Juridische vraag: Is er een wettelijke termijn waarbinnen nieuwe security-standaarden geïmplementeerd moeten zijn?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?
Antwoord: Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.
De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je "passende technische en organisatorische maatregelen" moet nemen "om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking."
De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plandocheckactcyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.
Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term 'redelijk' te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
onrechtmatige toegang tot persoonsgegevens), en niet gedetailleerd ingaan om de manier waarop dat doel bereikt
kan worden (bijvoorbeeld implementeren van een beveiligingsstandaard).
Dat wil je ook niet, want voor je het weet staat er dan in de wet dat je Windows 10 moet gebruiken of dat je routers van een
bepaald merk moet gebruiken (al was het maar omdat de gespecificeerde standaard alleen door dat merk geimplementeerd
wordt).
Of als de AP besluit zelf onderzoek te doen. Zie bijvoorbeeld de uitspraken t.a.v. verzuimgegevens. Die zijn zo gevoelig dat 2-factor authenticatie onderdeel moet zijn van de "passende technische en organisatorische maatregelen".
Peter
Financials hebben ook een aantal instanties voor richtlijnen en handhaving. De DNB noemt cobit iso27k als te gebruiken handvatten (KIFID AFM) zijn andere instanties. Met Basel en solvency komt dat weer terug.
Beursgenoteerd in de VS krijg je te maken met SOX 404.
Voor de overheid is alles bir iso27k als open standaard te vinden.
Het zijn vele controlerende en handhavende instanties.
Dat er in de praktijk zo weinig van terecht komt is frustrerend. Het lijkt erop dat de instanties papieren tijgers zijn. Daarmee de mogelijkheid biedend om legaal wat gedaan zou moeten worden genegeerd kan worden.
en opgevolgd door de volgende (naar de stand der techniek actuele) versie...
Dan oogt het ook wat brak te stellen dat en helemaal geen norm zou zijn, waar een concrete opvolger gepubliceerd is. Wellicht wat te dicht bij de letter der wet geïnterpreteerd?
onrechtmatige toegang tot persoonsgegevens), en niet gedetailleerd ingaan om de manier waarop dat doel bereikt
kan worden (bijvoorbeeld implementeren van een beveiligingsstandaard).
Dat wil je ook niet, want voor je het weet staat er dan in de wet dat je Windows 10 moet gebruiken of dat je routers van een
bepaald merk moet gebruiken (al was het maar omdat de gespecificeerde standaard alleen door dat merk geimplementeerd
wordt).
In IT termen, de productcyclus van wetgeving is extreem traag .
De ontwikkeling gaat heel langzaam, en het product blijft extreem lang in gebruik . (wetten die afgeschaft worden ? )
Dat maakt het erg ongeschikt om daarmee heel gedetailleerd te acteren op zaken met een extreem korte productcyclus.
Ik houd de (uitwerking van) "de cookie wetgeving" maar even in gedachten voordat ik al te hard roep dat de wetgever iets moet gaan zeggen over IT/security .
Ik heb laatst gevraagd aan de Voedsel- en Warenautoriteit of dit hun aandacht heeft, nu (lang leve het internet of things) steeds meer apparaten dat soort eigenschappen krijgen. Ik kwam bij hun uit toen ik me afvroeg wie eigenlijk in Nederland een leverancier tot een terugroepactie kan verplichten, iets waarvan ik me vaak genoeg afvraag waarom dat bij uit IT voortkomende ernstige problemen niet van toepassing zou moeten zijn, en in ieder geval voor sommige categorieën producten zijn zij dat. Ik legde in mijn vraag uit waarom ik dacht dat dit niet alleen aan privacy raakt en kreeg als antwoord dat ik de vraag beter aan de Autoriteit Persoonsgegevens kan stellen.
Dat klinkt niet alsof het hun aandacht of zelfs maar een begin van bewustzijn heeft. Betekent jouw frustratie, Arnoud, dat daar ook helemaal geen wettelijke basis voor is? Zelfs niet als IT steeds vaker aan de basis van het functioneren en in sommige gevallen daardoor mogelijk ook aan de veiligheid van apparaten staat?
Hoe dan ook, ik heb dit, met de gedachte dat IT-veiligheid meer kan raken dan alleen privacy, dat alles waar IT voor ingezet wordt meteen ook mede door die IT wordt bepaald en als die IT niet deugt dus niet goed werkt, en dat dat met de IoT-rage ook snel actueel kan worden, gedropt bij de tweedekamerfractie van een van de meer privacybewuste politieke partijen. Met een beetje geluk valt er een muntje bij iemand die in een positie is er ook iets mee te doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.