Achtergrondartikel


Michiel Steltman, directeur van de Dutch Hosting Provider Association

‘Meldplicht datalekken is een draak’

Vertrouwen is goed voor de handel. Potentiële klanten doen immers geen zaken met een dienstverlener die ze niet vertrouwen. Volgens Michiel Steltman, directeur van de Dutch Hosting Provider Association, is het waarborgen van privacy en informatiebeveiliging de kern van dat vertrouwen. Steltman is dan ook enthousiast over de gedachte achter de nieuwe Europese Privacy Verordening die nu in de maak is. En toch plaatst de directeur een kanttekening bij de verordening. “De praktische invulling leidt tot problemen.”

De Stichting DHPA treedt al vanaf 2009 op als belangenbehartiger van de Nederlandse hostingsector. “Dat is ontstaan vanuit een Calimero-gevoel”, vertelt directeur Michiel Steltman, die ook directeur is van koepelorganisatie Digitale Infrastructuur Nederland (DINL) die eind 2014 werd opgericht. “Hosters werden door de vertegenwoordigers uit de traditionele telecom- en IT-branche gezien als ‘leuk voor de company website, maar niet serieus als het echt over IT gaat’. Terwijl het maatschappelijke belang van de hostingsector toen al enorm was. Verzekeraars, de automotive sector, notarissen, allemaal maken ze direct of indirect gebruik van bedrijfskritische online systemen die bij hosters draaien. Als de hostingsector omvalt, haalt het niet eens de krant, want ook kranten zijn voor hun verschijning afhankelijk van zulke diensten.”

Inmiddels gaat er volgens Steltman een ‘disruptieve kracht’ uit van de online industrie. “Wat UberPOP is voor de taxibranche is online, cloud en hosting voor de traditionele IT. Alle bedrijven doen inmiddels wel iets online. Dat gaat verder dan een company website; het gaat tegenwoordig over de online presence van bedrijven en daar is de hostingsector sterk in. Dat geluid willen we laten horen. We willen de spreekbuis zijn voor wat wij noemen de sector digitale infrastructuur die alles vertegenwoordigt van wat zich onder de motorkap van de online wereld afspeelt.”

Vertrouwen in online ketens
In het nu zesjarige bestaan van de DHPA is er volgens Steltman ‘ontzettend veel bereikt’. “We zijn echt een factor van betekenis geworden in politieke debatten over het internet.” Toch is er ook nog een hele slag te slaan. “Vijf procent van de IT-toepassingen staat in de cloud, de overige 95 procent staat nog altijd on-premise. Om ook die 95 procent de transitie naar de cloud te laten maken, is het nodig dat mensen er vertrouwen in hebben dat hun IT met die online ketens beter wordt, en niet slechter.”

Volgens Steltman is er onterecht nog veel angst om de drempel naar de cloud over te stappen. “Waar een bedrijf voorheen zelf de kwaliteit van de eigen IT-dienstverlening bepaalde, ligt die regie bij online dienstverlening bij de serviceprovider. Dat verlies aan controle maakt bedrijven angstiger dan nodig is. Als je de eigen IT kunt ‘zien’ en ‘aanraken’, wil dat nog niet zeggen dat de beveiliging dan op orde is. Een server onder de keukentafel zie je staan, maar die server staat toch echt veiliger in een goed beveiligd datacenter, en is vaak in betere handen bij een hoster die informatieveiligheid diep in de organisatie en cultuur verankerd heeft.” Ook is het volgens Steltman een misvatting dat cloud de risico’s vergroot. “De risico’s liggen in het zakendoen en communiceren via internet, en dat is iets wat elk bedrijf doet.”

In antwoord op de vraag hoe die angst kan worden weggenomen, hamert Steltman op het belang van transparantie. “Transparantie is goed voor het vertrouwen en vertrouwen is goed voor de handel. Als klant moet je het gevoel hebben dat je de controle niet verliest. Daarvoor is het belangrijk dat je ziet wat er met je data gebeurt, dat je weet welke partijen allemaal zijn betrokken bij de online dienstverlening en dat inzichtelijk is welke beveiligingsmaatregelen deze partijen hebben getroffen.” De getroffen maatregelen en de effectiviteit daarvan zouden ook zichtbaar moeten worden in wat Steltman noemt een ‘dashboard van je keten’.

Europese Privacy Verordening
Ook bescherming van privacy is belangrijk bij het creëren van vertrouwen in de online economie. “Niet alleen het bedrijfsleven maar ook de overheid doet dingen met je data en je hebt geen idee wat. Dat verlies van controle maakt angstig.” De aanstaande Europese Privacy Verordening – die de minder strenge privacyrichtlijn uit 1995 moet vervangen – is dan ook een goede stap in de richting van transparantie. Toch is Steltman niet helemaal tevreden. “De kracht van de verordening is dat die het vertrouwen stimuleert. Die gedachte is goed, maar de uitvoering rammelt.”

Als voorbeeld van de ‘rammelende uitvoering’ noemt Steltman de ‘Meldplicht datalekken’ die wordt opgenomen in de Wet bescherming persoonsgegevens. “Een meldplicht met boetes voor bedrijven die ‘hadden moeten kunnen weten’ dat ze gehackt zijn, is natuurlijk een draak. Moet je iedereen binnen de onderneming de harddisk laten vervangen nu gevallen bekend zijn van door Stuxnet geïnfecteerde harde schijven? Dat is nogal wat! De aansprakelijkheid voor het kunnen weten dat informatie lekt, gaat nogal ver en is niet meer fair. Met de wijsheid achteraf kan je natuurlijk alles nalatig noemen.”

“Ook sluit de wetgeving niet goed aan bij de praktijk”, vervolgt Steltman. “De rollen van bewerker en verantwoordelijke zijn bijvoorbeeld niet altijd duidelijk. Voor hosters hebben persoonsgegevens geen betekenis, voor hen zijn het gewoon gegevens die beveiligd moeten worden. Ook het ontbreken van standaard bewerkersovereenkomsten maakt het voor hosters onnodig lastig. Kortom, tussen gedachte en uitvoering zit een te grote kloof.”

Draak bezweren
Om de kloof te dichten is het volgens Steltman nodig dat er vooral ‘praktische dingen worden gedaan’. Een voorbeeld daarvan is het opstellen van generieke bewerkersovereenkomsten waarin wordt vastgelegd hoe de hoster met de persoonsgegevens moet omgaan. En wat onder veilig wordt verstaan, kan worden vastgelegd in een generieke ‘security baseline’. Als voorbeeld hiervan noemt Steltman het ‘keurmerk voor veilige internetdiensten voor het MKB’, een gezamenlijk initiatief van de ministeries van Economische Zaken en Veiligheid & Justitie, waar het ECP en de online sector bij betrokken zijn. “Als de denkrichting van de sector wordt gevolgd, heb ik er vertrouwen in dat we met zo’n keurmerk echt meters gaan maken. Als je kunt aantonen dat je richtlijnen en best practices volgt die algemeen worden geaccepteerd of zelfs vastliggen in standaarden, kan achteraf moeilijk worden beweerd dat je nalatig bent geweest. Dat is de manier waarop wij deze draak denken te kunnen bezweren.”


Lees meer over