01 nov 2017 | Wet gegevensverwerking en meldplicht cybersecurity aangenomen
Op 11 juli 2017 heeft de Eerste Kamer de Wet gegevensverwerking en meldplicht cybersecurity aangenomen. De wet is op 1 oktober 2017 in werking getreden (Stb. 2017, 316). De wet biedt een wettelijke grondslag voor de verwerking en uitwisseling van gegevens van publieke en private partijen met het Nationaal Cybercrime Security Centrum.
Daarnaast is in de wet een meldplicht opgenomen voor ernstige digitale veiligheidsincidenten die de samenleving kunnen ontwrichten. De meldplicht geldt voor aanbieders van vitale infrastructuren. In de nadere memorie van antwoord werden organisaties binnen de volgende sectoren genoemd:
- drinkwater;
- energie;
- nucleair;
- financieel;
- elektronische communicatienetwerken- en diensten;
- mainport Rotterdam;
- mainport Schiphol; en
- keren en beheren (waterkeringen).
Deze lijst wordt later nog aangevuld met organisaties die horen bij de sector ‘digitale overheid’.
Op grond artikel 6 van de wet moet de vitale aanbieder de minister onverwijld in kennis stellen van 'een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken'. Deze kennisgeving omvat in ieder geval: (a) de aard en omvang van de inbreuk of het verlies; (b) het vermoedelijke tijdstip van de aanvang van de inbreuk of het verlies; (c) de mogelijke gevolgen van de inbreuk of het verlies; (d) een prognose van de hersteltijd; (e) zo mogelijk, de door de vitale aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen; en (f) de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de kennisgeving.
De ratio van de meldplicht is dat het NCSC op deze manier op de hoogte raakt van ernstige incidenten en hulp kan verlenen (ook aan andere organisaties binnen dezelfde branche). Bijzonder is het uitgangspunt bij deze meldplicht dat in principe geen handhaving hier op zal plaatsvinden, omdat hulpverlening volgens de wetgever centraal moet staan. Het NCSC kan de informatie verstrekken aan computercrisisteams en de AIVD en MIVD.
www.rijksoverheid.nl, Stb. 2017, 316.