Toelichting op de Leidraad uitwisseling van gevoelige informatie

Transcriptie

1 3 Toelichting op de Leidraad uitwisseling van gevoelige informatie

2 Beheer van de Leidraad en de Toelichting Het beheer van de Leidraad en de Toelichting daarop berust bij de directeur van het Nationaal Adviescentrum Vitale Infrastructuur (NAVI). Hij draagt zorg voor een actuele Leidraad. Praktijkervaringen en ontwikkelingen in nationale en internationale wet- en regelgeving en binnen bedrijven, worden door hem op relevantie voor deze Leidraad beoordeeld en verwerkt. Copyright Juni 2009 Nationaal Adviescentrum Vitale Infrastructuur Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik anders dan voor de in deze publicatie aangegeven doeleinden, is zonder voorafgaande schriftelijke toestemming van het NAVI niet toegestaan. Rechten en vrijwaring Het NAVI is zich bewust van zijn taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan het NAVI geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. Het NAVI aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggend document of schade ontstaan door de inhoud van het document of door de toepassing ervan. U wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. het bedrijf, instelling of overheid dat de informatie beschikbaar stelt, wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s); 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing.

3 Wat is het NAVI In het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) werken overheid en bedrijfsleven samen aan de verbetering van de bescherming van de vitale infrastructuur in Nederland tegen moedwillig menselijk handelen. Deze bescherming heet security. In haar activiteiten richt het NAVI zich op fysieke, personele, organisatorische en digitale dreigingen. Het NAVI ondersteunt beheerders en eigenaren van de vitale infrastructuur en de overheden op drie manieren: Veilig platform voor informatie-uitwisseling Het NAVI geeft de gelegenheid om binnen een vertrouwde omgeving, met elkaar informatie uit te wisselen. Dit gebeurt zowel in een grotere openbare setting als in kleine besloten bijeenkomsten. Het NAVI brengt partijen bij elkaar, bijvoorbeeld via het organiseren en ondersteunen van kennis- en informatieknooppunten. Hierin komen partijen bij elkaar om informatie te delen en over beveiligingsonderwerpen te spreken. Aanbieden van kennis en expertise Het NAVI biedt zelf kennis en expertise aan en stelt de betrokken partijen in staat om kennis en informatie binnen de vitale sectoren in Nederland te delen. Kennis en informatie worden op verschillende manieren beschikbaar gesteld, onder meer door het organiseren van bijeenkomsten, via de website en via een kennisbank. Nationaal en internationaal contactpunt Het NAVI is een nationaal en internationaal contactpunt voor vragen en advies over security binnen de vitale infrastructuur en onderhoudt en ontwikkelt een breed netwerk. Tevens fungeert het NAVI als ontmoetingsplek voor de betrokken partijen binnen de vitale infrastructuur voor zowel overheidspartijen, kennisinstellingen in binnen- en buitenland, als bedrijven. Voor meer informatie over het NAVI kunt u terecht op de website: 5

4 Inhoudsopgave 1. Samenvatting Leidraad 8 2. Achtergrond Leidraad Aanleiding Meedenkers Afbakening Interne informatiebeveiliging Informatie aan aannemers / leveranciers Informatie en informatiebeveiliging Begrippen: gevoelig en gerubriceerd Enkele bestaande rubriceringsystemen Bedrijfsrubriceringen Vir-bi (rijksoverheid) ABDO (ministerie van Defensie) EU rubriceringen ISO norm code voor informatiebeveiliging Informatie-uitwisseling Vormen van informatieverstrekking Basis: vertrouwen Cyclus van informatie-uitwisseling Bijzondere informatie: persoonsgegevens Methodieken voor uitwisseling Information sharing and analysis centre CPNI NICC Aanbevolen aanduidingtekst op document Vermelding rubricering Wit (openbaar) Groen (besloten) Geel (vertrouwelijk) Rood (geheim) Mogelijkheden van af te spreken gedragsregels Informatie geven aan de overheid Algemeen Wet openbaarheid van bestuur (Wob) Aandachtspunt Uitzonderingsgronden Afweging door bestuursorgaan en de rechter Overheidsinspecties Mogelijk te volgen stappen Ga eerst in overleg met de overheid / het bestuursorgaan Benoem de vertrouwelijke informatie en zonder die af 23 6

5 7. Andere wettelijke bepalingen Wettelijke strafbaarstelling openbaar maken van geheimen Wet milieubeheer artikel Burgerlijk wetboek, artikel Bijlage 1: Afkortingen en begrippen 26 7

6 1. Samenvatting Leidraad In dit document wordt toelichting op de Leidraad gegeven, tevens is enige achtergrondinformatie opgenomen. Basis voor een veilige informatie-uitwisseling is onderling vertrouwen. Vertrouwen moet opgebouwd worden. Veelal hebben de deelnemers aan de uitwisseling al langere tijd contact met elkaar en is er een wederzijds respect en vertrouwen opgebouwd. Het geschonken vertrouwen moet gekoesterd en onderhouden worden. Op verzoek van en in samenspraak met diverse vitale bedrijven, brancheorganisaties en overheden heeft het NAVI een Leidraad opgesteld. Er was behoefte aan een generiek te gebruiken referentiekader in de vorm van een Leidraad voor de uitwisseling van gevoelige informatie. De Leidraad is een losstaand document, bijvoorbeeld om het uit te reiken bij een eerste werkbijeenkomst en voor het maken van afspraken voor de uitwisseling van gevoelige informatie. Het gebruik van de Leidraad is vrijwillig, maar wanneer deelnemers aan de uitwisseling (ad-hoc of permanent) afspreken de Leidraad te hanteren, is dat daarmee dan niet meer vrijblijvend. In de Leidraad wordt gebruik gemaakt van een indeling met kleurcodes (wit, groen, geel en rood) die snel een associatie geven van de mate van gevoeligheid. Deze kleurcodes worden al op diverse plaatsen gebruikt Wit (openbaar); Groen (besloten); Geel (vertrouwelijk); Rood (geheim). Aanbevolen wordt deze te gebruiken bij de multisectorale en publiekprivate informatie-uitwisseling waarbij de vertrouwelijkheid van de informatieverstrekking geborgd moet worden. In de Leidraad zijn geen concrete beveiligingsmaatregelen opgenomen. Elke deelnemer zal zich houden aan de binnen zijn bedrijf, instelling of overheid geldende maatregelen. In deze toelichting is, informatief, een set van mogelijk te gebruiken maatregelen opgenomen. Hoewel de Leidraad geschreven is vanuit de intentie een bijdrage te leveren aan een zo optimaal mogelijke beveiliging van de vitale infrastructuur van Nederland en in Europa, is de Leidraad ook bruikbaar voor de uitwisseling van gevoelige informatie voor andere doeleinden. Het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) hoopt met deze Leidraad een bijdrage te kunnen leveren aan een veilige uitwisseling van gevoelige informatie. 8

7 2. Achtergrond Leidraad 2.1. Aanleiding Op verzoek van enkele bedrijven uit vitale sectoren organiseerde het NAVI op 23 september 2008 een bijeenkomst over de uitwisseling van informatie. De bedrijven stelden drie vragen centraal: 1. Hoe om te gaan met rubricering en informatiebeveiliging bij vitale infrastructuur? 2. Hoe informatie te delen in multidisciplinaire en organisatieoverstijgende projectteams? 3. Hoe om te gaan met vertrouwelijke informatie in relatie tot bijvoorbeeld een vergunningaanvraag en/of in relatie met de Wob? De deelnemers gaven helder aan dat er bij vitale bedrijven grote behoefte bestaat aan meer duidelijkheid en afspraken hoe om te gaan met multisectorale en publiek-private informatie-uitwisseling en tevens de noodzakelijke vertrouwelijkheid van de informatieverstrekking te borgen. Ofwel, hoe kunnen we veilig communiceren zonder het risico te lopen dat informatie in de verkeerde handen komt? Uitvoerig is toen gesproken over een set van afspraken tussen de gesprekspartners die daarbij behulpzaam zou kunnen zijn. In het bijzonder gaat het hierbij om de aspecten van rubricering van informatie en de bijbehorende afspraken en maatregelen voor wat betreft de uitwisseling van informatie met andere partijen. Het bovenliggende doel is de beveiliging van de bedrijven, instellingen en overheden die gezamenlijk de vitale infrastructuur van Nederland vormen, te verbeteren c.q. op een adequaat niveau te houden. De Nederlandse en soms ook de Europese samenleving is in belangrijke mate afhankelijk van een goed en continu functioneren van deze bedrijven, instellingen en overheden. De overheden hebben daarbij veelal een dubbele rol. Enerzijds zijn zij de regelgevende, gezaghebbende en toetsende overheid. Anderzijds beheren zij zelf ook delen van de vitale infrastructuur 1. Omdat deze bedrijven, instellingen en overheden samen een grote maatschappelijke verantwoordelijkheid dragen in de bescherming en beveiliging van de vitale infrastructuur, is een gezamenlijk optrekken van groot belang. Om te komen tot een adequate beveiliging is informatie essentieel. Niet alleen informatie van het eigen bedrijf, instelling of overheid, maar ook wat er op andere plekken gebeurt. Soms is die informatie te halen uit open bronnen, maar veelal is dat niet de informatie waar echt behoefte aan is. De bedrijven, instellingen en overheden die samen de vitale infrastructuur vormen, willen ervaringen met elkaar delen en van elkaar leren; (bijna) incidenten, dreiginginformatie, modus operandi, innovaties, missers, van alles dat er toe bijdraagt dat de beveiliging adequaat is Meedenkers Bij de totstandkoming van de Leidraad en het toelichtende document is dankbaar gebruik gemaakt van ter zake kundige vertegenwoordigers van diverse bedrijven, brancheorganisaties en overheden. Daarnaast is tweemaal een bespreking gevoerd met een breed samengestelde klankbordgroep. De vertegenwoordigers waren afkomstig van: -- Govcert (Computer Emergency Response Team van de Nederlandse overheid) -- Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (AIVD, CZW en DNV-vitaal) -- Ministerie van Verkeer en Waterstaat (Inspectie VenW) -- Ministerie van Volkhuisvesting, Ruimtelijke Ordening en Milieu -- N.V. Nederlandse Gasunie -- Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) 1 Voorbeelden zijn: keren en beheren oppervlakte water, hoofd (vaar)wegennet, openbaar bestuur, rechtsorde en openbare orde en veiligheid. 9

8 Netbeheer Nederland (brancheorganisatie van de regionale en landelijke netbeheerders) Platform voor InformatieBeveiliging (PvIB) Politie ProRail Shell International B.V. TenneT (netbeheerder van het landelijke elektriciteitsnetwerk) Vitens 2.3. Afbakening Interne informatiebeveiliging In de Leidraad worden geen regels opgesteld voor het interne informatiebeveiligingsbeleid van bedrijven, instellingen en overheden. Het is essentieel dat deelnemers aan de onderlinge informatie-uitwisseling een dergelijk beleid hebben. Bij het opstellen van een dergelijk beleid kan gebruik gemaakt worden van het beleid van andere deelnemende partijen. Het beleid van de rijksoverheid is een openbaar document: het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI). Ook het interne beleid Informatiebeveiliging van het NAVI is beschikbaar, onder meer via Informatie aan aannemers / leveranciers De gevoelige informatie die een bedrijf of instelling verstrekt aan aannemers, leveranciers en dergelijke, behoort door die ontvangers ook op een veilige wijze behandeld te worden. De Leidraad handelt daar niet over. De regels die het bedrijf of instelling aan die aannemers en leveranciers wil opleggen, worden veelal vastgelegd worden in het informatiebeveiligingsbeleid van het bedrijf of instelling dan wel in de algemene inkoopvoorwaarden. Het ministerie van Defensie heeft dit bijvoorbeeld vastgelegd in hun Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) 2. Dit document is via internet te raadplegen en bedrijven kunnen hier eventueel suggesties uithalen voor het eigen beleid. 2 Algemene Beveiligingseisen voor Defensieopdrachten 2002 (ABDO 2002), ministerie van Defensie oktober

9 3. Informatie en informatiebeveiliging 3.1. Begrippen: gevoelig en gerubriceerd In het gebruik komen veel verschillende termen voor, zoals: -- Vertrouwelijke informatie; -- Bijzondere informatie; -- Gevoelige informatie; -- Afgeschermde informatie. Er bestaan dus verschillende termen voor hetzelfde begrip, maar ook eenzelfde term is voor meerdere uitleg vatbaar. Dat leidt tot onduidelijkheid en verwarring. Daarom is het belangrijk om een unité de doctrine te hanteren. In de Leidraad is gekozen om aan te sluiten bij de termen die in Europees verband in de EPCIP 3 - richtlijn worden gebruikt. Daarin wordt gesproken over gevoelige informatie. Of in het Engels: sensitive information. De EPCIP-richtlijn 4 spreekt van gevoelige informatie in verband met de bescherming van kritieke (vitale) infrastructuur. Dat zijn gegevens over vitale infrastructuur die, wanneer zij openbaar worden gemaakt, zouden kunnen worden gebruikt om plannen te maken en feiten te plegen om vitale infrastructuurinstallaties te verstoren of te vernietigen. Maar ook niet alle gevoelige informatie is allemaal even gevoelig. Het ene document bevat gevoeliger informatie dan het andere. Daar zijn gradaties in aan te brengen. Voor het systeem om de gevoelige informatie in te delen komen de termen geclassificeerd en gerubriceerd beide voor. Geclassificeerd is een letterlijke vertaling van de Engelse term classified. De Nederlandse overheid gebruikt de term rubriceren voor het indelen van de gevoelige informatie in klassen zoals genoemd in het VIR-BI. Dat zijn de staatsgeheimen 5 (zeer geheim, geheim en confidentieel) evenals departementaal vertrouwelijk. In de Leidraad wordt het begrip gerubriceerd gebruikt voor de gevoelige informatie die naar gevoeligheidswaarde ingedeeld is. Gerubriceerde informatie is daarmee per definitie gevoelige informatie Enkele bestaande rubriceringsystemen Hieronder worden enkele gebruikte rubriceringsystemen genoemd Bedrijfsrubriceringen De meeste bedrijven hebben een informatiebeveiligingsbeleid ingevoerd met daarin opgenomen een rubriceringindeling voor gevoelige informatie. Er is echter geen algemene eenduidigheid in de indelingen, de aantallen niveaus verschillen en ook de beveiligingsmaatregelen bij een gelijkluidende rubriceringtermen zijn verschillend. Waar bij het ene bedrijf bij informatie met de rubricering geheim de beveiligingsmaatregelen analoog aan het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI) stg 6 geheim worden getroffen, heeft een ander bedrijf bij deze term de beveiligingsmaatregelen op het VIR-BI niveau departementaal vertrouwelijk VIR-BI (rijksoverheid) Het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI) geeft regels voor de beveiliging van Bijzondere Informatie bij de rijksdienst. Hierbij is bijzondere informatie: staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. Deze regels strekken er toe het aantal personen dat met 3 European Programme for Critical Infrastructure Protection 4 EPCIP richtlijn 2008/114/EG van de raad, 8 december 2008 artikel 2, lid d 5 STG = staatsgeheim 6 stg = staatsgeheim 11

10 Bijzondere Informatie in aanraking komt zo beperkt mogelijk te houden. Daarnaast is het van belang dat zo spoedig mogelijk actie wordt ondernomen bij kennisname door niet-gerechtigden (compromittering). 7 De werking van het VIR-BI strekt zich niet verder uit dan de Rijksdienst. Het kan echter noodzakelijk zijn om informatie die onder de rubricering Bijzondere Informatie valt buiten de Rijksdienst te brengen. Het voorschrift (VIR-BI) staat dit alleen toe indien er voldoende zekerheid bestaat dat een goede beveiliging, in overeenstemming met de bepalingen van de betreffende aanwijzingen, is zeker gesteld ABDO (ministerie van Defensie) De afspraken ten behoeve van het ministerie van Defensie met andere organisaties dan de Rijksdienst over het verzekeren van een adequate beveiliging, zijn in de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) weergegeven. Deze afspraken zijn een afgeleide van de diverse regelingen op dit gebied (zoals VIR-BI), aangevuld met algemene beveiligingseisen, betrouwbaarheidseisen voor wat betreft informatiebeveiliging en diverse uitvoeringsbepalingen EU rubriceringen Binnen de Europese Commissie wordt de gevoelige informatie ook gerubriceerd in overeenstemming met hun indeling. Ook heeft de Commissie een besluit vastgesteld hoe te handelen wanneer de Commissie uit hoofde van een opdracht of subsidieovereenkomst bij externe entiteiten opdrachten plaatst voor taken die betrekking hebben op gerubriceerde EU-gegevens of voor taken die dergelijke gegevens noodzakelijk maken en/of bevatten ISO norm Code voor informatiebeveiliging NEN-ISO/IEC en zijn standaarden voor informatiebeveiliging die richtlijnen en algemene principes geeft voor het initiëren, implementeren, onderhouden en verbeteren van informatie beveiligingsmanagement binnen een organisatie. Deze Code voor informatiebeveiliging is onder begeleiding van de normcommissie van het Nederlandse Normalisatie Instituut (NEN) tot stand gekomen. De standaard is breed toepasbaar en vertegenwoordigd de algemeen geaccepteerde doelen voor informatiebeveiliging. De Code is geen formele wet- of regelgeving maar geniet wel enige gezag. Begin 2008 is door het Forum Standaardisatie bepaald dat de Code voor Informatiebeveiliging als open standaard dient te worden gebruikt. In ISO 27001, A.10.8 worden normen gesteld voor de uitwisseling van informatie met het doel het handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit. Het artikel in dat hoofdstuk beschrijft: -- Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld. -- Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. -- Media die informatie bevatten moeten worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. -- Informatie die een rol speelt bij elektronische berichtuitwisseling moet op geschikte wijze worden beschermd. Voor meer gedetailleerde informatie wordt verwezen naar het nationale normalisatie-instituut NEN. 10 Door de Leidraad uitwisseling gevoelige informatie te hanteren wordt bijgedragen aan de invulling van de bepalingen uit de ISO e.v. 7 Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI), maart Algemene Beveiligingseisen voor Defensieopdrachten, januari 2006, ministerie van defensie 9 Besluit van de Commissie, 2 augustus 2006 tot wijziging van besluit 2001/844/EG, EGKS, Euratom

11 4. Informatie-uitwisseling Dit hoofdstuk gaat specifiek in op het (vrijwillig) uitwisselen van informatie. Dat is anders dan het op wettelijke basis moeten verstrekken van informatie aan de overheid Vormen van informatieverstrekking Er zijn ruwweg drie redenen waarom informatie wordt verstrekt: -- Bedrijfsnoodzaak; -- Verplichting aan de overheid; -- Ter wederzijdse lering. Een andere indeling is de wijze waarop informatie wordt gedeeld: -- Mondeling (overleggen, telefonisch of soortgelijk); -- Door toezenden van schriftelijke stukken/documenten; -- Door het elektronisch toezenden van digitale stukken. Ongeacht de reden waarom en de wijze waarop is het wenselijk afspraken te hanteren over de mate van gevoeligheid van informatie. Als voor het verstrekken van schriftelijke en digitale informatie meerdere eisen worden gesteld aan de handelswijze, volstaat bij mondelinge uitwisseling veelal de afspraak tot hoever de informatie aan anderen mag worden doorgegeven (of in het geheel niet) Basis: vertrouwen Het is belangrijk dat geheimhoudingsvoorschriften in acht worden genomen met betrekking tot bepaalde gegevens over vitale infrastructuurvoorzieningen die gebruikt kunnen worden om plannen te maken en feiten te plegen, welke onaanvaardbare gevolgen voor vitale infrastructuurinstallaties kunnen hebben. Informatie over de bescherming van bedrijven, instellingen en overheden die samen de vitale infrastructuur vormen, moet worden uitgewisseld op basis van vertrouwen. Het gaat niet alleen om informatie over de bescherming van, maar ook over andere bedrijfsgevoelige informatie (capaciteitsgegevens, netwerk, veiligheid en dergelijke). De uitwisseling van informatie vereist een zodanige vertrouwensrelatie dat bedrijven, instellingen en overheden erop moeten kunnen vertrouwen dat hun gevoelige gegevens bij de andere partij voldoende beschermd zijn. Afspraken die gemaakt worden voor een veilige uitwisseling van informatie zijn niet formeel af te dwingen. Wel kunnen onderling afspraken gemaakt worden hoe te handelen bij schending van het vertrouwen en openbaar maken van gevoelige informatie. In de Leidraad zijn daartoe enkele mogelijke vormen van sanctie opgenomen. Deelnemers aan de uitwisseling moeten elkaar kunnen vertrouwen. Veelal kennen de deelnemers elkaar al langere tijd en is een wederzijds respect en vertrouwen opgebouwd. Nieuwe deelnemers kunnen geïntroduceerd worden door bestaande deelnemers en ontlenen daaraan een zekere mate van vertrouwen welke in de loop der tijd moet groeien. Vertrouwen moet worden opgebouwd. Vanuit die optiek is het onwenselijk dat vaste deelnemers aan diverse overleggen waarin gevoelige informatie kan worden uitgewisseld, zich zonder meer laten vervangen voor iemand anders. 13

12 4.3. Cyclus van informatie-uitwisseling Aan het verstrekken, ter beschikking stellen of op andere wijze uitwisselen van gevoelige informatie zijn beperkingen en risico s verbonden. Zo is het slechts zeer beperkt en onder strikte voorwaarden mogelijk om gevoelige informatie van de rijksoverheid met bedrijven te delen. Ook bedrijven kunnen terughoudend zijn met het delen van gevoelige informatie aan de overheid; de Wet openbaarheid van bestuur (Wob) heeft daarin een versterkende factor. Bedrijven hebben eigen beleidsregels en afspraken over de omgang met gevoelige informatie. Ook bedrijven en instellingen wisselen onderling gevoelige informatie uit. Bijvoorbeeld in de diverse bijeenkomsten over de kwaliteitsverbetering van de beveiliging van de bedrijven binnen de vitale sectoren. Er is daarbij behoefte aan helderheid welke informatie op een veilige wijze gedeeld kan worden. Het indelen naar rubriceringniveaus helpt daarbij. Het is belangrijk dat informatie alleen in bezit is van en toegankelijk is voor bevoegde personen. Informatie ontstaat, wordt gegenereerd in documenten of wordt ontwikkeld. Als informatie eenmaal aanwezig is, wordt informatie: - Opgeslagen; - Gebruikt en verwerkt; - Gedeeld en uitgewisseld; - Gearchiveerd voor latere raadpleging of - Vernietigd. In alle fasen van deze levenscyclus van informatie dienen informatiebeveiligingsmaatregelen te zijn getroffen. Acquisitie Opslag (in rust) Archivering Levenscyclus van Informatie Gebruik (in gebruik) Vernietiging Delen (in beweging) Door informatie te rubriceren is het eenvoudig om de omgangs vormen van desbetreffende informatie snel voor iedereen duidelijk te maken. Het van toepassing zijnde rubriceringniveau bepaalt de noodzakelijke maatregelen die onder meer kunnen bestaan uit het vermelden van het rubriceringniveau, eisen aan opslag, vervoer, verstrekking of het wel of niet kunnen gebruiken op thuiswerkplekken of buiten de organisatie. 11 Gebaseerd op: Informatieblad informatie delen in samenwerkingsverbanden, College Bescherming Persoonsgegevens, december

13 4.4. Bijzondere informatie: persoonsgegevens 11 Indien het informatiedelen in het samenwerkingsverband ook het delen van persoonsgegevens inhoudt, moet er voldaan worden aan de normen van de privacywetgeving. Dat betekent dat een aantal stappen moet worden doorlopen en onder meer afgevraagd moet worden of informatie delen noodzakelijk is en zo ja, of een beroepsgeheim het toestaat om die informatie te delen. Op delen van informatie met persoonsgegevens in een samenwerkingsverband zijn verschillende wetten van toepassing. De Wet bescherming persoonsgegevens (Wbp) is de algemene kaderwet. De Wet politiegegevens bepaalt wat de politie met informatie mag doen. In de Wet geneeskundige behandelingsovereenkomst is de grens van (medisch) beroepsgeheim bepaald en in de Wet gemeentelijke basisadministratie staat wat er met de gegevens uit de gemeentelijke basisadministratie mag gebeuren. Het verdient aanbeveling om werkafspraken met betrekking tot het delen van informatie binnen een samenwerkingsverband vast te leggen in een convenant. Een convenant is een bindende overeenkomst waarin de verdeling van de aansprakelijkheid, de gegevensstromen, het doel van de samenwerking, de resultaten en andere afspraken (bijvoorbeeld over periodieke controles of audits) vastgelegd kan worden. Een convenant kan echter nooit een wet opzij zetten, dus kunnen nooit meer bevoegdheden geschept worden dan de wet toekent. Ook is het niet mogelijk wettelijke verplichtingen met een convenant opzij te zetten. 15

14 5. Methodieken voor uitwisseling Hieronder worden enkele van de in gebruik zijnde methodieken voor de uitwisseling van gevoelige informatie toegelicht. Mede op basis van deze methodieken is de Leidraad uitwisseling gevoelige informatie ontwikkeld. Tevens worden suggesties gedaan die gebruikt kunnen worden voor het aanduiden van documenten met gevoelige informatie en de mogelijk te treffen maatregelen voor het beveiligingen van die informatie Information Sharing and Analysis Centre In de Verenigde Staten van Amerika is er een Information Sharing and Analysis Centers Council (ISAC Council) die als missie heeft:.. to advance the physical and cyber security of the critical infrastructures of North America by establishing and maintaining a framework for valuable interaction between and among the ISACs and with government. 12 In een Information Sharing and Analysis Centre (ISAC) kunnen bedrijven per sector hun beveiligingsproblemen vertrouwd en anoniem uitwisselen. Na analyse kan daaruit een waarschuwing aan alle deelnemende partijen volgen over een risico of kwetsbaarheid, of een good practice om een risico af te wenden. Informatie wordt gedeeld volgens een vertrouwelijkheidrubricering, het verkeerslichtmodel. rood Betekent dat de informatie zeer geheim is en alleen mondeling binnen de ISAC gedeeld mag worden. geel Gemerkte informatie mag alleen gedeeld worden met mensen binnen de eigen organisatie die deze informatie nodig hebben om maatregelen te nemen. groen Betekent dat informatie gedeeld mag worden binnen en buiten de organisatie, maar niet gepubliceerd. wit Staat in dit model voor openbare informatie Information Exchanges Example Membership Guidelines Version 1 ~ June

15 5.2. CPNI Het Britse Centre for the Protection of National Infrastructure (CPNI) hanteert ook deze kleurcodes 13. In hun Framework for Vulnerability Information Sharing Introduction van februari 2007 schrijven zij: CPNI has agreed a labelling mechanism known as the Traffic Light Protocol (TLP) with members of its Information Exchanges. This same protocol has now been accepted as a model for trusted information exchange by over 30 other countries. The protocol provides for four information sharing levels for the handling of sensitive information. The four information sharing levels are: red Personal for named recipients only. In the context of a meeting, for example, RED information is limited to those present. In most circumstances RED information will be passed verbally or in person. amber Limited distribution. The recipient may share AMBER information with others within their organization, but only on a need-to-know basis. green Community wide. Information in this category can be circulated widely within a particular community. However, the information may not be published or posted on the Internet, nor released outside of the community. white Unlimited. Subject to standard copyright rules, WHITE information may be distributed freely, without restriction. This framework is not a legal contract. It is a statement of the requirements for information sharing between CPNI and the receiving organisation. The Centre for the Protection of National Infrastructure (CPNI) and the receiving organization jointly agree: -- to label vulnerability information to be shared with one of the four information sharing levels identified in the Traffic Light Protocol (TLP); -- where necessary and appropriate to protectively mark the information in line with their own internal security policies and in accordance with the TLP; -- to use the same degree of care to maintain confidentiality of shared vulnerability information as is used for their own internal or commercially sensitive information; -- neither directly nor indirectly disclose to a third party in advance of the agreed public disclosure date, either the existence of, or details pertaining to, vulnerability information supplied under this framework without the prior written approval of the originating organization; -- not to use the vulnerability information disclosed for commercial advantage or marketing purposes; -- to restrict the release of vulnerability information solely to those persons within the organization with a legitimate need to know by virtue of their job or role. Such persons must be appropriately briefed on, and bound by, the meaning of the TLP sharing mechanism; -- to destroy vulnerability information that is no longer required; -- to disclaim liability for any damages arising from the use of the vulnerability information; -- that access to vulnerability information is offered free of any financial charge and without warranty of any kind; -- not to employ legal remedy to address any conflict arising from the disclosure or use of any vulnerability information provided. 17

16 5.3. NICC De Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC, hanteert voor de uitwisseling van gevoelige informatie ook een informatieprotocol 14. Om geheimhouding te waarborgen, hebben zij een aantal spelregels opgesteld voor het voeren van overleg. a. Vertegenwoordigers van organisaties mogen zich niet laten vervangen; b. Elke sector bepaalt zelf de agenda van het overleg; c. De aanbieder van informatie beslist over het niveau van vertrouwelijkheid; d. Nieuwe deelnemers moeten goedgekeurd worden door alle bestaande deelnemers; e. Elke deelnemende organisatie mag twee vertegenwoordigers afvaardigen; alleen zij mogen de vergaderingen persoonlijk bijwonen. Ook bij hen geven kleurcodes het niveau van vertrouwelijkheid aan: rood Geheime informatie die deelnemers alleen mondeling delen. geel Beperkte geheimhouding. Deze informatie mag gedeeld worden met relevante personen binnen de deelnemende organisaties. groen Informatie die gedeeld mag worden met andere organisaties, informatiefora of personen uit de IT-beveiligingswereld. wit Onbeperkte verspreiding. 14 Samen tegen cybercrime, NICC, oktober

17 5.4. Aanbevolen aanduidingtekst documenten Vermelding rubricering Op rapporten, verslagen of andere vormen van schriftelijke weergave wordt de rubriceringaanduiding vermeld. Deze vermelding staat op elke pagina. Afhankelijk van het rubriceringniveau, wordt een document voorzien van een waarschuwing. Deze waarschuwing is samen met het rubriceringniveau duidelijk zichtbaar op de eerste pagina van het document of op de pagina direct volgend na de titelpagina. Hieronder zijn voorbeelden van aanduidingteksten opgenomen die op documenten geplaatst kunnen worden Wit (openbaar) U wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. het bedrijf, instelling of overheid dat de informatie beschikbaar stelt, wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de oorspronkelijke auteur(s) of instantie(s); 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde waarschuwing Groen (besloten) Dit document is gerubriceerd voor GROEN (besloten) gebruik. De informatie die in dit document en bijbehorende bijlagen gepubliceerd is, is alleen bedoeld voor betrokken personen. Het gebruik van het document door een andere partij dan de geadresseerde(n) is toegestaan, mits deze partij hiertoe geautoriseerd is door een geadresseerde Geel (vertrouwelijk) Dit document is gerubriceerd als GEEL (vertrouwelijk). De informatie die in dit document en bijbehorende bijlagen gepubliceerd is, is alleen bedoeld voor de geadresseerde(n). Het gebruik van het document door andere personen dan de geadresseerde(n) is niet toegestaan, tenzij deze personen hiertoe expliciet geautoriseerd zijn door de verstrekker. De informatie in dit document valt onder de bepalingen van een geheimhoudingsplicht Rood (geheim) Dit document is gerubriceerd als ROOD (geheim). De informatie die in dit document en bijbehorende bijlagen gepubliceerd is, is uitsluitend bedoeld voor de geadresseerde(n). Het gebruik van het document door anderen dan de geadresseerde(n) is niet toegestaan. De informatie in dit document valt onder de bepalingen van een geheimhoudingsplicht. 19

18 5.5. Mogelijkheden van af te spreken gedragsregels Onderstaand wordt een lijst van mogelijk af te spreken maatregelen gegeven. De lijst is bedoeld als handreiking aan diegene die de informatie verstrekt wat hij aan de ontvanger vraagt. De lijst heeft op zich geen verplichtend karakter. Het belangrijkste is de intentie die met het naleven van de afspraken wordt uitgesproken. De maatregelen zijn principal-based en niet rule-based. Maatregel Informatie is specifiek gemaakt om openbaar te maken. Informatie is niet-gevoelige informatie. Informatie wordt alleen gedeeld met een bepaalde groep personen. De informatie is vertrouwelijk. Informatie mag selectief worden gedeeld met andere organisaties. Informatie wordt alleen gedeeld met en is alleen toegankelijk voor direct betrokken personen. Toegang op basis van noodzakelijkheid of functie. Toegang op basis van noodzakelijkheid. Informatie mag worden gebruikt buiten een (beveiligde) kantooromgeving, bijvoorbeeld telewerken. Informatie is (op aanvraag) vrij toegankelijk of is vrijgegeven voor publicatie via openbare bronnen zoals internet en de pers. Informatie is voorzien van het rubriceringniveau. Documenten zijn voorzien van doorlopende paginanummers, het totale aantal pagina s, datum en versienummer. Schriftelijke informatie en gegevensdragers worden opgeborgen in de daarvoor bestemde afsluitbare kast. Schriftelijke informatie en gegevensdragers worden opgeborgen in de daarvoor bestemde beveiligde kluis(kast). Schriftelijke informatie en gegevensdragers worden opgeborgen in een daarvoor bestemde beveiligde kluis(kast) die in een daarvoor bestemde beveiligde ruimte staat. wit groen geel rood 20

19 Maatregel Schriftelijke informatie-uitwisseling vindt plaats per post in een (onopvallende) dubbele enveloppe. Schriftelijke informatie-uitwisseling vindt plaats per bekende koerier of (binnen Nederland) met aangetekende post in een dubbele enveloppe. Schriftelijke informatie en gegevensdragers worden alleen gebruikt op daartoe aangewezen locaties. Informatie wordt alleen met toestemming van de lijnmanager meegenomen en indien dit voor de voortgang van de werkzaamheden noodzakelijk is. Er worden niet meer reproducties gemaakt dan strikt noodzakelijk is. Het bijmaken van reproducties wordt geregistreerd. Schriftelijke informatie wordt van voorzien van een uniek exemplaarnummer. Informatie wordt alleen verwerkt en/of opgeslagen op computers voorzien van versleutelingprogrammatuur. Informatie wordt alleen verwerkt en/of opgeslagen op stand-alone computers voorzien van versleuteling programmatuur en toegangsbeveiliging met token. Informatie mag niet worden uitgewisseld of geplaatst op een openbaar toegankelijke internet website. Informatie wordt niet op een geautomatiseerd computernetwerk (zoals websites, document managementsystemen, een kennisbank, fileservers of persoonlijke netwerkmappen) opgeslagen. Elektronisch informatie-uitwisseling ( ) vindt beveiligd plaats (versleuteld). Elektronisch informatie-uitwisseling ( ) vindt beveiligd plaats (versleuteld) waarbij de authenticiteit van de verzender en ontvanger kan worden geverifieerd (onweerlegbaarheid). Informatie en gegevensdragers worden volgens voorschriften vernietigd. Gecontroleerde toegang op individueel niveau / bezoekers worden begeleid. Fysieke toegang is gecontroleerd op individueel niveau. Bezoekers worden begeleid. De identiteit van een gebruiker wordt mede vastgesteld op basis van een token of biometrie. Informatie wordt alleen mondeling of conform geldende (bedrijfs)voorschriften opgeslagen en uitgewisseld. wit groen geel rood 21

20 6. Informatie geven aan de overheid 6.1. Algemeen In de op 29 september 2008 gehouden bijeenkomst (zie 2.1) stelden de deelnemende vitale bedrijven ondermeer de vraag: Hoe om te gaan met vertrouwelijke informatie in relatie tot bijvoorbeeld een vergunningaanvraag en/of in relatie met de Wob? Dit onderwerp heeft vanuit beveiligingsoogpunt hun grote zorg. De overheid heeft als hoeder van het algemene belang bepaalde informatie nodig. Het bedrijfsleven is, gelet op de maatschappelijke verantwoordelijkheid die het heeft, uiteraard bereid daaraan zoveel als mogelijk en verantwoord is invulling aan te geven. Informatieverstrekking aan de overheid is vaak verplicht op grond van wet- en regelgeving, zoals voor de aanvraag van vergunningen of de informatieplicht op grond van de Wet rampen en zware ongevallen. In het kader van het waarborgen van de nationale veiligheid en de bescherming van vitale infrastructuur, wordt informatie ook vaak verstrekt in het kader van een publiek-private samenwerking. Het is van belang om bij deze informatieverstrekking een goede balans te vinden tussen enerzijds de noodzakelijke vertrouwelijkheid en de transparantie van besluitvorming anderzijds Wet openbaarheid van bestuur (Wob) De Wet openbaarheid van bestuur (Wob) regelt het recht van burgers op informatie van de overheid. Op die manier wordt het inzicht van burgers in het overheidshandelen vergroot, wat de democratie en de deelname van burgers aan de besluitvorming ten goede komt. De Wob is een algemene uitwerking van artikel 110 van de Grondwet. Daarin is bepaald dat de overheid bij de uitvoering van haar taak openheid en openbaarheid betracht volgens de bij de wet te stellen regels. De overheid verschaft uit eigen beweging informatie zodra dat in het belang is van een goede en democratische bestuursvoering. Als de overheid bepaalde informatie niet actief openbaar heeft gemaakt, kan een burger de overheid (de Wob gebruikt de term bestuursorgaan) verzoeken informatie openbaar te maken: het Wob-verzoek. De Wob gaat er daarbij vanuit dat in beginsel de bij de overheid berustende informatie openbaar is. Een Wob-verzoek kan alleen worden geweigerd wanneer een van de limitatief opgesomde uitzonderingsgronden van de Wob 15 van toepassing is Aandachtspunt Bij het verstrekken (bedrijf) en ontvangen (overheid) van de informatie is expliciete aandacht nodig voor de mogelijke consequenties van de Wet openbaarheid van bestuur (Wob). Door de Wob bestaat er een reële kans dat gevoelige informatie van bedrijven ongewenst toch openbaar gemaakt (moet) worden. Over de mogelijkheden om gevoelige informatie ook onder de Wob vertrouwelijk te houden, zijn talrijke documenten en afstudeeropdrachten geschreven. In dit hoofdstuk worden slechts enkele tips gegeven hoe de informatie, die al dan niet wettelijk aan de overheid verstrekt wordt, op een veilige wijze overgedragen kan worden. Gelet op de juridische complexiteit, kan deze korte notitie niet de intentie in zich hebben volledig te zijn en kunnen hier ook geen rechten aan ontleend worden. 15 Uit: Verzoeken o.b.v. de Wet openbaarheid bestuur. Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, directie CZW, augustus