---
titel: Regeling informatiebeveiliging politie
bwb_id: BWBR0008599
type: ministeriele-regeling
status: geldend
datum_inwerkingtreding: '2012-12-13'
bron: https://wetten.overheid.nl/BWBR0008599
citeertitel: Regeling informatiebeveiliging politie
---

# Regeling informatiebeveiliging politie

### Artikel 1

In deze regeling wordt verstaan onder:

### Artikel 2

**1.** Deze regeling is van toepassing op het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.

**2.** De korpschef is verantwoordelijk voor informatiebeveiliging, hetgeen een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en de ondersteunende informatiesystemen vormt.

**3.** Bij de uitwisseling van gegevens tussen de politie en andere instanties, worden afspraken gemaakt over de betrouwbaarheid van de informatiesystemen en van de informatie daarin en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan.

### Artikel 3

**1.** De korpschef stelt het informatiebeveiligingsbeleid vast in een beleidsdocument en draagt dit beleid uit. Indien het informatiebeveiligingsbeleid mede betrekking heeft op informatiesystemen ten behoeve van de opsporing van strafbare feiten, stelt de korpschef dit beleidsdocument vast na overleg met de hoofdofficier van justitie.

**2.**

Het document omvat tenminste:

a. a.
         de strategische uitgangspunten en randvoorwaarden die de politie hanteert ten aanzien van informatiebeveiliging, met name de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid;
b. b.
         de organisatie van de beveiligingsfunctie, waaronder het toedelen van verantwoordelijkheden, taken en bevoegdheden;
c. c.
         de eenduidige en volledige indeling van informatievoorzieningsfaciliteiten in informatiesystemen en gemeenschappelijke IT-diensten en toewijzing van de verantwoordelijkheden daarvoor aan leidinggevenden;
d. d.
         de wijze waarop het beleid wordt vertaald naar concrete maatregelen en de wijze waarop deze gefinancierd worden;
e. e.
         de gemeenschappelijke betrouwbaarheidseisen en maatregelen, vastgesteld met inachtneming van de bij deze regeling gevoegde bijlage, die voor de politie van toepassing zijn;
f. f.
         de wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door politieambtenaren gemeld worden, de politieambtenaar bij wie deze inbreuken worden gemeld en de wijze waarop deze worden afgehandeld;
g. g.
         de wijze waarop en de frequentie waarmee volgens een vastgesteld schema het informatiebeveiligingsbeleid geëvalueerd wordt en de toereikendheid van het informatiebeveiligingsbeleid alsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige;
h. h.
         de wijze waarop het beveiligingsbewustzijn wordt bevorderd en
i. i.
        de te nemen maatregelen met betrekking tot de interceptiefaciliteiten binnen het korps.

### Artikel 4

De korpschef draagt er zorg voor dat voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst op systematische wijze met inachtneming van de betrouwbaarheidscriteria en -normklassen, bedoeld in bijlage I, bepaald wordt welk stelsel van maatregelen uit hoofde van informatiebeveiliging getroffen dient te worden. Deze zorgplicht houdt tenminste in dat:

a. a.
       voor elk informatiesysteem een afhankelijkheidsanalyse wordt uitgevoerd, uitmondend in de aan het informatiesysteem te stellen betrouwbaarheidseisen;
b. b.
       voor elke gemeenschappelijke IT-dienst een afhankelijkheidsanalyse wordt uitgevoerd, uitmondend in de aan die IT-dienst te stellen betrouwbaarheidseisen;
c. c.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de bedreigingen worden geïdentificeerd en geanalyseerd;
d. d.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst dusdanig maatregelen worden gekozen dat door middel van een kwetsbaarheidsanalyse aangetoond kan worden dat aan de gestelde betrouwbaarheidseisen wordt voldaan;
e. e.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst een informatiebeveiligingsplan wordt vastgesteld. Hierin is in elk geval opgenomen:
      
        
          1.
           een actieplan ter implementatie van alle beveiligingsmaatregelen;
        
        
          2.
           een calamiteitenparagraaf waarvan de effectiviteit periodiek wordt getoetst.
1. 1.
           een actieplan ter implementatie van alle beveiligingsmaatregelen;
2. 2.
           een calamiteitenparagraaf waarvan de effectiviteit periodiek wordt getoetst.

### Artikel 5

Vervallen

### Artikel 6

De korpschef draagt er zorg voor dat voor elk bedrijfsproces de maatregelen die uit hoofde van de informatiebeveiliging van toepassing zijn op de ondersteunende informatiesystemen en dat de maatregelen die van toepassing zijn op elke gemeenschappelijke IT-dienst, worden vastgelegd, geïmplementeerd of uitgedragen en dat de werking volgens een vaststaand schema wordt gecontroleerd. Deze zorgplicht houdt tenminste in dat:

a. a.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor de gebruikers worden vastgelegd en door dde korpschef worden uitgedragen;
b. b.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemexploitatie schriftelijk worden vastgelegd;
c. c.
       volgens een vastgesteld schema een onafhankelijk oordeel over de kwaliteit van de getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daarvan wordt verlangd;
d. d.
       voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemmanagement door de korpschef schriftelijk worden vastgelegd;
e. e.
       de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemverwerving worden getoetst op hun implementatie en werking.

### Artikel 6a

Vervallen

### Artikel 6b

De korpschef draagt ervoor zorg dat onbevoegde kennisneming van criminele inlichtingen en informantgegevens niet kan plaatsvinden. In dat kader ziet hij erop toe dat:

a. a.
      deze informatie niet door onbevoegden waarneembaar is;
b. b.
      deze informatie niet zonder toestemming wordt vermenigvuldigd of vernietigd dan wel uit de vertrekken, bedoeld in artikel 12 van het Besluit verplichte politiegegevens, wordt meegenomen;
c. c.
      informatiedragers op afdoende wijze vernietigd kunnen worden;
d. d.
      toegang tot geautomatiseerde registers wordt beveiligd met een gebruikersnaam en periodiek wisselende wachtwoorden;
e. e.
      bij geautomatiseerd transport van criminele inlichtingen voldoende beveiligingsmaatregelen worden getroffen;
f. f.
      bij gebruik van een netwerksysteem voldoende beveiligingsmaatregelen zijn getroffen tegen het verloren gaan van de informatie en ter voorkoming van onbevoegde bevraging.

### Artikel 6c

Deze regeling berust op artikel 23, eerste lid, onder b, van de Politiewet 2012.

### Artikel 7

Deze regeling treedt in werking op 1 april 1997.

### Artikel 8

Deze regeling wordt aangehaald als Regeling informatiebeveiliging politie.

Deze regeling zal met de toelichting en de bijbehorende bijlage in de Staatscourant en het Algemeen Politieblad worden geplaatst.

## Bijlage I. Betrouwbaarheidscriteria en -normklassen

De in deze bijlage beschreven verzameling van betrouwbaarheidscriteria is niet volledig en vaststaand. Zoals elke taal is ook de ’informatiebeveiligingstaal’ in ontwikkeling. Op basis van ervaringen met het toepassen van de betrouwbaarheidscriteria en van de normklassen zullen aanpassingen en uitbreidingen van de verzameling van criteria en invullingen van de normklassen kunnen worden verwacht.

## Bijlage II. Normstelling inrichting interceptiefaciliteiten

Vervallen