Cybersecurity en Zorgplichten

Informateur Schippers heeft van vele kanten verzoeken en suggesties mogen ontvangen. Ze vormen mede de input bij de gesprekken voor een nieuw kabinet en regeerakkoord. De onderwerpen variëren van klimaatbeleid, vluchtelingentoestroom, rechtsstaat, toekomstbestendige zorg- en pensioenvoor-zieningen tot aandacht voor alternatieve werkwijzen in opstellen en uitvoeren van overheidsbeleid. 

Zo leggen de secretarissen-generaal van de departementen (SG’s) in een gezamenlijke brief de vraag op tafel of het klassieke instrumentarium van de overheid nog wel voldoet met het oog op de uitdagingen van deze tijd. We moeten durven in te zien dat ‘ongelijke gevallen in gelijke mate ongelijk behandeld moeten worden’ zodat burgers met meer persoonlijke overheidsdienstverlening kunnen worden bijgestaan, aldus de SG’s.

Bij een meer op-maat ingestoken overheidsbeleid speelt digitalisering een cruciale rol. Niet verwonderlijk dat de SG’s de informateur ook vragen om een stevige digitaliseringsagenda. Digitalisering moet niet langer primair worden gezien als een instrument voor efficiency-verbetering in de bedrijfsvoering. Veeleer gaat het om een investering in zowel de dienstverlening van de overheid als een vitale economische en maatschappelijke infrastructuur. ‘De digitalisering van de samenleving is ook een noodzakelijk en integraal onderdeel van het denken over de publieke taken. Dat vraagt enerzijds meer kennis en bewustzijn van digitalisering bij het maken van beleid en in uitvoering en toezicht. Met oog voor risico’s op het gebied van veiligheid en privacy.’

Juist over de aanpak van die risico’s verscheen eerder deze maand een bruikbare handreiking van de Cyber Security Raad (CSR). De handreiking werd opgesteld door Corjo Jansen, hoogleraar Rechtsgeschiedenis en Burgerlijk recht Radboud Universiteit, en Pieter Wolters, universitair docent Burgerlijk recht. De CSR adviseert als onafhankelijk en strategisch adviesorgaan de regering inzake cybersecurity. Die adviserende taak geldt zowel de nationale cybersecurity strategie, als concrete situaties wanneer sprake is van een grootschalig cyberincident in onze vitale infrastructuur. Een voorbeeld hiervan is de actieve rol die de CSR in 2011 speelde bij het voorkomen van verdere schade nadat bleek dat het bedrijf Diginotar slachtoffer was van een hack. Talloze valse beveiligingscertificaten kwamen toen in omloop, waarmee de security van vele (overheids)websites, waaronder websites in het justitiële domein, in gevaar was.

Ingegeven vanuit de algemeen adviserende taak, publiceerde de CSR: ‘Ieder bedrijf heeft digitale zorgplichten. Een handreiking voor bedrijven op het terrein van cybersecurity’. Weliswaar is de adressant primair het bedrijfsleven, ook de overheid zal zich er het nodige van aan moeten trekken. Al is het maar omdat activiteiten van het bedrijfsleven in toenemende mate verknoopt zijn met die van de publieke sector. En los daarvan: digitale weerbaarheid kan niet anders dan scherp op het vizier van de overheid staan nu de uitvoering van vrijwel al het overheidsbeleid afhankelijk is geworden van een goed en veilig werkende ICT-voorziening. In feite is de digitale overheid uitgegroeid tot een vitale infrastructuur. Vanuit die vaststelling zal dus ook naar security en daarmee zorgplichten moeten worden gekeken.

De CSR geeft met de handreiking een overzicht van de belangrijkste juridische zorgplichten als het gaat om cybersecurity. Ook geeft de raad handvatten om deze plichten concreet invulling te geven. In een zeer overzichtelijk format met een heldere uiteenzetting over de toepasselijke zorgplichten worden leveranciers en gebruikers van data en software bij de hand genomen om invulling te geven aan de verantwoordelijkheden die uit de wet voortvloeien. De Raad doet dit in een drietal clusters. Zorgplichten die voortvloeien uit: 1. het verwerken van persoonsgegevens met behulp van ICT, 2. het gebruik van ICT in de eigen bedrijfsvoering, en 3. het ontwikkelen, produceren of leveren van producten of diensten met een ICT-toepassing. Elk onderdeel wordt geïllustreerd met concrete voorbeelden. Aandacht is er niet alleen voor de rol en verantwoordelijkheden binnen het bedrijf, maar ook voor die van andere partijen in de keten. Digitale toepassingen zijn immers meer en meer met elkaar verknoopt, wat de vraag actueel maakt wie nu precies verantwoordelijk is voor wat in de aaneenschakeling van partijen die er samen voor zorgen dat een digitale dienst of product aan de consument wordt geleverd.

Uit de handreiking van de CSR wordt ook duidelijk dat – in tegenstelling tot wat wel wordt betoogd – een goed securitybeleid niet zozeer noodzaakt tot het aanpassen dan wel introduceren van nieuwe wettelijke regels. Veeleer gaat het om besef van en handelen naar het bestaande juridisch kader. Illustratief zijn bijvoorbeeld de eisen die voortvloeien uit de BW-regels inzake koop. De advocaten Moerel, Rinzema en Van Schelven maakten dit begin deze maand in het Financieele Dagblad nog eens duidelijk door te verwijzen naar het Beeldbrigade-arrest uit 2012 (ECLI:NL:HR:2012:BV1301). De Hoge Raad oordeelde dat de bepalingen inzake koop ook van toepassing zijn op de aanschaf – via internet (downloaden) of op een gegevensdrager – van standaardsoftware. Nu de HR niet meeging met het verweer van de leverancier dat software geen ‘stoffelijk’ product zou zijn, is duidelijk dat de regels inzake koop ook gelden voor digitale producten. En dus verlangt het vereiste van conformiteit dat software die is ingebed in de legio producten en diensten die we allemaal vrijwel dagelijks gebruiken, beantwoordt aan de overeenkomst en de vereisten moet bezitten die voor een normaal gebruik daarvan nodig zijn. Een van die vereisten is een goede en up to date beveiliging van deze software.

Terug naar de kabinetsformatie. In de hiervoor genoemde brief aan de informateur, vragen de SG’s om inzet op meer kennis en bewustzijn binnen de overheid van digitalisering. Die boodschap geldt absoluut de noodzakelijke kennis om te voorkomen dat systemen en applicaties onvoldoende zijn beveiligd. Dat de overheid producten en diensten afneemt die niet voldoende tegen hacken zijn bestand. De wet is grotendeels helder over de plichten en verantwoordelijkheden die de overheid daarbij heeft. Nu nog daarnaar handelen.

Corien Prins

Naam auteur: Corien Prins
Geschreven op: 19 april 2017

Hoogleraar Recht en Informatisering aan de Universiteit van Tilburg

Reageer op dit artikel
Even geduld a.u.b.

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.