Juridische beveiligingstrends voor 2015

de pous

ICT wordt al jaren in hoog tempo juridisch genormeerd. Wetgevers - nationaal en uit Europa - hebben zich vanaf de jaren negentig met verve op de elektronische snelweg gestort. Ieder facet van de wondere wereld van de digitale technologie, elektronische gegevensverwerking en informatiemaatschappij verdient kennelijk een eigen, speciaal rechtskader; afwijkend van de regels voor de ouderwetse ‘stenen’ samenleving. Chips, software, databanken, persoonsgegevens, elektronische marketing, handel en identiteit, telecommunicatie in soorten en maten, en nog veel meer, zoals nieuwe strafbare feiten, uitgebreide bevoegdheden voor politie en justitie en regels voor eGovernment. Zoals ICT-ers veelal beweren dat je nooit genoeg softwarecode kunt hebben, zo stillen politici hun honger met telkens nieuwe wet- en regelgeving voor het digitale domein. Vet cool. 

Inmiddels zijn we op een moment in de geschiedenis aangekomen waar alles op de schop moet, althans zo lijkt het, en bovendien rap. Veel legislatieve ontwikkelingen raken informatiebeveiliging. Zo gaat Europa volgend jaar de Algemene Verordening Gegevensbescherming eindelijk vaststellen, waardoor onze Wet bescherming persoonsgegevens ingetrokken wordt en er in de interne markt een uniform regime komt voor de verwerking van persoonsgegevens. Met rechtstreekse werking en dwingend van karakter. Geen nationale afwijking mogelijk, inclusief de beoogde beveiligingsvoorschriften, meldplichten en zware sancties bij overtreding.

Toch lanceerde de PvdA - die eerdere tekende voor de omstreden uitbreiding van het spamverbod tot de zakelijke markt - recent ineens het plan voor een ‘allesomvattende datawet’. De socialisten pleiten goed beschouwd voor een multidisciplinair wondermiddel. Moderne en transparante wetgeving, welke Nederland als vestigingsland voor internationaal opererende ondernemingen op de kaart moet zetten en burgers inzicht geeft in de spelregels voor het opsporen en bestrijden van cybercrime. Dat voorstel heeft eerder wat weg van een meerkoppige draak.

Bij nader inzien is de aanjager hiervan de geconsolideerde ICT-infrastructuursector; zichzelf positionerend als de derde mainport te lande. Modernisering moet wetgeving ‘werkbaar’ maken, zo blijkt uit een geschrift van de kersverse opgerichte Stichting Digitale Infrastructuur Nederland. Volgens deze organisatie worstelen bedrijven met een Babylonische spraakverwarring over in wetgeving gecodificeerde ICT-gerelateerde termen en begrippen, zoals ‘Internet service provider’, ‘diensten van de informatiemaatschappij’ en meer. Verder gaat de aandacht uit naar netneutraliteit, en een heus keurmerk voor het MKB. Ondertussen past de regering de bevoegdheden van veiligheidsdiensten aan. Zowel AIVD en MIVD mogen straks ook het kabelverkeer aftappen, zelfs onder voorwaarden in bulk. Hiertoe wordt de Wet op de inlichtingen- en veiligheidsdiensten aanpast.

In samenhang met al dat wetgevingsgeweld constateren we tenminste twee majeure problemen. Uno. Een algemeen vergezicht voor onze informatiesamenleving, gefundeerd op stevige uitgangspunten en kernwaarden, ontbreekt bij wetgever, politiek en openbaar bestuur. Dos. Een aanzienlijke hoeveelheid en snel in omvang toenemende, uiteenlopende speciale wetgeving (nieuw of telkens wijzigend, zoals de ‘cookie’-regels) en allerlei andere juridische veranderingen die zich parallel voltrekken (alles gebeurt nu) doen natuurlijk alarmbellen rinkelen. Wie durft er nog naleving te rekenen? En dat terwijl compliance in de informatiemaatschappij toch al onder druk staat. En niet alleen door burgers die maar illegaal downloaden (uit illegale bron). Ook marktpartijen lappen (e-commerce) regels aan hun laars. Denk bij e-retailing aan het niet voldoen aan allerlei wettelijke informatieverplichtingen, onvoldoende beveiliging van persoonsgegevens, inclusief financiële transacties, onjuiste prijsstelling en geen of te late terugbetaling van retourzendingen van op Internet gekochte producten. Of app developers die grootschalig privacy- en beveiligingsregels schenden.

Maar meest spannende juridische trend betreft waarschijnlijk de algemene onvrede bij gebruikersorganisatie en individuele gebruiker, zoals de consument. Keer op keer lekken informatiesystemen informatie door zowel menselijk en technologisch falen als criminaliteit. Dat gaat ongetwijfeld tot meer aansprakelijkheidsclaims leiden. Terecht. ICT betreft geen sinecure, maar vormt een cruciale geconsolideerde technologie voor het ‘levensbloed’ van iedere organisatie, maatschappij als geheel en natuurlijk de burger. Verbeter de digitale kwaliteit, borg deze normen in een juridisch raamwerk en handhaaf strikt. Anders gaat de wereld aan ICT ten onder.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist