Wet- en regelgeving informatiebeveiliging

Er komen steeds meer wetten en regels die eisen stellen aan de wijze waarop organisaties en overheden omgaan met informatiebeveiliging en privacy. Dit heeft onder andere tot gevolg dat organisaties zich in toenemende mate beseffen dat ze informatiebeveiliging niet meer kunnen negeren en ze veel bewuster na moeten gaan denken over wat voor gegevens ze verwerken en welke beschermingsmaatregelen hiervoor nodig zijn. En dat is op zichzelf natuurlijk ontzettend positief.

Tegelijkertijd zijn er ook wetten die de bevoegdheden van opsporingsinstanties regelen. Dergelijke wetten zijn bedoeld om de Nederlandse burgers en het bedrijfslevel beter te beschermen, maar vormen tegelijkertijd ook een risico voor de privacy.

Baaten ICT Security heeft verschillende wetten en regels op een rijtje gezet en kort beschreven wat deze op hoofdlijnen inhouden.

(laatst bijgewerkt: oktober 2022)

Algemene Verordening Gegevensbescherming (AVG / GDPR)

De Algemene Verordening Gegevensbescherming (AVG) vervangt de oude Nederlandse Wet bescherming persoonsgegevens (Wbp), is op 25 mei 2016 in werking getreden, en sinds 25 mei 2018 van kracht en gehandhaafd door de Nederlandse toezichthouder: de Autoriteit Persoonsgegevens (AP). Organisaties die niet voldoen aan deze ‘Europese wet’ riskeren hoge boetes.

Uitvoeringswet AVG

De AVG laat ruimte aan lidstaten om een (strenger) beleid ten aanzien van privacy te voeren. Binnen Nederland gebeurt dit met de nationale wet, te weten de Uitvoeringswet AVG (UAVG). Deze nationale wet geeft invulling aan elementen waarover de Europese lidstaten geen consensus konden bereiken in de AVG, en aan zaken die op Europees niveau niet zijn benoemd. Denk bijvoorbeeld aan het BSN-nummer dat binnen Nederland wordt gezien als een identificatienummer dat een bijzondere bescherming toekomt.

Persoonsgegevens laten verwerken in de VS

Volgens de AVG is het verboden om zonder aanvullende afspraken, persoonsgegevens te laten verwerken door landen buiten de Europese Unie (artikel 44, 45 en 46). Achterliggende gedacht is dat de lokale wetten in dergelijke landen onvoldoende waarborgen bieden voor de bescherming van de persoonsgegevens. Ook de Verenigde Staten wordt door de Europese Commissie aangemerkt als een land zonder passend beschermingsniveau. Dat komt doordat de Amerikanen de privacy van buitenlanders niet of nauwelijks beschermen. De Amerikaanse privacywetgeving geldt op dit moment alleen voor inwoners van de VS, waardoor er geen juridische grondslag is voor de bescherming van buitenlanders. Onder druk van de internationale gemeenschap beloven de Amerikanen al langere tijd de nodige verbeteringen, maar deze komen niet of nauwelijks op gang.

Aangezien veel organisaties gebruik maken van de diensten van Amerikaanse (cloud)leveranciers, is het voor organisaties binnen de Europese Unie belangrijk om te zorgen dat de er aanvullende afspraken worden gemaakt waarmee de bescherming van de persoonsgegevens voldoende wordt beschermd. Op dit moment (oktober 2022) kan dit uitsluitend door gebruik te maken van Europese modelcontracten met een verplichte Data Transfer Impact Assessment (DTIA). Eerdere pogingen tussen de EU en de VS om doorgifte van persoonsgegevens naar de VS op een laagdrempelige manier te legaliseren, zoals het EU-VS privacy shield en diens voorganger Safe Harbor, zijn beide door het Europees Hof van Justitie ongeldig verklaard.

ePrivacy verordening

Volgt binnenkort.

Wet op de inlichtingen- en veiligheidsdiensten

De Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel sleepwet genoemd, regelt de bevoegdheden van inlichtingendiensten. De huidige Wiv 2017 regelt dat er voortaan ongericht op kabels mag worden afgetapt (dit geldt ook voor mobiele telefoons omdat zendmasten via kabels aangesloten zijn). Dit geeft de mogelijkheid om grootschalig internetverkeer af te kunnen luisteren van alle Nederlanders. En dát staat haaks op privacywaarborgen die door velen worden nagestreefd. Volgens critici (zoals bijvoorbeeld Bits of Freedom) wordt er een zogenaamd sleepnet gecreëerd, omdat er ook veel data van onschuldige Nederlanders wordt verzameld. Ook maken critici zich zorgen over de wijze waarop inlichtingendiensten met de verzamelde gegevens omgaan. Bevriende inlichtingendiensten uit andere landen zoals de NSA hebben wat dat betreft geen goede reputatie. Wel vormen het CTIVD en de TIB waarborgen door erop toe te zien dat de Wiv op de juiste wijze wordt toegepast.

Op moment van schrijven wordt er gewerkt aan de tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma (ook wel bekend als de Cyberwet). Ook deze wet kent verschillende critici waaronder Bits of Freedom en zelf een voormalig TIB lid die vanwege deze tijdelijke wet is opgestapt.

Wet computercriminaliteit III

De wet Computercriminaliteit III, ook wel hackwet genoemd, regelt dat criminaliteit met ICT als middel én doelwit (ook wel cybercrime genoemd) strafbaar is. Zonder teveel in detail te treden, definieert deze wet wat wordt verstaan onder computercriminaliteit, op welke wijze het wordt bestraft, én welke bevoegdheden politie en justitie hebben bij het bestrijden en opsporen van computercriminaliteit. Deze bevoegdheden zijn (vergeleken met de vorige versie van deze wet) flink verruimd. Zo mogen politie en justitie nu heimelijk en op afstand (via het internet) computers binnendringen voor de opsporing van ernstige delicten. Ook is heling van computergegevens als zelfstandig delict strafbaar, en is het mogelijk om malafide verkopers die aangeboden goederen of diensten strafrechtelijk te vervolgen.

NIS / Wet beveiliging netwerk- en informatiesystemen (Wbni)

Met de Wet beveiliging netwerk- en informatiesystemen (Wbni), ook wel bekend als de Cybersecuritywet, geeft Nederland invulling aan de Europese NIS richtlijn. De wet regelt een verplichte meldplicht van beveiligingsincidenten voor organisaties wiens diensten of producten van vitaal belang zijn voor de Nederlandse samenleving, maar kent geen sanctiemogelijkheid. De primaire focus is het bieden van hulp aan de getroffen organisaties om de impact op de Nederlandse samenleving zo klein mogelijk te kunnen houden. 

Er is ook een NIS2 richtlijn onderweg welke zich met toegenomen eisen op het gebied van cybersecurity zal richten op méér organisaties. Zo kent deze nieuwe richtlijn wél een sanctiemogelijkheid voor organisaties die hun beveiliging (in de gehele leveranciersketen) niet op orde hebben. Rapportageverplichtingen en strenger toezicht moeten organisaties stimuleren zich aan de regels te houden. De verwachting is dat impact van deze nieuwe richtlijn groot zal zijn.

Cookiewet

De term cookiewet wordt sinds 2012 gebruikt om een wetswijziging in de Telecommunicatiewet (artikel 11.7a) aan te duiden die websites verplicht om in bepaalde omstandigheden de bezoekers van een website te informeren en toestemming te vragen bij het gebruiken van cookies. Het geeft bezoekers meer regie over hun eigen privacy door ze te laten kiezen. Een veelgehoord kritiekpunt is dat websitebezoekers vanwege de overvloed aan toestemmingsvragen, routinematig toestemming geven zonder zich te verdiepen in de melding. Dit gedrag maakt de implementatie van de cookiewet tot een schijnmaatregelen die niet de bescherming biedt die de cookiewet beoogd te realiseren.

Omdat bepaalde cookies, zoals tracking cookies, ook als persoonsgegeven worden gezien, is ook de AVG van toepassing. Volgens de AVG zijn zogenaamde cookiewalls niet toegestaan, omdat gebruikers dan niet kunnen kiezen of zij tracking cookies willen of niet.

Wet open overheid

De Wet open overheid (Woo), die de oude Wet openbaarheid bestuur (Wob) vervangt, garandeert iedereen de mogelijkheid om informatie over bestuurlijke aangelegenheden op te vragen bij de overheid (de zogenaamde passieve openbaarmaking) voor zover de overheid dat niet al zelf heeft gedaan (actieve openbaarmaking). Informatie over security en privacy aangelegenheden vallen hier ook onder, waardoor het in theorie kan gebeuren dat overheidsorganisaties verplicht worden gesteld om informatie naar buiten te brengen die schade kan toebrengen. Gelukkig is daar bij het formuleren van de wet rekening mee gehouden, maar bij twijfelgevallen zal een uitspraak van een rechter uitsluitsel moeten geven.

Wilt u ook graag weten wat verschillende wetten en regels betekenen voor uw organisatie? Baaten ICT Security helpt u te voldoen aan wet- en regelgeving met passende adviezen op het gebied van informatiebeveiliging en privacy.

Zorg dat uw organisatie compliant is, en bespreek de mogelijkheden en kansen onder het genot van een kopje koffie.

Neem contact op voor een vrijblijvende kennismaking!