Inleiding
De hack van Diginotar enkele jaren geleden heeft een lang staartje gekregen. Destijds heeft de regering aangekondigd mogelijk met een meldplicht te komen bij veiligheidsincidenten voor aanbieders van vitale infrastructuur. Enkele incidenten en onderzoeken verder, alsmede een eerdere versie van een soortgelijk wetsvoorstel, is er nu een nieuw wetsvoorstel nu op internetconsultatie.nl gepubliceerd.
Meldplicht aanbieders vitale diensten
Op partijen die worden aangemerkt als "vitale aanbieders" rust op grond van het wetsvoorstel een meldplicht. Wie een vitale aanbieder is, zal in een nadere regeling worden vastgelegd.
Artikel 6 verplicht deze partijen om "een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken" onverwijld te melden.
Daarbij moeten bepaalde gegevens minimaal aan de minster worden vermeld (zie artikel 6). Artikel 7 bepaalt vervolgens dat de minister om aanvullende gegevens kan vragen.
Op vitale aanbieders rust dus een behoorlijk verstrekkende verplichting om openheid van zaken te geven.
Algemene informatieplicht voor iedereen
Het wetsvoorstel introduceert, in betrekkelijke stilte, echter ook een informatieplicht voor iedereen (niet alleen voor aanbieders van vitale infrastructuur). Artikel 4 bepaalt namelijk dat de minister aan een ieder kan verzoeken om gegevens te verstrekken ten behoeve van de doeleinden en taken die in artikel 2 genoemd zijn.
De doeleinden zijn vrij ruim omschreven als "voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van informatiesystemen van vitale aanbieders" en de "verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving".
De taken zijn in artikel 2 lid 1 als volgt omschreven:
- het bijstaan van vitale aanbieders bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van hun producten of diensten te waarborgen of te herstellen;
- het informeren en adviseren van vitale aanbieders en anderen in en buiten Nederland over dreigingen en incidenten met betrekking tot informatiesystemen waarvan producten of diensten van vitale aanbieders afhankelijk zijn;
- het verrichten van onderzoek, ten behoeve van de onder a en b genoemde taken, naar dreigingen en incidenten met betrekking tot informatiesystemen waarvan producten of diensten van vitale aanbieders afhankelijk zijn, niet zijnde onderzoek naar personen of organisaties die voor die dreigingen of incidenten verantwoordelijk zijn.
In het 2e lid van artikel 2 staat echter een nog veel ruimere taak omschreven. Die is wat complex omschreven, maar komt, vrij vertaald, neer op het informeren van publieke organisaties en telecomaanbieders over dreigingen en incidenten bij niet-vitale IT-systemen.
Met andere woorden: als dit wetsvoorstel wordt aangenomen kan een ieder verplicht worden informatie te geven over informatiesystemen, zolang dat verzoek om informatie maar raakt aan de (ruim omschreven) doeleinden in de wet. Het lijkt er dus sterk op dat bedrijven en instellingen verplicht kunnen worden openheid van zaken te gaan geven over hun beveiliging. Zij kunnen zich dan niet achter de privacywetgeving verschuilen; dit wetsvoorstel bepaalt namelijk dat de doelbinding van de WBP niet aan de verstrekking in de weg staat.
Geheimhouding
In artikel 9 van de wet zijn vervolgens wel waarborgen opgenomen om die gegevens geheim te houden, maar de vraag is of die waarborgen in de praktijk zullen voldoen om bedrijfsgeheimen geheim te houden. In de wet lijkt een belangenafweging besloten te liggen dat het publieke belang van veiligheid zwaarder weegt dan het private belang van het geheim houden van informatie over bedrijfsbeveiliging. Een reden te meer voor organisaties waar informatiebeveiliging van publiek belang is, om hun beveiliging goed op orde te hebben. Anders komt immers via de wet mogelijk "de vuile was buiten te hangen".
Nog enkele weken om te reageren
Het wetsvoorstel is ter consultatie gegeven aan het algemene publiek. Iedereen kan tot 6 maart 2015 reageren op het concept wetsvoorstel via de website. Daarna is het aan de regering om te besluiten wat zij met de reacties doet. Wij houden het in de gaten en u op de hoogte.