Besluit:
Een aanvraag voor een certificaat als bedoeld in artikel 11, derde lid, van Verordening (EU) nr. 2019/788 van het Europees parlement en de Raad van 17 april 2019 over het burgerinitiatief (PbEU 2019, L 130/55) wordt gedaan door het verstrekken van het volledig ingevulde aanvraagformulier, bedoeld in bijlage 1, bij deze regeling en wordt vergezeld door een volledig ingevulde vragenlijst, bedoeld in bijlage 2, bij deze regeling.
Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.
Deze regeling wordt aangehaald als: Uitvoeringsregeling verordening Europees burgerinitiatief.
Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.
Europees burgerinitiatief:
Contactpersoon:
Datum ingevuld:
Als u online steunbetuigingen wilt verzamelen voor uw Europees burgerinitiatief, maakt u waarschijnlijk gebruik van een online systeem. Een systeem voor het online verzamelen van steunbetuigingen als bedoeld in Verordening (EU) nr. 2019/788 is een informatiesysteem bestaande uit software, hardware, een hostingomgeving, bedrijfsprocessen en personeel, dat bestemd is voor het online verzamelen van steunbetuigingen. In de Uitvoeringsverordening nr. 2019/1799 van de Europese Commissie staan de technische eisen (specificaties) die gedurende de hele verzamelperiode gesteld worden aan het onlinesysteem. Als u bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties een aanvraag doet tot certificering van uw online verzamelsysteem, moet u bij het aanvraagformulier deze vragenlijst volledig ingevuld en voorzien van de gevraagde documentatie aanleveren.
Hieronder staan in de tabel in de eerste twee kolommen steeds de specificaties uit deze verordening.
U wordt verzocht in de derde kolom aan te geven hoe de specificaties zijn geïmplementeerd/uitgewerkt voor wat betreft uw online verzamelsysteem.
Gebruikt u de software van de Europese Commissie (OCS), dan zult u zien dat u diverse vragen kunt overslaan.
Voor alle vragen die u moet invullen geldt dat, indien van toepassing en mogelijk, u het antwoord moet onderbouwen met documentatie.
Gelieve de mee te sturen documentatie te rubriceren met het nummer van de technische specificatie waar deze betrekking op heeft.
|
1 |
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER A), VAN VERORDENING (EU) 2019/788 |
Niet invullen s.v.p. |
|
Het systeem voert technische maatregelen uit om te waarborgen dat alleen natuurlijke personen een steunbetuiging kunnen indienen. De technische maatregelen vereisen niet dat meer persoonsgegevens worden verzameld en opgeslagen dan de gegevens die zijn vermeld in bijlage III bij Verordening (EU) 2019/788. |
Alleen beantwoorden als u i.p.v. OCS een andere applicatie gebruikt. Welk verificatieproces wordt toegepast om vast te stellen dat de indiener van een steunbetuiging een natuurlijk persoon is (b.v. gebruik ‘Captcha’ systeem)? Functionele beschrijving en schermprint s.v.p. meesturen. Welke gegevens van een natuurlijk persoon worden vastgelegd? S.v.p. het database ontwerp meesturen. |
|
|
2 |
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER B), VAN VERORDENING (EU) 2019/788 |
|
|
De organisatoren voorzien in passende en doeltreffende technische en organisatorische maatregelen voor beheersing van de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken, teneinde te waarborgen dat de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt en online aan het publiek wordt gepresenteerd, overeenstemt met de informatie over het initiatief die is bekendgemaakt in het register bedoeld in artikel 6, lid 5, van Verordening (EU) 2019/788. De organisatoren waarborgen dat: |
Niet invullen s.v.p. |
|
|
2 a |
a) de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt, overeenstemt met de in het register bekendgemaakte informatie; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
2 b |
b) het systeem de in het register bekendgemaakte informatie over het initiatief presenteert voordat de burger de steunbetuiging indient; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
2 c |
c) er beveiligingsmaatregelen zijn getroffen die waarborgen dat de gegevensinvoervelden in de steunbetuigingen samen met de informatie over het initiatief worden gepresenteerd, ter voorkoming van het risico dat steunbetuigingen voor een ander initiatief worden ingediend doordat een verkeerde voorstelling wordt gegeven van het initiatief; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
2 d |
d) het systeem ervoor zorgt dat na de indiening de gegevens in de steunbetuigingen worden opgeslagen samen met de informatie over het initiatief; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
2e |
e) er beveiligingsmaatregelen zijn getroffen om te voorkomen dat ongeoorloofde wijzigingen kunnen worden aangebracht in de informatie over het initiatief die in het online verzamelsysteem wordt verstrekt. |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
3 |
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER C), VAN VERORDENING (EU) 2019/788 |
Niet invullen s.v.p. |
|
Het systeem waarborgt dat de steunbetuigingen worden ingediend overeenkomstig de gegevensvelden in bijlage III bij Verordening (EU) 2019/788. |
S.v.p. het database ontwerp toesturen. |
|
|
Het systeem waarborgt dat een persoon alleen een steunbetuiging kan indienen nadat hij heeft bevestigd dat hij de privacyverklaring van bijlage III bij Verordening (EU) 2019/788 heeft gelezen. |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten en/of schermprint waaruit dit blijkt s.v.p. meezenden. |
|
|
4 |
TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER D), VAN VERORDENING (EU) 2019/788 |
Niet invullen s.v.p. |
|
4.1 |
Governance |
|
|
4.1.1. |
De groep organisatoren wijst een beveiligingsfunctionaris aan, die verantwoordelijk is voor de beveiliging van het systeem en de beveiligde doorgifte van de verzamelde steunbetuigingen aan de bevoegde instantie van de verantwoordelijke lidstaat. De beveiligingsfunctionaris ziet toe op de informatieborgingsprocessen en de technische en organisatorische beveiligingsmaatregelen die waarborgen dat de door de ondertekenaars verstrekte gegevens beveiligd worden verzameld, opgeslagen en doorgegeven. |
S.v.p. documentatie meezenden waaruit blijkt wie aangewezen is als beveiligingsfunctionaris en waaruit zijn/haar taken bestaan. |
|
4.1.2. |
De organisatoren kunnen de in artikel 11, lid 3, van Verordening (EU) 2019/788 bedoelde nationale bevoegde instantie verzoeken de toepasselijke beveiligingsvoorschriften en -vereisten voor de certificering van individuele online verzamelsystemen te verstrekken. De bevoegde instantie verstrekt de beveiligingsvoorschriften en -vereisten in de regel binnen een maand na de ontvangst van het verzoek. De toepasselijke beveiligingsvoorschriften en -vereisten moeten in overeenstemming zijn met de gepaste bestaande nationale of internationale beveiligingsnormen. |
Niet invullen s.v.p. |
|
4.1.3. |
De beveiligingsvoorschriften en -vereisten voor de certificering van het systeem moeten betrekking hebben op de in punt 4.2 omschreven risico’s en de specificaties in punt 4.3 in acht nemen. |
Niet invullen s.v.p. |
|
4.2. |
Informatieborging |
|
|
4.2.1. |
De organisatoren maken gebruik van risicobeheersingsprocessen om de risico’s in kaart te brengen die verbonden zijn aan het gebruik van hun systemen, onder meer wat de rechten en vrijheden van ondertekenaars betreft, en om vast te stellen welke passende en evenredige maatregelen moeten worden getroffen om de gevolgen te voorkomen en te mitigeren van incidenten die de beveiliging aantasten van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken. Het risicobeheersingsproces richt zich met name op de risico’s die verband houden met de vertrouwelijkheid en integriteit van de informatie in het systeem. Deze risico’s kunnen het gevolg zijn van bedreigingen, en houden onder meer in: a) gebruikersfouten; b) fouten van de systeembeheerder/ beveiligingsbeheerder; c) configuratiefouten; d) malwarebesmetting; e) onopzettelijke wijziging van informatie; f) openbaarmaking van informatie of informatielekken; g) kwetsbaarheden in de software; h) ongeoorloofde toegang; i) onderscheppen of afluisteren van verkeer; j) risico’s in verband met gegevensbescherming. |
Niet invullen s.v.p. Zie vragen bij onderdeel 4.2.2. |
|
4.2.2. |
De organisatoren verstrekken documentatie waaruit blijkt dat zij: |
|
|
a) de risico’s van het systeem hebben beoordeeld; |
Toelichting: een specifieke methodiek van risicobeoordeling is aanbevolen, maar niet verplicht. Is er een uitgebreide risico beoordeling uitgevoerd met aandacht voor de genoemde onderwerpen? Hier s.v.p. aangeven op welke wijze en/of volgens welke methodiek deze risicobeoordeling is uitgevoerd. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
b) passende maatregelen hebben vastgesteld om de gevolgen van incidenten die de beveiliging van het systeem aantasten, te voorkomen en te mitigeren; |
Zijn deze maatregelen vastgesteld? Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
c) de restrisico’s hebben vastgesteld; |
Zijn restrisico's bepaald en schriftelijk vastgelegd? Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
d) de maatregelen hebben uitgevoerd en de uitvoering ervan hebben geverifieerd; |
Zijn deze maatregelen uitgevoerd? Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
e) hebben voorzien in de organisatorische middelen om informatie te ontvangen over nieuwe bedreigingen en verbeteringen van de beveiliging; |
Op welke wijze is hierin voorzien? Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
f) gedurende het hele verzamelproces voldoen aan de certificeringsvoorschriften van artikel 11, lid 4, van Verordening (EU) 2019/788, en tevens hebben voorzien in de noodzakelijke processen om dit te waarborgen. |
Op welke wijze is hierin voorzien en welke processen zijn ingericht om dit te waarborgen? Documenten waaruit dit blijkt s.v.p. meezenden |
|
|
4.2.3. |
De maatregelen om de gevolgen van incidenten die de beveiliging van de systemen aantasten, te voorkomen en te mitigeren, hebben betrekking op de volgende gebieden: |
Hier s.v.p. aangeven welk normenkader is gebruikt. |
|
a) beveiliging van het personeel; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
b) toegangscontrole; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
c) cryptografische controles; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
d) fysieke en omgevingsbeveiliging; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
e) operationele beveiliging; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
f) communicatiebeveiliging; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
g) aankoop, ontwikkeling en onderhoud van systemen; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
h) beheer van incidenten op het gebied van informatiebeveiliging; |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
i) naleving. |
Hier s.v.p. aangeven welke maatregelen zijn genomen om aan dit punt te voldoen. Documenten waaruit dit blijkt s.v.p. meezenden. |
|
|
De toepassing van deze beveiligingsmaatregelen kan worden beperkt tot slechts die onderdelen van de organisatie die relevant zijn voor het online verzamelsysteem. De beveiliging van het personeel kan bijvoorbeeld worden beperkt tot personeelsleden die fysieke of logische toegang hebben tot het systeem, en de fysieke en omgevingsbeveiliging kan worden beperkt tot het gebouw of de gebouwen waarin het systeem zich bevindt. |
Niet invullen s.v.p. |
|
|
4.2.4. |
Wanneer organisatoren gebruikmaken van een verwerker voor de ontwikkeling of de ingebruikneming van de online verzamelsystemen of delen daarvan, verstrekken de organisatoren documentatie om de certificeringsautoriteit in staat te stellen zich ervan te vergewissen dat de noodzakelijke beveiligingscontroles zijn uitgevoerd. |
Indien van toepassing s.v.p. documenten toezenden waaruit blijkt dat de noodzakelijke beveiligingscontroles bij de verwerker zijn uitgevoerd. |
|
4.3. |
Versleuteling van gegevens |
|
|
Het systeem voorziet als volgt in de versleuteling van de gegevens: |
Hierna alleen beantwoorden als u i.p.v. OCS een andere applicatie gebruikt. U dient van de punten a t/m c hierna aan te geven welke maatregelen u getroffen heeft om te waarborgen dat aan de genoemde punten voldaan wordt. Documenten waaruit dit blijkt s.v.p. meezenden |
|
|
a) persoonsgegevens in elektronische vorm worden versleuteld alvorens te worden opgeslagen of doorgegeven aan de bevoegde instanties van de lidstaten overeenkomstig Verordening (EU) 2019/788; het beheer en de back-up van de sleutels geschiedt afzonderlijk; |
||
|
b) er worden in overeenstemming met de internationale normen (zoals de ETSI-norm) passende standaardalgoritmen en passende sleutels gebruikt. Er wordt een sleutelbeheer gevoerd; |
||
|
c) alle sleutels en wachtwoorden worden beschermd tegen ongeoorloofde toegang. |
