Column


IT-jurist Peter van Schelven over...

Nieuwe meldplicht van kracht!

Een nieuw jaar, dus ook nieuwe regels. Zo is op 1 januari de cybersecuritywetgeving in ons land verder uitgebouwd. De Wet gegevensverwerking en meldplicht cybersecurity, die voor een deel al op 1 oktober vorig jaar van kracht werd, introduceert met ingang van 2018 een nieuwe meldplicht.

Deze wet – afgekort tot Wgmc – legt aanbieders van vitale diensten de verplichting op om zeer ernstige security-incidenten bij het ministerie van Justitie en Veiligheid te melden. Voor alle duidelijkheid: deze meldplicht staat geheel los van de al sinds 2016 bestaande wettelijke verplichting om een lek van persoonsgegevens bij de Autoriteit Persoonsgegevens te melden als zo’n datalek een ernstig risico voor de privacy van de betrokken burger inhoudt.

De nieuwe meldplicht is in het leven geroepen om maatschappelijke ontwrichting als gevolg van security-incidenten zoveel mogelijk tegen te gaan. Na melding bij het ministerie wordt de kwestie door het Nationaal Cyber Security Centrum in behandeling genomen.

Basisvragen 
Rondom de Wgmc spelen twee basisvragen. Welke organisaties vallen onder de nieuwe wettelijke regeling? En in welke gevallen rust er op de schouders van die organisaties een meldplicht? 

Als de productie van een zilveruitjesfabriek als gevolg van een security-incident tijdelijk uitvalt, is er uiteraard nauwelijks enige maatschappelijke ontwrichting te vrezen. Voor een dergelijk bedrijf is de Wgmc dan ook niet geschreven. Dat is anders als bijvoorbeeld Schiphol of de Rotterdamse haven plat komt te liggen. Zij komen dan ook voor in een wettelijke lijst van vitale aanbieders.

Op die lijst tref je ook drinkwaterbedrijven, netwerkbeheerders in de energiesector, financiële instellingen, aanbieders van telecommunicatienetwerken en de waterkeringen van Rijkswaterstaat aan. Het valt op dat niet alle overheidsinstanties op de lijst voorkomen. Evenzeer ontbreken ziekenhuizen en gezondheidscentra. Kortom, de lijst van organisaties die onder de nieuwe meldplicht vallen, is vooralsnog beperkt. 

Welke security-incidenten?
En dan die andere vraag: in welke gevallen moet een melding worden gedaan? De nieuwe wettelijke regeling hanteert daarvoor een tamelijk open formulering, waar tal van security-incidenten onder geschaard kunnen worden. Een aanbieder van een vitale dienst is verplicht een melding te doen als sprake is van ‘een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken’.

Het kan gaan om incidenten die ervoor zorgen dat een IT-systeem en de door die IT ondersteunde productie of dienstverlening langere tijd of op grote schaal plat komen te liggen. Ook kan gedacht worden aan gevallen waarin de informatieverwerkende processen substantieel gecorrumpeerd raken. In dergelijke gevallen bestaat het risico van maatschappelijke ontwrichting.

Drempelwaarden 
In de zojuist geciteerde woorden uit de Wgmc wordt gesproken over ‘in belangrijke mate’. Dat is welbewust gedaan, want niet ieder incidentje bij een vitale aanbieder leidt tot maatschappelijke ontwrichting. De nieuwe meldplicht gaat dus alleen over stevige security-incidenten. Maar de vraag waar precies de grens ligt tussen gewone incidenten en incidenten die in belangrijke mate tot problemen leiden, wordt door de Wgmc niet beantwoord. 

De wet geeft geen drempelwaarden voor de meldplicht aan. De regering heeft aan het parlement laten weten dat die drempels in goed overleg met de afzonderlijke vitale sectoren moeten worden afgesproken. Op die wijze ontstaat er een sectorale invulling van de cybersecuritywetgeving. 

Tijdelijke wet
De Wgmc is overigens bedoeld als een tijdelijke wet. De regering werkt momenteel namelijk aan de zogeheten Cybersecuritywet, wat weer een andere wet moet gaan worden. Het is de bedoeling dat de Wgmc in die nieuwe wet opgaat. Daarmee wordt de meldplicht die enige dagen terug van kracht werd, een blijvertje.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.  

Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over