Besluit van de Minister-President, Minister van Algemene Zaken van 21 augustus 2025, nr. 9070201, houdende voorschrift informatiebeveiliging Rijksdienst bijzondere informatie 2025

Het VIRBI is geactualiseerd en aangescherpt. In de kamerbrief van juli 2023 over de geactualiseerde routekaarten zijn diverse resultaten gecommuniceerd, o.a. over de routekaart digitale weerbaarheid (thema 2) waaronder; Besluit over kaders en richtlijnen rondom HGI: herziening VIRBI.

Referentie kamerbief geactualiseerde routekaarten: https://www.Rijksoverheid.nl/documenten/kamerstukken/2023/07/13/kamerbrief-i-strategie-rijk-actualisatie-routekaarten-evaluatie-i-agenda

De algehele actualisatie is uitgevoerd op basis van de huidige inzichten. De aanscherping betreft een aantal concrete, minimaal te nemen maatregelen die zijn opgenomen in bijlage.

Er zijn handreikingen in ontwikkeling over verschillende onderwerpen die de implementatie van het VIRBI ondersteunen.

Daarnaast ligt de nadruk op adequaat risicomanagement. Risicomanagement vormt de basis voor risicobeheersing en de te nemen maatregelen.

Ten aanzien van de grondslag van het VIRBI:

De grondslag van het besluit is gelegen in de onderlinge afspraken tussen departementen, die worden aan de MR voorgelegd en vervolgens door de MP ondertekend. Het VIRBI is dus een collegiaal besluit van de ministerraad (MR). Het VIRBI geldt als aanvulling op het VIR, enkel op terrein van bijzondere vertrouwelijkheid.

In de toelichting van het VIR2007 is het volgende opgenomen: Het Beveiligingsvoorschrift Rijksdienst 2005 (BVR) kan gezien worden als een ‘kapstok’ waaraan vele elementen van beveiliging opgehangen kunnen worden. Centraal in het BVR staat de Beveiligingsambtenaar (BVA) die namens de secretaris-generaal belast is met de beveiliging van het Ministerie. Dit omvat ook de zorgplicht voor het VIR en VIRBI. Het VIRBI benadrukt de zorgplicht van ieder Ministerie en van diens lijnmanagement voor de beveiliging van bijzondere informatie bij de rijksdienst.

Zorgdrager: Op grond van artikel 23, eerste lid van de Archiefwet 1995 dragen de ministers zorg voor de archiefbescheiden die niet zijn overgebracht naar een rijksarchiefbewaarplaats. Als zorgdrager heeft de minister de bevoegdheid bij overbrenging beperkingen aan de openbaarheid te stellen.

Het begrip zorgdrager volgt uit de huidige archiefwet. Als dit begrip in een nieuwe archiefwet niet meer genoemd is, zal het VIRBI daarop worden aangepast.

Lid 1:

De artikelen bevatten op hoofdlijnen de werkwijze voor de behandeling van bijzondere informatie en de wijze van rubriceren. De uitwerking heeft dezelfde zeggingskracht en geeft nadere aanwijzingen over de inrichting van de rubricering en de verwerking van bijzondere informatie.

Tot de Rijksdienst behoren alle organisatieonderdelen waarvoor de ministeriële verantwoordelijkheid onverkort geldt. Het VIRBI 2025 geldt ook voor Zelfstandige Bestuursorganen (ZBO’s).1 Het VIRBI 2025 heeft geen directe werking buiten de Rijksdienst. Het kan echter noodzakelijk zijn om bijzondere informatie buiten de Rijksdienst te brengen. Het voorschrift staat dit alleen toe als voldoende zekerheid bestaat dat de informatie in overeenstemming met dit voorschrift wordt beveiligd. Centraal staat hierbij het waarborgen van de vertrouwelijkheid middels proportionele maatregelen. In het ministeriële beveiligingsbeleid (artikel 3) dient dit verder te worden uitgewerkt. Regels voor het buiten de Rijksdienst brengen van bijzondere informatie worden gegeven in artikel 7.

Lid 2:

Het VIRBI 2025 is het raamwerk in aanvulling op het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007) en de Baseline Informatiebeveiliging Overheid. Het geeft de regels voor de Rijksdienst voor de integrale beveiliging van bijzondere informatie.

Het VIR 2007 geeft de regels voor de informatiebeveiliging voor de Rijksdienst. Het is een raamwerkregeling in de zin dat de werkwijze om tot een verantwoorde beveiliging te komen bepaald is, zonder een minimaal beveiligingsniveau voor de Rijksdienst op te leggen.

Waar het VIR 2007 betrekking heeft op de gehele betrouwbaarheid van informatiesystemen, is alleen de vertrouwelijkheid van informatie het onderwerp van het VIRBI 2025. Dit houdt in dat voor de bescherming van de integriteit en beschikbaarheid van de informatie in informatiesystemen en informatie-verwerkende processen afwegingen in overeenstemming met het VIR gemaakt moeten worden. In de bijlage zijn eisen opgenomen die ook werking kunnen hebben op beschikbaarheid en integriteit. Dit geldt ook voor de bescherming van de vertrouwelijkheid van informatie die niet is gerubriceerd.

Lid 3:

Bijzondere informatie van internationale herkomst behoudt zijn oorspronkelijke rubricering. Dit houdt in dat de oorspronkelijke rubricering niet verlaagd mag worden door een Nederlandse rubricering. Op dergelijke bijzondere informatie is primair niet het VIRBI, maar zijn internationale verdragen (EU, NAVO, General Security Agreement, Memorandum of Understanding, Letter of Intent, bilaterale afspraken et cetera) van toepassing. In deze verdragen is opgenomen dat, behoudens enkele uitzonderingen, de nationale regelgeving wordt gevolgd:

• 1. Het VIRBI 2025: Het ministerie draagt zelf zorg voor een afdoende beveiliging en verantwoording;

• 2. Het verdrag kan een aantal uitzonderingen geven voor de beveiligingsmaatregelen waaraan moet worden voldaan. Deze komen neer op een uiterst beperkte ruimte voor eigenstandig risicomanagement en mogelijk gescheiden verwerking van bijzondere informatie van nationale en internationale herkomst.

Met betrekking tot informatie die bilateraal uit andere landen wordt ontvangen, wordt dit conform de bilaterale overeenkomst behandeld. Indien er geen bilaterale overeenkomst is, kan middels de bovenstaande tabel een vergelijkbaar nationaal niveau bepaald worden voor de rubricering, in afstemming met de verstrekker of eigenaar van de informatie.

Het kan noodzakelijk zijn om aan informatie gelijktijdig zowel nationale als internationale rubriceringen toe te kennen. Indien bijvoorbeeld documenten zijn samengesteld met informatie uit verschillende bronnen met verschillende rubriceringen dan behoudt de informatie iedere oorspronkelijke rubricering van de broninformatie.

Wanneer een oorspronkelijke rubricering wordt gevolgd door een ‘Vrij te geven aan’- of ‘Releasable to (REL)’-merking, dan wordt deze merking gehandhaafd.

Lid 1:

Het VIRBI 2025 bevat, ten opzichte van het VIR 2007, drie aanvullende onderwerpen voor het beleid. De onderwerpen hebben betrekking op de wijze waarop het ministerie informatie rubriceert, de wijze waarop de secretaris-generaal vooraf toestemming verleent voor het verwerken van bijzondere informatie en de wijze waarop het ministerie toezicht uitoefent op de beveiliging van bijzondere informatie. De onderwerpen kunnen onderdeel uitmaken van een integraal beleidsdocument of afzonderlijk worden vastgelegd.

Onder a:

Dit omvat zowel de wijze waarop binnen het ministerie tot rubricering wordt besloten als de te hanteren criteria om tot de juiste rubricering te komen. Belangrijk is hierbij af te wegen dat naarmate het rubriceringsniveau van informatie hoger ligt, de beveiligingseisen toenemen.

Onder b:

Het belang dat met bijzondere informatie gemoeid is, maakt een expliciete afweging op centraal niveau noodzakelijk om reeds op voorhand te waarborgen dat de informatieverwerking zorgvuldig geschiedt. Daarom wordt in het beleid vastgelegd hoe vooraf toestemming wordt gegeven voor het verwerken van bijzondere informatie. Mandatering van toestemmingverlening is mogelijk en kan voor verschillende rubriceringsniveaus verschillend worden ingevuld.

Voor bijzondere informatie en informatiesystemen wordt, onder andere ten behoeve van die centrale afweging, in het ministeriële integrale beveiligingsbeleid beschreven op welke wijze bepaald wordt met welke dreigingen (onderkend of voorspelbaar) en welke risico’s (voorstelbaar) rekening gehouden moet worden en hoe dit overzicht van dreigingen en risico’s actueel gehouden wordt.

Nationale accreditatie: De secretaris-generaal van het betreffende ministerie moet vooraf toestemming (accreditatie) verlenen voor de verwerking van bijzondere informatie. De Unit Weerbaarheid (AIVD) biedt organisaties een reeks van goedgekeurde producten voor de beveiliging van hun digitale informatie. Goedkeuring wordt pas afgegeven na evaluatie van het product, waarin onderzocht wordt of het product voldoende bescherming biedt voor de verwerking van bijzondere informatie.

Voor vragen over de inzet van informatiebeveiligingsproducten die door de Unit Weerbaarheid geëvalueerd zijn, kunt u terecht bij de Unit Weerbaarheid.

Onder c:

Behalve de initiële toestemming voor de verwerking van bijzondere informatie stelt het VIRBI 2025 in de bijlage ook eisen aan het toezicht tijdens de verwerking. Hierbij wordt een minimale frequentie van toezicht gegeven die hoger is naarmate het rubriceringsniveau ook hoger ligt. Ook worden voor Stg. Confidentieel en hoger gerubriceerde informatie eisen gesteld aan de administratie met betrekking tot kennisname.

Besluit BVA-stelsel Rijksdienst 2021: Het lijnmanagement is verantwoordelijk voor de integrale beveiliging van hun dienstonderdeel. De BVA heeft namens de secretaris-generaal de departementale toezichthoudende rol.

Het VIR 2007 bepaalt dat de verantwoordelijkheid voor ketens van informatiesystemen aan lijnmanagers wordt toegewezen. Het VIRBI 2025 stelt eisen aan de beveiliging van bijzondere informatie, ook informatie die in ketens wordt verwerkt.

De functionaris onder wiens verantwoordelijkheid de bijzondere informatie wordt verwerkt zorgt er voor en ziet erop toe dat de beveiliging van de bijzondere informatie in overeenstemming met de eisen wordt ingericht, ook door de lijnmanagers die verantwoordelijk zijn voor de ketens van informatiesystemen voordat de bijzondere informatie daarin wordt opgenomen. Ook waar delen van ketens zich buiten de rijksdienst bevinden dient zekerheid te bestaan dat aan de beveiligingseisen is voldaan.

Lid 2:

Onder a:

De beveiligingsautoriteit is verantwoordelijk voor het toezicht op en de consistentie van de beveiligingsmaatregelen binnen het betreffende ministerie dan wel rijksbreed. Er wordt gezorgd voor een gezamenlijke, gecoördineerde aanpak van de beveiliging van vertrouwelijke gegevens, zodat gevoelige informatie op het juiste niveau wordt beschermd. Dit omvat ook het bevorderen van samenwerking binnen en tussen ministeries om beveiligingsproblemen integraal aan te pakken.

Onder b:

Er wordt gezorgd voor een gezamenlijke, gecoördineerde aanpak van de beveiliging van vertrouwelijke gegevens, zodat gevoelige informatie op het juiste niveau wordt beschermd. Dit omvat ook het bevorderen van samenwerking binnen en tussen ministeries om beveiligingsproblemen integraal aan te pakken.

Onder c:

Bij beveiligingsinbreuken worden direct (nood)maatregelen genomen om verdere schade te voorkomen, bijvoorbeeld door het blokkeren van toegang of het aanpassen van systemen. Ook hier is het van belang het advies van de CISO mee te wegen wanneer beveiligingsissues een digitale component hebben. Daar waar van toepassing zijn andere C-rollen betrokken.

Onder d:

Als er aanwijzingen zijn voor compromittering van vertrouwelijke informatie, wordt dit onderzocht en gemeld aan de secretaris-generaal. Er kan ook een commissie worden ingesteld voor nader onderzoek en er wordt voldaan aan de meldingsverplichtingen volgens de wet- en regelgeving.

Lid 3:

De BVA(Rijk) weegt het advies van de CISO(Rijk) mee in zijn/haar afwegingen wanneer beveiligingsissues een digitale component hebben. Samenwerken is bevorderlijk voor het adequaat adresseren van beveiligingsissues. Daar waar van toepassing geldt dat ook voor andere C-rollen, bijvoorbeeld bij privacy issues is de CPO(Rijk) betrokken.

In de Wet bescherming staatsgeheimen is in de titel aangegeven dat Staatsgeheimen gegevens betreffen waarvan de geheimhouding door het belang van de Staat wordt geboden. In artikel IIA van de Wet bescherming staatsgeheimen is opgenomen dat onder de veiligheid van de Staat ook wordt verstaan de veiligheid van diens bondgenoten. Informatie waarvan de geheimhouding is geboden door het belang van één of meerdere ministeries of één of meer bondgenoten van de Staat en niet als Staatsgeheim is gerubriceerd, wordt als Departementaal Vertrouwelijk gerubriceerd.

De inschaling van de rubricering wordt op basis van twee criteria bepaald: schade en belang.

In het VIRBI hebben we gekozen om de ‘de Nederlands staat’ te noemen, maar de Wet bescherming staatsgeheimen uit 2013 heeft het over ‘de Staat’. We bedoelen daar telkens hetzelfde mee, met andere woorden als we het over ‘de Staat’ hebben bedoelen we ‘de Nederlandse Staat.’

De mate van schade aan een belang is mede bepalend voor de hoogte van de rubricering. Uitgegaan is van de volgende criteria in oplopende volgorde:

• a. Schade: beperkte nadelige invloed;

• b. Ernstige schade: nadelige invloed, korte termijn geen alternatieven;

• c. Zeer ernstige schade: onmisbaar, geen alternatieven mogelijk.

De mate van vitaliteit van de (nationale) belangen van de Staat of haar bondgenoten of een belang van een of meerdere ministeries is mede bepalend voor de hoogte van de rubricering. Voor de bepaling van de (vitale) belangen van de Staat of haar bondgenoten is aangesloten op de vitale belangen in Veiligheidsstrategie voor het Koninkrijk der Nederlanden2. Deze vitale belangen zijn als volgt gedefinieerd:

• a. Territoriale veiligheid: het ongestoord functioneren van het Koninkrijk der Nederlanden en zijn EU en NAVO bondgenoten als onafhankelijke staten in brede zin, dan wel de territoriale veiligheid in enge zin;

• b. Fysieke veiligheid: het ongestoord functioneren van de mens in het Koninkrijk der Nederlanden en zijn omgeving;

• c. Economische veiligheid: het ongestoord functioneren van het Koninkrijk der Nederlanden als een effectieve en efficiënte economie;

• d. Ecologische veiligheid: het ongestoord blijven voortbestaan van de natuurlijke leefomgeving in en nabij het Koninkrijk der Nederlanden;

• e. Sociale en politieke stabiliteit: het ongestoorde voortbestaan van een maatschappelijk klimaat waarin groepen mensen goed met elkaar kunnen samenleven binnen de kaders van de democratische rechtstaat van het Koninkrijk der Nederlanden en daarin gedeelde kernwaarden;

• f. Internationale rechtsorde en stabiliteit: het goed functioneren van het internationale stelsel van normen en afspraken, gericht op het bevorderen van de internationale vrede en veiligheid, inclusief mensenrechten, en effectieve multilaterale instituties en regimes, alsmede het goed functioneren van staten grenzend aan het Koninkrijk der Nederlanden en in de directe omgeving van de Europese Unie.

Belangen van een of meerdere ministeries betreffen het ongestoord functioneren van het ministerie in de uitvoering van zijn taken of ter realisatie van zijn doelen. Conform de tabel in de toelichting bij artikel 2, lid 3, wordt bijzondere informatie gerubriceerd door NAVO en EU beveiligd volgens het overeenkomstige nationale beveiligingsniveau.

Lid 2, onder a, b en c:

Benadrukt wordt de aansluiting met artikel 98 en verder van het Wetboek van Strafrecht, dat de strafbaarheid regelt van misdrijven met betrekking tot staatsgeheimen, zoals het ongeautoriseerd toegang proberen te verkrijgen tot of het onzorgvuldig behandelen van staatsgeheimen. Artikel 98 en verder van het Wetboek van Strafrecht hanteert de term ‘een inlichting’; de in het VIRBI 2025 gebruikte term ‘informatie’ sluit de term ‘een inlichting’ in.

Lid 2, onder d:

Departementaal Vertrouwelijk gerubriceerde informatie betreft primair het belang van één of meerdere ministeries of één of meer bondgenoten van de Staat. De maatschappelijke consequenties als gevolg van ongeautoriseerde kennisname blijven voor dit rubriceringniveau beperkt in tijd en omvang.

Lid 3:

Het vaststellen van rubricering gebeurt expliciet met het vaststellen van de inhoud of de informatie. Bij het accumuleren van bijzondere informatie behoort rekening te worden gehouden met het

aggregatie-effect, waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden. Door aggregatie van bijzondere informatie ontstaat er een (digitale) en vaak gedecentraliseerde database, waarin bundeling, aggregatie of combinatie van informatie kan leiden tot een vergroting van mogelijke schade en daarmee ook het rubriceringsniveau en de bijhorende maatregelen. In de conceptfase wordt de informatie behandeld conform het niveau van beveiliging gekoppeld aan het voorstel tot rubricering van de steller, totdat het definitieve niveau van rubricering is bepaald door degene die de inhoud vaststelt, waarna de beveiliging conform het vastgestelde rubriceringsniveau wordt behandeld.

De geheimhouding van bijzondere informatie is noodzakelijk voor een specifieke periode of verbonden aan een bepaalde gebeurtenis, maar zal niet automatisch vervallen. De rubricering moet daarom worden voorzien van een maximum tijdsverloop of bepaalde gebeurtenis, na dit tijdsverloop of deze bepaalde gebeurtenis dient de noodzaak tot en de hoogte van de rubricering opnieuw te worden vastgesteld. Hiermee wordt enerzijds voorkomen dat informatie onnodig lang beveiligd wordt en anderzijds wordt de geheimhouding van informatie geborgd zolang dit noodzakelijk is. Er kan eventueel een verzoek worden ingediend, door personen die geautoriseerd zijn om kennis te nemen van die informatie, bij de vaststeller van de rubricering van de informatie, om te voorkomen dat informatie onnodig gerubriceerd blijft. Een termijn van 10 jaar is hierbij het uitgangspunt.

Bij een verzoek in het kader van de Wet Open Overheid (Woo) wordt op grond van artikel 5.1 de rubricering opnieuw beoordeeld. De rubricering van de informatie of delen daarvan moet (en) worden beëindigd als geen van de uitzonderingsgronden van de Woo aan de orde is en als het belang van openbaarheid zwaarder weegt dan het belang gediend met de uitzonderingsgrond.

Informatie die wordt vrijgegeven op basis van een dergelijk verzoek kan immers niet langer gerubriceerd zijn. Indien delen niet kunnen worden ge-de-rubriceerd, moeten deze onleesbaar worden gemaakt.

Bijzondere informatie die krachtens een verdrag of internationale overeenkomst is verkregen en Staatsgeheimen die door de wet als zodanig zijn aangewezen, vallen buiten dit regime. Bijzondere informatie die krachtens een verdrag is verkregen, heeft per definitie een niet- Nederlandse rubricering. De informatie dient overeenkomstig de in het verdrag overeengekomen beveiligingsregime te worden beveiligd. Indien de informatie niet meer nodig is, kan deze worden teruggestuurd of worden vernietigd, overeenkomstig het verdrag. Informatie die door de wet als zodanig is aangewezen, valt eveneens buiten het gestelde in het eerste lid van dit artikel. De Kernenergiewet en het Geheimhoudingsbesluit Kernenergiewet zijn hiervan voorbeelden.

Uitsluitend de vaststeller van de rubricering, zoals bedoeld in Artikel 1, sub f, is bevoegd de rubricering te herzien of te beëindigen. De vaststelling is functie- en niet persoonsgebonden. De vaststeller van de informatie blijft ook na reorganisaties (onderbrengen bij een ander deel van of buiten de Rijksdienst) of overdracht van functies naar een ander deel van of buiten de Rijksdienst, de zorgplicht houden voor de bijzondere informatie, tenzij expliciet vóór een dergelijke reorganisatie of functieoverdracht is bepaald dat de zorgplicht niet over gaat. Indien de zorgplicht niet over gaat, zal de zorgdrager bij een voornemen of plicht tot herziening of beëindiging van de rubricering overleg voeren met de nieuwe rubriceringsambtenaar van de organisatie waar de bijzondere informatie is ondergebracht. Omdat uitsluitend de vaststeller mag her-rubriceren, behoudt afgeleid werk de oorspronkelijke rubricering van het gebruikte bronmateriaal, tenzij in overeenstemming met de oorspronkelijke vaststeller een andere rubricering kan worden vastgesteld. Het is dus niet zonder meer toegestaan om uittreksels of overzichten lager te rubriceren dan het bronmateriaal dat hiervoor gebruikt is.

Uitsluitend de secretaris-generaal van het ministerie dat de oorspronkelijke rubricering heeft vastgesteld kan functionarissen mandateren om de rubricering te herzien.

Lid 1:

Van belang is dat de eisen volgend uit het VIRBI 2025 niet alleen zien op de informatie maar ook op het geheel van de verwerking. Het proces of het informatiesysteem dat gebruikt wordt voor verwerking van bijzondere informatie moet meegewogen worden. De eisen aan een verwerking kunnen ook voortkomen uit de risico’s gepaard gaande met aggregatie of verrijking van gegevens in de verwerking. De eisen in artikel 6, lid 1, sub a en b, gelden voor het geheel van een verwerkend systeem. Dat betekent dat fysieke omgevingen, personen en processen, inclusief binnen of buiten de Rijksdienst uitbestede delen, moeten worden meegenomen in de beveiliging. Van belang is het denken in ketens.

Lid 2:

Bij gebruik van de afwijkingsruimte gegeven in het tweede lid dienen in de verantwoording van de afwijking de beveiligingsdoelstellingen te worden meegewogen, conform het principe ‘pas toe of leg uit’.

Onder risicomanagement wordt verstaan het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s op basis van een kans en impact analyse, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes. Hierbij wordt ook inzichtelijk gemaakt welke restrisico’s worden geaccepteerd en wie daartoe bevoegd is. Met betrekking tot de dreiging van specifieke tegenstanders, hun capaciteiten en modus operandi kan de BVA informatie aanreiken. Een deel van de informatie betrekt de BVA van de AIVD, de MIVD, de NCTV en andere niet voor eenieder toegankelijke bronnen van organisaties die op dit terrein een taak hebben. Het geheel wordt zo opgezet dat verantwoording afgelegd kan worden over de gemaakte keuzes en het bereikte beveiligingsniveau. In de bijlage worden de eisen die aan de vertrouwelijkheid worden gesteld nader benoemd. Specifiek voor de beveiliging van bijzondere informatie geldt dat voor de toepassing en naleving van de eis van vertrouwelijkheid (exclusiviteit) een dusdanige set van maatregelen is toegepast dat de risico’s die de verwerking en de aard van de te beschermen bijzondere informatie met zich meebrengen, adequaat zijn afgedekt. Dit wordt aangeduid als een positief beveiligingsrendement. Er wordt aangesloten bij de rijkskaders voor risicomanagement en accreditatie.

Lid 3:

Dit lid geeft aan dat er op basis van internationale verdragen of internationale overeenkomsten beperkingen bestaan waardoor voor de beveiliging van betreffende bijzondere informatie verantwoording aan een andere autoriteit verschuldigd is. Afhankelijk van wat er in het verdrag of overeenkomst is vastgelegd, voor EU, NAVO en ESA is het de NSA. Zie ook de toelichting bij artikel 2, lid 3 sub 3.

Algemeen:

De AIVD is eerste en centraal aanspreekpunt voor de gehele rijksdienst met uitzondering van het Ministerie van Defensie. Centrale melding van vermoedelijke en feitelijke ongeautoriseerde kennisname maakt het mogelijk om trends en verbanden te ontdekken binnen deze meldingen.

Waar andere partijen schade kunnen krijgen als gevolg van de (vermoedelijke) ongeautoriseerde kennisname van bijzondere informatie worden deze partijen geïnformeerd en betrokken bij het onderzoek. Voor internationale informatie geldt dat waar overeengekomen de NSA medezeggenschap heeft over het onderzoek.

In het begrip compromittering zit ook de mogelijkheid tot kennisname. Zie ook artikel 1, Begripsbepalingen.

Deze commissie bestaat uit één of meer ambtenaren die met het uitvoeren van onderzoeken ervaring hebben, die niet betrokken zijn bij de compromittering en die niet onmiddellijk ondergeschikt zijn aan bij de compromittering betrokken ambtenaren. De commissie is gerechtigd kennis te nemen van de informatie, inclusief de betrokken informatiesystemen, die op de compromittering betrekking heeft, is ook gerechtigd betrokken locaties te onderzoeken en te betreden en de bij de compromittering betrokken ambtenaren, alsmede de ambtenaar die de rubricering heeft vastgesteld, te horen. Het rapport van bevindingen dient te worden beoordeeld op de noodzaak tot rubricering.

Voordat een interne commissie van onderzoek van start gaat wordt expliciet de afweging gemaakt of sprake is van een strafbaar feit in welk kader aangifte vereist is. Er wordt dan geen zelfstandig intern onderzoek opgestart, wel wordt direct bepaald in overleg met de opsporingsinstantie of en zo ja, welke gegevens veilig gesteld moeten worden en op welke wijze dit gebeurt.

Het is van belang om ten behoeve van het uitvoeren van dergelijke onderzoeken gebruik te kunnen maken van expertise op Rijksniveau. De BVA’s kunnen dan een beroep doen op hun collega’s of andere experts om hen bij te staan en te ondersteunen in een dergelijk onderzoek.

De Algemene Inlichtingen- en Veiligheidsdienst of de Militaire Inlichtingen- en Veiligheidsdienst kunnen de commissie bij haar onderzoek terzijde staan.

Reeds bestaande gerubriceerde informatie hoeft niet als gevolg van de inwerkingtreding van het VIRBI 2025 opnieuw te worden beoordeeld en gerubriceerd. Dit wordt uiterlijk 10 jaar na vaststelling door de vaststeller of diens rechtsopvolger onderzocht;

Voor bestaande, reeds gerubriceerde informatie, waarbij volledig wordt voldaan aan de maatregelen zoals benoemd in het besluit van 1 juni 2013, zijn organisaties gedurende een overgangsperiode van 6 maanden niet gehouden te voldoen aan de hierop aanvullende maatregelen zoals deze in de bijlage zijn opgenomen.