31998O0028

RICHTSNOER VAN DE EUROPESE CENTRALE BANK

van 22 december 1998

betreffende de gemeenschappelijke regels en minimumnormen ter bescherming van het vertrouwelijke karakter van de statistische gegevens die door de ECB worden verzameld, daarin bijgestaan door de nationale centrale banken

(ECB/1998/NP28)

DE RAAD VAN BESTUUR VAN DE EUROPESE CENTRALE BANK,

Gelet op de Statuten van het Europees Stelsel van Centrale Banken en van de Europese Centrale Bank (hierna aangeduid als de "statuten"), inzonderheid op de artikelen 5, 12.1, 14.3 en 38,

Gelet op Verordening (EG) nr. 2533/98 van de Raad van 23 november 1998 met betrekking tot het verzamelen van statistische gegevens door de Europese Centrale Bank(1), inzonderheid op artikel 8,

Overwegende hetgeen volgt:

(1) In artikel 8, lid 3, van de bovengenoemde Verordening (EG) nr. 2533/98 wordt bepaald dat de informatieplichtigen in kennis worden gesteld van het gebruik voor statistische en andere administratieve doeleinden dat van door hen geleverde statistische gegevens kan worden gemaakt. In het genoemde artikel wordt eveneens bepaald dat informatieplichtigen het recht hebben inlichtingen te krijgen over de rechtsgrondslag voor het toezenden van de gegevens en over de getroffen beschermingsmaatregelen.

(2) In artikel 8, lid 9, van de genoemde Verordening (EG) nr. 2533/98 wordt vereist dat de Europese Centrale Bank (ECB) en de nationale centrale banken (NCB's) alle wetgevende, administratieve, technische en organisatorische maatregelen nemen die nodig zijn om de bescherming van vertrouwelijke statistische gegevens te garanderen. In het genoemde artikel wordt vereist dat de ECB gemeenschappelijke regels en minimumnormen definieert ter voorkoming van onwettige openbaarmaking en ongeoorloofd gebruik van de statistische gegevens.

(3) Binnen de ECB en de NCB's zijn interne procedures van kracht die een hoge graad van bescherming van vertrouwelijke statistische gegevens binnen de ECB en de NCB's bieden. Het doel van de gemeenschappelijke regels en minimumnormen als vereist in artikel 8, lid 9, van Verordening (EG) nr. 2533/98 kan derhalve worden verwezenlijkt door een fundamenteel beschermingsniveau vast te stellen binnen het gehele Europese Stelsel van Centrale Banken onverminderd de hogere graad van bescherming geboden door de bestaande procedures die binnen de ECB en de NCB's van kracht zijn en zonder dat op deze bestaande procedures inbreuk wordt gemaakt of de ECB en de NCB's specifieke technische oplossingen worden opgelegd, mits de gemeenschappelijke regels en minimumnormen worden gerespecteerd.

(4) De ECB heeft regelmatig informatie van de NCB's nodig over de bestaande beschermingsmaatregelen om haar taak te kunnen vervullen, namelijk het opstellen van gemeenschappelijke regels en minimumnormen, zoals vastgelegd in artikel 8, lid 9, van Verordening (EG) nr. 2533/98 en teneinde te kunnen beoordelen in hoeverre voldaan is aan het vereiste fundamentele beschermingsniveau.

(5) Overeenkomstig de artikelen 12.1 en 14.3 van de statuten maken richtsnoeren van de ECB een integrerend deel uit van de Gemeenschapswetgeving,

HEEFT HET VOLGENDE RICHTSNOER VASTGESTELD:

Artikel 1

Definities

In dit richtsnoer wordt verstaan onder:

1. "vertrouwelijke statistische gegevens": statistische gegevens die als vertrouwelijk zijn gedefinieerd overeenkomstig artikel 8, lid 1, van Verordening (EG) nr. 2533/98;

2. "beschermingsmaatregelen": de passende procedures voor zowel logische als fysieke bescherming van vertrouwelijke statistische gegevens;

3. "logische bescherming": de beschermingsmaatregelen ter voorkoming van onwettige toegang tot de vertrouwelijke statistische gegevens;

4. "fysieke bescherming": beschermingsmaatregelen ter voorkoming van onwettige toegang tot de fysieke omgeving en de fysieke media;

5. "fysieke omgeving": alle sectoren van het gebouw waar zich fysieke media bevinden waarop vertrouwelijke statistische gegevens zijn opgeslagen of via welke deze worden verzonden;

6. "fysieke media": uitdraaien (papier) en de computerapparatuur (met inbegrip van rand- en opslagapparatuur) waarop vertrouwelijke statistische gegevens zijn opgeslagen of waarop deze worden verwerkt.

Artikel 2

Logische bescherming

1. De ECB en de NCB's bepalen en implementeren ieder de voorschriften voor bevoegdverklaring en de beschermingsmaatregelen inzake de logische toegang van hun medewerkers tot vertrouwelijke statistische gegevens.

2. Onverminderd de continuïteit van het systeembeheer, vormen een unieke gebruikerscode en een gepersonaliseerd wachtwoord minimum beschermende maatregelen.

3. Alle passende maatregelen worden getroffen om te verzekeren dat vertrouwelijke statistische gegevens zodanig zijn geordend dat alle gepubliceerde gegevens ten minste drie economische subjecten betreffen. Indien één of twee economische subjecten van een waarneming een zodanig groot aandeel uitmaken, waardoor zij indirect identificeerbaar zijn, dan worden de gepubliceerde gegevens zo geordend dat indirecte identificatie wordt voorkomen. Deze regels zijn niet van toepassing indien de informatieplichtigen of andere rechtspersonen, natuurlijke personen, entiteiten of bijkantoren, die kunnen worden geïdentificeerd, hun uitdrukkelijke toestemming voor de openbaarmaking hebben verleend.

Artikel 3

Fysieke bescherming

De ECB en de NCB's bepalen en implementeren ieder de voorschriften voor bevoegdverklaring en de beschermingsmaatregelen inzake de toegang van hun medewerkers tot een fysieke omgeving, onverminderd artikel 4 van dit richtsnoer.

Artikel 4

Toegang van derden

Indien een derde toegang heeft tot vertrouwelijke statistische gegevens, dan garanderen de ECB en de NCB's op adequate wijze, indien mogelijk via een contract, dat derden de vereisten met betrekking tot geheimhouding als neergelegd in Verordening (EG) nr. 2533/98 en in dit richtsnoer in acht nemen.

Artikel 5

Gegevensoverdracht en netwerken

1. Indien toegestaan uit hoofde van artikel 8 van Verordening (EG) nr. 2533/98, worden vertrouwelijke statistische gegevens na encryptie extra muros elektronisch verzonden.

2. De ECB en de NCB's bepalen ieder de voorschriften voor bevoegdverklaring inzake een dergelijke overdracht van vertrouwelijke statistische gegevens.

3. Wat betreft de interne netwerken dienen passende beschermingsmaatregelen te worden getroffen om onwettige toegang te voorkomen.

4. Interactieve toegang tot vertrouwelijke statistische gegevens vanuit niet-beveiligde netwerken is verboden.

Artikel 6

Documentatie en sensibilisering van het personeel

De ECB en de NCB's dragen er zorg voor dat al hun voorschriften en procedures met betrekking tot de bescherming van vertrouwelijke statistische gegevens zijn gedocumenteerd en dat deze documentatie wordt geactualiseerd. De medewerkers in kwestie worden ingelicht over het belang van de bescherming van vertrouwelijke statistische gegevens en op de hoogte gehouden van alle voorschriften en procedures die hun werk betreffen.

Artikel 7

Rapportage

1. De NCB's delen de ECB ten minste éénmaal per jaar mee welke problemen zich in de voorafgaande periode hebben voorgedaan, wat is ondernomen om deze op te lossen en welke verbeteringen zijn voorzien met betrekking tot de bescherming van vertrouwelijke statistische gegevens. De ECB stelt dienovereenkomstig een verslag op.

2. De Raad van bestuur van de ECB evalueert ten minste éénmaal per jaar de tenuitvoerlegging van dit richtsnoer. Met het oog op de voorbereiding van deze evaluatie wordt de ECB op de hoogte gehouden van en brengt zij verslag uit over de voorschriften voor bevoegdverklaring en het type door de ECB en de NCB's toegepaste beschermingsmaatregelen zoals vermeld in de artikelen 2, 3 en 5 van dit richtsnoer.

Artikel 8

Slotbepalingen

Dit richtsnoer is gericht tot de nationale centrale banken van de deelnemende lidstaten.

Dit richtsnoer wordt van kracht per 1 januari 1999.

Gedaan te Frankfurt am Main, 22 december 1998.

Namens de Raad van bestuur van de ECB

Willem F. Duisenberg

(1) PB L 318 van 27.11.1998, blz. 8.