HET CYBER SECURITY BELEID VAN DE TOEKOMST



Vergelijkbare documenten
Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Wet gegevensverwerking. en meldplicht cybersecurity

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

NEDERLAND: EEN VRIJE EN BETROUWBARE INFORMATIESAMENLEVING

Vast commissie voor Veiligheid en Justitie Tweede Kamer der Staten-Generaal Binnenhof AA DEN HAAG

Met zorg namen de ondergetekenden kennis van het concept-wetsvoorstel versterking bestrijding computercriminaliteit.

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Tweede Kamer der Staten-Generaal

Impact van de meldplicht datalekken

Cloud computing Helena Verhagen & Gert-Jan Kroese

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Datalekken: preventie & privacy

Leidraad om te komen tot een praktijk van Responsible Disclosure

Agenda. De AVG: wat nu?

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

We helpen u security-incidenten te voorkomen

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Stappenplan naar GDPR compliance

Gegevensbescherming/Privacy

Factsheet SECURITY CONSULTANCY Managed Services

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacybeleid gemeente Wierden

Onderwijs en cyber security

Handvatten bij de implementatie van de AVG

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Informatiebeveiliging en privacy. In kleine stapjes zonder grote woorden

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Inrichting toezicht. Voorafgaand toezicht op het delen van informatie

Betreft Reactie Bits of Freedom inzake de conceptverordening gegevensbescherming

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

GDPR. een stand van zaken

Stappenplan naar GDPR compliance

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

IMMA special Privacy. Amersfoort, 20 april 2016

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Meldplicht datalekken Thomas van Essen. 31 maart 2016

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Privacy op school in 10 stappen geregeld! Job Vos expert privacy en uitwisseling leerlinggegevens - Kennisnet

Factsheet DATALEKKEN COMPLIANT Managed Services

DATAHACKING HALLOWEEN EVENT

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Europese Privacy Verordening (EPV) Een wet met Tanden

Bestuurlijke Netwerkkaarten Crisisbeheersing

Privacy Maturity Scan (PMS)

Privacy wetgeving: Wat verandert er in 2018?

Gegevensverzameling en gegevensverwerking

Zienswijze ronde tafel wetsvoorstel brede meldplicht. 24 februari Inleiding

Strategisch beleid Informatieveiligheid & Privacy

E. Procedure datalekken

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Cyber Security Raad. Jos Nijhuis Voormalig covoorzitter CSR.

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

PROCEDURE MELDPLICHT DATALEKKEN

Informatiebeveiliging gemeenten

Raadsmededeling - Openbaar

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Tweede Kamer der Staten-Generaal

Voorkomen en melden van datalekken

Algemene verordening gegevensbescherming

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Informatieveiligheid Drechtsteden. Bijeenkomst Drechtraad Gemeentehuis Zwijndrecht, 1 maart 2016

Wet beveiliging netwerken informatiesystemen

Privacy in de eerstelijnspraktijk Checklist & tips

Bijlage: Verwerkersovereenkomst

Plan

Uw privacy bij de gemeente Woerden

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Vastgesteld 25 september Stedelijk kader verwerken persoonsgegevens door de gemeente Amsterdam

Procedure Meldplicht Datalekken

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

De impact van Cybercrime & GDPR

Datalekken (en privacy!)

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

1. Beveiligingsbijlage

De Nationaal Coördinator Terrorismebestrijding en Veiligheid

Bijlage: Verwerkersovereenkomst

3. Bits of Freedom verwacht dat de volgende 'eisen' worden toegevoegd aan Voorstel:

Meldplicht datalekken

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus n EA DEN HAAG

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Manifest Wij zijn Open en Weerbaar Nijmegen

Agenda. Over de gevaren van phishing en de urgentie van e- mailbeveiliging

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Memo. Aan Schoolbesturen Voortgezet Onderwijs. Kopie aan VO-raad. Van Van Dijk Educatie Voortgezet Onderwijs. Datum 18 augustus 2016

Schrijven we over 'wij', 'we', 'ons' of 'onze', dan bedoelen we De Bovenbaas, gevestigd aan de Kruisdwarsstraat 19, 3581GL Utrecht, Nederland.

Transcriptie:

HET CYBER SECURITY BELEID VAN DE TOEKOMST November 2012

ONDERTEKENAARS Dit beleid wordt ondertekend door: Burgerrechtenvereniging Vrijbit Dutch Hosting Provider Association Free Press Unlimited HCC Humanistisch Verbond Internet Protection Lab Ouders Online Platform Bescherming Burgerrechten Stichting KDVP Stichting Meldpunt Misbruik ID-plicht Stichting Privacy First Vereniging NLUUG Vrijschrift / ScriptumLibre Mr. A.M. Arnbak, Universiteit van Amsterdam Prof.mr. E.J. Dommering, Universiteit van Amsterdam Prof.dr. N.A.N.M. van Eijk, Universiteit van Amsterdam Rop Gonggrijp Dr. P.J.A. de Hert, Universiteit Tilburg Dr. J.V.J. van Hoboken, Universiteit van Amsterdam Dr. J.H. Hoepman, Radboud Universiteit Nijmegen Prof.mr. S. van der Hof, Universiteit Leiden Prof.dr.ir. C.T.A.M. de Laat, Universiteit van Amsterdam Prof.dr. T. Lange, Technische Universiteit Eindhoven Prof.dr. R.A. Lawson, Universiteit Leiden Prof.dr. R.E. Leenes, Universiteit Tilburg Ing. J.C.G. van de Looy, Madison Gurkha BV Dr.ir. E. Poll, Radboud Universiteit Nijmegen Drs. R. Rustema, Universiteit van Amsterdam Dr. P. Schwabe Prof.mr.dr. J.M. Smits, Technische Universiteit Eindhoven Prof.dr.ir. H.C.A. van Tilborg, Technische Universiteit Eindhoven pagina 2 van 9

Diginotar, de KPN-hack, Stuxnet: het zijn grote incidenten die Nederland de afgelopen jaren wakker hebben geschud. Nederland wordt steeds afhankelijker van ICT en daarmee worden we ook steeds kwetsbaarder voor aanvallen op onze ICT-systemen. Cybersecurity staat dan ook terecht hoog op de politieke agenda. Maar als we ons te veel richten op die incidenten, wordt ons cybersecuritybeleid niet meer dan paniekvoetbal: we blussen brand na brand, terwijl het huis verder in de modder zakt. Ondertussen dreigt internetvrijheid, door bijvoorbeeld vergaande vormen van monitoring, in de verdrukking te komen en lopen we het risico om een van de belangrijkste infrastructuren van de 21e eeuw het internet te ondermijnen. Digitale burgerrechtenbeweging Bits of Freedom vindt dat cybersecurity beter verdient. We zijn ervan overtuigd dat we met slimme, gerichte maatregelen onze cybersecurity sterk kunnen verbeteren. Daarom presenteren we in deze notitie vier uitgangspunten en acht maatregelen voor modern cybersecuritybeleid. pagina 3 van 9

UITGANGSPUNTEN MODERN CYBERSECURITYBELEID A. CYBERSECURITY IS OOK PERSONAL SECURITY Cybersecurity gaat vaak over het beschermen van vitale infrastructuur, zoals energiecentrales en waterkeringen. Maar cybersecurity gaat ook over een ander belangrijk onderwerp: de bescherming van de meest waardevolle en intieme informatie van burgers en bedrijven. Want als bijvoorbeeld de opgeslagen telefoniegegevens, medische gegevens of locatiegegevens van miljoenen Nederlanders op straat komen te liggen, kan dat een nationale ramp betekenen. B. CYBERSECURITYBELEID MOET GRONDRECHTEN RESPECTEREN Cybersecuritymaatregelen die geregeld worden voorgesteld raken al gauw aan grondrechten: zo beperkt een internetkillswitch de communicatievrijheid en maakt massale surveillance van internetverkeer ernstige inbreuk op de privacy. Dit is onacceptabel: volgens vaste jurisprudentie van het Europees Hof voor de Rechten van de Mens is de wezenlijke kern van grondrechten onaantastbaar. De noodzaak, proportionaliteit, subsidiariteit en effectiviteit van nieuwe maatregelen moet op dit gebied dus altijd vooraf worden aangetoond. Het logische gevolg hiervan is dat cybersecuritymaatregelen steeds maatwerk vereisen en dus moeten worden toegesneden op het probleem dat opgelost wordt. C. CYBERSECURITY VEREIST TRANSPARANTIE Beleid op het gebied van cybersecurity kan vergaande maatschappelijke gevolgen hebben, onder meer voor grondrechten en voor de werking van het internet. Juist daarom moet dit beleid controleerbaar zijn, zodat dit zo nodig in een vroeg stadium kan worden bijgestuurd. Dit betekent dat transparantie het uitgangspunt moet zijn: het beleid moet onder meer uitgaan van reële en verifieerbare dreigings- en risicoanalyses, die zijn toegesneden op het specifieke risico dat het beleid probeert te adresseren. Die analyses moeten vóóraf maar ook periodiek ná invoering van het beleid worden uitgevoerd. pagina 4 van 9

D. EXTREME MAATREGELEN LEIDEN NIET TOT ABSOLUTE VEILIGHEID Hoe belangrijk veiligheid in het digitale domein ook is: extreme maatregelen leiden niet tot absolute veiligheid. Veiligheid is per definitie de uitkomst van een kosten-batenafweging. Juist voor cybersecurity geldt bovendien dat kleine partijen tegen relatief lage kosten al grote schade kunnen aanrichten: de ontwikkeling van een geavanceerd virus zoals Dorifel is daarvan een voorbeeld. Risico's kunnen zo veel mogelijk worden voorkomen door vooraf simpele veiligheidsmaatregelen te nemen, door risico's zo veel mogelijk te spreiden en te voorzien in terugvalmechanismen. Maar ook in die omstandigheden zullen we bepaalde cybersecurityrisico's gewoonweg moeten accepteren omdat de kosten om die risico's te voorkomen te hoog zijn (zowel in euro's als in de aantasting van onze individuele vrijheid). pagina 5 van 9

MAATREGELEN MODERN CYBERSECURITYBELEID 1. CYBERSECURITYBELEID MOET PERSONAL SECURITY CENTRAAL STELLEN De afgelopen jaren heeft de overheid steeds vaker verplicht om gevoelige gegevens van miljoenen burgers op te slaan: vingerafdrukken, kentekens, verkeersgegevens (van telefonie en e-mail), locatiegegevens, etc. Ook wordt de toegang tot dit soort gegevens onvoldoende beperkt. De gegevens van telefonie-abonnees zijn makkelijk toegankelijk voor de politie en worden daardoor bijna drie miljoen keer per jaar opgevraagd. Dit moet anders: met beginselen als dataminimalisatie of decentralisatie kunnen we het volgende datalek voorkomen, simpelweg omdat er niets of niet genoeg te lekken valt. De overheid moet veel minder opslaan: zij zal steeds vooraf moeten aantonen dat de opslag van bepaalde gegevens noodzakelijk is en welk doel dit dient. Indien dit doel niet bereikt wordt, moeten die gegevens bovendien kunnen worden vernietigd. Verder moet de overheid de toegang tot deze gegevens tot het minimum beperken en van security by design en privacy by design centrale ontwerpbeginselen maken. Onderdeel daarvan is dat de overheid bij de inkoop van producten en diensten moet streven naar een gezonde diversiteit van ITsystemen, om zo kwetsbaarheden te beperken. En die uitgangspunten gelden niet alleen voor de publieke sector: ook de opslag en toegang tot privégegevens door bedrijven moet aan strengere banden worden gelegd en de beveiliging moet beter worden geregeld. 2. ER MOET WORDEN GEÏNVESTEERD IN KENNIS EN CAPACITEIT OP HET GEBIED VAN CYBERSECURITY, NIET IN NIEUWE BEVOEGDHEDEN De overheid beschikt vaak niet over voldoende kennis en capaciteit om adequaat te reageren op cybersecurityincidenten en de bestaande bevoegdheden effectief te gebruiken. De overheid moet daarom investeren in mensen met de benodigde kennis en huidig personeel bijscholen. Zo zou de overheid meer ambtenaren met een technische achtergrond moeten aantrekken en ervoor moeten zorgen dat opsporingsambtenaren verder worden opgeleid in digitaal rechercheren. pagina 6 van 9

Verder moet de overheid investeren in onderwijsinstellingen op het gebied van cybersecurity, zodat het kennisniveau in Nederland zich verder kan ontwikkelen en voor de toekomst gewaarborgd is. Tot slot moet de overheid investeren in aanvullend wetenschappelijk onderzoek. Pas als er voldoende kennis en capaciteit is om de huidige bevoegdheden goed aan te wenden, is er aanleiding om over nieuwe bevoegdheden te spreken. 3. INTERNETGEBRUIKERS MOETEN ZICHZELF KUNNEN BESCHERMEN De overheid moet ervoor zorgen dat internetgebruikers (inclusief vele organisaties in de publieke en private sector) zichzelf goed kunnen beschermen tegen digitale risico's. De tools en de ondersteuning die internetgebruikers nu voor handen hebben zijn vaak onvoldoende. Tegelijkertijd is een groot aantal incidenten te wijten aan simpele kwetsbaarheden en kunnen die incidenten worden voorkomen door het toepassen van simpele veiligheidsmaatregelen, zoals regelmatige software-updates. Cybersecurity begint dan ook bij voorlichting over die maatregelen, het stimuleren van het gebruik van cybersecuritytechnologie, zoals versleutelingssoftware en anonimiseringstechnologie, en de ontwikkeling van veilige software. Dit betekent ook dat de overheid backdoors in versleutelingstechnieken niet moet verplichten en de ontwikkeling hiervan niet moet stimuleren. 4. DE OVERHEID MOET ZELF HET GOEDE VOORBEELD GEVEN Gebrek aan controle of grote afhankelijkheid van derden vormt een aanzienlijk veiligheidsrisico en ondermijnt de geloofwaardigheid van overheidsbeleid op het gebied van cybersecurity. De overheid heeft aanvullende kennis en capaciteit op het gebied van ICT nodig zodat zij de controle over haar eigen infrastructuur kan uitoefenen en de risico's van beleid dat zij voorstelt beter kan inschatten. 5. CYBERSECURITY MOET EEN KERNTAAK VAN DE OVERHEID BLIJVEN De overheid heeft een belangrijke rol om ervoor te zorgen dat onze informatiemaatschappij veilig is. Juist vanwege de grote maatschappelijke belangen moet de overheid zich daarom terughoudend opstellen bij het steunen van zelfregulering en publiek-private samenwerking en altijd eindverantwoordelijke blijven. Dit betekent dat de overheid alleen de hulp van private partijen mag inroepen als de pagina 7 van 9

overheid (i) de noodzaak daarvan vóóraf heeft aangetoond, (ii) de eisen voor die samenwerking opstelt, (iii) eindverantwoordelijke blijft, (iv) transparant is over deze samenwerking, en (v) waar grondrechten in het geding zijn parlementaire controle garandeert. 6. DE UITWISSELING VAN INCIDENTINFORMATIE MOET WORDEN GESTIMULEERD Voor hun eigen veiligheid en de veiligheid van anderen zijn organisaties in de publieke en private sector mede afhankelijk van incidentinformatie van anderen: aan de hand van bekende dreigingen en kwetsbaarheden kunnen zij hun informatiesystemen beter beveiligen. De overheid moet de uitwisseling van dit soort informatie bevorderen, bijvoorbeeld via platforms voor het uitwisselen van bekende softwaregaten, aanvalspatronen en besmette IP-adressen. Voor zover mogelijk moet dit soort informatie ook publiek worden gedeeld. De uitwisseling van incidentinformatie moet met waarborgen worden omkleed om misbruik van en fouten in de informatie te voorkomen. Ook moet zij zorgen dat kennis over kwetsbaarheden in ICT-technologieën zo snel mogelijk openbaar wordt gemaakt. Ze moet meldingen van ethische hackers stimuleren door het opstellen van richtlijnen voor responsible disclosure. 7. ER MOET EEN MELDPLICHT VOOR DATA- EN BEVEILIGINGSLEKKEN KOMEN Het lekken van persoonsgegevens leidt tot identiteitsfraude en verlies van vertrouwen in informatietechnologie. De overheid en het bedrijfsleven moeten daarom worden verplicht om onbevoegde toegang tot persoonsgegevens te melden aan slachtoffers. Een publiek register voor data- en beveiligingslekken stelt bedrijven en de overheid in staat om te leren van de fouten en dreigingen inzichtelijk te maken. 8. TOEZICHTHOUDERS MOETEN KRACHTIG KUNNEN OPTREDEN Het College Bescherming Persoonsgegevens (CBP) ziet toe op de bescherming van onze persoonsgegevens. Het Nationaal Cyber Security Centrum (NCSC) gaat over onze weerbaarheid in het digitale domein. Beiden moeten kunnen bepalen of een incident een significant risico voor informatieveiligheid vormt en zo nodig snel en effectief kunnen reageren. Dat betekent dat ze voldoende budget en bevoegdheden moeten krijgen. Daarnaast moet (internationale) coördinatie en samenwerking tussen toezichthouders worden bevorderd. pagina 8 van 9

OVER BITS OF FREEDOM Bits of Freedom verdedigt de communicatievrijheid en privacy van Nederlandse internetgebruikers. Zij doet dat door constructieve campagnes te voeren en de overheid en het bedrijfsleven te informeren. Voor een nadere toelichting op dit document zijn wij vanzelfsprekend graag beschikbaar. Stichting Bits of Freedom Postbus 10746 1001 ES Amsterdam Simone Halink T: 06 46 28 26 93 E: simone.halink@bof.nl pagina 9 van 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback