Column


Lora Mourcous en Menno Weij van SOLV:

‘Security by design goede aanvulling op privacyverordening’

ICT raakt steeds meer verweven met ons dagelijks leven. Digitale toepassingen worden door burgers, overheden en bedrijven voor uiteenlopende doeleinden gebruikt. Niet alleen computers en telefoons, maar ook dagelijkse voorwerpen zijn tegenwoordig met ingebouwde ICT verbonden met het internet. Denk aan auto’s, televisies en thermostaten. Deze verregaande digitalisering dient niet alleen gemak, efficiëntie en vermaak, maar is ook een belangrijke drijfveer voor innovatie.

Het gebruik van ICT is echter niet zonder risico’s en dat is de afgelopen jaren steeds duidelijker geworden door een aantal in het oog springende incidenten. De toenemende rol van digitalisering in ons leven brengt daarom ook mee dat cybersecurity steeds belangrijker wordt.

Als het gaat om cybersecurity, is er in de Europese Unie momenteel weinig sprake van coherentie. Daarnaast is niet elke lidstaat even goed voorbereid op dit gebied. Er is een gebrek aan systematische samenwerking tussen overheden, het bedrijfsleven, kennisinstellingen en maatschappelijke organisaties. De Europese Commissie wil daarom samenwerking op het gebied van cybersecurity bevorderen.

Publiek-Private Partnerschap
Versterking van cybersecurity kan niet door de overheid alleen tot stand worden gebracht omdat de (kennis van) ICT-infrastructuur voor het overgrote deel in handen is van (internationale) private partijen. De Europese Commissie heeft daarom het voornemen om in het kader van de Digital Single Market-strategie, een Publiek-Private Partnerschap (PPP) op het gebied van cybersecurity op te richten. Een PPP is een samenwerking tussen overheden, het bedrijfsleven, kennisinstellingen en maatschappelijke organisaties.

De Europese Commissie is momenteel door middel van een publieke consultatie van belanghebbenden aan het horen waar het nieuwe PPP cybersecurity zich op moet gaan richten. De Commissie vraagt de belanghebbenden bijvoorbeeld welke sectoren de meeste risico’s lopen bij cybersecurity, welke uitdagingen er zijn op het gebied van cybersecurity en of er nog andere maatregelen nodig zijn om innovatie op het gebied van cybersecurity in Europa te stimuleren. Tot 11 maart 2016 konden belanghebbenden hun reactie insturen, waarna de publieke consultatie sloot. De Commissie zal uiterlijk een maand later de resultaten publiceren. Het PPP zou dan nog in 2016 opgezet moeten worden. Nederland heeft haar reactie onlangs gepubliceerd. Een korte analyse hiervan.

Uitdagingen
De Europese Commissie vraagt om een beschrijving van drie uitdagingen voor de komende vier jaar op het gebied van cybersecurity. Nederland wijst erop dat een eerste belangrijke uitdaging zal zijn om een balans te vinden tussen de noodzaak voor een versterking van cybersecurity en een adequate bescherming van de privacy van individuen. ‘Privacy by design’ en ‘privacy by default’ worden volgens Nederland in dat verband noodzakelijk geacht.

Daarnaast wijst Nederland op het belang van goed beveiligde software. ‘Kwetsbaarheden in software zijn nog steeds de achilleshiel van cybersecurity’. Hoewel softwareleveranciers regelmatig beveiligingsupdates doorvoeren, zijn er nog steeds veel organisaties die deze updates om veel verschillende redenen niet installeren, denk bijvoorbeeld aan incompatibiliteit met bestaande IT-omgevingen. Het principe security by design moet daarom veel sterker gaan gelden in software om deze kwetsbaarheden te bestrijden.

Tot slot ontstaat er door steeds meer toenemende economische en nationale belangen, in verband met de goede werking van internetdiensten, noodzaak voor de invoering van strikte regulering van het internet als ‘kritieke ruimte’. Nederland geeft aan dat regulering haaks staat op het open, vrije en innovatieve karakter van het internet. Dit is waar, maar ook voor regulering van het internet valt wat te zeggen. Er bestaat namelijk een steeds groter gevaar dat het open en vrije internet dat we allemaal koesteren, gedomineerd zal worden door cybercriminaliteit, waar met name de gewone burgers slachtoffer van worden. Het is in dat verband daarom noodzakelijk dat er bescherming komt, en dat zowel landen als organisaties zich houden aan principes die hen aanmoedigen in het algemeen belang te handelen.

Standaardisatie
Volgens Nederland is het standaardiseren van cybersecurity van groot belang voor innovatie. Het gebrek aan eenduidige termen en definities belemmert de effectieve en efficiënte samenwerking tussen de (Europese) belanghebbenden. De Europese Commissie zou in dat verband een duidelijk en algemeen begrip van de omvang van cybersecurity moeten ontwikkelen. Daarnaast zouden de belangrijkste termen en definities in de standaardisatie van cybersecurity binnen de Europese Unie uniform moeten worden uitgelegd.

Slot
Nederland benadrukt in haar reactie meerdere malen dat de beginselen inzake security en privacy by design een belangrijke rol moeten gaan spelen bij de oprichting van de PPP. Het principe inzake privacy by design speelt al een belangrijke rol in de komende privacyverordening. Daarin is nu opgenomen dat ter bescherming van de privacy van individuen in verband met de verwerking van persoonsgegevens zowel bij het ontwerpen, als bij de uitvoering van de verwerking, passende beveiligingsmaatregelen nodig zijn. Organisaties moeten daarvoor intern beleid vaststellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design. Het principe van security by design zal daarom door middel van de plannen van de Europese Commissie een goede aanvulling vormen op de privacyverordening.

 


Lees meer over