BWBR0044008
Geldig vanaf 2020-08-19
Artikel 27
Beheersregeling Archiefbeheer AZ 2020
1. Het Voorschrift Informatiebeveiliging Rijksdienst 2007(VIR 2007), het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie 2013(VIR-BI 2013)en de Baseline Informatiebeveiliging Overheid(BIO)vormen de kaders voor de beveiliging van het informatiebeheer. Deze kaders gelden ook wanneer sprake is van (digitaal) kopiëren of anderszins reproduceren van bijzondere informatie.
2. Conform het VIRen VIRBIdraagt het lijnmanagement zorg voor een adequate informatiebeveiliging, geadviseerd en bijgestaan door de CISO. Dit behelst het waarborgen van de betrouwbaarheid van de beheerde informatie. Informatiebeveiliging omvat mede de nodige procedurele en technische voorzieningen voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van archiefbescheiden die daarvoor gezien hun aard en status niet in aanmerking komen.
3. De door de secretaris-generaal aangewezen functionaris die de rubricering van een document aanbrengt, is tevens bevoegd de rubricering te herzien of te beëindigen (derubriceren).
4. Alleen geautoriseerde personen kunnen (gerubriceerde) documenten openen, registreren, behandelen, aanmaken, wijzigen, verzenden en archiveren, raadplegen en/of vernietigen. De medewerkers van het archiefbeherend onderdeel zijn namens de secretaris-generaal gemachtigd voor toegang tot archiefbestanddelen en voor beheersactiviteiten. Voor staatsgeheim gerubriceerde archiefbescheiden geldt, dat toegang alleen verleend wordt aan medewerkers die een verklaring van geen bezwaar (VGB) op A-niveau van de AIVD hebben ontvangen. Voor alle vormen van toegang geldt dat deze worden afgegeven op basis van het ‘need to know’ principe.
5. Het verantwoordelijk diensthoofd van het archiefvormend onderdeel ziet er op toe, dat voor de bescherming van de in archiefbescheiden opgenomen persoonsgegevens alleen die gegevens zijn opgenomen met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het verantwoordelijk diensthoofd ziet er op toe dat het beveiligingsniveau t.a.v. deze gegevens conform de eisen die de Algemene Verordening Gegevens-bescherming(AVG) daaraan stelt is geïmplementeerd.
6. Op het informatiebeheer binnen het ministerie is het informatiebeveiligingsbeleid van toepassing. Het informatiebeveiligingsbeleid is door de secretaris-generaal vastgesteld. De archiefvormende onderdelen zijn verantwoordelijk voor het treffen van passende beveiligingsmaatregelen voor hun (bijzondere) informatie.
7. Er is sprake van een informatiebeveiligingsincident als een gebeurtenis de betrouwbaarheid van beheerde archiefbescheiden ernstig in gevaar brengt of heeft gebracht.
8. Als een medewerker een informatiebeveiligingsincident constateert dat de belangen van personen, de eigen organisatie of andere organisaties schaadt of heeft geschaad, stelt hij hiervan direct zijn leidinggevende op de hoogte en meldt dit volgens de voorgeschreven incidentenmeldingsprocedure. In geval van gerubriceerde informatie wordt dit meteen aan de CISO gemeld.
9. Als een noodsituatie dit vereist zorgt de archiefbeheerder met het archiefbeherend onderdeel, in samenspraak met de secretaris-generaal, voor de onmiddellijke en vervolgens periodieke overbrenging van archiefbescheiden naar veilige locaties. De archiefbeheerder stelt de Inspectie Overheidsinformatie en Erfgoed hiervan zo spoedig mogelijk op de hoogte.
10. De secretaris-generaal kan overgaan tot noodvernietiging van bijzondere informatie in uitzonderlijke noodsituaties, die zijn omschreven in het informatiebeveiligingsbeleid. De archiefbeheerder meldt iedere noodvernietiging van archiefbescheiden aan de Inspectie Overheidsinformatie en Erfgoed.
2. Conform het VIRen VIRBIdraagt het lijnmanagement zorg voor een adequate informatiebeveiliging, geadviseerd en bijgestaan door de CISO. Dit behelst het waarborgen van de betrouwbaarheid van de beheerde informatie. Informatiebeveiliging omvat mede de nodige procedurele en technische voorzieningen voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van archiefbescheiden die daarvoor gezien hun aard en status niet in aanmerking komen.
3. De door de secretaris-generaal aangewezen functionaris die de rubricering van een document aanbrengt, is tevens bevoegd de rubricering te herzien of te beëindigen (derubriceren).
4. Alleen geautoriseerde personen kunnen (gerubriceerde) documenten openen, registreren, behandelen, aanmaken, wijzigen, verzenden en archiveren, raadplegen en/of vernietigen. De medewerkers van het archiefbeherend onderdeel zijn namens de secretaris-generaal gemachtigd voor toegang tot archiefbestanddelen en voor beheersactiviteiten. Voor staatsgeheim gerubriceerde archiefbescheiden geldt, dat toegang alleen verleend wordt aan medewerkers die een verklaring van geen bezwaar (VGB) op A-niveau van de AIVD hebben ontvangen. Voor alle vormen van toegang geldt dat deze worden afgegeven op basis van het ‘need to know’ principe.
5. Het verantwoordelijk diensthoofd van het archiefvormend onderdeel ziet er op toe, dat voor de bescherming van de in archiefbescheiden opgenomen persoonsgegevens alleen die gegevens zijn opgenomen met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het verantwoordelijk diensthoofd ziet er op toe dat het beveiligingsniveau t.a.v. deze gegevens conform de eisen die de Algemene Verordening Gegevens-bescherming(AVG) daaraan stelt is geïmplementeerd.
6. Op het informatiebeheer binnen het ministerie is het informatiebeveiligingsbeleid van toepassing. Het informatiebeveiligingsbeleid is door de secretaris-generaal vastgesteld. De archiefvormende onderdelen zijn verantwoordelijk voor het treffen van passende beveiligingsmaatregelen voor hun (bijzondere) informatie.
7. Er is sprake van een informatiebeveiligingsincident als een gebeurtenis de betrouwbaarheid van beheerde archiefbescheiden ernstig in gevaar brengt of heeft gebracht.
8. Als een medewerker een informatiebeveiligingsincident constateert dat de belangen van personen, de eigen organisatie of andere organisaties schaadt of heeft geschaad, stelt hij hiervan direct zijn leidinggevende op de hoogte en meldt dit volgens de voorgeschreven incidentenmeldingsprocedure. In geval van gerubriceerde informatie wordt dit meteen aan de CISO gemeld.
9. Als een noodsituatie dit vereist zorgt de archiefbeheerder met het archiefbeherend onderdeel, in samenspraak met de secretaris-generaal, voor de onmiddellijke en vervolgens periodieke overbrenging van archiefbescheiden naar veilige locaties. De archiefbeheerder stelt de Inspectie Overheidsinformatie en Erfgoed hiervan zo spoedig mogelijk op de hoogte.
10. De secretaris-generaal kan overgaan tot noodvernietiging van bijzondere informatie in uitzonderlijke noodsituaties, die zijn omschreven in het informatiebeveiligingsbeleid. De archiefbeheerder meldt iedere noodvernietiging van archiefbescheiden aan de Inspectie Overheidsinformatie en Erfgoed.