiliging van de rijksdienst, en de beveiliging van informatiesystemen, waaronder volgens het VIR ook de beveiliging van informatie wordt verstaan, hebben alle ministers ten aanzien daarvan hun verantwoordelijkheid.

Doel van deze regeling is om te komen tot een logische opbouw van de beveiligingsvoorschriften voor de rijksoverheid. Vanuit een integrale visie op de beveiliging van de rijksdienst moet worden gekomen tot een afgewogen geheel van organisatorische, personele, bouwkundige en elektronische maatregelen voor de bescherming van de primaire belangen van de rijksoverheid: mensen en informatie. Deze regeling vormt de basis voor de beveiligingsorganisatie.

A. Algemeen

Artikel 2. Reikwijdte

Tot de rijksdienst behoren de ministeries met hun directoraten-generaal, centrale en stafdirecties, buitendiensten en intern verzelfstandigde dienstonderdelen.

Op zelfstandige bestuursorganen is het voorschrift niet automatisch van toepassing. Het is de verantwoordelijkheid van iedere minister om bij de oprichting van zelfstandige bestuursorganen te bepalen dat dit voorschrift of gedeelten daarvan van toepassing zijn.

Uitgangspunt is het bedrijfsproces en het te bereiken doel is de betrouwbaarheid van het bedrijfsproces. De beveiliging moet effectief en efficiënt worden uitgevoerd, waarbij risicomanagement een onderdeel van het implementatieproces is. De secretaris-generaal (SG) is na beoordeling door de beveiligingsambtenaar (BVA) bevoegd om systemen en locaties te accrediteren. Onderdeel van de accreditatieprocedure is een toets op het correct en onderbouwd toepassen van risicomanagement door de lijnmanager.

Onder risicomanagement wordt verstaan het zodanig implementeren van maatregelen dat deze afgestemd zijn op de omstandigheden waarin het te beschermen belang zich bevindt. Voor een operationeel dienstonderdeel of een dienstonderdeel in een inzetgebied zal de afweging om een maatregel te implementeren en keuze voor de wijze waarop een maatregel wordt geïmplementeerd anders zijn dan in de kantoorsituatie. Om adequaat te kunnen inspelen op dergelijke operationele omstandigheden is het denkbaar dat een beveiligingscoördinator wordt aangesteld, die in staat is om de departementale beveiligingsregels te vertalen naar de operationele omstandigheden.

B. Integrale beveiliging

Artikel 3. Algemene zorg voor de integrale beveiliging

De secretaris-generaal is belast met de zorg voor de integrale beveiliging van het departement.

Integrale beveiliging duidt op een afgewogen en consistente toepassing van beveiligingsmaatregelen in een breed scala van toepassingsgebieden. Het bedrijfsproces dient echter steeds centraal te staan. De beveiliging wordt op een effectieve en efficiënte wijze hierop afgestemd zodat de belangen van de Staat en de betrouwbaarheid van het bedrijfsproces op het geëiste niveau gebracht worden. Onder integrale beveiliging wordt niet verstaan de bedrijfsveiligheid. Dit omvat de bedrijfshulpverlening, brandweerzorg, arbeidsomstandigheden en de toepassing van milieuregels.

De lijnverantwoordelijkheid van het hoofd van dienst wordt onderstreept door het tweede lid van dit artikel, waarin elk diensthoofd verantwoordelijk wordt gesteld voor de integrale beveiliging van zijn eigen dienstonderdeel. Dit betekent dat elk diensthoofd zorg moet dragen voor zijn eigen beveiligingsanalyse, het daarop gebaseerde beveiligingsplan, de uitvoering daarvan en de periodieke toetsing op de werking. De dagelijkse, operationele, uitvoering van de beveiliging is belegd bij het lijnmanagement van het departement. Zo is het hoofd beveiliging van het departement verantwoordelijk voor de fsyieke beveiliging, de toegangscontrole en de beveiliging rondom evenementen van het departement.

De informatiebeveiligingsmaatregelen die moeten worden getroffen in het kader van de beveiliging van informatie worden uitgewerkt in nadere regelgeving zoals VIR en VIR-BI. Dit voorschrift regelt de organisatie van de beveiliging van de Rijksdienst.

C. Structuur departementale beveiligingsorganisatie

Artikel 4. Beveiligingsambtenaar

Gekozen is om de uit het Beveiligingsvoorschrift 1949 afkomstige aanduiding beveiligingsambtenaar te handhaven.

De organisatie van de beveiliging van de rijksdienst is zodanig ingericht, dat flexibel kan worden ingespeeld op de eisen die daaraan bij de verschillende ministeries worden gesteld. Vooropgesteld staat de verantwoordelijkheid van elk diensthoofd voor de inrichting van zijn eigen beveiligingsorganisatie. Als hoogste ambtenaar binnen de departementale organisatie stelt de secretaris-generaal de eisen vast waaraan die organisatie moet voldoen. Het beleidsdocument waarin die eisen zijn opgenomen, wordt opgesteld door de BVA. De beveiligingsambtenaar is immers de beleidsadviseur van de secretaris-generaal op het brede gebied van beveiliging.

De SG, de beveiligingsambtenaar, de beveiligingscoördinator(en) en de diensthoofden vormen samen de beveiligingsorganisatie van het ministerie. Daarbij is het onder andere afhankelijk van de omvang van het ministerie en de onderscheiden diensten in hoeverre aan deze functionarissen ondersteunend personeel wordt toegevoegd. Voorts is denkbaar dat in grotere organisaties verschillende beveiligingscoördinatoren worden benoemd. Uit het oogpunt van een doelmatige beveiligingsorganisatie staat het de departementen vrij, om functies te clusteren of over meerdere departementen te (ver)delen. Van beslissend belang is of elk ministerie is voorzien van de meest passende beveiligingsorganisatie, waarbinnen voldoende kennis en kunde van integrale beveiliging is gewaarborgd.

Gelet op het belang van de beveiliging, en mitsdien de taken en verantwoordelijkheid van de beveiligingsambtenaar, moet breed in de organisatie kenbaar zijn wie de beveiligingsambtenaar is. Gelet op de publieke taak en de verantwoording daarover dient dit ook naar buiten toe breed te worden uitgedragen. Daarom is er voor gekozen om de aanstellingsbeschikking van de BVA in de Staatscourant te publiceren.

Artikel 5. Taken beveiligingsambtenaar

Gelet op het belang van integrale veiligheid voor de rijksdienst, en de daaraan te verbinden taken en bevoegdheden, is het noodzakelijk om het takenpakket van de beveiligingsambtenaar op hoofdlijnen op te nemen in deze regeling. De beveiligingsambtenaar is vooral belast met beleidstaken. Toch kan het noodzakelijk zijn dat aan de beveiligingsambtenaar ook uitvoerende taken worden opgedragen, bijvoorbeeld in het kader van de uniforme toepassing van internationale regelgeving. Uitgangspunt vormt de verantwoordelijkheid van de secretaris-generaal voor de integrale beveiliging van het ministerie. Onder de inspectie van de beveiliging wordt volgens het Voorschrift Informatiebeveiliging rijksdienst – bijzondere informatie (VIR-BI) verstaan, het uitvoeren van beveiligingsaudits en controle op de beveiliging. Het is echter denkbaar dat bij grotere ministeries de beleidsregels op hoofdlijnen worden opgesteld door de beveiligingsambtenaar, terwijl beveiligingsanalyse en -plan worden ingevuld door een speciaal daarvoor aangestelde beveiligingscoördinator.

Bijzondere waarde wordt gehecht aan de periodieke rapportage van de BVA. Gelet op het belang daarvan moet de stand van de beveiliging breed binnen de organisatie worden uitgedragen. Daartoe maakt de beveiligingsambtenaar van ieder ministerie periodiek een verslag over de beveiliging, de beveiligingsincidenten en de uitvoering van de beveiligingsmaatregelen. De conclusies van dit verslag worden geïntegreerd in de mededeling over de bedrijfsvoering.

Bij de aanvullende taken van de BVA kan gedacht worden aan het geheim verklaren van aanbestedingen waarvan de uitvoering in overeenstemming met de in de betrokken lidstaat van de Europese Unie geldende wettelijke en bestuursrechtelijke bepalingen met bijzondere beveiligingsmaatregelen gepaard moet gaan of wanneer de bescherming van de fundamentele belangen van de Staat dat vereist. Het diensthoofd legt het voorstel ter beslissing voor aan de SG, door tussenkomst van de BVA en de Directie Juridische Zaken. De BVA adviseert de SG en het diensthoofd over de juistheid van de voorstellen evenals over de te treffen beveiligingsmaatregelen.

De beveiligingsambtenaar is, namens de secretaris-generaal, tevens verantwoordelijk voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de beveiligingsambtenaar dan wel door interne of externe auditteams.

Artikel 6. Taken beveiligingscoördinator

Bij de grotere ministeries is denkbaar, dat het beveiligingsbeleid – en het toezicht op de uitvoering daarvan – op het niveau van één of meer dienstonderdelen nader moet worden uitgewerkt. Bijvoorbeeld in verband met de omvang of de bijzondere taken van dat dienstonderdeel. In dat geval is het mogelijk aan het betreffende hoofd van dienst een eigen beleidsadviseur toe te voegen, de beveiligingscoördinator (in het Beveiligingsvoorschrift 1949 sub-BVA genoemd). Bewust is voor een bijzondere functieaanduiding gekozen. Daarmee wordt mede benadrukt dat het ‘decentrale’ beleid moet passen binnen het centrale beleid, en dus slechts een nadere uitwerking kan zijn van, het ‘centrale’ beveiligingsbeleid dat wordt opgesteld door de beveiligingsambtenaar.

Een bijzondere beveiligingscoördinator is denkbaar bij dienstonderdelen met een bijzondere uitvoerende taak zoals de penitentiaire inrichtingen, de Koninklijke Marechaussee en de militaire operationele eenheden. Het takenpakket van de beveiligingscoördinator is een afspiegeling van het takenpakket van de beveiligingsambtenaar. Daar waar geen beveiligingscoördinator is aangesteld, werkt het beveiligingsbeleid van de beveiligingsambtenaar door in de gehele ambtelijke organisatie. Is er wél een coördinator, dan dient deze zijn taak uit te voeren binnen de kaders die zijn gesteld in het beleid van de beveiligingsambtenaar.

Waar het de uitvoering van beleidsregels betreft kan het diensthoofd uit hoofde van zijn lijnverantwoordelijkheid bepalen dat (delen van) de uitwerking van het beveiligingsbeleid, de opstelling van de daarop betrekking hebbende analyses of plannen, en de inrichting van zijn beveiligingsorganisatie worden uitgewerkt door andere functionarissen, door andere dienstonderdelen of worden uitbesteed.

D. Coördinatie en afstemming

Artikel 7. Coördinatie

Het is gewenst dat de beveiliging binnen de rijksoverheid met een zekere uniformiteit wordt vormgegeven. Om daarin te voorzien wordt het Coördinerend Beraad Integrale Beveiliging (CBIB) ingesteld. Het CBIB bevordert de afstemming van de werkzaamheden tussen de ‘beveiligingsambtenaren’, geeft het gewenste kwaliteitsniveau op het terrein van beveiliging aan en rapporteert rechtstreeks over de stand van zaken op het terrein van beveiliging aan het SG-beraad.

De voorbeeldinstructie in de bijlage bij deze toelichting bevat een overzicht van de taken waarvoor de beveiligingsambtenaar tenminste verantwoordelijk is. Het CBIB adviseert het SG-beraad over de werking en verdere inrichting van deze voorbeeldinstructie.

De Minister-President, Minister van Algemene Zaken,

J.P. Balkenende

Bijlage

Deze bijlage behoort bij de toelichting op het Beveiligingsvoorschrift Rijksdienst 2005

Deze bijlage bevat het minimale takenpakket voor de voorbeeldinstructie genoemd in artikel 7, eerste lid, onder a, van het Beveiligingsvoorschrift Rijksdienst 2005.

Ingevolge artikel 5 van het Beveiligingsvoorschrift Rijksdienst 2005 heeft de beveiligingsambtenaar beleidsmatige taken en taken met betrekking tot de implementatie en de controle op de implementatie.

1. Tot de beleidsmatige taken van de beveiligingsambtenaar behoren in ieder geval:

a. formulering van het integrale beveiligingsbeleid en de voorschriften die daaruit voortvloeien;

b. deelname aan overleg op het gebied van integrale beveiliging;

c. evaluatie van het integrale beveiligingsbeleid;

d. ontwikkeling van het integrale beveiligingsbeleid naar aanleiding van de evaluatie van het beleid en de bevindingen uit incidenten- en kwetsbaarheidsonderzoeken;

e. signalering van algemene ontwikkelingen op het gebied van integrale beveiliging.

2. Tot de taken met betrekking tot de implementatie behoren in ieder geval:

a. bewaking en coördinatie van de uitvoering van het integrale beveiligingsbeleid;

b. advisering aan de SG en de diensthoofden over de integrale beveiliging;

c. advisering aan de diensthoofden bij de opstelling en implementatie van het integrale beveiligingsplan voor hun directie;

d. advisering over de juistheid van voorstellen betreffen het geheim verklaren van aanbestedingen evenals over de te treffen beveiligingsmaatregelen;

e. opstelling van departementale risicoanalyses;

f. bevordering van het beveiligingsbewustzijn bij de medewerkers;

g. verzorging van de communicatie op het gebied van de integrale beveiliging;

h. opstelling en onderhoud van een lijst van vertrouwensfuncties;

i. coördinatie van veiligheidsonderzoeken en NATO-cleareances;

j. organisatie van de persoonsbeveiliging;

k. beoordeling van de toepasbaarheid van beveiligingsproducten;

l. ondersteuning van het crisismanagement op het gebied van beveiliging.

3. Tot de taken met betrekking tot het toezicht:

a. toezicht op de integrale beveiliging binnen het ministerie;

b. toezicht op de naleving van het integrale beveiligingsbeleid;

c. toezicht op de uitvoering van beveiligingsmaatregelen;

d. uitvoering of coördinatie van onderzoek naar beveiligings- en integriteitsschendingen;

e. rapportage over de integrale beveiliging binnen de organisatie.

Naar boven