Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

Terug 18 oktober 2016

Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

​​Vewin kan zich vinden in het Wetsvoorstel gegevensverwerking en meldplicht cybersecurity dat drinkwa­terbedrijven verplicht om ICT-inbreuken met (mogelijk) een grote impact op de continuïteit van de drink­watervoorziening te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Wel wil Vewin het belang van de volgende twee bepalingen in het wetsvoorstel onderstrepen.

Hulp en bijstand staan voorop
Het doel van de ICT-meldplicht is dat het NCSC tijdig hulp en bijstand aan de getroffen vitale aanbie­der(s) kan verlenen om de effecten van een ernstige ICT-inbreuk zoveel als mogelijk te beperken én om andere vitale aanbieders te waarschuwen. Hulp en bijstand staan dus voorop. Het wetsvoorstel voorziet dan ook niet in een handhavende rol voor het NCSC, noch in sancties. Vewin onderschrijft dit.
Het achterwege laten van een handhavende rol voor het NCSC is in lijn met de Kamerbreed gesteunde motie Hennis-Plasschaert, het past in de intensieve publiek-private samenwerking binnen het NCSC, en het draagt bij aan het creëren van de zogenoemde just culture (veiligheidscultuur) die bedrijven aanmoe­digt om cyberincidenten vrijwillig te melden, met als doel het verbeteren van de veiligheid van het gehele systeem.
Bovendien is toezicht en handhaving door het NCSC niet nodig. Op basis van de algemene meldplicht in de Drinkwaterwet is er een parallelle meldplicht aan de sectorale toezichthouder, de Inspectie Leefomgeving en Transport (ILT). ICT-inbreuken die aan het NCSC gemeld moeten worden, worden ook te allen tijde aan de ILT gemeld.
Daarnaast zou afsplitsing of versnippering van toezicht en handhaving voor cybersecurity zeer onwense­lijk zijn. De Minister van Infrastructuur en Milieu heeft een systeemverantwoordelijkheid voor de openbare drinkwatervoorziening. Verstoringen van de drinkwatervoorziening als gevolg van ICT-inbreuken vallen hier óók onder. Dit is noodzakelijk aangezien ICT-inbreuken, die tot een verstoring van de drinkwatervoor­ziening (kunnen) leiden, niet los kunnen worden gezien van de consequenties voor de drinkwatervoor­ziening. Kennis over de drinkwatervoorziening, zoals waterkwaliteit, én van de sector spelen een be­langrijke rol bij het afwegen van maatregelen en het uitoefenen van toezicht. 
  Behoud de heldere rol van het NCSC conform het wetsvoorstel, namelijk het bieden van hulp en bijstand om maatschappelijke ontwrichting te voorkomen dan wel te beperken. Toezicht en handhaving liggen elders.

Bijzondere openbaarheidsregeling
De meldplicht gaat gepaard met het verstrekken van informatie over de inrichting van ICT-systemen en netwerken die het NCSC nodig heeft om de getroffen vitale aanbieder adequaat te helpen én om de risico’s voor andere vitale aanbieders in te schatten. Aangezien het hier om gevoelige informatie gaat, voorziet het wetsvoorstel in een bijzondere openbaarheidsregeling. Dat wil zeggen dat de Wet openbaar­heid van bestuur (Wob) niet van toepassing is op vertrouwelijke gegevens die herleid kunnen worden naar een vitale aanbieder. Deze bepaling is dus cruciaal. De openbaarheidsregeling geldt overigens ook voor vertrouwelijke gegevens die zijn verkre­gen door onverplichte meldingen. Hierdoor draagt de regeling bij aan de gewenste just culture waarbij bedrijven vrijwillig informatie uitwisselen met het NCSC. Vewin pleit ervoor om het wetsvoorstel nu in te voeren en niet te wachten op het wetsvoorstel ter implementatie van de richtlijn voor Netwerk- en Informatiebeveiliging (NIB-richtlijn). De bijzondere openbaarheidsrege­ling is een randvoorwaarde voor publiek-private samenwerking en dient zo spoedig mogelijk in werking te treden.
 Laat het wetsvoorstel met daarin de bijzondere openbaarheidsregeling zo snel mogelijk in werking treden, ter bevordering van de publiek-private samenwerking én ter bescherming van gevoelige informatie.

Download standpunt

Tags by dit artikel

Delen via: