Samenwerkingsovereenkomst tussen de RDI en de Raad voor Accreditatie

Samenwerkingsovereenkomst tussen de Rijksinspectie Digitale Infrastructuur en de Raad voor Accreditatie inzake samenwerking betreffende hun taken op basis van de cyberbeveiligingsverordening voor de accreditatie en het toelaten van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Partijen

De Rijksinspectie Digitale Infrastructuur, vertegenwoordigd door de inspecteur-generaal, mevrouw A.T.A.J. van Dijk, hierna te noemen ‘de RDI’ en de Raad voor Accreditatie, vertegenwoordigd door de voorzitter raad van bestuur, de heer R.D. Nieuweboer, hierna te noemen ‘de RvA’.

Overwegende dat:

Op 27 juni 2019 de Verordening inzake Enisa, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie (cyberbeveiligingsverordening) (Verordening (EU) 2019/881) in werking is getreden, aan welke cyberbeveiligingsverordening nationaal uitvoering wordt gegeven met de Uitvoeringswet cyberbeveiligingsverordening (Uitvoeringswet);

De RDI de taken, bevoegdheden en verplichtingen op zich neemt van de nationale cyberbeveiligingscertificeringsautoriteit als bedoeld in titel III, artikel 58 van deze cyberbeveiligingsverordening op het gebied van cyberbeveiligingscertificering;

De RvA op basis van de Wet aanwijzing nationale accreditatie-instantie is aangewezen als de nationale accreditatie-instantie als bedoeld in Verordening (EG) nr. 765/2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93;

De RvA in hoedanigheid van nationale accreditatie-instantie op basis van artikel 60, eerste lid, van de cyberbeveiligingsverordening de taak heeft de conformiteitsbeoordelingsinstanties, onder voorwaarden, te accrediteren;

De RvA voor de uitvoering van deze taak behoefte heeft aan specifieke deskundigheid op het gebied van cyberbeveiliging en relevante EU-certificeringsschema’s;

De RDI beschikt over medewerkers met deze specifieke deskundigheid en kennis om andere personen met deze deskundigheid te werven en heeft in hoedanigheid van nationale cyberbeveiligingscertificeringsautoriteit, ingevolge artikel 58, zevende lid, onder c, van de cyberbeveiligingsverordening, de verantwoordelijkheid bijstand en ondersteuning te verlenen aan de RvA bij het uitvoeren van haar taken in het kader van de cyberbeveiligingsverordening;

De RDI in hoedanigheid van nationale cyberbeveiligingscertificeringsautoriteit ingevolge artikel 58, zevende lid, onder e, van de cyberbeveiligingsverordening tot taak heeft conformiteitsbeoordelingsinstanties, onder voorwaarden, toe te laten;

De RDI ten behoeve van haar besluiten over toelating kennis dient te vergaren omtrent relevante feiten en daarvoor (eigen) onderzoek dient te verrichten bij conformiteitsbeoordelingsinstanties en inzage nodig heeft in informatie die de RvA in het kader van haar werkzaamheden over conformiteitsbeoordelingsinstanties vergaart;

Samenwerking tussen Partijen de RvA kan helpen voorzien in haar behoefte aan deskundigheid, de RDI kan helpen voorzien in haar behoefte de noodzakelijke informatie voor haar besluiten te verkrijgen én beoordelingslasten voor conformiteitsbeoordelingsinstanties kan verlichten;

Partijen, in aanvulling op het reeds tussen Partijen bestaande ‘Informatieprotocol Agentschap Telecom - Raad voor Accreditatie’, afspraken wensen te maken over de samenwerking tussen Partijen betreffende hun taken op basis van de cyberbeveiligingsverordening voor de accreditatie en het toelaten van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Spreken het volgende af:

Artikel 1 - Doel Het doel van deze Samenwerkingsovereenkomst is het vastleggen van afspraken tussen partijen inzake samenwerking betreffende hun taken op basis van de cyberbeveiligingsverordening voor de accreditatie en het toelaten van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Artikel 2 – Samenwerking bij beoordelingen Partijen werken samen bij het uitvoeren van beoordelingen van conformiteitsbeoordelingsinstanties ten aanzien van accreditatie en toelating. De RDI zal medewerkers ter beschikking stellen of aandragen met de juiste expertise om de RvA bij haar accreditatiebeoordelingen te ondersteunen. De RvA stemt accreditatiebeoordelingen van conformiteitsbeoordelingsinstanties af met de RDI en stelt de RDI in de gelegenheid naast het bieden van expertise aan de RvA ook eigen onderzoek bij conformiteitsbeoordelingsinstanties te verrichten ten behoeve van door haar te nemen toelatingsbesluiten.

Artikel 3 - Verantwoordelijkheden Bij het uitvoeren van gedeelde beoordelingen blijven zowel de RvA als de RDI exclusief verantwoordelijk voor hun eigen taken: a. De verantwoordelijkheid voor de accreditatie van conformiteitsbeoordelingsinstanties ligt bij de RvA, zoals voortvloeit uit artikel 60, eerste lid, van de cyberbeveiligingsverordening. De RDI velt geen oordeel over de accreditatie van conformiteitsbeoordelingsinstanties in de zin van voornoemd artikel. b. De verantwoordelijkheid voor het toelaten van conformiteitsbeoordelingsinstanties ligt bij de RDI, zoals voortvloeit uit artikel 58, zevende lid, onder e, van de cyberbeveiligingsverordening. De RvA velt geen oordeel over het toelaten van conformiteitsbeoordelingsinstanties in de zin van voornoemd artikel.

Artikel 4 - Exclusiviteit Partijen spreken af op basis van exclusiviteit bij beoordelingen samen te werken. De RvA zal in het kader van het beoordelen van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s, naast haar eigen medewerkers, uitsluitend Technical Assessors of Technical Experts inzetten die ter beschikking zijn gesteld door de RDI of die door de RDI zijn aangedragen.

Artikel 5 – RDI-personeel als Technical Assessor of Technical Expert Door de RDI ter beschikking gesteld of aangedragen personeel vervult bij beoordelingen voor de RvA een ondersteunende expertiserol als Technical Assessor of Technical Expert. RDI-personeel werkt in het kader van deze rol binnen de bevoegdheid van de RvA en houdt zich aan de RvA standaarden en werkwijze. RDI-personeel draagt duidelijk naar buiten toe uit wanneer zij (buiten de Technical Assessor of Technical Expert-rol) als toezichthouder optreedt.

Artikel 6 – Ter beschikking stellen voldoende RDI-medewerkers of personen aangedragen door RDI De RDI stelt voldoende medewerkers ter beschikking, of draagt voldoende personen aan, voor inzet bij de RvA ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Artikel 7 - Kwaliteit en deskundigheid RDI-medewerkers en personen aangedragen door RDI De RDI staat in voor de kwaliteit en de deskundigheid van de medewerkers die zij ter beschikking stelt aan en personen die zij aandraagt voor inzet bij de RvA ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Artikel 8 - Voldoen aan standaarden RvA De medewerker die door de RDI ter beschikking wordt gesteld of de persoon die door de RDI wordt aangedragen en waarvan het de bedoeling is dat deze door de RvA zal worden ingezet ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s dient voorafgaande aan deze inzet aan de standaarden van de RvA te voldoen.

Artikel 9 - Opleiding en/of training De RvA draagt zorg voor de opleiding en/of training van de medewerker die door de RDI ter beschikking wordt gesteld of de persoon die door de RDI wordt aangedragen, met betrekking tot de standaarden van de RvA, met als doel dat die medewerker of die persoon na deze opleiding en/of training voldoet aan de standaarden van de RvA.

Artikel 10 - Beoordeling personeel door RvA De RvA beoordeelt of de door de RDI ter beschikking gestelde medewerker of de door de RDI aangedragen persoon, nadat deze de door de RvA aangeboden opleiding en/of training heeft afgerond, voldoet aan de standaarden van de RvA. Indien de desbetreffende medewerker of desbetreffende persoon bij deze beoordeling niet voldoet aan de standaarden van de RvA, kan de RvA de desbetreffende medewerker of desbetreffende persoon weigeren.

Artikel 11 - Levering RDI-medewerkers en door RDI aangedragen personen aan RvA Indien de door de RDI ter beschikking gestelde medewerker of de door de RDI aangedragen persoon voldoet aan de standaarden van de RvA zal de RDI de desbetreffende medewerker leveren of ervoor zorgdragen dat de desbetreffende persoon geleverd wordt aan de RvA, zodat deze medewerker of persoon kan worden ingezet ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s.

Artikel 12 - Geheimhouding Een medewerker van de RDI is uit hoofde van zijn/haar functie als ambtenaar bij de RDI gehouden aan zijn/haar geheimhoudingsplicht. Dit betekent dat de medewerker van de RDI alle vertrouwelijke gegevens geheim dient te houden. Dit geldt ook voor de werkzaamheden die de medewerker verricht ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s. Indien de RDI een persoon aandraagt ter ondersteuning van de RvA die geen ambtenaar is dient deze persoon voorafgaande aan zijn/haar inzet bij de RvA schriftelijk te verklaren dat hij/zij in dat kader geheimhouding zal betrachten betreffende alle vertrouwelijke gegevens.

Artikel 13 - Melding aanvraag voor accreditatie De RvA meldt iedere aanvraag van een conformiteitsbeoordelingsinstantie voor accreditatie voor een Europese cyberbeveiligingscertificeringsregeling onverwijld aan de RDI.

Artikel 14 - Planning van opdrachten a. De RvA deelt haar conceptplanning voor het onderzoek inzake de accreditatie voor een Europese cyberbeveiligingscertificeringsregeling van een conformiteitsbeoordelingsinstantie, of voor de verlenging van deze accreditatie, met de RDI. De RDI reageert onverwijld aan de RvA op de conceptplanning, en, indien dat noodzakelijk is vanwege haar eigen planning doet de RDI een voorstel voor aanpassing van de conceptplanning. Partijen stemmen vervolgens in goed overleg gezamenlijk de planning voor voornoemd onderzoek definitief met elkaar af. b. De RvA draagt er zorg voor dat de planning voor het onderzoek is afgestemd met de te beoordelen conformiteitsbeoordelingsinstantie.

Artikel 15 - Gebruik gegevens en informatie Het is de RDI toegestaan om de gegevens en informatie die zij, haar medewerkers en/of de door haar aangedragen personen verkrijgt/verkrijgen vanuit de ondersteuning die zij biedt aan de RvA inzake de accreditatie van conformiteitsbeoordelingsinstanties te gebruiken ten behoeve van haar taak op het gebied van het toelaten van conformiteitsbeoordelingsinstanties.

Artikel 16 - Contactpersonen Partijen wijzen ieder een contactpersoon aan die als aanspreekpunt fungeert voor de generieke informatie-uitwisseling, afstemming en afspraken in deze Samenwerkingsovereenkomst. Partijen wijzen daarnaast ieder een contactpersoon (meerdere contactpersonen) aan die als aanspreekpunt (aanspreekpunten) fungeert (fungeren) voor de inzet van medewerkers van de RDI en personen aangedragen door de RDI.

Artikel 17 - Evaluatie De uitvoering van de in deze Samenwerkingsovereenkomst neergelegde afspraken wordt in het eerste jaar halfjaarlijks of zo vaak als noodzakelijk geacht door Partijen geëvalueerd. Na het eerste jaar vindt evaluatie van de uitvoering van de Samenwerkingsovereenkomst door Partijen jaarlijks plaats. Tijdens de evaluatie zal specifiek aandacht worden besteed aan de verenigbaarheid van rollen voor het RDI-personeel.

Artikel 18 - Financiering De inzet van medewerkers van de RDI en/of personen aangedragen door de RDI ter ondersteuning van de RvA bij de accreditatie van conformiteitsbeoordelingsinstanties voor EU certificeringsschema’s geschiedt door Partijen om niet.

Artikel 19 - Openbaarheid Partijen hechten aan transparantie over de tussen hen gemaakte afspraken en zullen deze Samenwerkingsovereenkomst op hun eigen website plaatsen.

Artikel 20 – Wet open overheid Partijen informeren elkaar over een verzoek in het kader van de Wet open overheid op het gebied van de cyberbeveiligingsverordening. Partijen erkennen dat zij beiden verzoeken ten aanzien van dit onderwerp kunnen ontvangen, maar ook belanghebbende kunnen zijn bij verzoeken die gericht zijn aan de ander. Bij verzoeken tot openbaarmaking ten aanzien van dit onderwerp stellen partijen elkaar telkens in de gelegenheid een zienswijze in te dienen, voordat door de betreffende partij een besluit wordt genomen op het verzoek.

Artikel 21 - Onvoorziene omstandigheden Betreffende onderwerpen en/of situaties waarin deze Samenwerkingsovereenkomst niet expliciet voorziet is het reeds tussen Partijen bestaande ‘Informatieprotocol Agentschap Telecom - Raad voor Accreditatie met betrekking tot conformiteits- en overeenstemmingsbeoordelingsinstanties’ van toepassing, mocht dat protocol niet voorzien dan zijn Partijen over en weer jegens elkaar gehouden te handelen overeenkomstig de uitgangspunten en strekking van deze Samenwerkingsovereenkomst, rekening houdend met elkaars wederzijdse redelijke belangen.

Artikel 22 - Wijzigingen Deze Samenwerkingsovereenkomst kan uitsluitend schriftelijk en met instemming van Partijen worden aangepast of aangevuld. Partijen zullen deze Samenwerkingsovereenkomst ieder geval in overeenstemming houden met eventuele wijzigingen van wet- en regelgeving.

Artikel 23 - Afdwingbaarheid Partijen kunnen elkaar aanspreken op de in deze Samenwerkingsovereenkomst gemaakte afspraken. De afspraken in deze Samenwerkingsovereenkomst zijn niet in rechte afdwingbaar.

Artikel 24 - Geschillen Mocht er een geschil ontstaan over (de uitvoering van) de in deze Samenwerkingsovereenkomst opgenomen afspraken dan is de intentie van Partijen dat geschil gezamenlijk op te lossen. De escalatieroute in dezen is via de lijn van de organisatiestructuur (projectmanager afdelingsdirecteur-directeur organisatie).

Artikel 25 - Inwerkingtreding Deze Samenwerkingsovereenkomst treedt in werking met ingang van de datum van ondertekening door Partijen, en geldt voor onbepaalde tijd.

Artikel 26 - Opzegging Deze Samenwerkingsovereenkomst kan slechts door Partijen gezamenlijk worden opgezegd, tenzij er bijzondere omstandigheden zijn op grond waarvan van een der Partijen in redelijkheid niet gevergd kan worden deze Samenwerkingsovereenkomst voort te zetten. In dat geval kan deze Samenwerkingsovereenkomst eenzijdig worden opgezegd. Er geldt een opzegtermijn van zes maanden.

Aldus overeengekomen en in tweevoud ondertekend

Rijksinspectie Digitale Infrastructuur, Raad voor Accreditatie, namens deze, namens deze, A.T.A.J. van Dijk

R.D. Nieuweboer Inspecteur-generaal Voorzitter raad van bestuur