Afgelopen donderdag heeft staatssecretaris Dijkhoff (Veiligheid en Justitie), na een internetconsultatie die bijna 3 jaar geleden werd gestart, een wetsvoorstel naar de Tweede Kamer gestuurd dat er voor moet zorgen dat organisaties in vitale sectoren verplicht worden digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC). De wet moet een effectieve aanpak van veiligheidsincidenten mogelijk maken – zo meldt het persbericht bij het wetsvoorstel.
Op het eerste gezicht een nuttige wet in een tijd waarin cybercriminelen furore maken met cyberaanvallen. De meldplicht moet de digitale weerbaarheid van de samenleving versterken. Dat klinkt mooi: de digitale weerbaarheid versterken. Maar wordt met deze wet eindelijk een flinke sprint getrokken om een immer op de wetgever voorlopende cyberwereld in te halen?
De aanleiding voor het wetsvoorstel voor de ‘Wet gegevensverwerking en meldplicht cybersecurity’ is de elektronische inbraak bij het bedrijf DigiNotar. De inbraak bij DigiNotar, het bedrijf dat veiligheidscertificaten uitgaf, wordt wel de DigiNotar affaire genoemd.
Want het bleek nogal een affaire toen er op 2 september 2011, tegen middernacht, een zwarte balk in beeld verscheen met de mededeling dat er om 01:00 uur een extra uitzending van het NOS-journaal zou zijn. Bij het live gaan van de uitzending toonde zich een wat vreemd scenario. Toenmalig minister van Binnenlandse Zaken en Koninkrijkszaken Piet Hein Donner verklaarde vanachter een simpel tafeltje dat ‘het internet’ niet meer veilig was. We konden echter gerust gaan slapen, want er waren maatregelen getroffen die het land hadden gered van een op het internet in gang gezette ondergang. Het veiligheidsincident bij DigiNotar heeft het belang en de kwetsbaarheid van ICT-systemen bij de overheid en andere vitale sectoren meer dan zichtbaar gemaakt. De nieuwe wet moet de kers op de taart zijn van de na de DigiNotar affaire getroffen maatregelen. Zijn we nu dan echt veilig?
In het wetsvoorstel krijgen organisaties in vitale sectoren de verantwoordelijkheid om over onze digitale veiligheid te waken. Organisaties in die vitale sectoren zijn – blijkens het wetsvoorstel – aanbieders van producten of diensten waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. Het gaat om onderdelen van een vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kunnen leiden. De staatssecretaris licht toe dat het gaat om organisaties in de volgende sectoren: elektriciteit, gas, kernenergie, drinkwater, telecom, transport (mainports Rotterdam en Schiphol), financiën en overheid (waaronder primaire waterkeringen).
Deze organisaties moeten ICT-inbreuken gaan melden bij het NCSC. Hierdoor kan het NCSC de risico’s voor de samenleving inschatten én hulp verlenen aan de getroffen organisatie. Ook kunnen andere organisaties door het NCSC gewaarschuwd en geadviseerd worden. Er is bovendien een geheimhoudingsplicht in het wetsvoorstel opgenomen. Dit houdt in dat na een melding in bepaalde gevallen de gegevens over de aanbieder in kwestie niet openbaar worden gemaakt. De meldplicht ziet niet op verstoringen waarbij geen sprake is van een ICT-inbreuk, zoals DDoS-aanvallen (Distributed Denial of Service). Bij een dergelijke aanval wordt volgens de toelichting namelijk alleen de bereikbaarheid van het systeem belemmerd en is er in feite geen sprake van een inbreuk. Er zou dan geen maatschappelijke ontwrichting zijn en dus is een melding niet nodig.
De melding in de nieuwe wet vormt een uitbreiding op de op 1 januari 2016 in werking getreden meldplicht datalekken die in de Wet bescherming persoonsgegevens is verankerd en waarbij een verantwoordelijk een datalek moet melden aan de Autoriteit Persoonsgegevens (“AP”). Als er persoonsgegevens zijn gelekt zal de verantwoordelijke indien het een organisatie betreft uit een vitale sector na het inwerkingtreden van het wetsvoorstel het lek moeten melden bij zowel de AP als het NCSC. Door de verwachte grote rol van persoonsgegevens bij ICT-inbreuken voorziet het wetsvoorstel ook in een uitbreiding van de NCSC-taken bij het verwerken van persoonsgegevens. Daarnaast voorziet het wetsvoorstel in een stevigere wettelijke basis voor het NCSC bij het verwerken van andere gegevens, zoals gegevens over ‘malware’ (kwaadaardige software) of kwetsbaarheden van software, en voor het opvragen van voor de taakuitoefening noodzakelijke gegevens, zoals persoonsgegevens. De verwerking en opvraging van persoonsgegevens door het NCSC vormt een inbreuk op het recht op respect voor de persoonlijke levenssfeer van de betrokkenen. Dit recht is onder andere verankerd in artikel 8 van het Europese Verdrag voor de Rechten van de Mens (EVRM). De inmenging door het NCSC – zo wordt omschreven in de toelichting bij de wet – is gerechtvaardigd door de noodzakelijkheidsuitzondering in het tweede lid van artikel 8 EVRM.
De AP is in ieder geval niet blij met het wetsvoorstel. De AP vindt dat de bredere bevoegdheden met betrekking tot de verwerking van persoonsgegevens onvoldoende onderbouwd is en te weinig waarborgen omvat. Ook vindt de AP dat de reikwijdte van het voorstel onduidelijk is. De sleutelbegrippen zouden onvoldoende of niet omschreven zijn. Bovendien is een deel van de groep van de ontvangers van de gegevens onbepaald. De AP vindt voorts dat de in het wetsvoorstel gegeven toegestane afwijking van artikel 9 Wet bescherming persoonsgegevens (Wbp) onvoldoende onderbouwd is. Die bepaling verbiedt verdere verwerking van persoonsgegevens op een wijze die onverenigbaar is met de doeleinden waarvoor ze verkregen zijn. De AP wijst erop dat artikel 43 Wbp al voorziet in een mogelijkheid om het doelbindingsbeginsel buiten toepassing te laten.
Het privacybelang wordt volgens de AP dus onderbelicht, maar wordt er op deze wijze wel een veiliger internet gecreëerd? Dat valt te bezien. Het wetsvoorstel is reactief van aard en bepaalt dus wat er moet gebeuren als een ICT-inbreuk zich heeft voorgedaan. De oorzaak van de ICT-inbreuken wordt niet direct weggenomen. Toch is het wetsvoorstel een stap in de goede richting. Hopelijk raken organisaties in vitale sectoren door deze meldplicht (nog meer) doordrongen van het doorvoeren van goedebeveiligingsmaatregelen met als gevolg dat zich minder ICT-inbreuken voordoen. Ook kan door een snelle en adequate afhandeling van een melding verdere schade aan vitale systemen worden voorkomen. We kunnen staatssecretaris Dijkhoff dus dankbaar zijn dat 5 jaar na de DigiNotar-affaire ICT-inbreuken binnenkort in ieder geval gemeld worden. Het is wel jammer dat populaire andere cyberaanvallen, zoals DDoS-aanvallen, compleet buiten beeld blijven.