Tag Archives: Legal Look

Bedrijfsinformatiebeleid dringend gewenst

Een jaar na het intreden van de inmiddels beruchte wet Meldplicht Datalekken zegt 41% van de organisaties in Nederland geen (tijdige) melding te maken van dataverlies. De belangrijkste gronden om niet te melden zijn (i) onduidelijkheid over de impact van het datalek, (ii) reputatieschade en (iii) het voorkomen van verder misbruik. Daarnaast speelt bij 10% van de ondervraagden (iv) angst voor disciplinaire maatregelen mee, waardoor medewerkers datalekken ook intern onder de pet houden. Tegelijkertijd heeft meer dan de helft van het bedrijfsleven en overheden in 2016 te maken gehad met één of meer lekken van ‘gevoelige informatie’, aldus de belangrijkste uitkomsten van een onderzoek naar de meldplicht datalekken in de praktijk, door Pb7 Research onder 310 Nederlandse organisaties, in opdracht van de Russische informatiebeschermer Kaspersky Lab uitgevoerd.

Wetgeving, wetgeving en nog eens wetgeving

Gedurende de laatste 25 jaar kwam een breed wetgevingsoffensief voor digitale techniek, gegevensverwerking en de informatiemaatschappij op gang, waarvan omvang en intensiteit nu toenemen. Deze huidige periode getuigt namelijk eens te meer van een brede, niet-aflatende stroom digitale wet- en regelgeving. Vanuit de Europese Unie en door Nederland als autonome wetgever. Hieruit blijkt eens te meer dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met (grote) delen van dit omvangrijke legislatieve raamwerk te maken. Voor openbaar bestuurder en ondernemer zijn deze spelregels echter van strategisch belang geworden; ongeacht de staat van digitale transitie waarin de organisatie zich bevindt, én ongeacht de sector. We benoemen een aantal wetgevingstrends in het cruciale domein privacy en digitale veiligheid.

Legal Look: Victor de Pous over stemmingmakerij wettelijke meldplicht

Goed nieuws. Sociaal mediagigant Facebook – met 1,63 miljard gebruikers – gaat meer doen om te voorkomen dat nepnieuws zich via het platform verspreidt. Enerzijds krijgen gebruikers meer hulpmiddelen om onjuiste informatie te melden, terwijl het bedrijf zelf de detectiesystemen verbetert. Dat hebben we te danken aan de verkiezingen. President elect Trump zou van nepnieuws hebben geprofiteerd, nu kennelijk veel Amerikanen de sociaal media-website als belangrijkste en zelfs enige nieuwsbron lezen.

Briefkaart uit Washington DC

Wie denkt dat de federale overheid in de VS haar ICT-zaakjes voor elkaar heeft, heeft het mis. Net zo als in andere landen worstelt de publieke sector met overheidsautomatisering en recht en beleid moeten helpen. Het betreft een aanzienlijke som. Ongeveer 75% van het automatiseringsbudget van 80 miljard dollar per jaar gaat naar het operationeel houden van de verouderde, zogenoemde ‘legacy systems’. Anno 2016 stevent de VS volgens US Chief Information Officer Tony Scott af op een grotere crisis dan de millenniumbug, mede omdat oudgediende Cobol-programmeurs afzwaaien. Zijn belangrijkste taak is echter het terugdringen van het aantal cyberincidenten – inclusief digitale inbraken van enorme omvang en met langlopende en vertrekkende gevolgen – hetgeen wordt beschouwd als het enige middel om het geschonden vertrouwen van de burger in regering en overheidsorganisaties te herstellen. Klare taal.

Het mondiale encryptiedebat: Nederland laatste der Mohikanen?

Niet zozeer de voortdurende stroom baanbrekende onthullingen van klokkenluider Edward Snowden plaatst het onderwerp encryptie wereldbreed op de politieke agenda, het zijn vooral de terroristische aanslagen in het westen. Telkens weer. New York, Londen, Madrid, Parijs en recent Brussel.

Digitale inbraken: voorkomen kan niet meer, voorbereiden wel

Wellicht valt er iets te leren van het pragmatische aan de andere kant van de oceaan, ondanks het schaamrood en de verhitte gemoederen, dat we ook registreren. Vraag jezelf niet af of je gehackt wordt, maar wanneer. De hack bij het US Office of Personnel Management (OPM) in Washington DC vorig jaar, maakt een hoop duidelijk. Laten we bij de omvang beginnen. Het datalek is ronduit massaal. Het betreft een inbraak in informatiesystemen van de federale burgerlijke overheid, waarbij persoonsgegevens van 21,5 miljoen Amerikanen zijn gelekt (conform het jargon van het Europese privacyrecht noemen we die ‘betrokkenen’).

Victor de Pous

Sjoemelsoftware tast digitaal vertrouwen verder aan

Er was eens een Amerikaanse bankmedewerker met kennis van automatisering die bedacht dat een beproefde modus operandi van weleer, ook geautomatiseerd kon plaatsvinden. Weliswaar op zich niet onrechtmatig (de kaasschaafmethode voor het beperken van bedrijfskosten), maar vaak wel. Criminologen hebben het dan over de ‘salamitechniek’. Een in dit geval omstreden, nee, ronduit illegale werkwijze waarbij telkens een klein deel ‘verdwijnt’, ter grootte van het spreekwoordelijke flinterdunne plakje Italiaanse worst. Om het idee te bepalen: dat kan zelfs een cent of minder per financiële transactie zoals een overboeking zijn. Doorgaans kraait er geen haan naar – het verlies valt immers niet of nauwelijks op – en degene die zich van deze techniek bedient, wordt rijk, mits het om volume gaat.

Victor de Pous

Safe-Harbour: back-to-basics of back-to-school?

Wat krijg je als je recht, politiek en economie samen beschouwt in het perspectief van grensoverschrijdende handel? Gedoe, dat zijn bron heeft in nationaal belang. Zo wijzen sommigen er fijntjes op dat de Europese Commissie voor de tweede maal fors wordt teruggefloten door de rechter. Eerst verklaarde het Hof van Justitie van de Europese Unie de Richtlijn gegevensbewaring uit 2006 met terugwerkende kracht ongeldig wegens schending van grondrechten (Digital Rights Ireland en Seitlinger arrest). Dat was op 8 april 2014. Nu haalt de rechter een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, hetgeen mogelijk 4.000 plus Amerikaanse bedrijven raakt die zich hierbij hebben aangesloten – multinationals en vooral kleinere ondernemers.

Victor de Pous

Meldplichtklaar?

Trendy ja, nieuw nee. De juridische figuur van een melding van een vaststaande gebeurtenis of onzeker voorval is zo oud als de weg naar Rome. Het begon ooit met afspraken tussen partijen vastgelegd in een overeenkomst. Zo kan een contract bepalen dat wanneer er dit gebeurt of een partij dat wil, er een informatieplicht ontstaat ten overstaan van wederpartij of derde. Wellicht vormen verzekeringsovereenkomsten het ultieme voorbeeld. Schade moet eerst gemeld worden, alvorens een claimprocedure überhaupt start. Maar zelfs in de precontractuele fase hebben partijen een verregaande informatieplicht omtrent zo ongeveer alles wat belangrijk is met het oog op de beoogde overeenkomst, die ze met elkaar willen aangaan. Dat loopt nogal eens fout bij softwareontwikkeling op maat.

Victor de Pous

De luide politieke roep om samenwerking

Het beeld toont zich duaal. Te gekke vindingen enerzijds. De techniek dendert voort met draagbare technologie, robotisering, virtuele valuta, big data, Internet of Things en wat dies meer zij, gecomplementeerd met hooggespannen verwachtingen. Anderzijds tekenen massale inbreuken op persoonsgegevens de tijdgeest. Criminelen, veiligheidsdiensten, toezichthouders, onderzoekers, maar tevens mismanagement en gammele informatietechniek, leggen telkens, maar op uiteenlopende wijze, de vinger op de zere plek. Een maatschappij met een fragiel, ronduit kwetsbaar karakter. Quo Vadis?

Victor de Pous

Naar een coördinerend Minister van Veiligheid en Privacy

Incidenten en legislatieve voorstellen in het domein veiligheid en privacy volgen elkaar met lichtsnelheid op. Of beter, kruisen voortdurend. De slogan van de informatiemaatschappij – never a boring day – verandert. Dagen worden angstaanjagend. De Sony Entertainment hack in de VS, Charlie Hebdo in Parijs, de superkraak bij allerlei banken (nee New York Times: Nederlandse banken zijn niet getroffen). Dat is andere koek dan de oprukkende digitalisering met robocars waarin Nederland internationaal wil excelleren. Of de overheid die uit oogpunt van kostenbesparing vooral elektronisch met ons wil communiceren. 

Victor de Pous

Juridische beveiligingstrends voor 2015

ICT wordt al jaren in hoog tempo juridisch genormeerd. Wetgevers – nationaal en uit Europa – hebben zich vanaf de jaren negentig met verve op de elektronische snelweg gestort. Ieder facet van de wondere wereld van de digitale technologie, elektronische gegevensverwerking en informatiemaatschappij verdient kennelijk een eigen, speciaal rechtskader; afwijkend van de regels voor de ouderwetse ‘stenen’ samenleving. Chips, software, databanken, persoonsgegevens, elektronische marketing, handel en identiteit, telecommunicatie in soorten en maten, en nog veel meer, zoals nieuwe strafbare feiten, uitgebreide bevoegdheden voor politie en justitie en regels voor eGovernment. Zoals ICT-ers veelal beweren dat je nooit genoeg softwarecode kunt hebben, zo stillen politici hun honger met telkens nieuwe wet- en regelgeving voor het digitale domein. Vet cool. 

Victor de Pous

De opmars van strafrecht en strafvordering in het digitale domein

Volgens de Washington Post tapte de NSA de afgelopen jaren in hoofdzaak ‘gewone’ Internet-gebruikers massaal af en sloeg vervolgens hun persoonsgegevens (metadata) op. Het leeuwendeel van de individuen in kwestie (89 procent) werd niet van een strafbaar feit verdacht. De krant onderzocht 22.000 afluisterrapportages met daarin ongeveer 160.000 registraties van telecommunicatieverkeer, uitgevoerd met 11.400 gebruikersaccounts. Klokkenluider Edward Snowden leverde de bestanden aan. 

Victor de Pous

Hoe mijn hart bloed

Zelden bedacht iemand zo’n treffende naam voor een technische omissie, als die al überhaupt worden bedacht. Heartbleed: een softwarefout van jewelste. De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en account-gegevens, door hackers konden worden verkregen. En zonder een spoor na te laten. De cruciale ‘kwetsbaarheid’ maakte twee derde van het immense World Wide Web kwetsbaar en toont opnieuw aan dat Internet met digitale touwtjes aan elkaar hangt. Maar en passant ook dat programmeren bij voorkeur als een strak-geleid en hiërarchisch proces moet plaatsvinden. Vertrouwen op vrijwilligers met hun peer review is geen structurele aanpak. Laat dat voor eens en altijd duidelijk zijn. 

Victor de Pous

Recht als voorschrift en sturingsinstrument

Bedrijven verkeren in ronduit lastige situaties. Naast de voortdurende stroom parallelle marktveranderingen, is het vechten tegen digitale misdaad. Daarbij moeten we wel onderscheiden: cybercriminaliteit, economische spionage, militaire spionage en zelfs elektronische oorlogsvoering. Dat geldt voor een belangrijk deel evenzo voor overheidsorganisaties. Netwerk- en informatiebeveiliging is dus meer dan ooit cruciaal geworden. Ook in dit kader kan het recht een dubbelrol vervullen en acteert dan enerzijds als kaderscheppend voorschrift ­- dwingendrechtelijke wet- en regelgeving – en anderzijds als contractueel instrument om de digitale beveiliging te optimaliseren.