Briefkaart uit Washington DC

Victor de Pous

Wie denkt dat de federale overheid in de VS haar ICT-zaakjes voor elkaar heeft, heeft het mis. Net zo als in andere landen worstelt de publieke sector met overheidsautomatisering en recht en beleid moeten helpen. Het betreft een aanzienlijke som. Ongeveer 75% van het automatiseringsbudget van 80 miljard dollar per jaar gaat naar het operationeel houden van de verouderde, zogenoemde 'legacy systems'. Anno 2016 stevent de VS volgens US Chief Information Officer Tony Scott af op een grotere crisis dan de millenniumbug, mede omdat oudgediende Cobol-programmeurs afzwaaien. Zijn belangrijkste taak is echter het terugdringen van het aantal cyberincidenten - inclusief digitale inbraken van enorme omvang en met langlopende en vertrekkende gevolgen - hetgeen wordt beschouwd als het enige middel om het geschonden vertrouwen van de burger in regering en overheidsorganisaties te herstellen. Klare taal.

Vervolgens speelt cloud computing op basis van het in 2009 geïntroduceerde Cloud First-beleid een belangrijke rol. Maar ook in dit perspectief toont de praktijk zich op uiteenlopende gronden weerbarstig. Zo kan de inspecteur-generaal van het Pentagon in zijn jaarlijkse rapportage nauwelijks iets zinnigs over de financiële kant van dit leveringsmodel voor technologie en informatie zeggen. De kritiek van de financiële auditors legt pijnlijk de negatieve gevolgen bloot.

Zonder een nauwkeurige status van bestaande cloud-dienstverlenings-overeenkomsten, kan de defensie CIO geen besparingen of winsten bepalen. Het ontbreken van cijfers over financiële efficiency betekent vervolgens dat de effectiviteit van het vigerende departementale cloudbeleid niet meetbaar is. Tenminste zo belangrijk is het tweede gevolg. Ook ontbreekt de informatie over welke afdelingen van het ministerie precies welke gegevens in de cloud verwerken. Daardoor kunnen de beveiligingsrisico's van cloud computing niet-effectief worden geïdentificeerd en gevolgd. Zowel het gebruik van een strikte nomenclatuur voor cloud computing als een geconsolideerd contractmanagement-systeem zijn dus essentieel voor het beoordelen van de uitgaven voor overheidsautomatisering en netwerk- en informatiebeveiliging.

De opvatting van het Witte Huis dat netwerk- en informatiebeveiliging in het perspectief van nationale veiligheid een gemeenschappelijke, (mede) publiek-private samenwerking behoort te zijn - Obama: 'wij kunnen het niet alleen' - heeft juridisch beslag gekregen in de Cybersecurity Information Sharing Act van 2015 (CISA).

Vervolgens kent de Verenigde Staten de Cybersecurity Information Sharing Act. Die zet Amerikaanse ondernemers onder druk om snel informatie te scheiden (wat wel, wat niet) wanneer ze willen aanleveren. Daarnaast lopen multinationals aanvullende juridische risico's omdat ze mede gehouden zijn aan onder meer de verplichtingen van het privacyrecht in Nederland en andere EU-lidstaten - nu en in de toekomst (de aankomende Europese Algemene Verordening Gegevensbescherming). Je kunt zeggen dat CISA op gespannen voet staat met het Europese privacyrecht. Mogelijk geven nog door de Amerikaanse minister van Justitie op te stellen CISA-richtsnoeren meer duidelijkheid over de rechtspositie van trans-Atlantisch opererende bedrijven. Toch zullen ondernemers in beginsel juridische risico's willen mijden en dat feit staat haaks op de strekking van de wet.

Tot de verbeelding spreekt de massale hack bij het US Office of Personnel Management (zie ook ISM 2016, nummer 1). Interessant is dat de federale overheid de betrokkenen een omvangrijk anti-fraudepakket ter beschikking geeft gesteld (en er voor betaald). Iedere betrokkene ontvangt namelijk een gratis abonnement op CSID Protector Plus voor de periode van 18 maanden. Het pakket van maatregelen bevat onder meer het recht op een identiteitsdiefstalverzekering met een verzekerde som van USD 1.000.000 en toegang tot een identiteithersteldienst door CSID tot 12 juli 2016.

Maar let op. Uit deze maatregelen mag niet worden afgeleid dat de regering aansprakelijkheid voor het datalek aanvaardt. Dat bevreemdt.  Onder de Nederlandse Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden, ligt dit in beginsel anders. Maak een zaak staat als een paal boven water. Overheidsorganisaties en bedrijven moeten beleid ter zake maken alsook budget reserveren, nu de gangbare opvatting luidt, dat het niet de vraag is of, maar wanneer er een (omvangrijke) digitale inbraak in een overheidssysteem zal plaatsvinden.