IT Zorgplichten - digitale veiligheid actueler dan ooit

Met de brede vertegenwoordiging vanuit de beide achterbannen spraken we over de Handreiking IT Zorgplichten die in april 2017 is gepubliceerd door de Cyber Security Raad (CSR). Hierbij gaat het om plichten rond persoonsgegevens, als gebruiker van IT én als aanbieder van IT-producten en diensten. 

Nicole Mallens van VNO-NCW heette de deelnemers welkom en benadrukte dat het thema van vandaag actueler is dan ooit en dat het continue aandacht moet hebben in de hedendaagse digitale revolutie. De continuïteit van de business komt onder druk te staan indien er sprake is van gebrekkige digitale veiligheid! 

Gezamenlijk veiligheid persoonsgegevens garanderen
Pieter Wolters, universitair docent burgerlijk recht en onderzoeker bij het Onderzoekcentrum Onderneming & Recht van de Radboud Universiteit Nijmegen, ging vooral in op de juridische basis van IT Zorgplichten, o.a. in de AVG en in het Burgerlijk Wetboek. Als auteur van de handreiking IT Zorgplichten geeft hij sprekende voorbeelden rondom het verwerken van IT, het gebruiken van IT én producten met een IT-toepassing, waarmee onze organisaties dagelijks te maken hebben. Anno 2018 kijkt hij over de grenzen van de eigen security maatregelen heen, naar de keten. Niet alleen is er een praktische noodzaak om met leveranciers en klanten afspraken te maken over (cyber) veiligheid, er is ook een juridische verplichting om samen de veiligheid van persoonsgegevens te garanderen.

We komen te spreken over de nog beperkte jurisprudentie en de artikelen 26 en 28 uit de AVG, waarover hij zich uitlaat met praktische adviezen: "Maak heldere afspraken waarop je kunt terugvallen. Wacht niet op concrete invulling van die verplichtingen op basis van wet of jurisprudentie, want voordat die er is, zal deze inhoudelijk vermoedelijk alweer achterhaald zijn. En het ontbreken van die concrete invulling ontslaat je niet van je verantwoordelijkheid om passende maatregelen te treffen." 

Data Pro Code 
Sylvia Huydecoper, Senior jurist bij Nederland ICT geeft een praktische invulling van de academische beschouwing door haar voorganger. Sylvia vertelt over diverse initiatieven die Nederland ICT hiervoor ontplooit voor een veiligere samenleving én voor de leden van Nederland ICT. Zo'n 70% van hun achterban (mkb) zijn primair (mede-)verantwoordelijke verwerkers van persoonsgegevens voor hun klanten. De praktische hulp vanuit Nederland ICT heeft geleid tot een neutrale template voor verwerkersovereenkomsten. Belangrijkste aanwijzing daarbij is om deze niet eenzijdig in te vullen in het voordeel van de leveranciers, maar er een gezamenlijk document van te maken die de gezamenlijke verantwoordelijkheid goed weergeeft. Een verwerkersovereenkomst dient ook te worden gezien als aanvulling op de (ver)koopvoorwaarden die al in de hoofdovereenkomst zijn opgenomen.

Met hun Data Pro Code, “dwingt” Nederland ICT hun leden transparant te worden en over de inhoud en aard van de diensten inclusief de beveiliging, na te denken. En dit toe te lichten aan de klanten. Dus meer te concretiseren en het uit de vaagheid van "passende technische en organisatorische maatregelen" te halen! Doel is dat deze code tot een certificering gaat leiden, die ook de klanten meer zekerheid geeft over de AVG-compliance van de leverancier. Dit voorstel ligt nu bij de Autoriteit Persoonsgegevens ter toetsing en wordt in de praktijk getest. 

Meer aandacht voor OT beveiliging
De derde bijdrage van de middag kwam van Johan de Wit, Solution manager Enterprise Security bij Siemens Building Technologies en verbonden als externe PhD kandidaat aan de TU Delft. Johan startte zijn presentatie door iedereen alert te maken op het verschuiven van de grenzen van de computercriminelen anno 2018, waardoor de impact op de fysieke wereld steeds groter wordt. Niet alleen het ontregelen van administratieve kantoorsystemen of het door afpersing verkrijgen van financieel voordeel is het doel, maar ook het moedwillig vernietigen van systemen. Daarbij wordt cyber security een issue dat buiten de IT ook relevant is voor OT. Helaas is OT een andere wereld dan IT. Waar de IT-wereld ermee bekend is dat software vrijwel altijd lek is, regelmatig moet worden gepatcht en na enkele jaren moet worden vervangen, wordt OT normaal gesproken jaren of zelfs decennia lang zonder aanpassingen ingezet in een productieomgeving.

Waar IT security zich vooral richt op integriteit en vertrouwelijkheid, richt OT security zich vooral op beschikbaarheid. Johan pleit voor meer aandacht voor de beveiliging van OT. Als derde pilaar van beveiliging, naast OT en IT, voegt hij graag de fysieke beveiliging toe. Ook de toegang tot systemen dient meer aandacht te krijgen, waarbij het ook hier vooral de OT betreft. Het aan internet verbinden van OT en toenemende aanwezigheid van IoT-devices in bedrijven, maakt de kwetsbaarheid voor aanvallen via OT immers steeds groter. Door deze drie aspecten van veiligheid te verankeren in processen, mensen en techniek, geef je anno 2018 de Zorgverantwoordelijkheid van jouw organisaties op een juiste wijze vorm en inhoud!

Lees ook: 
'Ieder bedrijf heeft digitale zorgplichten'
'Verrijkende inzichten voor Cyber Security in de keten'