RAAD VAN DE EUROPESE UNIE
Brussel, 5 januari 2011 (11.01) (OR. en)
18161/10
SCH-EVAL 158 SIRIS 181 COMIX 837 NOTA van: aan: nr. vorig doc.:
Betreft:
het voorzitterschap de Groep Schengenaangelegenheden (Schengenevaluatie) 16613/3/08 REV 3 SCHEVAL 105 SIRIS 878 COMIX 172 14095/2/10 REV 2 SIRIS 136 SCHENGEN 104 COMIX 610 9966/10 JAI 448 SIRIS 84 ENFOPOL 142 JUSTCIV 102 COMIX 376 18210/10 SIRIS 183 ENFOPOL 377 COMIX 841 Herziene versie van de geactualiseerde catalogus van aanbevelingen voor de juiste toepassing van het Schengenacquis en van beste praktijken (Schengeninformatiesysteem), waarin de door de Groep Schengenaangelegenheden (SIS/SIRENE) voorgestelde amendementen zijn geïntegreerd
Hierbij gaat voor de delegaties een nieuwe versie van de geactualiseerde catalogus van aanbevelingen voor de juiste toepassing van het Schengenacquis en van beste praktijken (Schengeninformatiesysteem).
In deze herziene versie is een nieuw punt 2.4. (SIRENE-contactpersoon (SIRCoP)) geïntegreerd (zie doc. 12810/10 SIRIS 183 ENFOPOL 377 COMIX 841), en zij bevat wijzigingen aan punt 4.2. Uitwisseling van formulieren en andere vormen van communicatie, in het licht van de Raadsconclusies over overeengekomen praktijken voor SIRENE-bureaus in gevallen van aan groot risico blootgestelde vermiste personen (zie doc. 9966/10 JAI 448 SIRIS 84 ENFOPOL 142 JUSTCIV 102 COMIX 376).
De Groep Schengenaangelegenheden (Schengenevaluatie) heeft deze wijzigingen op 9 december 2010 aanvaard.
18161/10
kei/JEL/dm DG H
1
NL
2009 SCHENGENCATALOGUS AANBEVELINGEN EN BESTE PRAKTIJKEN
SIS
18161/10
kei/JEL/dm DG H
2
NL
INHOUD INLEIDING ........................................................................................................................5 DEEL III: HET SCHENGENINFORMATIESYSTEEM en SIRENE................................................8 NADERE OMSCHRIJVING VAN DE AANBEVELINGEN EN BESTE PRAKTIJKEN......8 1. Nationaal SIS-gedeelte................................................................................................................9 1.1 Systemen en organisatie ....................................................................................................9 1.2. Communicatie-infrastructuur ............................................................................................9 2. SIRENE ........................................................................................................................9 2.1. Nationale structuur ............................................................................................................9 2.2. Organisatie en systeem ....................................................................................................10 2.3. Aanwerving en opleiding ................................................................................................11 2.4. SIRENE-contactpersonen (SIRCoP) ...............................................................................12 3. Eindgebruikers ......................................................................................................................13 3.1. Bevraging en gebruikersinterface....................................................................................13 3.2. Opleiding ......................................................................................................................14 4. Behandeling van de gegevens...................................................................................................15 4.1. Invoeren, wijzigen en wissen van signaleringen .............................................................15 4.2. Uitwisselen van formulieren en andere vormen van communicatie ...............................16 4.3. Follow-up van treffers .....................................................................................................19 4.4. Maatregelen inzake kwaliteit van gegevens ....................................................................21 5. Beveiliging ......................................................................................................................22 5.1. Planning van werkzaamheden in verband met gegevensbeveiliging ..............................22 5.2. Organisatie van de beveiliging en controle van de bedrijfsmiddelen..............................23 5.3. Personele beveiliging.......................................................................................................23 5.4. Fysieke beveiliging..........................................................................................................24 5.5. Beveiliging van apparatuur..............................................................................................25 5.5.1. Apparatuur voor verwerking van SIS-gegevens ....................................................26 5.5.2. Terminals en PC-werkstations ...............................................................................27 5.6. Beheer van communicatie- en bedieningsprocedures .....................................................27 5.6.1. Bedieningsprocedures en verantwoordelijkheden .................................................27 5.6.2. Procedures voor incidentbeheer .............................................................................28 5.6.3. Bescherming tegen schadelijke software ...............................................................28 5.6.4. Back-ups ................................................................................................................29 5.6.5. Netwerkbeheer .......................................................................................................29 5.6.6. Behandeling van gegevensdragers .........................................................................29 5.7. Toegangscontrole van gebruikers....................................................................................30 5.8. Toezicht op toegang tot en gebruik van het systeem.......................................................31 5.9. Ontwikkeling en onderhoud ............................................................................................31 5.10. Noodplanning ..................................................................................................................32 5.11. Controle ......................................................................................................................33
18161/10
kei/JEL/dm DG H
3
NL
Voorwoord door het Tsjechische voorzitterschap Op 17 juli 2008 heeft de Groep Schengenevaluatie besloten over te gaan tot hernieuwing en actualisering van de Schengencatalogi van aanbevelingen voor de juiste toepassing van het Schengenacquis en van beste praktijken aangezien het nodig was deze aan te passen aan de ontwikkelingen die zich sinds het verschijnen van de eerste Schengencatalogi op wetgevings-, organisatorisch en technisch gebied op de door deze catalogi bestreken terreinen hebben voorgedaan. De werkzaamheden aan de geactualiseerde versie van de catalogus betreffende het Schengeninformatiesysteem en SIRENE zijn begonnen tijdens het Franse voorzitterschap en tijdens het Tsjechische voorzitterschap afgerond. Hiertoe was er een groep deskundigen onder Italiaans voorzitterschap ingesteld, waaraan werd deelgenomen door de Europese Commissie, Oostenrijk, Tsjechië, Frankrijk, Duitsland, Hongarije, Nederland, Portugal, Polen, Slovenië en Zwitserland. Het Tsjechische voorzitterschap zou de deskundigen ten zeerste willen bedanken voor hun professionele inzet bij het actualiseren van de catalogus. In de nieuwe versie van de catalogus is rekening gehouden met alle ontwikkelingen op het gebied van SIS en SIRENE, waaronder de recente initiatieven om deze cruciale instrumenten meer te gaan inzetten bij personencontrole aan de buitengrenzen en bij de bevordering van veiligheid en recht in het Schengengebied. Met de ervaring die is opgedaan bij de evaluatie van tien nieuwe lidstaten die op het SIS zijn aangesloten en het Schengenacquis volledig toepassen, is volledig rekening gehouden, evenals met de resultaten van de regelmatige studiebijeenkomsten van de operatoren van SIRENE en de conferenties van de hoofden van SIRENE. Zodra de nieuwe versie van het SIS is ingevoerd dient er een nieuwe versie van de catalogus te komen om rekening te houden met de nieuwe situatie die dan ontstaat. De lidstaten en de geassocieerde Schengenlanden ontvangen nu dus het meest actuele compendium met aanbevelingen en beste praktijken voor SIS en SIRENE. Het doel van de catalogus, die overigens niet juridisch bindend is, blijkt uit de titel. Wel verdienen de erin verzamelde aanbevelingen en beste praktijken evenzeer als het Schengenacquis zelf serieus in overweging te worden genomen, aangezien alleen het hoogste niveau en de hoogste normen bij het gebruik van het SIS en de oprichting en samenwerking van de SIRENEs een solide basis vormen voor de Schengenruimte van de uitgebreide EU als een gebied van vrijheid, recht en veiligheid. Het Tsjechische voorzitterschap heeft er vertrouwen in dat de geactualiseerde catalogus voorts kandidaat-lidstaten kan helpen bij hun succesvolle integratie en tevens de lidstaten stimuleert het gebruik van het SIS verder te verbeteren en de werking van hun SIRENE op te voeren. April 2009
18161/10
kei/JEL/dm DG H
4
NL
INLEIDING 1. Tijdens zijn zitting van 28 mei 2001 heeft de Raad zich in het kader van de verdere besprekingen van de Groep Schengenevaluatie ten doel gesteld "om beste praktijken, vooral inzake grenscontrole, vast te stellen, die als voorbeelden kunnen dienen voor de staten die tot Schengen zullen toetreden, maar ook voor de staten die het Schengenacquis al volledig toepassen. Deze evaluaties en het vaststellen van de beste praktijken zullen als uitgangspunt dienen voor het opstellen, door de desbetreffende werkgroepen, van normen inzake de minimale toepassing van het Schengenacquis (…)" (aan de Groep Schengenevaluatie verleend mandaat) (doc. 8881/01 - SCH-EVAL 17 COMIX 371). Op basis van dat mandaat heeft de Groep Schengenevaluatie de beginselen en de procedure uitgewerkt voor de opstelling van de catalogus van aanbevelingen voor de juiste toepassing van het Schengenacquis en van beste praktijken, hierna "de catalogus van aanbevelingen en beste praktijken" of "de catalogus" genoemd. Doel van de catalogus is het Schengenacquis toe te lichten en uit te werken en aanbevelingen en beste praktijken te beschrijven die als voorbeeld moeten dienen voor de lidstaten en de geassocieerde landen die het Schengenacquis niet volledig toepassen en ook voor de landen die het Schengenacquis volledig toepassen. Het is niet de bedoeling het Schengenacquis volledig te beschrijven, maar juridisch niet-bindende aanbevelingen en beste praktijken te presenteren aan de hand van de ervaring die de Groep Schengenevaluatie heeft opgedaan bij de verificatie van de juiste toepassing van het Schengenacquis in verschillende landen. De catalogus is niet bedoeld om nieuwe eisen in te voeren, maar wel om de Raad erop te wijzen dat sommige bepalingen van het Schengenacquis in voorkomend geval gewijzigd zouden moeten worden zodat de Commissie en, in voorkomend geval, de lidstaten de aanbevelingen en beste praktijken in aanmerking nemen wanneer zij voorstellen of formele initiatieven voorleggen. Voorts zal de catalogus in de toekomst dienen als naslagwerk ten behoeve van evaluaties in de kandidaat-lidstaten. Voor die landen zal hij dus tevens als leidraad dienen voor de werkzaamheden die zij zullen moeten uitvoeren en de catalogus moet in dat opzicht in samenhang met het SIRENE-handboek worden gelezen.
18161/10
kei/JEL/dm DG H
5
NL
2. De Groep Schengenevaluatie heeft in dit verband de volgende definities opgesteld: - aanbevelingen: een niet-limitatieve reeks van maatregelen die de grondslag moeten vormen voor de juiste toepassing van het Schengenacquis en het toezicht daarop; - beste praktijken: een niet-limitatief geheel van werkmethodes en modelmaatregelen die moeten worden beschouwd als de optimale toepassing van het Schengenacquis, met dien verstande dat voor elk specifiek gedeelte van de Schengensamenwerking verschillende beste praktijken mogelijk zijn. 3. Sinds het verschijnen van de vorige versie van de catalogus in 2002 heeft de integratie van het veiligheidsbeleid van de lidstaten van de EU zich verder doorgezet en ontwikkeld als gevolg van de aanneming van diverse rechtsinstrumenten, met name de op Spaanse initiatieven gebaseerde Verordening (EG) nr. 871/2004 en Besluit 2005/211/JBZ van de Raad betreffende de invoering van enkele nieuwe functies in het Schengeninformatiesysteem, inclusief bij de bestrijding van terrorisme, en Beschikking 2006/757/EG en Besluit 2006/758/EG van de Commissie tot wijziging van het Sirenehandboek; Kaderbesluit van de Raad 2002/584/JBZ betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten, Verordening (EG) nr. 562/2006 van het Europees Parlement en de Raad tot vaststelling van een communautaire code betreffende de overschrijding van de grenzen door personen (Schengengrenscode), en het op een Zweeds initiatief gebaseerde Kaderbesluit 2006/960/JBZ van de Raad. Intussen zijn er ook verscheidene initiatieven ingediend om het gebruik van het SIS te bevorderen, namelijk het Franse initiatief betreffende de bestrijding van het terrorisme en het Tsjechische initiatief om SIS en SIRENE beter te gaan gebruiken voor de bescherming van minderjarigen. De lidstaten streven, in de geest van de conclusies van de Europese Raad van Tampere en het Haagse programma, naar integratie en versterkte samenwerking opdat de Europese Unie een ruimte van vrijheid, veiligheid en recht kan worden. Al deze nieuwe wetgeving en wetgevingsinitiatieven hebben, samen met de ontwikkelingen in de IT-technologie, grote gevolgen gehad voor de samenwerking inzake SIS en SIRENE. 4. De uitbreiding, in 2007 en 2008, van het Schengengebied met tien landen - de Tsjechische Republiek, de Republiek Estland, de Republiek Letland, de Republiek Litouwen, de Republiek Hongarije, de Republiek Malta, de Republiek Polen, de Republiek Slovenië, de Republiek Slowakije en Zwitserland - vormde de grootste uitbreiding van de samenwerking in het kader van SIS en SIRENE. De evaluatie van de toetreding van deze landen leidde tot vele nieuwe beste praktijken en aanbevelingen.
18161/10
kei/JEL/dm DG H
6
NL
5. Tijdens de regelmatige studiebijeenkomsten van de operatoren van SIRENE en de conferenties van de hoofden van SIRENE zijn vele belangrijke zaken bijeengebracht, die vervolgens door de Groep SIS/SIRENE werden goedgekeurd.
6. Zes landen zijn thans doende zich op de toetreding tot het SIS en het Schengengebied voor te bereiden. Deze landen dient de thans geactualiseerde catalogus te worden verstrekt. Ook de huidige lidstaten moeten in kennis gesteld worden van de aanbevelingen en beste praktijken om hen te motiveren het gebruik van het SIS en de doeltreffende werking van hun SIRENE verder te bevorderen.
7. Qua structuur wijkt deze catalogus niet noemenswaard van de vorige af. In een kort algemeen gedeelte worden de basisconcepten die aan de aanbevelingen en beste praktijken ten grondslag liggen, uiteengezet. Dit gebeurt in de vorm van een tabel, met links de aanbevelingen en rechts, naast de aanbevelingen, de beste praktijken. De aanbevelingen werden geactualiseerd teneinde ze uit wetgevings-, operationeel en technisch oogpunt in overeenstemming te brengen met de huidige stand van de samenwerking in het kader van SIS en SIRENE. De beste praktijken werden verzameld en beschrijven aan de hand van actuele ervaringen van zowel de nieuwe als de oude lidstaten de optimale oplossingen.
18161/10
kei/JEL/dm DG H
7
NL
DEEL III: HET SCHENGENINFORMATIESYSTEEM EN SIRENE
NADERE OMSCHRIJVING VAN DE AANBEVELINGEN EN BESTE PRAKTIJKEN
ALGEMEEN Onderstaande lijst van aanbevelingen en beste praktijken werd vooral samengesteld aan de hand van de resultaten van de diverse in de loop van de laatste jaren uitgevoerde evaluaties. De bedoeling is dat de catalogus gebruikt wordt bij het opzetten van nationale databases die informatie verschaffen aan SIS, en bij de voorbereiding van het nationale gedeelte van SIS, en van het nationale SIRENE-bureau. Er zij aan herinnerd dat indien gerubriceerde EU-gegevens worden verwerkt door gebruikers van Schengen-IT-systemen in alle gevallen Besluit 2001/264/EG van de Raad tot vaststelling van beveiligingsvoorschriften van de Raad van toepassing is (PB L 101 van 11.4.2001, blz. 1). In dat geval dienen de toe te passen veiligheidsmaatregelen in overeenstemming te zijn met de rubriceringsgraad en met de omvang van de aanwezige informatie en de mate waarin deze wordt bedreigd. Wat de invoering van signaleringen in het SIS betreft, bevat het SIS uitsluitend de door elk der overeenkomstsluitende partijen aangeleverde categorieën van gegevens die voor de in de artikelen 95 tot en met 100 van de Schengenuitvoeringsovereenkomst genoemde doeleinden noodzakelijk zijn. De signalerende overeenkomstsluitende partij gaat na, of het belang van de zaak opneming van de signalering in het SIS rechtvaardigt. In ieder geval dient echter rekening gehouden te worden met het beschikbaarheidsbeginsel. Het functioneren van SIS staat of valt met de rol van de SIRENE-bureaus. De lidstaten wisselen, overeenkomstig de nationale wetgeving, via de voor dat doel aangewezen autoriteiten (SIRENE) alle aanvullende informatie uit die noodzakelijk is in verband met de opneming van signaleringen en voor het nemen van passende maatregelen in gevallen waarin personen van wie en voorwerpen waarvan gegevens in het Schengeninformatie systeem zijn opgenomen, worden aangetroffen als gevolg van opvragingen in dit systeem (zie artikel 92, lid 4 van de Schengenuitvoeringsovereenkomst). Hiertoe dient SIRENE passende toegang te worden verleend tot alle relevante informatie en deskundigenadvies die op nationaal niveau beschikbaar is. De uitgewisselde aanvullende informatie mag alleen worden gebruikt voor het doel waarvoor zij is verstrekt. Het is de verantwoordelijkheid van ieder SIRENE-bureau om voor alle in het SIS ingevoerde informatie de rol van kwaliteitsborgingscoördinator te vervullen. Daartoe dient het SIRENE-bureau te beschikken over de noodzakelijke bevoegdheden op nationaal niveau voor het vervullen van deze rol, waarvoor het de verantwoordelijkheid draagt.
18161/10
kei/JEL/dm DG H
8
NL
AANBEVELINGEN
BESTE PRAKTIJKEN
1. NATIONAAL SIS-GEDEELTE 1.1.
Systemen en organisatie
- er moet een nationaal SIS-gedeelte worden opgezet dat permanent operationeel is en altijd over voldoende technische ondersteuning beschikt
- in het belang van de permanente werking dienen verbintenissen te worden aangegaan inzake het onderhouds- en serviceniveau voor hardware en software
- de gegevensintegriteit tussen N.SIS en eventuele nationale technische kopieën moet gewaarborgd worden
- er dient realtime-synchronisatie van kopieën te worden uitgevoerd - er dienen regelmatig database-vergelijkingen plaats te vinden
1.2.
Communicatie-infrastructuur
- er moet een stabiel nationaal netwerk zijn
- om een hoge beschikbaarheidsgraad van het netwerk te garanderen dienen passende verbintenissen te worden aangegaan inzake het onderhouds- en serviceniveau
- er dienen garanties te worden gegeven voor een snelle reactie op bevragingen
- de reactietijd dient minder dan 5 seconden te bedragen
- er dienen passende en beveiligde communicatieoplossingen beschikbaar te zijn om het SIS via mobiele terminals te kunnen bevragen
- optimaal is dat de consulaire posten een onlinetoegang hebben tot de relevante SIS-gegevens
2. SIRENE 2.1
Nationale structuur
- er moet een SIRENE-bureau worden opgericht dat moet dienen als enige aanspreekpunt voor iedere Schengenstaat voor SIS-signaleringen en de procedure na een treffer
- alle bureaus die verantwoordelijk zijn voor internationale politiële samenwerking zijn toegankelijk via één aanspreekpunt dat onder dezelfde beheersstructuur valt en op dezelfde locatie gevestigd is
- de operatoren van SIRENE dienen permanent toegang te hebben tot informatiebronnen of databases die signaleringen aan het SIS verstrekken of informatie bevatten die nodig is om aanvullende informatie te verkrijgen of om problemen inzake signaleringen te verhelpen - het beginsel dat Schengensignaleringen primeren boven Interpolsignaleringen moet worden gerespecteerd en nageleefd
18161/10
kei/JEL/dm DG H
9
NL
- gelet op het primaat van SIS-signaleringen dient, in die zeldzame gevallen waarin SIRENE, Interpol of andere instanties voor politiële samenwerking (bijv. verbindingsofficieren), gebruik maken van hun eigen kanalen om de zelfde informatie over dezelfde persoon of hetzelfde voorwerp te verstrekken, een kruisverwijzing te worden gemaakt om een juiste coördinatie in de andere lidstaten te verzekeren - de SIRENE-bureaus dienen te beschikken over een aantal stafleden dat in overeenstemming is met het aantal signaleringen, het aantal treffers en de hoeveelheid daarmee verband houdende werkzaamheden, communicatie- en specifieke taken 2.2
- het personeel en de ondersteunende diensten van SIRENE dienen regelmatig te worden geëvalueerd in het licht van eventuele veranderingen in werklast en werkpraktijken
Organisatie en systeem
- het SIRENE-bureau moet permanent kunnen communiceren met alle andere SIRENEbureaus en nationale autoriteiten
- continuïteit qua beheers-, personeels- en technische aspecten is wenselijk om doelmatig te kunnen werken
- alle personeelsleden, inclusief die welke zijn aangewezen om buiten de kantooruren te werken, moeten de vereiste bevoegdheid en deskundigheid hebben om de noodzakelijke diensten te verlenen aan de andere SIRENEbureaus en binnenkomende signaleringen te verwerken
- flexibiliteit in de regeling van de werktijden kan helpen om in piekperioden de werklast op te vangen
- naast het administratief en operationeel personeel moet de behoefte aan ITondersteuningspersoneel worden omschreven - het SIRENE-bureau dient te worden uitgerust met een doelmatig en doeltreffend workflowsysteem dat rekening houdt met de regels van de huidige versie van de uitwisseling van gegevens tussen SIRENEs
- in het belang van de permanente werking dienen verbintenissen te worden aangegaan inzake het onderhouds- en serviceniveau voor hardware en software - geconstateerd is dat een elektronisch workflow/casemanagementsysteem voor SIRENE-operatoren de kwaliteit van het werk vergroot en de mogelijkheden van fouten verkleint. Automatische opneming van binnenkomende berichten in het workflowsysteem kan bijdragen tot het bereiken van deze doelstellingen - het elektronisch workflow/case-managementsysteem is interactief ten opzichte van de N.SIS-toepassing en de nationale systemen voor wat betreft het beheer van binnenkomende en uitgaande signaleringen; dit zou ook automatische indicaties moeten inhouden over • de toevoeging van een gevraagde markering • de schrapping van een gevraagde markering • het tijdstip van een eventuele gewijzigde signalering • de binnenkomst van een artikel-95-signalering • de schrapping van een signalering wanneer in het elektronische workflow/casemanagementsysteem reeds een op deze signalering betrekking hebbend bestand is opgenomen
18161/10
kei/JEL/dm DG H
10
NL
- behalve van de overeengekomen procedures voor de uitwisseling van formulieren, dient SIRENE gebruik te maken van geschikte mailboxen over de operatieve uitwisseling van e-mails en het toezenden van vingerafdrukken via het daartoe aangewezen SIRENE-netwerk
- de aanbeveling van de Raad over SIRPIT, een methode voor de elektronische uitwisseling van foto's en vingerafdrukken tussen wetshandhavingsdiensten, moet worden toegepast (Raadsdoc. 9696/1/06)
- in gevallen waarin de via het internet moet worden gecommuniceerd, moet het officiële e-mailadres van het SIRENE-bureau worden gebruikt - het gebruik van niet-gecertificeerde e-mailadressen moet vermeden worden
- voor deze elektronische toezending dient ieder SIRENE-bureau te beschikken over de SIRPITprocedure
- het SIRENE-bureau dient te beschikken over een directe verbinding met de nationale AFIS-databank teneinde toegang te krijgen tot de elektronisch opgeslagen gegevens waarvoor het bevoegd is 2.3
Aanwerving en opleiding
- het SIRENE-bureau moet werken met personeel dat op eigen initiatief kan handelen, om een efficiënte behandeling van zaken te waarborgen - alle operatoren moeten goed op de hoogte zijn van het nationaal recht, nationale wetshandhaving (incl. theoretische kennis van politiewerk), het nationaal gerechtelijk apparaat en het administratief stelsel op het gebied van immigratie, en minimaal basiskennis bezitten van het internationaal recht betreffende Schengen
- er dient managementondersteuning aanwezig te zijn, inclusief toegang buiten kantooruren tot juridisch en ander deskundig advies, om de delegatie van bevoegdheden mogelijk te maken - speciale aandacht dient uit te gaan naar human resources management voor een goede continuïteit van de personeelsbezetting, een belangrijke factor om de kwaliteit van het werk van SIRENE te verbeteren - er moet voorzien worden in een opleidingssysteem voor de SIRENE-workflow
18161/10
kei/JEL/dm DG H
11
NL
- juridische deskundigheid moet voorhanden zijn, met goede kennis van nationaal en internationaal recht, grondige kennis van de Schengenuitvoeringsovereenkomst, het SIRENE-handboek en de daarmee verband houdende regelingen, en theoretische kennis van politiewerk
- voor juridische deskundigheid kan gezorgd worden door interne juridische adviseurs aan te werven of het SIRENE-personeel op juridisch vlak te scholen
- personeel met een wetshandhavingsachtergrond is nodig om ervaring in te brengen, hetgeen zijn grote nut bewezen heeft en de opleidingstijd verkort
- er dient ten minste één keer per jaar een gemeenschappelijke opleiding plaats te vinden
- er moeten gemeenschappelijke normen en een gedeelde visie worden ontwikkeld
- overwogen moet worden regelmatig operatoren uit te wisselen, reeds voordat SIS operationeel wordt
- bij het aantal aanwervingen moet rekening worden gehouden met het aantal nationale signaleringen en de herijking van deze signalering na afloop van de geldigheidsperiode, alsook met het aantal "treffers" op het nationaal grondgebied, alsook met de contacten met andere SIRENE-bureaus over de treffers in verband met de nationale SISsignaleringen in andere Schengenlanden
- dit moet een cruciaal element zijn bij de aanwerving en continue vorming van het SIRENE-personeel
- bij de SIRENE-aanwervingsstrategie moet er rekening mee gehouden worden dat de bestaande artikel 95-bestanden moeten worden gevalideerd voordat SIS operationeel wordt - het personeel moet over voldoende talenkennis beschikken - SIRENE-operatoren dienen ten minste in het Engels te kunnen communiceren
2.4
- SIRENE-personeel moet voorrang krijgen bij taallessen - het is duidelijk wenselijk dat de operatoren kennis hebben van de meest gesproken talen, zowel voor directe contacten als om documenten te kunnen verwerken als er geen vertaaldiensten aanwezig zijn
SIRENE-contactpersoon (SIRCoP)
- De Sirene-bureaus moeten in staat zijn om problematische, gevoelige of ingewikkelde dossiers op te lossen
- De Sirene-bureaus moeten binnen hun bestaande structuren een of meer personen ter beschikking stellen om de rol van SIRENE-contactpersoon (SIRCoP) te vervullen. De nationale invulling van de SIRCoP-functie valt volledig binnen de bevoegdheid van iedere lidstaat. In gevallen waarin de standaardprocedures tekortschieten, kan/kunnen de aangewezen persoon/personen die dossiers behandelen waarvan de vooruitgang ingewikkeld of problematisch is of gevoelig ligt, en waarbij een mate van kwaliteitsborging en/of contact voor langere termijn met een ander SIRENE-bureau vereist kan zijn om de
18161/10
kei/JEL/dm DG H
12
NL
kwestie op te lossen. Een SIRCoP kan tevens een terugkerend probleem opmerken en daar een overzicht van hebben. Zij zouden in een positie zijn om voorstellen ter verhoging van de kwaliteit te formuleren en opties voor het oplossen van dergelijke kwesties op langere termijn te beschrijven. Deze functie is niet bestemd voor urgente gevallen, voor welke in beginsel de permanente helpdesk zal worden gebruikt. Indien de nationale SIRENE-personeelsleden van oordeel zijn dat een zaak de bijstand van hun SIRCoP vergt, nemen ze contact op met hun SIRCoP en vragen hem/haar contact tot stand te brengen met de SIRCoP in de andere lidstaat. In het algemeen zijn SIRCoP's alleen tijdens kantooruren voor andere SIRCoP's bereikbaar. 3. Eindgebruikers 3.1
Bevraging en gebruikersinterface
- de behoefte bestaat om bevragingen of opzoekingen te kunnen uitvoeren die verder gaan dan het zoeken naar 100%-treffers
- dit kan onder meer via fonetische of generische bevraging, vage logica, of soundex, waarbij gewaarborgd moet worden dat de nationale wetgeving een dergelijke enkelvoudige bevraging niet in de weg staat, en voorts gewaarborgd dient te worden dat enkelvoudige bevraging snel en eenvoudig is
- bij bevragingen via vaste en mobiele terminals moet ook het SIS bevraagd kunnen worden; een enkelvoudige bevraging van én nationale én internationale systemen is de efficiëntste methode om systematische raadpleging van het SIS te waarborgen - directe toegang verdient de voorkeur
- er wordt zoveel mogelijk gegevensopvragingsapparatuur verstrekt aan eindgebruikers om directe bevraging mogelijk te maken
- informatie over zowel nationale als internationale signaleringen moet gelijktijdig getoond worden - waarschuwingmarkeringen betreffende personen, voorwerpen of voertuigen dienen op het eerste scherm voor de eindgebruiker beschikbaar te zijn
18161/10
kei/JEL/dm DG H
13
NL
- bij het invoeren van nationale signaleringen moet een signalering in SIS als "default function" worden geïnstalleerd, zodat het invoeren in SIS geen bijkomende handeling van de eindgebruiker vereist
- signaleringen worden eerst gecontroleerd op het niveau van de nationale database en van daaruit op geautomatiseerde wijze overgeheveld naar N.SIS
- het scherm dient duidelijke informatie en instructies te bevatten over hetgeen de eindgebruiker moet doen in geval van een treffer
- in geval van misbruik van identiteit dient de procedure die bij een treffer moet worden gevolgd inzake een dergelijk misbruik en het onderzoek dat daarop moet volgen om vast te stellen of de betrokkene slachtoffer of dader is van dit misbruik, duidelijk op het scherm te worden aangegeven
- de toepassingen moeten gebruikersvriendelijk zijn zodat SIS-taken snel en doeltreffend kunnen worden uitgevoerd
- bij het invoeren van een naam tijdens een bevraging controleert het systeem zowel de gegevens over personen als over documenten - de gebruikersinterface maakt het mogelijk en gemakkelijk om de naam en, waar van toepassing, het documentnummer gelijktijdig in te voeren en de toepassing controleert beide in één bevraging
3.2
Opleiding
- de nationale overheden dienen de betrokken partijen, namelijk de politie en andere (wetshandhavings)diensten, rechters en vervolgingsautoriteiten, van het belang van SIS te doordringen
De nationale overheden dienen: - de betrokken partijen permanente opleiding te bieden - voor de eindgebruikers een opleidingssysteem beschikbaar te stellen - via verbindingsofficieren een nauw contact tussen de betrokken partijen en de SIRENE-bureaus te verzekeren
- de SIS-opleiding zou, reeds voordat SIS operationeel is, deel moeten uitmaken van de basiscursussen voor eindgebruikers en van de bijscholingscursussen
- SIS onder de aandacht te brengen via de relevante werkgroepen (politiële samenwerking, grenscontrole, task force hoofden politie, justitiële samenwerking, terrorisme) of via de EPA - autoriteiten die bevoegd zijn voor de openbare veiligheid (meer) bewust te maken van de mogelijkheid om signaleringen in te voeren krachtens art. 96, lid 2, onder b) - uit te leggen wat de gevolgen zijn van het opheffen van de binnengrenscontroles voor het politiewerk - uit te leggen hoe SIS in het dagelijkse politiewerk als instrument kan worden gebruikt - ervoor te zorgen dat zowel het bevragen van het systeem als het invoeren van signaleringen in de opleiding voorkomen
18161/10
kei/JEL/dm DG H
14
NL
- ernaar te streven dat personeel van SIRENE aan de SIS-opleiding aan de politiescholen deelneemt - er moeten handboeken worden opgesteld voor interne procedures - voor nieuwe functies moeten bijgewerkte instructies worden uitgevaardigd - voor de bepalingen van "Schengen" worden toegepast, moeten "cascadecursussen" worden georganiseerd - zodra de eindgebruikers over enige ervaring beschikken, moeten er opfrissingscursussen worden georganiseerd
- handboeken, inclusief het SIRENE-handboek, informatie, opleidings- en opfrissingsmateriaal dienen op het politie-intranet of via andere media beschikbaar te zijn - voordat SIS operationeel wordt kan een nieuwsbrief met informatie voor de eindgebruikers over de status van het project hun belangstelling wekken en vasthouden - de SIS-implementatie dient een naadloze uitbreiding van de bestaande nationale bevragingsmethoden te zijn, zodat minder opleiding vereist is
4. Behandeling van de gegevens 4.1
Invoeren, wijzigen en wissen van signaleringen
- bij invoering moeten alle signaleringen beantwoorden aan de criteria om te garanderen dat aan een treffer de nodige gevolgen gegeven worden
- het is belangrijk dat de instanties die een signalering in SIS invoeren, geïnformeerd worden over de gevolgen van de invoering en met name over de verplichting de follow-up van de treffer te verzorgen - er dienen overkoepelende nationale procedures te worden ingevoerd om te bepalen wie verantwoordelijk is voor de nazorg na een buitenlandse treffer (bijvoorbeeld overlevering en uitlevering, alsook het terugvinden van gestolen voertuigen)
- het SIRENE-bureau dient de bestanden met bestaande signaleringen krachtens artikel 95 te onderzoeken voordat ze aan de eindgebruiker beschikbaar worden gesteld - de aanvullende informatie betreffende een EAB/IAB (formulieren A en M) dient na de invoering van de signalering onverwijld te worden toegezonden
- ook als het onmogelijk is geweest om alle bestanden met signaleringen krachtens artikel 95 vooraf te valideren, moeten deze signaleringen zodra het systeem openstaat voor de eindgebruikers, voor dezen beschikbaar zijn zonder dat eerst het resultaat van het onderzoek van het A-formulier door SIRENE wordt afgewacht; in dit geval moeten er procedures worden ingesteld waardoor op het moment van uitvoering van de signalering het bestand snel kan worden onderzocht - SIRENE-operatoren moeten manueel signaleringen kunnen verwijderen die in strijd zijn met de prioriteits- en incompatibiliteitsregels
- de prioriteits- en incompatibiliteitsregels moeten gerespecteerd worden
- "secondaire" signaleringen over een bepaald persoon moeten beschikbaar blijven zodat deze kunnen worden ingevoerd zodra de eerste signalering over de betrokkene, waarmee de "secondaire"
18161/10
kei/JEL/dm DG H
15
NL
signalering incompatibel was, is verstreken - SIRENE dient bevoegd te zijn tot aanmaak, wijziging en/of schrapping van de signaleringen in het SIS
- SIRENE-operatoren moeten bevoegd zijn eigen nationale signaleringen in het SIS aan te maken, te wijzigen en/of te schrappen.
- SIRENE dient een proces op gang te brengen om signaleringen krachtens artikel 95 die zijn uitgegaan voor de inwerkingtreding van de nationale wetgeving tot omzetting van Kaderbesluit 2002/584/JBZ van de Raad betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten, in overeenstemming te brengen met dit Kaderbesluit (van belang voor de Schengenlanden die het EAB toepassen)
- na de omzetting dienen ten behoeve van een doelmatige toepassing van het EAB, alle met betrekking tot artikel 95 aangevraagde markeringen opnieuw te worden bezien
- indien een immigratie-instantie betreffende een onderdaan van een derde land een signalering krachtens artikel 96 heeft ingevoerd in de wetenschap dat deze onderdaan het recht op vrij verkeer geniet overeenkomstig Richtlijn 2004/38/EG, dan zendt deze instantie bij de opstelling van de signalering de betrokken nadere informatie aan het SIRENE-bureau van haar lidstaat - aangezien dit het meest relevante zoekcriterium is, dient in een SIS-signalering over voertuigen het VIN-nummer te worden opgenomen
- indien een EAB rechtstreeks naar de uitvoerende gerechtelijke instantie is gezonden en bekend is waar de gezochte persoon zich bevindt* ("bekend" dient in te houden dat de gezochte persoon zich voor een bekende periode op een vaste en onveranderlijke plaats bevindt, bijvoorbeeld een gevangenis, een "vermoedelijke" locatie is onvoldoende) dient SIRENE een rechterlijke autoriteit die om de aanmaak van een SISsignalering mocht verzoeken, mede te delen dat zulks gezien de situatie onnodig is. Het is echter hoe dan ook aan de gerechtelijke autoriteit te besluiten of er al dan geen SIS-signalering wordt uitgegeven. * Artikel 9, lid 1, van het kaderbesluit van de Raad van 13 juni 2002 betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten (2002/584/JBZ)
- signaleringen betreffende documenten dienen, ook indien onvolkomen, zo volledig mogelijk in het SIS te worden opgenomen, met inachtneming van het beschikbaarheidsbeginsel
4.2
Uitwisseling van formulieren en andere vormen van communicatie
- om in de bilaterale communicatie zo efficiënt mogelijk te werken moeten talen worden gebruikt die beide partijen beheersen - het antwoord dient zo spoedig mogelijk aan het verzoekende SIRENE-bureau te worden verstrekt.
- in de praktijk dienen bij de multilaterale uitwisseling van formulieren de formulieren altijd ook in het Engels te worden toegezonden. - indien niet binnen 12 uur aan een urgent verzoek kan worden voldaan, dient het verzoekende SIRENE-bureau hiervan en van de reden van de vertraging op te hoogte te worden gesteld. Indien niet wordt geantwoord, dienen de Hoofden van SIRENE betrokken te worden bij het vinden van een oplossing.
18161/10
kei/JEL/dm DG H
16
NL
Signaleringen krachtens artikel 97 over aan groot risico blootgestelde vermiste personen dienen zo snel mogelijk in het SIS te worden ingevoerd, waarbij eventuele extra informatie die bij het zoeken kan helpen (foto, beschrijving, extra informatie over mogelijke routes, de ontvoerder, het gebruikte voertuig), inclusief, voor minderjarigen, een verzoek om een "Signalering van een kind"1, onmiddellijk aan SIRENE dient te worden verstrekt voor verdere toezending naar in aanmerking komende SIRENE-bureaus.
De ontvoerder van het vermiste kind en de mogelijk gebruikte voertuigen dienen met gebruik van de juiste typen signalering in het SIS te worden ingevoerd, waarbij de andere SIRENE-bureaus over het verband tussen de signaleringen worden ingelicht via een M-formulier.
- het invoeren van signaleringen geschiedt bij voorkeur in "real time"
Onverminderd de verantwoordelijkheid van de - het invoeren van signaleringen (vooral betreffende lidstaten voor signaleringen krachtens artikel 97 voorwerpen) dient zoveel mogelijk en hun nationale recht, kunnen zaken met de gedecentraliseerd plaats te vinden om volgende omstandigheden als verdwijningen met vertragingen als gevolg van interne een groot risico worden beschouwd: administratieve procedures, bijvoorbeeld. het zenden van signaleringen naar data-inputcentra, te vermijden • Omstandigheden van de verdwijning: factoren die wijzen op de gedwongen aard - daar waar directe invoering niet mogelijk is, dienen van de verdwijning of de aanwezigheid van snelle transmissiemethoden voorhanden te zijn een risico voor het leven of de fysieke om de informatie van het lokale niveau te veiligheid van de vermiste persoon, zoals: versturen naar het niveau waar de gegevens – bewijs van een mogelijke ontvoering, worden ingevoerd, vooral voor signaleringen illegale detentie, afpersing of een betreffende vermiste kinderen en gestolen soortgelijk ernstig strafbaar feit dat voertuigen aangeeft dat de verdwijning in verband staat met de criminele activiteiten van derde partijen. – informatie die een redelijke grond vormt om te veronderstellen dat voor het leven of de fysieke veiligheid van de vermiste persoon moet worden gevreesd. • Omstandigheden met betrekking tot de persoon: indien persoonlijke omstandigheden bestaan, zoals: – de vermiste persoon is zeer jong; – de vermiste persoon kan een gevaar vormen voor de persoonlijke veiligheid van anderen (gewelddadig karakter, bedreigingen van anderen, enz.); – de vermiste persoon heeft een ernstige lichamelijke of geestelijke handicap die hem of haar in de omstandigheden van de verdwijning kwetsbaar maken (ouderdom, geestesziekte, enz.)
1
Met inbegrip van een mechanisme inzake signaleringen betreffende kinderen, om bij een kinderontvoering het grote publiek te waarschuwen, zie doc.15084/08 CRIMORG 177 CATS 87
18161/10
kei/JEL/dm DG H
17
NL
–
de vermiste persoon behoeft medische zorg of medicijnen die hem of haar in de omstandigheden van de verdwijning kwetsbaar maakt, c.q. maken.
- Om de operatoren te helpen bij het invullen van de verschillende subvelden van veld 083 van het M-formulier voor verdwijningen met een groot risico, zal een poster met de titels van de subvelden van dit formulier worden gemaakt. Het is niet nodig alle subvelden in te vullen; alleen die waarvoor relevante informatie beschikbaar is - voordat een signalering wordt verlengd moet worden nagegaan of deze nog geldig en relevant is - Schengen-ID-nummers mogen niet opnieuw gebruikt worden voor andere gegevens - er moet zo weinig mogelijk tijd verstrijken tussen het incident dat de aanleiding vormde tot het besluit tot signalering en de invoering daarvan in SIS - signaleringen die aan de vereisten van de Schengenuitvoeringsovereenkomst voldoen dienen zo veel mogelijk op geautomatiseerde wijze in het SIS te worden ingevoerd. Indien SIRENE dergelijke signaleringen handmatig uit de nationale systemen in SIS moet overbrengen, leidt dit vaak tot vertraging
18161/10
kei/JEL/dm DG H
18
NL
- er moeten maatregelen getroffen worden om de kwaliteit van de data te verbeteren ten einde te vermijden dat SIS-signaleringen negatieve gevolgen hebben voor personen die niets met de signalering te maken hebben - de systematische invoering van signaleringen in SIS moet zoveel mogelijk worden bevorderd en voor deze invoering moeten nationale criteria worden opgesteld - bij invoering moet worden gecontroleerd of er geen meervoudige signalering is - SIRENE dient in staat te zijn gevallen van misbruik van identiteit onverwijld op te lossen.
- indien is vastgesteld dat een gestolen voertuig rechtmatig door een te goeder trouw handelende eigenaar is verworven dient een signalering uit het SIS te worden geschrapt. - toepassing van de signalering krachtens artikel 99 dient altijd een van de te overwegen maatregelen te zijn indien het gaat om zware misdaad en/of bedreiging van de openbare orde of als ondersteuningsmaatregel bij het opsporen van gezochte personen - de nationale wetgeving moet alle maatregelen in overeenstemming met de Schengenuitvoeringsovereenkomst mogelijk maken, met name de "gerichte controles" krachtens artikel 99 - na de signalering krachtens artikel 99 met een verzoek om een gerichte controle dient een Mformulier te volgen met, in voorkomend geval, de redenen voor de signalering alsmede eventuele nuttige bijzonderheden - het systeem dient automatisch te controleren of er eventueel een meervoudige signalering is door middel van opzoekingen die verder gaan dan 100%treffers.
4.3
Follow-up van treffers
- het SIRENE-bureau moet fungeren als het enige aanspreekpunt en als het enige kanaal waarlangs alle informatie in verband met de procedure na een treffer wordt doorgegeven
- alle informatie-uitwisseling waarvoor geen rogatoire commissie vereist is, verloopt via het SIRENE-bureau
- voor signaleringen krachtens artikel 95 moet het SIRENE-bureau het enige aanspreekpunt zijn en is het verantwoordelijk voor de uitwisseling van informatie na een treffer, ten minste totdat de formele procedure inzake overlevering/ uitlevering is ingeleid - de toezending van het originele EAB of van het verzoek om uitlevering via SIRENE dient te worden vermeden, tenzij SIRENE tevens als Centrale autoriteit is aangewezen.
- waar dat mogelijk en/of passend is mag het SIRENE-bureau behulpzaam zijn bij de eventuele verdere informatie-uitwisseling na aanhouding
- SIRENE dient in een G-formulier alle beschikbare informatie te verstrekken over het adres van de bevoegde rechterlijke autoriteit, de uiterste termijn en de taal waarin het EAB moet worden ingediend.
- tot het tijdstip waarop het SIS in staat zal zijn gesteld alle in een EAB-formulier opgenomen gegevens door te geven, geldt de signalering bij wijze van overgangsmaatregel als Europees aanhoudingsbevel in afwachting dat het origineel in de voorgeschreven vorm door de uitvoerende rechterlijke autoriteit is ontvangen (vgl Kaderbesluit van de Raad 2002/584/JBZ).
18161/10
kei/JEL/dm DG H
19
NL
- de nationale rechterlijke autoriteiten dienen vertrouwd te zijn met de A- en de Mformulieren, opdat zij de SIS-signalering die vergezeld gaat van de aanvullende informatie in die formulieren aanvaarden als een voorlopige juridische basis om in afwachting van de ontvangst van het origineel van het EAB de gezochte persoon aan te blijven houden - opdat SIRENE zijn taken doelmatig kan uitvoeren dienen gerechtelijke beslissingen inzake overleverings- of uitleveringsprocedures onmiddellijk nadat ze genomen zijn aan deze instantie te worden medegedeeld - de beantwoording, of tenminste een voorlopige reactie over de status van de zaak, moet binnen de vastgestelde termijnen volgen - zodra de noodzaak van signalering verdwenen is, moet een signalering uit SIS verwijderd worden
- signaleringen krachtens artikel 95 worden verwijderd zodra de overlevering of uitlevering heeft plaatsgevonden - gewaarborgd dient te worden dat de autoriteiten die verantwoordelijk zijn voor de toepassing van de wetgeving betreffende onderdanen van derde landen, permanent beschikbaar zijn of op dusdanige wijze georganiseerd zijn dat de termijnen voor het verstrekken van aanvullende informatie nageleefd kunnen worden; zo zou het SIRENE-bureau, voor zover zijn bevoegdheden strekken, toegang kunnen worden gegeven tot de gegevensbestanden van deze autoriteiten - signaleringen krachtens artikel 97 betreffende volwassenen die niet beschermd behoeven te worden, worden verwijderd na een treffer - andere signaleringen krachtens artikel 97 worden verwijderd zodra de beschermende maatregelen zijn uitgevoerd - signaleringen uit hoofde van artikel 98 dienen te worden verwijderd zodra is vastgesteld waar de gezochte persoon zich bevindt en deze gegevens aan het SIRENE-bureau in de verzoekende staat zijn doorgegeven
- er moeten procedures worden vastgesteld om te - een signalering over een gestolen voertuig (met inbegrip van meervoudige signaleringen) dient te waarborgen dat acties i.v.m. verloren worden geschrapt zodra het voertuig aan de rechtvoorwerpen snel worden uitgevoerd matige eigenaar is teruggegeven - de rollen en verantwoordelijkheden van alle betrokken partijen ten aanzien van treffers inzake objecten en de procedures na een treffer dienen duidelijk omschreven te zijn
18161/10
kei/JEL/dm DG H
20
NL
- de lidstaten dienen in staat te zijn statistische gegevens inzake treffers te verstrekken
4.4
- iedere treffer dient nauwkeurig te worden geregistreerd op een wijze die het maken van nauwkeurige statistieken voor alle typen van gebruikers vergemakkelijkt
Maatregelen inzake kwaliteit van gegevens
- met inachtneming van het evenredigheidsbeginsel moeten SIS-gegevens via een koppeling tussen de relevante nationale databanken en de N.SIS-databank op geautomatiseerde wijze worden ingevoerd
- deze aanbeveling geldt als uitgevoerd indien de invoering in SIS is ingesteld als "default option", zoals aanbevolen onder 3.1
- de geautomatiseerde invoering van signaleringen moet gecombineerd worden met een "real-time" geautomatiseerde wijziging/verwijdering in SIS na een wijziging/verwijdering in het nationale systeem - signaleringen moeten zo compleet mogelijk zijn
- de gegevens van de signalering worden, liefst op geautomatiseerde wijze, vergeleken met die van de nationale registers
- de signaleringen worden bijgewerkt wanneer meer informatie beschikbaar komt, zoals het nummer van een afgegeven document of het registratienummer van een gestolen voertuig
- het SIRENE-bureau van de lidstaat van herkomst van een gestolen voorwerp dat door een andere lidstaat in het SIS is opgenomen, dient het SIRENE-bureau van de invoerende lidstaat zodra het van die signalering op de hoogte is, alle beschikbare informatie te verstrekken om de signalering aan te vullen / te actualiseren / te corrigeren
de SIRENE-bureaus dienen de kwaliteitsborging van hun gegevens te coördineren
- het SIRENE-bureau dient te beschikken over de noodzakelijke bevoegdheid op nationaal niveau en over de operationele en technische middelen om de kwaliteit van de gegevens te waarborgen, waaronder toegang tot de nationale databanken in overeenstemming met zijn bevoegdheden
- het SIRENE-bureau moet elke signalering krachtens artikel 95 valideren
- het SIRENE-bureau wordt betrokken bij de opleiding van de gebruikers - de lijst van treffers wordt vergeleken met de lijst van verwijderde signaleringen - de verhouding signaleringen/treffers wordt gecontroleerd en geanalyseerd - bij de lokale autoriteiten wordt regelmatig nagevraagd of een signalering betreffende een
18161/10
kei/JEL/dm DG H
21
NL
vermiste minderjarige gehandhaafd moet worden - het invoeren van informatie die niets toevoegt, zoals het invullen van "onbekend" of "?" in een verplicht of facultatief veld, is niet toegestaan - de translitteratieregels moeten worden nageleefd - specifieke informatie hierover moet voor de eindgebruikers beschikbaar zijn - de eindgebruikers moeten worden opgeleid teneinde een juiste toepassing van de maatregelen inzake de kwaliteit van de gegevens te verzekeren 5. BEVEILIGING 5.1
Planning van werkzaamheden in verband met gegevensbeveiliging
- het bepalen van het beveiligingsbeleid voor de Schengen-IT-systemen (N.SIS-, C.SIS-, SIRENE- en eindgebruikerssystemen) moet een integraal onderdeel zijn van de bepaling van het algehele beveiligingsbeleid van de betrokken autoriteiten - het aangenomen beveiligingsbeleid moet schriftelijk worden vastgelegd door de bevoegde autoriteiten - het is van essentieel belang dat de nodige middelen worden uitgetrokken voor de opstelling en handhaving van de beveiligingsmaatregelen - op nationaal niveau moeten de procedures en bevoegdheidsterreinen worden vastgesteld om te waarborgen dat alle beveiligingsmaatregelen continu bijgewerkt en herzien worden - de bijwerking en herziening van het beleid en de procedures moet, voorzover dit praktisch haalbaar is, één keer per jaar worden uitgevoerd zodat de maatregelen geschikt blijven voor hun doel en in overeenstemming blijven met de bestaande situatie - daarnaast moet, na significante/ernstige incidenten of na wijzigingen van het systeem die van invloed zijn op de gegevensbeveiliging, bijwerking en herziening plaatsvinden
18161/10
kei/JEL/dm DG H
22
NL
5.2
Organisatie van de beveiliging en controle van de bedrijfsmiddelen
- inspanningen met het oog op gegevensbeveiliging moeten, waar passend, worden gepland binnen het kader van een beveiligingsorganisatie, die uit een of meer autoriteiten kan bestaan - gewaarborgd moet worden dat alle belangrijke onderdelen ("assets" of bedrijfsmiddelen) van de systemen goed bekend zijn zodat zij in overeenstemming met hun belang beveiligd kunnen worden - daarom moet er continu een register van relevante IT-apparatuur worden bijgehouden daarnaast moet er een bijgewerkte netwerk- en systeemdocumentatie beschikbaar zijn waaruit bijvoorbeeld blijkt wat de relatie is tussen, en de functie van, de specifieke systeemelementen - de verantwoordelijkheden en het gezag die zijn gedelegeerd aan de personen die betrokken zijn bij de gegevensbeveiliging, moeten duidelijk worden afgebakend, zo mogelijk in samenhang met hun taakomschrijving - normaliter is het passend de organisatie van de beveiligingsactiviteiten schriftelijk vast te leggen in een organisatiehandvest 5.3
Personele beveiliging
- alleen personen met een specifieke toelating mogen toegang hebben tot SIS-gegevens en tot apparatuur die voor de verwerking ervan wordt gebruikt
- screening van het personeel dient plaats te vinden als onderdeel van de aanwervingsprocedure en daarna om de 5 jaar
- gebruikers mogen slechts opzoekingen verrichten die ze voor de uitvoering van hun taak nodig hebben - de taakomschrijving van personeel dat toegang heeft tot SIS-gegevens en tot apparatuur die gebruikt wordt om SIS-gegevens te verwerken, moet informatie bevatten over naleving van de beveiligingsvoorschriften - in de aanwervingspraktijken moet belang worden gehecht aan kennis van gegevensbeveiliging - het personeel moet aan de nodige gebruikersopleidingsprogramma's deelnemen, waaronder alle geldende regels op het vlak van gegevensbeveiliging - alle personen die niet tot een nationale autoriteit behoren, moeten een vertrouwelijkheids- en geheimhoudingsverklaring ondertekenen
18161/10
kei/JEL/dm DG H
23
NL
- dergelijke personen moeten over de vereiste veiligheidsmachtiging of certificering beschikken - zij mogen alleen toegang tot SIS-gegevens hebben voor zover dit vereist is voor het vervullen van hun taken - er moeten hiërarchische structuren en procedures worden vastgelegd om ervoor te zorgen dat (vermoedelijke) beveiligingsincidenten zo snel mogelijk gerapporteerd worden - de gegevensbeveiligingsprocedures moeten bekend zijn bij alle werknemers en ingehuurde personeelsleden - er moeten feedback-processen worden geïmplementeerd om ervoor te zorgen dat, zodra een beveiligingsincident behandeld en afgerond is, informatie over de uitkomst en de nabespreking wordt meegedeeld - ten aanzien van iedere inbreuk op de veiligheidsvoorschriften moeten passende disciplinaire maatregelen worden getroffen in overeenstemming met de nationale wetgeving. 5.4
Fysieke beveiliging
- faciliteiten voor de verwerking van SISgegevens (N.SIS, C.SIS en SIRENE) en andere kritieke of gevoelige voorzieningen, zoals zones waarin gegevensdragers zijn opgeslagen, moeten in beveiligde zones zijn ondergebracht, die elk in een afgebakende beveiligingsafscheiding beschermd worden met passende fysieke barrières en toegangscontroles
-faciliteiten voor de verwerking van SIS-gegevens (N.SIS, C.SIS en SIRENE) en andere kritieke of gevoelige voorzieningen moeten worden georganiseerd als een beveiligingszone van klasse II als omschreven in Besluit van de Raad 2001/264/EG1 (waarbij het beveiligingsniveau dient af te hangen van de hoeveelheid en de vorm van de aanwezige informatie) -- computers moeten ondergronds worden ondergebracht (tenzij anderszins een vergelijkbaar beveiligingsniveau wordt bereikt) - er moeten verschillende beveiligingszones worden gecreëerd, met gebruikmaking van: pasjes (tenzij anderszins een vergelijkbaar beveiligingsniveau wordt bereikt) - bewakers - toezicht via een gesloten televisiecircuit
- de zone moet op passende wijze beschermd worden tegen elke vorm van binnendringen door onbevoegden - de buitenmuren moeten stevig gebouwd zijn en de toegangsdeuren moeten op passende wijze - op de in- en uitgangen dient toezicht te worden beveiligd zijn tegen toegang door onbevoegden, gehouden 1
Besluit 2001/264/EG van de Raad tot vaststelling van beveiligingsvoorschriften van de Raad (PB L 101 van 11.4.2001, blz 1).
18161/10
kei/JEL/dm DG H
24
NL
bijvoorbeeld door middel van controlemechanismen, tralies, alarmsystemen en sloten - een gebouw of locatie met SIS-gegevensverwerkingsfaciliteiten moet over een receptie met voldoende personeel of andere middelen ter controle van de fysieke toegang beschikken - toegang tot beveiligde zones met faciliteiten voor SIS-gegevensverwerking en de opslag van gegevensdragers moet onder toezicht staan en beperkt blijven tot gemachtigde personen
- bezoekers van beveiligde zones moeten begeleid worden of in het bezit zijn van een veiligheidsmachtiging - bezoekers mogen alleen toegang krijgen voor specifieke, geautoriseerde doeleinden - externe ondersteunende diensten krijgen slechts in beperkte mate en alleen indien noodzakelijk toegang tot beveiligde zone - voor een dergelijke, gecontroleerde toegang is een machtiging vereist
5.5
Beveiliging van apparatuur
- alle apparatuur voor het verwerken en opslaan van SIS-gegevens moet beveiligd worden tegen onvoorziene schade of verlies en ongeautoriseerde toegang
18161/10
kei/JEL/dm DG H
25
NL
5.5.1 Apparatuur voor verwerking van SIS-gegevens - SIS-gegevensverwerkingsapparatuur moet worden geplaatst in een zone waartoe toegang zo veel mogelijk beperkt blijft en streng gecontroleerd wordt - continu toezicht moet waarborgen dat het risico van potentiële bedreigingen, inclusief criminele of terroristische aanslagen, brand, oververhitting ten gevolgde van gebrekkige klimaatcontrole, structurele instorting na een ontploffing en waterinsijpeling, zo klein mogelijk blijft - om een continue stroomtoevoer te waarborgen dient de volgende apparatuur bedrijfsklaar en regelmatig gecontroleerd en getest te zijn: * een installatie voor onderbrekingsvrije stroomvoorziening (UPS) waardoor de essentiële functies blijven werken * een noodaggregaat voor continue verwerking in geval van een langdurige stroomuitval - telecommunicatiekabels moeten voor zover nodig beveiligd worden - elektronische netwerkapparatuur moet geïnstalleerd worden in afgesloten ruimten of cabines - alleen gemachtigd onderhoudspersoneel mag apparatuur herstellen en onderhouden - gezorgd dient te worden voor een apart backupsysteem, met regelmatige controles van de omschakeling van het backup- naar het operationele systeem
De IT-faciliteiten dienen onder meer het volgende te omvatten: - vuur-, hitte- en rookdetectiesystemen - automatisch brandblussysteem - een passende klimaatregeling
Bij de back-up faciliteiten moet rekening gehouden worden met: - cold-/hot standby of gespiegelde sites - onderbrenging op een andere locatie, zodat bij een calamiteit die de ene locatie beschadigt, de andere locatie intact blijft
18161/10
kei/JEL/dm DG H
26
NL
5.5.2
Terminals en PC-werkstations
- terminals, PC-werkstations en printers moeten op dusdanige wijze geplaatst worden dat nietgemachtigde personen de gegevens daarop niet kunnen lezen - er moeten procedures worden vastgesteld voor toezicht op het maken van schermafdrukken en printeruitdraaien van SIS-gegevens. - PC's of terminals moeten automatisch worden uitgelogd wanneer zij enige tijd niet worden gebruikt en moeten wanneer zij niet worden gebruikt, worden beveiligd door sloten, wachtwoorden of andere controlemaatregelen - terminals, PC-werkstations en printers die geplaatst zijn in ruimten die voor iedereen toegankelijk zijn, moeten constant onder toezicht staan 5.6
Beheer van communicatie- en bedieningsprocedures
5.6.1
Bedieningsprocedures en verantwoordelijkheden
- de door de afzonderlijke Schengenstaten vastgestelde bedieningsprocedures moeten schriftelijke worden vastgelegd en regelmatig worden herbezien en bijgewerkt - minimaal moeten zij het volgende bevatten: • procedures voor dagelijkse bedieningsmaatregelen zoals back up, antivirusupdating, netwerkmonitoring, en dergelijke • procedures voor het behandelen van gegevensdragers en andere bedrijfsmiddelen • procedures voor toegangsrestricties • instructies voor de afhandeling van fouten en andere uitzonderlijke situaties • contactpersonen ter ondersteuning in geval van onverwachte bedieningsmoeilijkheden of technische storingen • procedures voor het opnieuw opstarten en herstellen van het systeem na systeemstoringen • een bevredigende controle van alle wijzigingen in de SIS-gegevensverwerkingsfaciliteiten en -systemen moet gewaarborgd zijn, inclusief hardware, software of procedures • er moeten duidelijke instructies zijn voor de verantwoordelijkheden en procedures voor de uitvoering van dergelijke wijzigingen
18161/10
kei/JEL/dm DG H
27
NL
5.6.2 Procedures voor incidentbeheer - er moeten noodplannen en escalatieprocedures zijn voor het afhandelen van incidenten waardoor de werking van het systeem onderbroken zou kunnen worden en Schengen-IT-systemen geheel of gedeeltelijk ontoegankelijk zouden kunnen worden - voor incidenten waardoor niet het gehele systeem ontoegankelijk wordt maar wel de gegevensbeveiliging in gevaar komt, moeten er procedures zijn om ze op te sporen en af te handelen 5.6.3 Bescherming tegen schadelijke software - om de integriteit van software en gegevens te beschermen moet routinematig een hele reeks beveiligingsmaatregelen worden genomen om de introductie van schadelijke software te voorkomen en te ontdekken en daarna bij te dragen aan de herstelling van de systemen - hieronder vallen onder andere controlemaatregelen ter bescherming tegen virussen, wormen, Trojaanse paarden en andere schadelijke software - minimaal moet dit de volgende elementen omvatten: • een formeel beleid dat naleving van softwarelicenties eist en gebruik van ongeautoriseerde software verbiedt • virusdetectie- en reparatiesoftware moet op alle PC's worden toegepast met geregelde virusdefinitie-updates en scanning van alle servers, PC's en laptopcomputers; eventuele uitzonderingen moeten schriftelijk worden vastgelegd • e-mailbijlagen en -downloads worden vóór gebruik op schadelijke software gecontroleerd; vastgelegd moet worden waar/wanneer deze controle geschiedt, bijv. op e-mailservers of bij toegang tot het netwerk • formele procedures om op virusgerelateerde incidenten te reageren moeten beschikbaar zijn
- bijlagen in de vorm van exe.bestanden, bijlagen die versleuteld zijn of macro's, wachtwoorden of soortgelijke verdachte processen bevatten, mogen niet geopend worden
18161/10
kei/JEL/dm DG H
28
NL
5.6.4 Back-ups - er moeten regelmatig reservekopieën van SIS-gegevens, configuratiebestanden en toepassingen worden gemaakt
- er moeten dagelijks kopieën worden gemaakt
- alle back-upsystemen moeten regelmatig getest worden zodat zeker is dat zij in overeenstemming zijn met de vereisten van de bedieningsplannen - back-upgegevens moeten onderworpen zijn - kopieën moeten op minimaal twee verschillende aan de vereiste fysieke bescherming en moeten locaties worden bewaard op afzonderlijke geografische locaties worden bewaard - herstelprocedures moeten regelmatig gecontroleerd en getest worden
- herstelprocedures moeten twee maal per jaar getest worden
5.6.5 Netwerkbeheer - voor de nationale doorgifte van SIS-gegevens mogen alleen netwerken worden gebruikt die beveiligd zijn tegen ongemachtigde toegang - de netwerken moeten onder permanent toezicht staan - er moeten maatregelen worden genomen om SIS-gegevens tijdens de overdracht via communicatienetwerken te beschermen - toegang tot SIS-gegevens via publieke netwerken zoals Internet moet onmogelijk zijn - de doorgifte van wachtwoorden en andere beveiligingselementen moet beveiligd worden door versleutelingsmethoden
- er dient gebruik gemaakt te worden van een versleuteld netwerk / radio / fax
- voor de uitwisseling van persoonsgegevens tussen het SIRENE-bureau en de kantoren "te velde"/ operationele functionarissen dient gebruik gemaakt te worden van beveiligde communicatie - toegang tot het internet via het politienetwerk dient te worden vermeden
5.6.6 Behandeling van gegevensdragers - het aantal technische kopieën van SISgegevens moet tot het strikte minimum beperkt blijven (zie artikel 102, lid 2) van de Schengenuitvoeringsovereenkomst) - er moeten procedures worden ingevoerd voor de verwerking en opslag van de SIS-gegevens om deze gegevens te beschermen tegen ongeautoriseerde doorgifte of misbruik - deze procedures moeten het volgende omvatten:
18161/10
kei/JEL/dm DG H
29
NL
• alleen gemachtigd personeel mag toegang hebben tot opslagmedia op computerbasis die SIS-gegevens bevatten • alle gegevensdragers die SIS-gegevens bevatten, moeten op passende wijze gemerkt worden en adequaat beveiligd worden tijdens het vervoer • gegevensdragers die verouderd of niet langer noodzakelijk zijn, moeten onbruikbaar worden gemaakt, of, wanneer zij opnieuw gebruikt worden, zo worden behandeld dat alle SIS-gegevens worden vernietigd • archieven moeten beveiligd zijn • de toegang tot archieven moet gecontroleerd worden en beperkt blijven tot daarvoor aangewezen personeel • de toegang moet onder toezicht staan en geregistreerd worden • bij het beheer van de archieven moeten de richtsnoeren inzake verwijdering worden gevolgd
5.7
- iedere communicatie met consulaire posten over SIS-gegevens moet beveiligd zijn - voorkomen moet worden dat gegevens abusievelijk worden verspreid door het ongepast recycleren van materiaal, waaronder papier - vervanging van gegevensdragers dient door bevoegde autoriteiten of door een daartoe aangewezen/gescreend bedrijf te worden uitgevoerd - er dienen procedures te worden ingevoerd voor de opslag en vernietiging van materiaal en/of voor het handhaven van een "clean desk"-beleid - elektronische archieven dienen de beste beveiligingsgaranties te bieden, met inbegrip van het bijhouden in een logboek van toegang tot en gebruik van de bestanden en auditfaciliteiten - het gebruik van automatische "wied"- en verwijderingsfuncties in de elektronische archieven wordt aanbevolen - in geval van materiële archieven vormen een combinatie van een magneetkaart en een persoonlijke code voor toegang tot de archieven, dan wel procedures die een vergelijkbaar beveiligingsniveau bieden de beste oplossing - printeruitdraaien i.v.m. elektronische archieven moeten worden vermeden of in elk geval na gebruik worden vernietigd
Toegangscontrole van gebruikers
- er moet een procedure zijn voor het registreren en afmelden van gebruikers, die toegang verschaft tot de verschillende systemen en diensten - deze procedure omvat onder meer: • een unieke gebruikersidentificatie (ID) zodat gebruikers gekoppeld kunnen worden aan en verantwoordelijk kunnen worden gemaakt voor hun handelingen; het gebruik van groepsidentificatie mag derhalve niet worden toegestaan • elke gebruiker mag alleen die toegangsrechten hebben die hij strikt nodig heeft voor de normale vervulling van zijn taken • het recht op toegang tot SIS-gegevens dient onmiddellijk te worden ingetrokken wanneer de betrokken gebruikers niet meer de functies uitoefenen waarin die toegang noodzakelijk was. • op gezette tijden moet gecontroleerd worden of het toegewezen toegangsniveau nog overeenkomt met het gebruikersprofiel • op gezette tijden moet gecontroleerd worden op overtollige gebruikers-ID en -accounts, en worden deze eventueel verwijderd
- er moet een systeem zijn om de validatie van bevragingen steekproefsgewijs te controleren
- de toepassing kan een technische functie bevatten die een gebruikersaccount automatisch afsluit wanneer deze langer dan bijv. twee weken niet gebruikt is
- de ID en account van de gebruiker kunnen automatisch gekoppeld worden aan diens persoonlijke status
18161/10
kei/JEL/dm DG H
30
NL
- de toewijzing en het beheer van wachtwoorden moeten via een formele procedure gecontroleerd worden om te waarborgen dat: • gebruikers geïnformeerd worden over en zich bewust zijn van hun verplichtingen ten aanzien van hun wachtwoord * wachtwoorden op een veilige manier worden meegedeeld aan de gebruikers - wachtwoorden dienen om de 60 à 90 dagen te • gebruikers hun wachtwoord regelmatig worden gewijzigd wijzigen en hergebruik van wachtwoorden niet mogelijk is • wachtwoorden nooit onbeschermd in het computersysteem opgeslagen worden - er moet een procedure worden vastgesteld om ervoor te zorgen dat alle gebruikerstoegangsrechten regelmatig opnieuw worden bezien 5.8
Toezicht op toegang tot en gebruik van het systeem
- het nationale gebruik van de Schengen-ITsystemen moet onder toezicht staan om ongeautoriseerde activiteiten op te sporen
- logboeken en "audit trails" betreffende SIRENEbestanden moeten onder pro-actief toezicht staan en worden bewaard overeenkomstig de nationale wetgeving - elektronische workflow/case-managementsystemen zijn de beste methode om te waarborgen dat elke handeling betreffende een SIRENE-bestand wordt vastgelegd in een logboek of "audit log"
- de doorgifte van persoonsgegevens wordt vastgelegd conform artikel 103 van de Schengenuitvoeringsovereenkomst - er moet een logboek worden bijgehouden van het inloggen, en voor zover mogelijk, uitloggen van gebruikers, en pogingen tot inloggen of mislukte pogingen en pogingen tot ongeautoriseerd gebruik van gegevens gedurende de in artikel 103 van de Schengenuitvoeringsovereenkomst genoemde termijn - de opgeslagen informatie moet o.a. het volgende omvatten: gebruikers-ID, datum en tijdstip van het incident en, zo mogelijk, identiteit en locatie van de terminal 5.9
Ontwikkeling en onderhoud
- om het risico van schade aan bedieningssystemen te beperken, moeten er beveiligingscontrolemaatregelen worden vastgesteld voor gegevens en programma's - er moet bijvoorbeeld voor worden gezorgd dat het actualiseren van de operationele systemen, inclusief programmabibliotheken, niet zonder toestemming kunnen worden bijgewerkt
18161/10
kei/JEL/dm DG H
31
NL
- alvorens toestemming wordt verleend, moet ervoor gezorgd worden dat de bijwerking getest is en voldoende schriftelijk is vastgelegd - er moet een testsysteem voorhanden zijn dat losstaat van de productieomgeving, zodat wijzigingen getest kunnen worden voordat ze operationeel worden en er geen testgegevens in het bedieningssysteem worden geïntroduceerd - ieder gebruik van werkelijke SIS-gegevens voor testdoeleinden moet vermeden worden 5.10
Noodplanning
- elke Schengenstaat moet passende noodplanningsmaatregelen vaststellen en implementeren, waarin bijvoorbeeld rekening wordt gehouden met de volgende situaties: • N.SIS of het netwerk blijkt niet toegankelijk te zijn • sommige of alle gebruikers kunnen geen SISgegevens opzoeken als gevolg van problemen in de nationale IT-infrastructuur - de noodplannen moeten gebaseerd zijn op een evaluatie van de risico's van bedreigingen die het systeem ontoegankelijk kunnen maken en van de gevolgen van de bedreigingen voor de andere Schengenstaten - noodplannen moeten minimaal het volgende omvatten: • criteria voor de uitvoering van de plannen en de maatregelen die onmiddellijk moeten worden genomen om de situatie te beoordelen • escalatieprocedures, in overeenstemming met de procedures die gelden voor de Schengenstaten, om de nationale beheersautoriteiten, C.SIS en de andere Schengenstaten te informeren • noodprocedures die de maatregelen beschrijven die moeten worden genomen na een incident dat de toegang tot het systeem verstoort • uitwijkprocedures die de maatregelen beschrijven die moeten worden genomen om essentiële N.SIS-operaties tijdelijk over te hevelen naar alternatieve servers • systeemherstelprocedures die de maatregelen beschrijven die moeten worden genomen om de normale bedrijfsvoering te hervatten
18161/10
kei/JEL/dm DG H
32
NL
- op gezette tijden moeten de noodplannen worden bijgewerkt en de routines van het personeel worden getest 5.11
Controle
- er moeten procedures worden vastgesteld waarmee continu controle wordt uitgeoefend op de naleving van alle toepasselijke Europese en nationale wettelijke en bestuursrechtelijke bepalingen
- er dienen regelmatige beveiligingsaudits te worden uitgevoerd door personen die niet op de dienst IT werken
________________________
18161/10
kei/JEL/dm DG H
33
NL