Column


IT-jurist Peter van Schelven over...

Vliegen of leven?

Stel je eens voor: door een grootscheepse cyberaanval op de ICT-systemen van Schiphol komt de luchthaven dagenlang plat te liggen. Geen enkel vliegverkeer meer. Radeloze mensen op slaapmatjes kriskras in de hallen van het vliegveld. Puinhoop. Grote maatschappelijke ontwrichting, zo heet het in de media. Niet ondenkbaar, want noemt u mij maar één systeem in de wereld dat niet vatbaar is voor een forse cyberaanval.

Een andere kwestie. Met ransomware, afkomstig van onbekend vijandig of crimineel volk, worden de medische systemen platgegooid van de intensivecareafdelingen van talloze ziekenhuizen die aan een netwerk hangen. Honderden patiënten sterven pijnlijk aan de haperende apparatuur. Online moord op grote schaal. Diep en intens menselijk verdriet in ons land.

WannaCry
Ook zoiets lijkt niet uitgesloten: het is en blijft tenslotte maar ICT, ook in ziekenhuizen. Door WannaCry, de malware die in mei vorig jaar wereldwijd grote chaos veroorzaakte, kunnen Engelse ziekenhuizen daarover inmiddels meepraten. Vanwege die aanval kregen sommige mensen geen behandeling. Het is bekend dat in het Verenigd Koninkrijk sommige mensen zelfs geen chemokuur konden krijgen.

Het is hopen (of bidden?) dat geen van deze rampzalige scenario’s zich ooit op grote desastreuze schaal voltrekt. Ik ben er nog niet zo zeker van. De digitale kwetsbaarheid van de wereld om ons heen neemt met de dag toe, alle goede inspanningen van overheden, bedrijven en wetenschappers ten spijt. Uitval van ICT ligt overal op de loer. Ook ZORG-Cert, het op zich prima private initiatief in ons land om ziekenhuizen te ondersteunen in de strijd tegen cyberaanvallen, kan de dreigingen niet definitief buiten de deur houden.

Dilemma
Mag ik u het volgende voorleggen? Wat vindt u erger: Schiphol dagenlang plat of talloze doden in onze ziekenhuizen? Ik mag toch hopen dat u voor het menselijk leven kiest en niet voor de ongestoorde beschikbaarheid van een vliegtuigvloot. Zou u anders kiezen, dan hebt u – zo dunkt mij – echt iets uit te leggen.

Weet u dat de Nederlandse wetgever zich ook over die vraag moet buigen? In de Tweede Kamer is momenteel het ontwerp van de Cybersecuritywet in behandeling. Als het aan een deel van de Kamer – met name het CDA – ligt, gaat die beoogde wet overigens een andere naam krijgen: de Wet beveiliging netwerk- en informatiesystemen.

Los van die beoogde wijziging wordt ook enige discussie gevoerd over de vraag welke sectoren in ons land als vitaal moeten worden bestempeld. Organisaties uit die sectoren krijgen onder die wet een meldplicht opgelegd. Als de IT-systemen van een aanbieder te maken krijgen met een security-incident of als de beschikbaarheid of betrouwbaarheid ervan in belangrijke mate in het geding is, dan moet de rijksoverheid – in het bijzonder het Nationaal Cyber Security Centrum – dat te weten krijgen.

Ziekenhuizen
In het lijstje van partijen die onder die meldplicht vallen, staan onder meer banken, energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, Rijkswaterstaat als beheerder van waterkeringen en Schiphol. De ziekenhuizen ontbreken echter volledig op het lijstje. Mensenlevens vormen in de ogen van onze wetgever kennelijk niet een vitaal belang. In de Kamer bepleit met name de SP dat de ziekenhuissector wel onder de wet moet worden gebracht. Het is nu echter afwachten of de regering op aansturing van de Tweede Kamer terugkomt op haar eerdere keuze. We gaan het zien of minister Grapperhaus een mensenleven belangrijker – of op zijn minst net zo belangrijk – vindt dan een actieve vliegtuigvloot.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.


Lees meer over