Column


IT-jurist Peter van Schelven over...

Rechtseconomisch proefschrift over cybersecurity

Het gebeurt niet vaak in ons land dat een jurist een proefschrift over cybersecurity aflevert. Op maandag 25 juni jongstleden promoveerde aan de rechtenfaculteit van de Erasmus Universiteit Rotterdam Bernold Nieuwesteeg op een dissertatie met de titel ‘De rechtseconomie van internetveiligheid’. In een omvangrijke wetenschappelijk studie van bijna 400 pagina’s behandelt de jonge wetenschapper een aantal belangwekkende thema’s rondom security. Zijn proefschrift verdient een stevig compliment.

De invalshoek van deze studie is niet die van een inhoudelijke uitleg van de wet- en regelgeving, maar is vrijwel volledig van rechtseconomische aard. Als onderdeel van de juridische wetenschap houdt de rechtseconomie zich bezig met bepaalde aspecten van de maatschappelijke werking van rechtsregels. Daar waar de algemene economie als wetenschap zich bijvoorbeeld buigt over onvolkomen consumentenkeuzes als gevolg van gebrek aan transparantie in een bepaald marktsegment, zo houdt de rechtseconomie zich onder meer bezig met de impact van gebrekkige of onvolledige informatie op de keuzes die mensen, bedrijven en organisaties maken bij het nakomen van wettelijke verplichtingen. Dat kan dus ook keuzes rondom security betreffen.

Kennisdeling en informatietekort
Centraal in de studie van Nieuwesteeg staat de interessante vraag wat wetenschap, overheid en bedrijfsleven kunnen doen om de verspreiding en uitwisseling van kennis en informatie omtrent cybersecurity te verbeteren. Die vraag is temeer van belang als je beseft dat veel bedrijven en organisaties er op zich weinig direct voordeel bij hebben om kosten te maken om kennis en informatie over security met anderen te delen. Sterker nog, velen lijken er eerder belang bij te hebben om informatie binnenshuis te houden.

Het proefschrift spreekt daarom over een informatietekort op dit vlak. Als gevolg daarvan nemen bedrijven en organisaties bijvoorbeeld geen efficiënte beslissingen over de vraag wat voor hen optimale security nou precies is. Dat informatietekort maakt de keuze om te investeren in security ook tot een zeer lastige. Het lijkt erop dat heel veel organisaties ten aanzien van hun investeringen in security steeds weer zelf het wiel moeten uitvinden, aldus Nieuwesteeg. Die constatering spoort met ervaringen die veel lezers van deze blog ongetwijfeld ook hebben. Maatschappelijk gezien is dat informatietekort rondom cybersecurity een bron van problemen, zo kan uit de studie worden opgemaakt.

Het stimuleren van het uitwisselen van informatie is, aldus de schrijver, een manier om dat tekort aan te pakken. De gepromoveerde jurist ziet dat bovendien als een weg om meer balans in de markt van de cybersecurity te brengen. Hij stelt bijvoorbeeld dat de grote softwarehuizen en securitybedrijven hun producten en diensten kunnen slijten als gevolg van de asymmetrie in kennis en informatie. Die gedachte ligt voor de hand.

Datalekken
Een van de relatief jonge juridische instrumenten om informatie te delen is de meldplicht voor datalekken, zoals we die in Europa in de Algemene verordening gegevensbescherming (AVG) aantreffen. Het boek van Nieuwesteeg maakt duidelijk dat de meeste organisaties niet bereid zijn om spontaan informatie omtrent datalekken met anderen te delen. Dergelijke wetgeving kan in zijn ogen dus een middel zijn om informatiedeling te bevorderen. In dat kader heeft Nieuwesteeg niet alleen naar de AVG gekeken. Hij heeft de datalekkenwetgeving van maar liefst 71 landen onderzocht. Kortom, stevig werk.

Een opmerkelijk punt in zijn studie is de gedachte dat, wil wetgeving inzake een meldplicht ook daadwerkelijk goed haar werk doen, alleen datalekken die boven een bepaalde ‘drempel’ uitkomen gemeld zouden moeten worden. Het risico dat bedrijven en organisaties ‘moe’ worden om alles te melden is groot. Ook dat risico is niet denkbeeldig. In ons land zijn er bedrijven en organisaties die inmiddels elk minuscuul datalekje zekerheidshalve bij de Autoriteit Persoonsgegevens melden en het is uiteraard de vraag of zoiets blijvend zinvol is.

Verzekeringen
Een ander waardevol onderdeel van de studie van Nieuwesteeg is het uitgebreide empirische onderzoek dat hij onder verzekeraars en assurantie-brokers heeft gedaan. Daar waar deze partijen verzekeringsproducten voor de risico’s van cybersecurity op de markt brengen, beschikken zij veelal over waardevolle informatie. Zij spelen bovendien een in belang toenemende rol bij het afwentelen van securityrisico’s, een vraagstuk dat ook nauw samenhangt met informatieonzekerheid. Een bijzondere vraag is dan ook of het bestaan van deze producten investeringskeuzes beïnvloedt.

Binnen het korte bestek van deze bijdrage kan ik onmogelijk recht doen aan het omvangrijke proefschrift van Nieuwesteeg. Geloof me: het is een fraaie studie. Mocht u nog niet weten welke literatuur mee op vakantie moet, dan raad ik u aan: ‘De rechtseconomie van internetveiligheid’. Van Rotterdamse makelij, dus kwaliteit verzekerd.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 
Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over