legal Look: Victor de Pous over de Cyberwet

Victor de Pous

> Wat behelst de wet cybersecurity?Aan wetgeving voor de informatiemaatschappij geen gebrek. Nieuw is dat organisaties binnen vitale sectoren straks verplicht worden om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC); het publiek-private samenwerkingsverband, dat onderdeel is van het ministerie van Veiligheid en Justitie.

Volgens de ratio maakt tijdige melding een effectievere aanpak van dit soort incidenten mogelijk, met als doel maatschappelijke ontwrichting te voorkomen of te beperken, aldus het wetsvoorstel van staatssecretaris Dijkhoff dat aan de Tweede Kamer is aangeboden. Een nieuwe meldplicht dus, die past in een trend. Wettelijke meldplichten bij ICT-gerelateerde incidenten en forse verhoging van bestuursrechtelijke sancties, op te leggen door toezichthouders, vormen namelijk een geconsolideerde juridische trend, die cloud computing in het hart raken.

> Hoezo een nieuwe meldplicht? Het Nederlandse recht kent allerlei soorten meldplichten. Denk aan het melden van het schenden van staatsgeheimen of melden van koersgevoelige informatie of ongebruikelijke transacties. Ten aanzien van ICT, in het bijzonder in relatie tot het lekken van persoonsgegevens - waarbij een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens is, die door de organisatie worden verwerkt - geldt zoals bekend sinds 1 januari 2016 een wettelijke meldplicht. Dit voorschrift wordt 'breed' genoemd, omdat het voor ieder bedrijf of overheidsorganisatie geldt die persoonsgegevens verwerkt. In feite alle organisaties. Hiervoor paste de wetgever de Wet bescherming persoonsgegevens aan. Eerder trad in Nederland een zogenoemde 'smalle' meldplicht voor het lekken van persoonsgegevens in werking. Dit voorschrift kreeg haar beslag kreeg in de Telecommunicatiewet, maar is alleen van toepassing op telecombedrijven.

> Een nieuwe, smalle meldplicht? Dat kan je zo zeggen. De nieuwe meldplicht gaat in elk geval gelden voor (nog nader aan te wijzen) organisaties binnen de volgende sectoren: elektriciteit, gas, kernenergie, drinkwater, telecom, transport (mainports Rotterdam en Schiphol), financiën en overheid (waaronder primaire waterkeringen) en betreft dus geen generieke wettelijk voorschrift. Het gaat nadrukkelijk om sectoren, die onderdeel zijn van de vitale infrastructuur van Nederland. Uitval kan direct of indirect leiden tot maatschappelijke ontwrichting. De gedachte luidt dat door deze vitale organisaties wettelijk te verplichten melding te maken van ICT-inbreuken, het NCSC de risico’s voor de samenleving kan inschatten én hulp verlenen aan de getroffen organisatie. Bovendien verwacht het NCSC zo in staat te zijn andere vitale organisaties te waarschuwen en te adviseren.

Volgens de regering past de meldplicht in het bredere kader van de ingezette publiek-private samenwerking om cybersecurity binnen de (rijks)overheid en de vitale sectoren te bevorderen. Het vertrouwelijke karakter van de gemelde informatie over incidenten en kwetsbaarheden blijft gewaarborgd. Ook in de VS zien we dit type beleid. Maar er zijn ook risico's. Zo zet de Cybersecurity Information Sharing Act Amerikaanse ondernemers onder druk om snel informatie te scheiden (wat wel, wat niet) wanneer ze willen aanleveren. Daarnaast lopen multinationals aanvullende juridische risico's omdat ze mede gehouden zijn aan onder meer de verplichtingen van het privacyrecht in Nederland en andere EU-lidstaten nu en in de toekomst. Toch zullen ondernemers in beginsel juridische risico's willen mijden en dat feit staat haaks op de strekking van de wet. De praktijk zal het leren; ook in ons land.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.