5.5.2010

DA

Den Europæiske Unions Tidende

L 112/25

---

KOMMISSIONENS AFGØRELSE

af 4. maj 2010

om sikkerhedsplanen for visuminformationssystemets virkemåde

(2010/260/EU)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold (VIS-forordningen) (1), særlig artikel 32,

og ud fra følgende betragtninger:

(1)

Artikel 32, stk. 3, i forordning (EF) nr. 767/2008 foreskriver, at forvaltningsmyndigheden skal træffe de nødvendige foranstaltninger med henblik på at nå de mål på sikkerhedsområdet, der er fastsat i artikel 32, stk. 2, for så vidt angår visuminformationssystemets virkemåde, herunder vedtagelsen af sikkerhedsplanen.

(2)	Artikel 26, stk. 4, i forordning (EF) nr. 767/2008 foreskriver, at Kommissionen i en overgangsperiode skal være ansvarlig for den operationelle forvaltning af VIS, indtil forvaltningsmyndigheden indleder sin virksomhed.

(3)	Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (2) gælder for Kommissionens behandling af personoplysninger, når den varetager sine forpligtelser i forbindelse med den operationelle forvaltning af VIS.

(4)

Artikel 26, stk. 7, i forordning (EF) nr. 767/2008 foreskriver, at Kommissionen ved uddelegering af sit ansvar i overgangsperioden, indtil forvaltningsmyndigheden indleder sin virksomhed, skal sikre, at denne uddelegering ikke negativt påvirker konkrete kontrolmekanismer i henhold til EU-retten, uanset om det drejer sig om kontrol udøvet af Domstolen, Revisionsretten eller den europæiske tilsynsførende for databeskyttelse.

(5)	Forvaltningsmyndigheden skal fastlægge sin egen sikkerhedsplan i forhold til VIS, når den har indledt sin virksomhed.

(6)

I Kommissionens beslutning 2008/602/EF af 17. juni 2008 om fastlæggelse af den fysiske arkitektur for og kravene til de nationale grænseflader og kommunikationsinfrastrukturen mellem det centrale VIS og de nationale grænseflader i udviklingsfasen (3) beskrives de nødvendige sikkerhedstjenester, der gælder for VIS-nettet.

(7)

Artikel 27 i forordning (EF) nr. 767/2008 foreskriver, at det overordnede centrale VIS, der står for teknisk tilsyn og forvaltning, placeres i Strasbourg (Frankrig), og en backup af det centrale VIS, der kan sikre alle funktioner i det overordnede centrale VIS i tilfælde af systemsvigt, placeres i Sankt Johann i Pongau (Østrig).

(8)	De sikkerhedsansvarliges roller skal fastlægges for at sikre en effektiv og hurtig reaktion på sikkerhedsrelaterede hændelser og rapportering heraf.

(9)	Der skal fastlægges en sikkerhedspolitik, som beskriver alle tekniske og organisatoriske oplysninger i overensstemmelse med bestemmelserne i denne afgørelse.

(10)	Der skal fastlægges foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau for visuminformationssystemets virkemåde —

VEDTAGET DENNE AFGØRELSE:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Formål

Med denne afgørelse fastlægges sikkerhedsorganisationen og foranstaltningerne (sikkerhedsplanen) i henhold til artikel 32, stk. 3, i forordning (EF) nr. 767/2008.

AFSNIT II

ORGANISATION, ANSVARSOMRÅDER OG HÆNDELSESSTYRING

Artikel 2

Kommissionens opgaver

1.   Kommissionen skal gennemføre og overvåge effektiviteten af sikkerhedsforanstaltningerne i forbindelse med det centrale VIS-system og den kommunikationsinfrastruktur, der henvises til i denne afgørelse.

2.   Kommissionen skal udpege en sikkerhedsansvarlig for systemet blandt sine embedsmænd. Den sikkerhedsansvarlige for systemet skal udnævnes af Generaldirektøren for Kommissionens Generaldirektorat for Retfærdighed, Frihed og Sikkerhed. Den systemsikkerhedsansvarlige skal især:

a)	udarbejde, ajourføre og revidere sikkerhedspolitikken, som beskrevet i artikel 7 i denne afgørelse

b)	overvåge effektiviteten af gennemførelsen af sikkerhedsprocedurerne for det centrale VIS og kommunikationsinfrastrukturen

c)	bidrage til udarbejdelsen af rapportering i relation til sikkerhed, som omhandlet i artikel 50, stk. 3, og 50, stk. 4, i forordning (EF) nr. 767/2008

d)	udføre koordinerende og understøttende opgaver i forbindelse med de kontroller og revisioner, der udøves af den europæiske tilsynsførende for databeskyttelse, som omhandlet i artikel 42 i forordning (EF) nr. 767/2008

e)	overvåge, at denne afgørelse og sikkerhedspolitikken anvendes korrekt og fuldt ud af alle leverandører, herunder underleverandører, der på nogen måde er involveret i forvaltningen og virkemåden af VIS

f)	føre en liste over nationale kontaktpunkter for VIS-sikkerhed og dele den med de lokale sikkerhedsansvarlige for det centrale VIS og for kommunikationsinfrastrukturen.

Artikel 3

Lokal sikkerhedsansvarlig for det centrale VIS

1.   Med forbehold af artikel 8 skal Kommissionen udpege en lokal sikkerhedsansvarlig for det centrale VIS blandt sine embedsmænd. Interessekonflikter mellem den lokale sikkerhedsansvarliges opgaver og andre officielle opgaver skal forhindres. Den lokale sikkerhedsansvarlige for det centrale VIS skal udnævnes af Generaldirektøren for Kommissionens Generaldirektorat for Retfærdighed, Frihed og Sikkerhed.

2.   Den lokale sikkerhedsansvarlige for det centrale VIS skal sikre gennemførelse af de sikkerhedsforanstaltninger, der henvises til i denne afgørelse, og at sikkerhedsprocedurerne følges i det overordnede centrale VIS. Hvad angår backuppen af det centrale VIS, skal den lokale sikkerhedsansvarlige for det centrale VIS sikre gennemførelse af de sikkerhedsforanstaltninger, der henvises til i denne afgørelse, bortset fra dem, der henvises til i artikel 10, og at sikkerhedsprocedurerne i relation hertil følges.

3.   Den lokale sikkerhedsansvarlige for det centrale VIS kan pålægge underordnet personale en hvilken som helst af sine opgaver. Interessekonflikter mellem den lokale sikkerhedsansvarliges opgaver og andre officielle opgaver skal forhindres. Et kontakttelefonnummer skal gøre det muligt når som helst at få fat i den lokale sikkerhedsansvarlige eller dennes underordnede, der har tjeneste.

4.   Den lokale sikkerhedsansvarlige for det centrale VIS skal udføre de opgaver, der er et resultat af sikkerhedsforanstaltninger, som skal træffes på de steder, hvor det overordnede VIS og backuppen af VIS er placeret, inden for de grænser, der er fastsat i stk. 1, herunder især:

a)	lokale operationelle sikkerhedsopgaver, herunder firewall audit-funktioner, regelmæssig sikkerhedstestning, revision og rapportering

b)	overvåge effektiviteten af kontinuitetsplanen og sikre, at der gennemføres regelmæssige kontroller

c)	sikre dokumentation for og rapportere enhver hændelse til den sikkerhedsansvarlige for systemet, der kan have indvirkning på sikkerheden i det centrale VIS eller kommunikationsinfrastrukturen

d)	informere den sikkerhedsansvarlige for systemet, hvis det er nødvendigt at ændre sikkerhedspolitikken

e)	overvåge, at denne afgørelse og sikkerhedspolitikken anvendes af alle leverandører, herunder underleverandører, der på nogen måde er involveret i forvaltningen og virkemåden af det centrale VIS

f)	sikre, at personalet er klar over dets forpligtelser, samt overvåge anvendelsen af sikkerhedspolitikken

g)	overvåge it-sikkerhedsudviklingen og sikre, at personalet er uddannet i overensstemmelse hermed

h)	forberede underliggende oplysninger og undersøge mulighederne for udarbejdelse, ajourføring og gennemgang af sikkerhedspolitikken i henhold til artikel 7.

Artikel 4

Lokal sikkerhedsansvarlig for kommunikationsinfrastrukturen

1.   Med forbehold af artikel 8 skal Kommissionen udpege en lokal sikkerhedsansvarlig for kommunikationsinfrastrukturen blandt sine embedsmænd. Interessekonflikter mellem den lokale sikkerhedsansvarliges opgaver og andre officielle opgaver skal forhindres. Den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen skal udnævnes af generaldirektøren for Kommissionens Generaldirektorat for Retlige Anliggender, Frihed og Sikkerhed.

2.   Den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen skal overvåge kommunikationsinfrastrukturens funktion og sikre, at sikkerhedsforanstaltningerne gennemføres, og at sikkerhedsprocedurerne følges.

3.   Den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen kan pålægge underordnet personale en hvilken som helst af sine opgaver. Interessekonflikter mellem den lokale sikkerhedsansvarliges opgaver og andre officielle opgaver skal forhindres. Et kontakttelefonnummer skal gøre det muligt når som helst at få fat i den lokale sikkerhedsansvarlige eller dennes underordnede, der har tjeneste.

4.   Den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen skal udføre de opgaver, der er et resultat af sikkerhedsforanstaltninger i relation til kommunikationsinfrastrukturen, herunder især:

a)	alle operationelle sikkerhedsopgaver i forbindelse med kommunikationsinfrastrukturen, f.eks. firewall audit-funktioner, regelmæssig sikkerhedskontrol, revision, rapportering

b)	overvåge effektiviteten af kontinuitetsplanen og sikre, at der gennemføres regelmæssige kontroller

c)	sikre dokumentation for og rapportere enhver hændelse til den sikkerhedsansvarlige for systemet, der kan have indvirkning på sikkerheden i kommunikationsinfrastrukturen eller det centrale VIS eller på nationale systemer

d)	informere den sikkerhedsansvarlige for systemet, hvis det er nødvendigt at ændre sikkerhedspolitikken

e)	overvåge, at denne afgørelse og sikkerhedspolitikken anvendes af alle leverandører, herunder underleverandører, der på nogen måde er involveret i forvaltningen af kommunikationsinfrastrukturen

f)	sikre, at personalet er klar over dets forpligtelser, samt overvåge anvendelsen af sikkerhedspolitikken

g)	overvåge it-sikkerhedsudviklingen og sikre, at personalet er uddannet i overensstemmelse hermed

h)	forberede underliggende oplysninger og undersøge mulighederne for udarbejdelse, ajourføring og gennemgang af sikkerhedspolitikken i henhold til artikel 7.

Artikel 5

Sikkerhedsrelaterede hændelser

1.   Enhver hændelse, der har eller kan have indvirkning på sikkerheden i forbindelse med virkemåden af VIS og forårsage skade eller tab i forbindelse med VIS, skal anses for at være en sikkerhedshændelse, især hvor adgang til oplysninger kan have forekommet, eller hvor tilgængeligheden, integriteten og fortroligheden af data er blevet eller kan være blevet kompromitteret.

2.   Sikkerhedspolitikken skal fastlægge procedurer for genopretning efter en hændelse. Sikkerhedsrelaterede hændelser skal styres for at sikre en hurtig, effektiv og behørig reaktion i overensstemmelse med sikkerhedspolitikken.

3.   Oplysninger om en sikkerhedshændelse, der har eller kan have indvirkning på virkemåden af VIS i en medlemsstat eller på tilgængeligheden, integriteten og fortroligheden af de VIS-data, som en medlemsstat har registreret, skal videreformidles til den relevante medlemsstat. Sikkerhedshændelser skal anmeldes til Kommissionens databeskyttelsesansvarlige.

Artikel 6

Hændelsesstyring

1.   Alle ansatte og leverandører, der er involveret i udviklingen, forvaltningen eller virkemåden af VIS, skal registrere og rapportere enhver observeret eller formodet sikkerhedssvaghed i virkemåden af VIS til den sikkerhedsansvarlige for systemet eller den lokale sikkerhedsansvarlige for det centrale VIS eller til den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen, hvis det er relevant.

2.   Hvis der konstateres en hændelse, som har eller kan have indvirkning på sikkerheden i forbindelse med virkemåden af VIS, skal den lokale sikkerhedsansvarlige for det centrale VIS eller den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen så hurtigt som muligt informere den sikkerhedsansvarlige for systemet og, hvor det er relevant, det nationale kontaktpunkt for VIS-sikkerhed, hvis der findes et sådant kontaktpunkt i den pågældende medlemsstat, skriftligt eller, i påtrængende hastetilfælde, via andre kommunikationskanaler. Rapporten skal indeholde beskrivelsen af sikkerhedshændelsen, risikoniveauet, mulige konsekvenser og de foranstaltninger, der er truffet eller skal træffes for at mindske risikoen.

3.   Enhver dokumentation i forbindelse med sikkerhedshændelsen skal sikres øjeblikkeligt af den lokale sikkerhedsansvarlige for det centrale VIS eller den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen, hvor det er relevant. I det omfang, det er muligt i henhold til gældende databeskyttelsesbestemmelser, skal denne dokumentation stilles til rådighed for den sikkerhedsansvarlige for systemet efter anmodning herom.

4.   Der skal gennemføres feedbackprocesser for at sikre, at oplysninger om resultaterne videreformidles, når hændelsen er blevet behandlet og afsluttet.

KAPITEL III

SIKKERHEDSFORANSTALTNINGER

Artikel 7

Sikkerhedspolitik

1.   Generaldirektøren for Kommissionens Generaldirektorat for Retlige Anliggender, Frihed og Sikkerhed skal fastlægge, ajourføre og regelmæssigt gennemgå en bindende sikkerhedspolitik i henhold til denne afgørelse. Sikkerhedspolitikken skal indeholde detaljerede procedurer og foranstaltninger for at beskytte mod trusler i relation til tilgængeligheden, integriteten og fortroligheden af VIS, herunder nødplaner, med henblik på at sikre et tilstrækkeligt sikkerhedsniveau som foreskrevet i denne afgørelse. Sikkerhedspolitikken skal være i overensstemmelse med denne afgørelse.

2.   Sikkerhedspolitikken skal baseres på en risikovurdering. De foranstaltninger, som foreskrives af sikkerhedspolitikken, skal stå i et rimeligt forhold til de identificerede risici.

3.   Risikovurderingen og sikkerhedspolitikken skal opdateres, hvis teknologiske ændringer, identifikation af nye trusler eller andre forhold nødvendiggør dette. Sikkerhedspolitikken skal under alle omstændigheder gennemgås en gang om året for at sikre, at der fortsat reageres hensigtsmæssigt på den seneste risikovurdering eller en anden nyligt identificeret ændring, trussel eller et andet relevant forhold.

4.   Sikkerhedspolitikken skal udarbejdes af den sikkerhedsansvarlige for systemet i samarbejde med den lokale sikkerhedsansvarlige for VIS og den lokale sikkerhedsansvarlige for kommunikationsinfrastrukturen.

Artikel 8

Gennemførelse af sikkerhedsforanstaltningerne

1.   Gennemførelsen af opgaver og krav, der er fastlagt i denne afgørelse og i sikkerhedspolitikken, herunder udpegelsen af en lokal sikkerhedsansvarlig, kan udliciteres eller overdrages til private eller offentlige organer.

2.   I dette tilfælde skal Kommissionen gennem juridisk bindende aftaler sikre, at de krav, der er fastlagt i denne afgørelse og i sikkerhedspolitikken, overholdes fuldt ud. I tilfælde af uddelegering eller udlicitering af opgaven med udpegelse af en lokal sikkerhedsansvarlig skal Kommissionen gennem juridisk bindende aftaler sikre, at den vil blive konsulteret med hensyn til den person, der skal udpeges som lokal sikkerhedsansvarlig.

Artikel 9

Adgangskontrolfaciliteter

1.   Der skal anvendes sikkerhedsperimetre med passende barrierer og adgangskontroller til at beskytte områder, der rummer databehandlingsfaciliteter.

2.   Inden for sikkerhedsperimetrene skal der defineres sikre områder for at beskytte de fysiske komponenter (aktiver), herunder hardware, datamedier og konsoller, planer og andre dokumenter i VIS samt kontorer og andre arbejdssteder, hvor personale er involveret i driften af VIS. Disse sikre områder skal beskyttes ved hjælp af passende adgangskontroller for at sikre, at kun autoriseret personale har adgang hertil. Arbejde i sikre områder skal være omfattet af de detaljerede sikkerhedsregler, der er fastlagt i sikkerhedspolitikken.

3.   Der skal tages højde for og installeres fysisk sikkerhed i kontorer, rum og faciliteter. Adgangspunkter, f.eks. af- og pålæsningsområder, og andre punkter, hvor uautoriserede personer kan få adgang til lokalerne, skal kontrolleres og om muligt isoleres fra databehandlingsfaciliteter for at undgå uautoriseret adgang.

4.   Der skal konstrueres en fysisk beskyttelse af sikkerhedsperimetrene mod skader, der forårsages af naturlige eller menneskeskabte katastrofer, og de skal anvendes proportionalt i forhold til risikoen.

5.   Udstyr skal beskyttes mod fysiske og miljømæssige trusler samt mod risikoen for uautoriseret adgang.

6.   Hvis Kommissionen har adgang til sådanne oplysninger, skal den tilføje et kontaktpunkt på den liste, der henvises til i artikel 2, stk. 2, litra f), i forbindelse med overvågning af gennemførelsen af bestemmelserne i denne artikel i de lokaler, hvor backuppen af det centrale VIS er placeret.

Artikel 10

Datamedier og kontrol med aktiver

1.   Flytbare medier, som indeholder data, skal beskyttes mod uautoriseret adgang, misbrug eller forvanskning, og læseligheden heraf skal sikres i hele deres levetid.

2.   Medier skal bortskaffes på en forsvarlig og sikker måde, når de ikke længere skal anvendes, i overensstemmelse med de detaljerede procedurer, der skal fastlægges i sikkerhedspolitikken.

3.   Fortegnelser skal sikre, at oplysninger om lagringsplaceringen, den gældende opbevaringsperiode og adgangsrettigheder er tilgængelige.

4.   Alle vigtige aktiver i forbindelse med det centrale VIS og kommunikationsinfrastrukturen skal identificeres, således at de kan beskyttes i overensstemmelse med deres vigtighed. Der skal føres et opdateret register over relevant it-udstyr.

5.   Der skal forefindes opdateret dokumentation for det centrale VIS og kommunikationsinfrastrukturen. Denne dokumentation skal beskyttes mod uautoriseret adgang.

Artikel 11

Lagringskontrol

1.   Der skal træffes passende foranstaltninger for at sikre korrekt lagring af data og forhindre uautoriseret adgang hertil.

2.   Alt udstyr, der indeholder lagringsmedier, skal kontrolleres for at sikre, at følsomme data er blevet fjernet eller fuldstændig overskrevet inden bortskaffelse, eller det skal destrueres sikkert.

Artikel 12

Passwordkontrol

1.   Alle adgangskoder skal opbevares sikkert og behandles fortroligt. Hvis der er mistanke om, at en adgangskode er blevet afsløret, skal adgangskoden ændres øjeblikkeligt, eller den pågældende brugerkonto skal deaktiveres. Der skal anvendes entydige og individuelle bruger-id'er.

2.   Der skal fastlægges procedurer i sikkerhedspolitikken for log-in/log-off for at forhindre uautoriseret adgang.

Artikel 13

Adgangskontrol

1.   Sikkerhedspolitikken skal fastlægge en formel procedure for registrering og afregistrering af personale i forbindelse med at tildele og inddrage adgangsrettigheder til VIS-hardware og -software i det centrale VIS i forbindelse med den operationelle forvaltning. Tildelingen og brugen af de fornødne adgangsrettigheder (adgangskoder eller andre egnede midler) skal kontrolleres ved hjælp af en formel forvaltningsproces som fastsat i sikkerhedspolitikken.

2.   Adgang til VIS-hardware og -software i det centrale VIS skal

i)	være begrænset til autoriserede personer

ii)	være begrænset til tilfælde, hvor der kan identificeres et lovligt formål i henhold til artikel 42 og 50, stk. 2, i forordning (EF) nr. 767/2008

iii)	ikke overskride den varighed og det omfang, der er nødvendigt i forbindelse med formålet med adgangen', og

iv)	kun ske i overensstemmelse med en adgangskontrolpolitik, der skal defineres i sikkerhedspolitikken.

3.   Kun konsoller og software, der er autoriseret af den lokale sikkerhedsansvarlige for det centrale VIS, skal anvendes i forbindelse med det centrale VIS. Brugen af systemværktøjer, der eventuelt kan overstyre system- og applikationskontroller, skal begrænses og kontrolleres. Der skal være procedurer med henblik på kontrol af softwareinstallationer.

Artikel 14

Kommunikationskontrol

Kommunikationsinfrastrukturen skal overvåges med henblik på at skabe tilgængelighed, integritet og fortrolighed i forbindelse med informationsudvekslingen. Krypteringsværktøjer skal anvendes for at sikre de data, der overføres i kommunikationsinfrastrukturen.

Artikel 15

Kontrol af dataregistrering

Konti for personer, der er autoriseret til at have adgang til VIS-software fra det centrale VIS, skal overvåges af den lokale sikkerhedsansvarlige for det centrale VIS. Brugen af disse konti, herunder varighed og brugeridentitet, skal registreres.

Artikel 16

Overførselskontrol

1.   Der skal træffes de nødvendige foranstaltninger i sikkerhedspolitikken med henblik på at forhindre uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse til eller fra VIS eller under transport af databærere. Der skal fastsættes bestemmelser i sikkerhedspolitikken med hensyn til tilladte typer af forsendelse eller transport samt med hensyn til ansvarsprocedurer i forbindelse med transport af udstyr og dets ankomst på bestemmelsesstedet. Datemediet må ikke indeholde nogen andre data end dem, der skal sendes.

2.   Tjenester, der leveres af tredjeparter, og som involverer vurdering, behandling, kommunikation eller forvaltning af databehandlingsfaciliteter eller tilføjelse af produkter eller tjenester til databehandlingsfaciliteter, skal have passende indbyggede sikkerhedskontroller.

Artikel 17

Sikkerheden af kommunikationsinfrastrukturen

1.   Kommunikationsinfrastrukturen skal styres og kontrolleres tilfredsstillende med henblik på at beskytte den mod trusler og garantere sikkerheden for selve kommunikationsinfrastrukturen og for det centrale VIS, herunder oplysninger, der udveksles herigennem.

2.   Sikkerhedsfunktioner, serviceniveauer og forvaltningskrav i forbindelse med alle netværkstjenester skal identificeres i serviceaftalen med tjenesteudbyderen.

3.   Ud over at beskytte VIS-adgangspunkterne skal enhver yderligere tjeneste, der anvendes af kommunikationsinfrastrukturen, også beskyttes. Der skal defineres passende foranstaltninger i sikkerhedspolitikken.

Artikel 18

Overvågning

1.   Logs, som registrerer de oplysninger, der henvises til i artikel 34, stk. 1, i forordning (EF) nr. 767/2008, om hver adgang til og alle databehandlingsoperationer inden for det centrale VIS skal lagres forsvarligt og sikkert i og være tilgængelige fra de lokaler, hvor det overordnede VIS og backuppen af det centrale VIS er placeret i den periode, der henvises til i artikel 34, stk. 2, i forordning (EF) nr. 767/2008.

2.   Procedurer for overvågning af brug eller fejl i databehandlingsfaciliteter skal fastlægges i sikkerhedspolitikken, og resultaterne af overvågningsaktiviteterne skal gennemgås regelmæssigt. Om nødvendigt skal der træffes passende foranstaltninger.

3.   Logningsfaciliteter og logs skal beskyttes mod manipulation og uautoriseret adgang med henblik på at overholde kravene til indsamling og opbevaring af dokumentation i opbevaringsperioden.

Artikel 19

Krypteringsteknikker

Krypteringsteknikker skal anvendes, hvor det er relevant, til beskyttelse af oplysninger. Anvendelsen heraf skal, sammen med formål og betingelser, godkendes af den sikkerhedsansvarlige for systemet på forhånd.

AFSNIT IV

SIKKERHEDEN I FORBINDELSE MED MENNESKELIGE RESSOURCER

Artikel 20

Personaleprofiler

1.   Sikkerhedspolitikken skal fastlægge funktioner og ansvarsområder for de personer, der er autoriseret til at have adgang til VIS, herunder kommunikationsinfrastrukturen.

2.   Sikkerhedsroller og ansvarsområder for Kommissionens ansatte, leverandører og personale, der er involveret i den operationelle forvaltning, skal fastlægges, dokumenteres og meddeles til de pågældende personer. I jobbeskrivelsen og målene skal disse roller og ansvarsområder for Kommissionens tjenestegrene være angivet. For leverandører skal disse være indeholdt i kontrakter eller serviceniveauaftaler.

3.   Der skal indgås aftaler om fortrolighed og tavshedspligt med alle personer, for hvem der ikke gælder nogen public service-regler på EU-plan eller medlemsstatsplan. Personale, der skal arbejde med VIS-data, skal have den nødvendige sikkerhedsgodkendelse eller autorisation i overensstemmelse med de detaljerede procedurer, der skal fastlægges i sikkerhedspolitikken.

Artikel 21

Information af personale

1.   Alt personale og leverandører, hvor det er relevant, skal gennemføre relevante kurser i sikkerhedsbevidsthed, lovkrav, politikker og procedurer i det omfang, som deres arbejdsopgaver kræver dette.

2.   Ved ansættelsesforholdets eller kontraktens udløb skal ansvarsområder i forbindelse med jobskifte eller ansættelsesforholdets ophør fastsættes for ansatte og leverandører i sikkerhedspolitikken, og der skal fastlægges procedurer i sikkerhedspolitikken med henblik på at forvalte returneringen af aktiver og inddragelsen af adgangsrettigheder.

KAPITEL V

AFSLUTTENDE BESTEMMELSER

Artikel 22

Anvendelsesområde

1.   Denne afgørelse finder anvendelse fra den dato, der fastsættes af Kommissionen i overensstemmelse med artikel 48, stk. 1, i forordning (EF) nr. 767/2008.

2.   Denne afgørelse ophæves, når forvaltningsmyndigheden indleder sin virksomhed.

---

(1)  EUT L 218, 13.8.2008, s. 60.

(2)  EFT L 8, af 12.1.2001, s. 1.

(3)  EUT L 194, 23.7.2008, s. 3.

---