BWBR0038056
Geldig vanaf 2016-06-15
Artikel 22
Regeling Informatiehuishouding Financiën 2016 (RINFIN2016)
1. Het Voorschrift Informatiebeveiliging Rijksdienst 2007(VIR 2007), het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie 2013(VIR-BI 2013) en de Baseline Informatie Beveiliging (BIR)vormen de kaders voor de beveiliging van het informatiebeheer. Deze kaders gelden ook wanneer sprake is van (digitaal) kopiëren of anderszins reproduceren van bijzondere informatie.
2. Het management van het archiefvormend onderdeel is verantwoordelijk voor adequate informatiebeveiliging. Dit behelst het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid (betrouwbaarheid) van de beheerde informatie. Informatiebeveiliging omvat procedurele, organisatorische en technische voorzieningen voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van archiefbescheiden die daarvoor gezien hun aard en status niet in aanmerking komen.
3. De door de secretaris-generaal aangewezen functionaris die de rubricering van een document aanbrengt is tevens bevoegd de rubricering te herzien of te beëindigen (derubriceren).
4. Alleen geautoriseerde personen kunnen (gerubriceerde) documenten openen, registreren, behandelen, aanmaken, wijzigen, verzenden en archiveren, raadplegen en/of vernietigen. De medewerkers van het archiefbeherend onderdeel zijn namens de secretaris-generaal gemachtigd voor toegang tot archiefbestanddelen en voor beheersactiviteiten. Voor staatsgeheim gerubriceerde archiefbescheiden geldt dat toegang alleen verleend wordt aan medewerkers die een verklaring van geen bezwaar (VGB) van de AIVD hebben ontvangen.
5. De verantwoordelijk directeur ziet er op toe, dat voor de bescherming van de in archiefbescheiden opgenomen persoonsgegevens een passend beveiligingsniveau in acht wordt genomen conform de beveiligingseisen die de Wet bescherming persoonsgegevens(Wbp) daaraan stelt.
6. Op het informatiebeheer binnen het ministerie is het informatiebeveiligingsbeleid van toepassing. Het informatiebeveiligingsbeleid is door de secretaris-generaal vastgesteld. De archiefvormende onderdelen zijn verantwoordelijk voor het treffen van passende beveiligingsmaatregelen voor hun (bijzondere) informatie.
7. Er is sprake van een informatiebeveiligingsincident als een gebeurtenis de betrouwbaarheid van beheerde archiefbescheiden ernstig in gevaar brengt of heeft gebracht.
8. Als een medewerker een informatiebeveiligingsincident constateert dat de belangen van personen, de eigen organisatie of andere organisaties schaadt of heeft geschaad, stelt hij hiervan direct zijn leidinggevende op de hoogte en meldt dit volgens de voorgeschreven incidentenmeldingsprocedure. In geval van gerubriceerde informatie wordt ook de BVA (Beveiligingsambtenaar) hiervan verwittigd.
9. Als een noodsituatie dit vereist, zorgt de archiefbewaarder met het archiefbeherend onderdeel, in samenspraak met de secretaris-generaal, voor de onmiddellijke en vervolgens periodieke verplaatsing van archiefbescheiden naar veilige locaties. De archiefbeheerder stelt de Erfgoedinspectie hiervan zo spoedig mogelijk op de hoogte.
10. De archiefbeheerder kan overgaan tot noodvernietiging van bijzondere informatie in uitzonderlijke noodsituaties, die zijn omschreven in het informatiebeveiligingsbeleid. De archiefbeheerder meldt iedere noodvernietiging van archiefbescheiden aan de secretaris-generaal en aan de Erfgoedinspectie.
2. Het management van het archiefvormend onderdeel is verantwoordelijk voor adequate informatiebeveiliging. Dit behelst het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid (betrouwbaarheid) van de beheerde informatie. Informatiebeveiliging omvat procedurele, organisatorische en technische voorzieningen voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van archiefbescheiden die daarvoor gezien hun aard en status niet in aanmerking komen.
3. De door de secretaris-generaal aangewezen functionaris die de rubricering van een document aanbrengt is tevens bevoegd de rubricering te herzien of te beëindigen (derubriceren).
4. Alleen geautoriseerde personen kunnen (gerubriceerde) documenten openen, registreren, behandelen, aanmaken, wijzigen, verzenden en archiveren, raadplegen en/of vernietigen. De medewerkers van het archiefbeherend onderdeel zijn namens de secretaris-generaal gemachtigd voor toegang tot archiefbestanddelen en voor beheersactiviteiten. Voor staatsgeheim gerubriceerde archiefbescheiden geldt dat toegang alleen verleend wordt aan medewerkers die een verklaring van geen bezwaar (VGB) van de AIVD hebben ontvangen.
5. De verantwoordelijk directeur ziet er op toe, dat voor de bescherming van de in archiefbescheiden opgenomen persoonsgegevens een passend beveiligingsniveau in acht wordt genomen conform de beveiligingseisen die de Wet bescherming persoonsgegevens(Wbp) daaraan stelt.
6. Op het informatiebeheer binnen het ministerie is het informatiebeveiligingsbeleid van toepassing. Het informatiebeveiligingsbeleid is door de secretaris-generaal vastgesteld. De archiefvormende onderdelen zijn verantwoordelijk voor het treffen van passende beveiligingsmaatregelen voor hun (bijzondere) informatie.
7. Er is sprake van een informatiebeveiligingsincident als een gebeurtenis de betrouwbaarheid van beheerde archiefbescheiden ernstig in gevaar brengt of heeft gebracht.
8. Als een medewerker een informatiebeveiligingsincident constateert dat de belangen van personen, de eigen organisatie of andere organisaties schaadt of heeft geschaad, stelt hij hiervan direct zijn leidinggevende op de hoogte en meldt dit volgens de voorgeschreven incidentenmeldingsprocedure. In geval van gerubriceerde informatie wordt ook de BVA (Beveiligingsambtenaar) hiervan verwittigd.
9. Als een noodsituatie dit vereist, zorgt de archiefbewaarder met het archiefbeherend onderdeel, in samenspraak met de secretaris-generaal, voor de onmiddellijke en vervolgens periodieke verplaatsing van archiefbescheiden naar veilige locaties. De archiefbeheerder stelt de Erfgoedinspectie hiervan zo spoedig mogelijk op de hoogte.
10. De archiefbeheerder kan overgaan tot noodvernietiging van bijzondere informatie in uitzonderlijke noodsituaties, die zijn omschreven in het informatiebeveiligingsbeleid. De archiefbeheerder meldt iedere noodvernietiging van archiefbescheiden aan de secretaris-generaal en aan de Erfgoedinspectie.