From 43507b4ac265eda8745c77c8da328d5470cea4c1 Mon Sep 17 00:00:00 2001
From: Coornhert <coornhert@wetgit.nl>
Date: Wed, 13 Dec 2006 12:00:00 +0000
Subject: [PATCH] 2006-12-13 | BWBR0015047 | Besluit elektronische
 handtekeningen

---
 .../BWBR0015047/README.md                     | 80 ++++++++++++++++++-
 1 file changed, 77 insertions(+), 3 deletions(-)

diff --git a/amvb/besluit-elektronische-handtekeningen/BWBR0015047/README.md b/amvb/besluit-elektronische-handtekeningen/BWBR0015047/README.md
index 0e77ec73de3..2f4a0e19db0 100644
--- a/amvb/besluit-elektronische-handtekeningen/BWBR0015047/README.md
+++ b/amvb/besluit-elektronische-handtekeningen/BWBR0015047/README.md
@@ -3,7 +3,7 @@ titel: Besluit elektronische handtekeningen
 bwb_id: BWBR0015047
 type: AMvB
 status: geldend
-datum_inwerkingtreding: '2003-05-21'
+datum_inwerkingtreding: '2006-12-11'
 bron: https://wetten.overheid.nl/BWBR0015047
 citeertitel: Besluit elektronische handtekeningen
 ---
@@ -77,11 +77,79 @@ h. de elektronische handtekening van de afgevende certificatiedienstverlener die
 i. eventuele beperkingen betreffende het gebruik van het gekwalificeerde certificaat, en
 j. eventuele grenzen met betrekking tot de waarde van de transacties waarvoor het gekwalificeerde certificaat kan worden gebruikt.
 
+### Artikel 3a
+
+**1.**
+
+Een organisatie die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.16 van de wet dient daartoe een aanvraag in en voldoet aan de volgende eisen:
+
+a. de organisatie heeft voldoende gekwalificeerd personeel in dienst dat als auditor kan worden ingezet om een conformiteitsbeoordeling uit te voeren van een certificatiedienstverlener;
+b. de reglementen van de organisatie bieden voldoende waarborgen dat een overeenkomstig deze reglementen door de aangewezen organisatie beoordeelde certificatiedienstverlener voldoet aan artikel 18.15, eerste lid, van de wet en dat de door een zodanige certificatiedienstverlener aan het publiek aangeboden of afgegeven gekwalificeerde certificaten voldoen aan artikel 18.15, tweede lid, van de wet;
+c. de organisatie hanteert voorwaarden die objectief, transparant, evenredig en niet-discriminerend zijn;
+d. de organisatie is geaccrediteerd op basis van de norm EN 45011 of EN 45012 of een gelijkwaardige norm, welke accreditatie het vakgebied «gekwalificeerde certificaten’ dient te omvatten, door een instantie die aantoonbaar voldoet aan de norm EN 45010 of een gelijkwaardige norm.
+
+**2.** Bij ministeriële regeling worden regels gesteld met betrekking tot de wijze waarop en bij wie een aanvraag tot aanwijzing als organisatie als bedoeld in artikel 18.16 van de wet wordt ingediend, de informatie die daarbij wordt overgelegd, en het verlenen van medewerking terzake van een ingediende aanvraag.
+
+**3.** Aan een aanwijzing kunnen voorschriften worden verbonden die betrekking kunnen hebben op de duur van de aanwijzing, de kwaliteit van de organisatie en het verstrekken van informatie.
+
+**4.** Bij ministeriële regeling kunnen regels worden gesteld met betrekking tot het verstrekken van informatie in verband met door een aangewezen organisatie afgegeven bewijzen van toetsing bedoeld in artikel 18.16, eerste lid, van de wet alsmede omtrent de medewerking die door een aangewezen organisatie wordt verleend met het oog op het voldoen door die organisatie aan de aan haar gestelde eisen.
+
+### Artikel 3b
+
+**1.**
+
+Het personeel dat door de organisatie als auditor wordt ingezet om een conformiteitsbeoordeling uit te voeren van een certificatiedienstverlener:
+
+a. heeft een opleiding op minimaal HBO-niveau dan wel een daaraan gelijkwaardige aanmerkelijke ervaring en aanvullende beroepsopleiding en -training;
+b. beschikt over een equivalent van ten minste vier jaar voltijds praktijkervaring met betrekking tot informatietechnologie, waarvan tenminste twee jaar in een functie met betrekking tot Public Key Infrastructure en informatiebeveiliging;
+c. heeft voldoende begrip van de technische specificatie ETSI TS 101 456 of een daarmee gelijkwaardige technische specificatie;
+d. heeft voldoende begrip van de concepten van managementsystemen in het algemeen;
+e. heeft voldoende begrip van onderwerpen die zijn gerelateerd aan Public Key Infrastructure, management van informatiebeveiliging en organisatorische betrouwbaarheid;
+f. heeft voldoende kennis van de principes en processen gerelateerd aan risicobeoordeling en risicomanagement;
+g. heeft een training van ten minste 5 dagen afgerond over het beoordelen van managementsystemen en het management van beoordelingsprocessen;
+h. beschikt over de volgende persoonlijke eigenschappen: integer, onbevooroordeeld, volwassen houding, onderscheidingsvermogen, analytisch, vasthoudend en realistisch;
+i. kan complexe operaties in een breed perspectief plaatsen en de rol van individuele eenheden in grote organisaties begrijpen;
+j. heeft kennis en eigenschappen om beoordelingsprocessen te managen;
+k. zorgt ervoor dat de eigen kennis en vaardigheden op het gebied van Public Key Infrastructure, management van informatiebeveiliging en beoordeling van managementsystemen voortdurend op peil worden gehouden;
+l. heeft voorafgaand aan zelfstandig optreden als auditor ervaring opgedaan in het hele proces van beoordeling van certificatiedienstverleners, welke ervaring is verkregen door onder supervisie van een ervaren auditor deel te nemen aan minimaal vier beoordelingen bestaande uit totaal ten minste 20 dagen, hierbij inbegrepen toetsing van documentatie, implementatiebeoordeling en opstelling beoordelingsrapport.
+
+**2.**
+
+In aanvulling op de eisen, genoemd in het eerste lid, voldoet een auditor die als leider van een auditteam optreedt, aan de volgende eisen:
+
+a. hij heeft opgetreden als een gekwalificeerd auditor in ten minste drie complete beoordelingen van certificatiedienstverleners;
+b. hij beschikt over adequate kennis en eigenschappen om het beoordelingsproces te managen;
+c. hij kan effectief communiceren, zowel mondeling als schriftelijk.
+
+**3.**
+
+Een beoordelingsteam als geheel voldoet aan de volgende eisen:
+
+a. in elk van de volgende kennisgebieden is tenminste één auditor binnen het beoordelingsteam gekwalificeerd om de verantwoordelijkheid te dragen voor:
+
+1°. de benodigde kennis van de regelgeving waaraan op het terrein van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;
+2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;
+3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden en
+4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid;
+b. het beoordelingsteam is competent om indicaties van kwetsbaarheden in de certificatiedienstverlening terug te leiden naar de desbetreffende elementen van het managementsysteem van de certificatiedienstverlener opdat deze verbeterd kunnen worden.
+
+**4.** Om er voor te zorgen dat het beoordelingsteam alle noodzakelijke expertise tot zijn beschikking heeft, mogen technisch deskundigen met specifieke kennis over de onderwerpen, genoemd in het derde lid, onder a, 1° tot en met 4°, worden ingeschakeld om het beoordelingsteam te assisteren, ook al voldoen zij niet aan alle criteria voor een individuele auditor.
+
+**5.** De technisch deskundigen, bedoeld in het vierde lid, zijn te allen tijde verantwoording schuldig aan de leider van het auditteam en functioneren niet onafhankelijk van de auditors in het team die wel gekwalificeerd zijn als auditor.
+
 ### Artikel 4
 
 **1.**
 
-De instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17, tweede lid, van de wet, dient daartoe een aanvraag in en voldoet aan de volgende eisen:
+Een instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17a, eerste lid, van de wet dient daartoe een aanvraag in en voldoet aan de volgende eisen:
+
+a. zij hanteert een toetsingskader dat waarborgt dat de beoordeelde veilige middelen voor het aanmaken van elektronische handtekeningen voldoen aan de wettelijke eisen;
+b. zij is op basis van norm EN 45011 geaccrediteerd, welke accreditatie het vakgebied veilige middelen voor het aanmaken van elektronische handtekeningen omvat, door een instantie die aantoonbaar voldoet aan de norm EN 45010 of een gelijkwaardige norm;
+c. zij maakt gebruik van testlaboratoria die voldoen aan norm ISO/IEC 17025 voor het testen van veilige middelen voor het aanmaken van elektronische handtekeningen volgens norm ISO/IEC 15408.
+
+**2.**
+
+De instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17a, eerste lid, van de wet voldoet, onverminderd het eerste lid, aan de volgende eisen:
 
 a. zij houdt zich niet bezig met activiteiten die een bedreiging kunnen vormen voor de onafhankelijkheid van haar oordeel en de integriteit bij de uitoefening van haar taak;
 b. 1°. zij is onafhankelijk van organisaties die betrokken zijn bij het ontwerpen, de fabricage, de verkoop en de levering, de installatie, het onderhoud of het beheer van veilige middelen, alsmede van certificatiedienstverleners en de gebruikers voor zover zij zich bedienen van veilige middelen voor het aanmaken van elektronische handtekeningen;
@@ -103,7 +171,13 @@ h. zij houdt voldoende financiële middelen ter beschikking om in overeenstemmin
 i. zij behandelt de gegevens die haar ter kennis komen vertrouwelijk, en
 j. zij staat in voor de overeengekomen activiteiten van de instellingen door welke zij een deel van de overeenstemmingbeoordeling laat uitvoeren en kan aantonen dat deze instelling in staat is de betrokken dienst te verlenen.
 
-**2.** De instelling die deel uitmaakt van een organisatie die zich bezighoudt met andere activiteiten dan de beoordeling van de overeenstemming van veilige middelen voor het aanmaken van elektronische handtekeningen met de eisen van artikel 5, is binnen die organisatie herkenbaar als aangewezen instelling als bedoeld in artikel 18.17 van de wet, en scheidt haar werkzaamheden zodanig van de andere activiteiten, dat daardoor de correcte beoordeling van overeenstemming van veilige middelen is gewaarborgd.
+**3.** De instelling die deel uitmaakt van een organisatie die zich bezighoudt met andere activiteiten dan de beoordeling van de overeenstemming van veilige middelen voor het aanmaken van elektronische handtekeningen met de eisen van artikel 5, is binnen die organisatie herkenbaar als aangewezen instelling als bedoeld in artikel 18.17a, eerste lid, van de wet, en scheidt haar werkzaamheden zodanig van de andere activiteiten, dat daardoor de correcte beoordeling van overeenstemming van veilige middelen is gewaarborgd.
+
+**4.** Bij ministeriële regeling worden regels gesteld met betrekking tot de wijze waarop en bij wie een aanvraag tot aanwijzing als instelling als bedoeld in artikel 18.17a, eerste lid, van de wet geschiedt, de informatie die daarbij wordt overgelegd en het verlenen van medewerking terzake van een ingediende aanvraag.
+
+**5.** Aan een aanwijzing kunnen voorschriften worden verbonden die betrekking hebben op de duur van de aanwijzing, de kwaliteit van de organisatie en het verstrekken van informatie.
+
+**6.** Bij ministeriële regeling kunnen regels worden gesteld met betrekking tot het verstrekken van informatie in verband met door een aangewezen instelling afgegeven verklaringen bedoeld in artikel 18.17a, eerste lid, van de wet alsmede omtrent de medewerking die door een aangewezen instelling wordt verleend met het oog op het voldoen door die instelling aan de aan haar gestelde eisen.
 
 ### Artikel 5