Column


IT-jurist Peter van Schelven over...

Meldplicht voor vitale sectoren: onzekerheid is troef!

Terwijl de inkt van de ‘wet meldplicht datalekken’, die begin dit jaar in werking is getreden, nog maar nauwelijks is opgedroogd, is de regering alweer met een voorstel voor een volgende meldplicht gekomen.

Na jarenlange voorbereiding heeft Klaas Dijkhoff, staatssecretaris van Veiligheid en Justitie, vorige week een wetsvoorstel naar de Tweede Kamer gestuurd, waarin bedrijven en instituties uit de vitale sectoren van de samenleving verplicht worden om ernstige digitale security-incidenten bij de rijksoverheid te melden. Melding moet in voorkomend geval bij de minister van Veiligheid en Justitie worden gedaan. Die heeft de uitvoering ervan bij het Nationaal Cyber Security Centrum (NCSC) belegd. SecurityVandaag berichtte al over het wetsvoorstel.

Vergelijking met bestaande meldplicht
De voorgestelde meldplicht verschilt op tal van punten van de al bestaande verplichting om ernstige datalekken bij de Autoriteit Persoonsgegevens en de betrokken burgers te melden. Zo raakt de bestaande wettelijke meldplicht in beginsel alle bedrijven en organisaties in ons land, ongeacht hun positie in de samenleving. Het jongste wetsvoorstel geeft echter een extra meldplicht voor alleen die bedrijven en organisaties welke tot de vitale infrastructuur van Nederland gerekend moeten worden. Een ernstige inbreuk op de IT-beveiliging van deze vitale aanbieders kan, zo is de gedachte, maatschappelijk ontwrichtend werken, bijvoorbeeld doordat vanwege een hack de energievoorziening op grote schaal faalt of het betalingsverkeer van banken langdurig uitvalt.

Via aparte regelgeving moet nog worden vastgesteld wie precies onder de beoogde wet gaat vallen, momenteel is dat nog niet geregeld. Wel denkt de regering er aan om organisaties en bedrijven werkzaam op het gebied van energie, drinkwater, telecom, transport (mainport Rotterdam en Schiphol) en financiën onder de meldplicht te gaan brengen. In de publieke sfeer heeft men het oog op Rijkswaterstaat die de primaire waterkeringen beheert. Over de vraag wat een vitale functie van de samenleving is, zou overigens nog wel flink gestoeid kunnen worden. Zo valt er wel wat voor te zeggen ook de gezondheidszorg (ziekenhuizen) onder de regeling te laten vallen, maar de regering lijkt daar anders over te denken.

Niet alleen persoonsgegevens
Een verschil is ook dat de bestaande meldplicht voor datalekken beperkt is tot persoonsgegevens, zoals creditcardgegevens en medische gegevens. Het voorstel van Dijkhoff gaat wat dat betreft aanzienlijk verder. Het behelst een regeling voor alle ICT-systemen en alle digitale data die voor de beschikbaarheid en integriteit van producten en diensten van vitale aanbieders van belang zijn. Als de databases met waterstanden waarmee Rijkswaterstaat de dammen in Zeeland beheert, gehackt worden, dan vallen ook die databases onder de meldplicht. Dit staat dus los van de vraag of die persoonsgegevens bevatten.

De komst van de wet meldplicht datalekken ging - en gaat nog steeds - gepaard met veel aandacht voor de forse geldboetes die de Autoriteit Persoonsgegevens mag opleggen als de meldplicht in de wind wordt geslagen. Wat evenwel opvalt, is dat in het nieuwste wetsvoorstel geen enkele boete op overtreding van de meldplicht in het vooruitzicht is gesteld. Kennelijk vertrouwt de regering op een loyale medewerking van alle vitale aanbieders. Reëel of naïef? Het lijkt niet vreemd om te veronderstellen dat de wil om mee te werken misschien wel staat of valt met de effectiviteit en integriteit waarmee NCSC hulp bij concrete incidenten weet te verlenen.

Rechtsonzekerheid?
Van een goede wet mag duidelijkheid over kernissues worden verwacht. Het wetsvoorstel biedt die niet. Als sprake is van een security-incident, dan hoeft die pas te worden gemeld - zo zegt het voorstel - als de beschikbaarheid of betrouwbaarheid van het product of de dienst van de vitale aanbieder ’in belangrijke mate’ wordt onderbroken. Maar wat is bij uitval van een IT-systeem zoiets als ‘in belangrijke mate’? Wie het antwoord in de wet zoekt, komt van een koude kermis thuis. Zolang het bedrijfsleven het met deze vage spelregel moet doen, is onzekerheid dus troef. Uiteraard heeft de regering dat probleem onderkend. Zij heeft uitgesproken samen met de betrokken sectoren sectorspecifieke richtsnoeren te willen opstellen. Die zijn er nu nog niet en het is nog maar de vraag of het opstellen ervan in de volle breedte gaat lukken. Daarom zou het de Tweede Kamer niet misstaan om pas ‘ja’ tegen het wetsvoorstel te zeggen als ook die sectorspecifieke regels op tafel liggen. Pas dan weten we waar we echt aan toe zijn! 


Lees meer over