Door de Wet bevordering digitale weerbaarheid bedrijven mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen delen met individuele bedrijven in Nederland,  las ik bij Tweakers. Het lijkt een detail maar het was al langer een ergernis van mij dat dit niet kon, helemaal omdat dit als “mag niet van de AVG” werd gebracht.

De Rijksoverheid legt uit:

In de praktijk zal het Digital Trust Center (DTC) vanuit het ministerie van Economische Zaken hieraan uitvoering geven. Door de wet mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen ook daadwerkelijk delen met individuele bedrijven in Nederland. De wet maakt bijvoorbeeld een rechtstreekse informatie-uitwisseling mogelijk tussen overheidsorganisaties die zich met digitale beveiliging bezighouden. Dit zijn het Nationaal Cyber Security Centrum (NCSC), het Computer Security Incident Response Team (CSIRT) voor digitale diensten en het DTC.

Je zou zeggen dat er weinig bijzonders is aan het informeren van partijen die geraakt kunnen worden door een cyberbedreiging. Je bent de overheid, je weet van een risico, dan benader je zo’n bedrijf toch even?

Helaas lag dat iets ingewikkelder. Ik heb diverse redenen gehoord:

  • Willekeurige marktpartijen benaderen is lastig, want hoe weet je die te vinden en bij welke ingang moet je zijn?
  • Er is te weinig menskracht om al die meldingen te doen, want je kunt niet een paar bedrijven informeren.
  • Dit mag niet van de AVG want er kunnen persoonsgegevens betrokken zijn (denk aan IP-adressen van gehackte computers die van eenmanszaken zijn).
  • De doelstelling van de genoemde organisaties is beperkt tot informeren van aangewezen instanties, dus men treedt dan buiten de wettelijke taakstelling.
  • De overheid concurreert zo met private partijen die security alert diensten bieden, en dat is oneerlijk als het geen wettelijke taak is.

De Wbdw is kort maar krachtig en noemt twee nieuwe taken voor het DTC:

  1. het analyseren en het onderzoeken van gegevens over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op netwerk- en informatiesystemen van bedrijven;
  2. het informeren en adviseren van bedrijven over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op hun netwerken informatiesystemen.

Deze taakstelling creëert in ieder geval een duidelijke grondslag onder de AVG om deze gegevens over te brengen. Het probleem van capaciteit of prioriteiten blijft bestaan, maar daar is nu meer ruimte voor te maken. Het stuk concurreren is nu in ieder geval wettelijk geregeld, en wat mij betreft blijft er genoeg ruimte over voor commerciële partijen.

Arnoud