Regering ziet slechts deel van digitaal kader

Veiligheid is één van de twee kerndomeinen waarin het kabinet Ruttte III het ICT-beleid plaatst en nader bepaald vertaalt zich dat vooral in het voorkomen en vervolgen van strafrechtelijke handelingen ter zake. Zonder enige twijfel noodzakelijk.

Om twee gronden te noemen: het OM verwacht dat in 2021 de helft van de misdaad computer-gerelateerd is. Een trendbreuk. Volgens het CBS heeft ruim 20 procent van de bedrijven met minstens tien werkzame personen in 2016 te maken gehad met de gevolgen van cyber-aanvallen.

De zoveelste digitale meldplicht is van kracht geworden

Wie zijn oor te luisteren legt, hoort bij leverancier en gebruikersorganisatie telkens dezelfde afkorting: AVG, AVG en nog eens AVG. De devote aandacht voor de Algemene Verordening Gegevensbescherming, met daarin opgenomen een meldplicht voor een datalek voor de gegevensverantwoordelijke, bindt de kat op het spek. Men vergrijpt zich vrijwel letterlijk aan deze Europese privacywet, die vanaf 25 mei 2018 van toepassing is. Met als gevolg dat andere regels voor digitale technologie, onder meer voor wettelijke meldplichten, geheel ondersneeuwen. Ronduit onverstandig.

Bedrijfsinformatiebeleid dringend gewenst

Een jaar na het intreden van de inmiddels beruchte wet Meldplicht Datalekken zegt 41% van de organisaties in Nederland geen (tijdige) melding te maken van dataverlies. De belangrijkste gronden om niet te melden zijn (i) onduidelijkheid over de impact van het datalek, (ii) reputatieschade en (iii) het voorkomen van verder misbruik. Daarnaast speelt bij 10% van de ondervraagden (iv) angst voor disciplinaire maatregelen mee, waardoor medewerkers datalekken ook intern onder de pet houden. Tegelijkertijd heeft meer dan de helft van het bedrijfsleven en overheden in 2016 te maken gehad met één of meer lekken van ‘gevoelige informatie’, aldus de belangrijkste uitkomsten van een onderzoek naar de meldplicht datalekken in de praktijk, door Pb7 Research onder 310 Nederlandse organisaties, in opdracht van de Russische informatiebeschermer Kaspersky Lab uitgevoerd.

Wetgeving, wetgeving en nog eens wetgeving

Gedurende de laatste 25 jaar kwam een breed wetgevingsoffensief voor digitale techniek, gegevensverwerking en de informatiemaatschappij op gang, waarvan omvang en intensiteit nu toenemen. Deze huidige periode getuigt namelijk eens te meer van een brede, niet-aflatende stroom digitale wet- en regelgeving. Vanuit de Europese Unie en door Nederland als autonome wetgever. Hieruit blijkt eens te meer dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met (grote) delen van dit omvangrijke legislatieve raamwerk te maken. Voor openbaar bestuurder en ondernemer zijn deze spelregels echter van strategisch belang geworden; ongeacht de staat van digitale transitie waarin de organisatie zich bevindt, én ongeacht de sector. We benoemen een aantal wetgevingstrends in het cruciale domein privacy en digitale veiligheid.

Legal Look: Victor de Pous over stemmingmakerij wettelijke meldplicht

Goed nieuws. Sociaal mediagigant Facebook – met 1,63 miljard gebruikers – gaat meer doen om te voorkomen dat nepnieuws zich via het platform verspreidt. Enerzijds krijgen gebruikers meer hulpmiddelen om onjuiste informatie te melden, terwijl het bedrijf zelf de detectiesystemen verbetert. Dat hebben we te danken aan de verkiezingen. President elect Trump zou van nepnieuws hebben geprofiteerd, nu kennelijk veel Amerikanen de sociaal media-website als belangrijkste en zelfs enige nieuwsbron lezen.

Legal Look: Victor de Pous over booming computercriminaliteit

Tijdens de werkzaamheden van de Commissie Computercriminaliteit in 1986 werd er in kleine kring druk gediscussieerd over de strafbaarstelling van hacking (computervredebreuk). Nemen we wel of niet het doorbreken van beveiliging in de delictsomschrijving op? Dertig jaar later staan strafrecht en strafvordering met het wetsvoorstel Computercriminaliteit III voor de derde grote uitbouw. Dat is hard nodig. Computercriminaliteit veranderde van een schaarse exotische misdaadcategorie, beoefent door uiterst gekwalificeerde professionals, in een alledaagse vorm van digitale criminaliteit, waarvoor de middelen op Internet worden gekocht of zelfs op afroep besteld. Grootschaligheid en laagdrempeligheid troef. Een kind kan de was doen. Sterker nog, met computercriminaliteit gaat het zelfs dusdanig goed dat het openbaar ministerie binnen afzienbare tijd een trendbreuk verwacht. ‘Over vijf jaar heeft vijftig procent van onze criminaliteit te maken met computers’, aldus procureur-generaal Gerrit van der Burg.

Het mondiale encryptiedebat: Nederland laatste der Mohikanen?

Niet zozeer de voortdurende stroom baanbrekende onthullingen van klokkenluider Edward Snowden plaatst het onderwerp encryptie wereldbreed op de politieke agenda, het zijn vooral de terroristische aanslagen in het westen. Telkens weer. New York, Londen, Madrid, Parijs en recent Brussel.

Digitale inbraken: voorkomen kan niet meer, voorbereiden wel

Wellicht valt er iets te leren van het pragmatische aan de andere kant van de oceaan, ondanks het schaamrood en de verhitte gemoederen, dat we ook registreren. Vraag jezelf niet af of je gehackt wordt, maar wanneer. De hack bij het US Office of Personnel Management (OPM) in Washington DC vorig jaar, maakt een hoop duidelijk. Laten we bij de omvang beginnen. Het datalek is ronduit massaal. Het betreft een inbraak in informatiesystemen van de federale burgerlijke overheid, waarbij persoonsgegevens van 21,5 miljoen Amerikanen zijn gelekt (conform het jargon van het Europese privacyrecht noemen we die ‘betrokkenen’).

Victor de Pous

Sjoemelsoftware tast digitaal vertrouwen verder aan

Er was eens een Amerikaanse bankmedewerker met kennis van automatisering die bedacht dat een beproefde modus operandi van weleer, ook geautomatiseerd kon plaatsvinden. Weliswaar op zich niet onrechtmatig (de kaasschaafmethode voor het beperken van bedrijfskosten), maar vaak wel. Criminologen hebben het dan over de ‘salamitechniek’. Een in dit geval omstreden, nee, ronduit illegale werkwijze waarbij telkens een klein deel ‘verdwijnt’, ter grootte van het spreekwoordelijke flinterdunne plakje Italiaanse worst. Om het idee te bepalen: dat kan zelfs een cent of minder per financiële transactie zoals een overboeking zijn. Doorgaans kraait er geen haan naar – het verlies valt immers niet of nauwelijks op – en degene die zich van deze techniek bedient, wordt rijk, mits het om volume gaat.

Victor de Pous

Safe-Harbour: back-to-basics of back-to-school?

Wat krijg je als je recht, politiek en economie samen beschouwt in het perspectief van grensoverschrijdende handel? Gedoe, dat zijn bron heeft in nationaal belang. Zo wijzen sommigen er fijntjes op dat de Europese Commissie voor de tweede maal fors wordt teruggefloten door de rechter. Eerst verklaarde het Hof van Justitie van de Europese Unie de Richtlijn gegevensbewaring uit 2006 met terugwerkende kracht ongeldig wegens schending van grondrechten (Digital Rights Ireland en Seitlinger arrest). Dat was op 8 april 2014. Nu haalt de rechter een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, hetgeen mogelijk 4.000 plus Amerikaanse bedrijven raakt die zich hierbij hebben aangesloten – multinationals en vooral kleinere ondernemers.

Victor de Pous

Meldplichtklaar?

Trendy ja, nieuw nee. De juridische figuur van een melding van een vaststaande gebeurtenis of onzeker voorval is zo oud als de weg naar Rome. Het begon ooit met afspraken tussen partijen vastgelegd in een overeenkomst. Zo kan een contract bepalen dat wanneer er dit gebeurt of een partij dat wil, er een informatieplicht ontstaat ten overstaan van wederpartij of derde. Wellicht vormen verzekeringsovereenkomsten het ultieme voorbeeld. Schade moet eerst gemeld worden, alvorens een claimprocedure überhaupt start. Maar zelfs in de precontractuele fase hebben partijen een verregaande informatieplicht omtrent zo ongeveer alles wat belangrijk is met het oog op de beoogde overeenkomst, die ze met elkaar willen aangaan. Dat loopt nogal eens fout bij softwareontwikkeling op maat.

Victor de Pous

De luide politieke roep om samenwerking

Het beeld toont zich duaal. Te gekke vindingen enerzijds. De techniek dendert voort met draagbare technologie, robotisering, virtuele valuta, big data, Internet of Things en wat dies meer zij, gecomplementeerd met hooggespannen verwachtingen. Anderzijds tekenen massale inbreuken op persoonsgegevens de tijdgeest. Criminelen, veiligheidsdiensten, toezichthouders, onderzoekers, maar tevens mismanagement en gammele informatietechniek, leggen telkens, maar op uiteenlopende wijze, de vinger op de zere plek. Een maatschappij met een fragiel, ronduit kwetsbaar karakter. Quo Vadis?