Roept de plicht tot informatie- of ICT-beveiliging?

En omdat verreweg de meeste elektronische verwerking en communicatie herleidbaar is tot een natuurlijk persoon, is er in feite sprake van een algemene wettelijke plicht tot informatiebeveiliging; naast eventueel van toepassing zijnde voorschriften van speciale sectorale wet- en regelgeving voor onder de meer politie, gezondheidszorg en de gehele overheid. Artikel 12 van de WBP laat geen misverstand bestaan over de vertrouwelijkheid van gegevensverwerking. Zowel de verantwoordelijke als de bewerker hebben te maken met een geheimhoudingsverplichting. In concreto richt het beveiligingsvoorschrift van Artikel 13 WBP zich tot de verantwoordelijke die ´‘passende technische en organisatorische maatregelen ten uitvoer moet leggen’ om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige vormen van verwerking vallen nader bepaald de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. Zoals gezegd strekt de beveiligingsverplichting zich uit tot alle onderdelen van het proces van gegevensverwerking en de verwerking van de miljoenen e-mailberichten die jaarlijks door de Nederlandse netwerken gaan, valt ook onder dit voorschrift. Centraal staat het begrip ‘passende’, dat twee uitgewerkte essentialia bevat. Allereerst betekent passend dat de beveiliging in overeenstemming moet zijn met de stand van de techniek. Op basis van dit voorschrift kan je zeggen dat organisaties dus de verplichting hebben de gebruikte ICT-producten up te graden naar nieuwere versies met betere beveiligingsfunctionaliteiten, indien algemeen beschikbaar. Maar de Europese wetgever heeft wel een bovengrens ingebouwd want de Europese Richtlijn privacybescherming, die als basis dient voor onze Wet bescherming persoonsgegevens, bepaalt tegelijkertijd een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens vereist is. Als belangrijke praktische leidraad voor beleid fungeert de Code voor Informatiebeveiliging; een internationale standaard onder de vlag van de International Standard Organisation (ISO), waarvan in juni 2005 een nieuwe versie beschikbaar is gekomen. Maar de bakens worden in dit perspectief verzet. De Europese Commissie gaat vrijwel zeker de lat hoger leggen. Daarbij moeten de resultaten van een pan-Europees onderzoek naar de status quo in de inmiddels 25 lidstaten van de Unie helpen. Geen gekke gedachte. Informatiebeveiliging mag dan wereldwijd vooral na 9/11 een boost hebben gekregen, hoever organisaties hun zaken op orde hebben is op z’n zachts gezegd onduidelijk. Bovendien speelt aan gebruikerszijde mee dat meer standaardisatie en eenduidige beveiligingsnormen kunnen bijdragen aan transparantie bij het inkoopproces. Langs deze weg worden offertes inzichtelijker en kunnen beter met elkaar worden vergeleken. Sommigen suggereren zelfs dat het huidige gebrek aan uniformiteit van het - wettelijke - beveiligingsbeleid tot oneerlijke concurrentie leidt. Maar de crux ligt waarschijnlijk eerder in de vraag wat het voorwerp van de nieuwe Europese regels is? Gaat het om de elektronische verwerking van persoonsgegevens, respectievelijk van alle informatie (data) of strekt de reikwijdte van het nieuwe communautaire beleid zich bijvoorbeeld tevens uit tot de alsmaar belangrijker wordende digitale infrastructuur? Het onderwerp mag niet los worden gezien van het thema kwetsbaarheid, dat als een rode draad door onze informatiemaatschappij loopt. Toepassing van informatie- en communicatietechnologie is niet meer weg te denken en gekoppelde systemen en netwerken zijn immers regel geworden. Nog sterker, zowel individuele organisaties als de maatschappij als geheel zijn van een goede werking van ICT en digitale infrastructuren vrijwel volledig afhankelijk geworden. Kernachtig gezegd: zonder ICT staat alles stil. Belangrijk daarbij is het vaststellen van de rol van overheid. Wat mogen burgers en bedrijfsleven van de publieke sector verwachten? Wie draagt voor welke onderdelen van de informatiesamenleving de primaire verantwoordelijkheid? Hoe liggen deze verantwoordelijkheden in de praktijk? Op welke wijze gaan overheid en bedrijfsleven beleid verder ontwikkelen en uitvoeren? Hopelijk pakt de Europese Commissie de koe eindelijk bij de horens.