Organisaties moeten beveiliging als maatschappelijke plicht zien

Uiteenlopende wet- en regelgeving schrijft in Nederland beveiligingsmaatregelen voor de elektronische omgeving voor. Daar kan geen bestuurder in de private en publieke sector om heen. Bovendien zijn organisaties ook gebonden aan hun contractuele afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van de opgeslagen of verzonden bedrijfsinformatie. Maar netwerk- en informatiebeveiliging betreft bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw.

Dat blijkt uit de executive analyse Netwerk en informatiebeveiligingsrecht.

Netwerk- en informatiebeveiliging is tenminste een geconsolideerde wettelijke verplichting, samengesteld uit diverse Europese en nationale wet- en regelgeving. Deze conclusie herbergt het gevaar dat we de dwingendrechtelijk voorgeschreven maatregelen als een ongelukkig fait d’ accompli — een last — beschouwen; daarbij het beveiligingsbeleid tot louter een kostenpost marginaliserend en de achterliggende gronden met dichte ogen passerend. Wie verder kijkt, zal zien dat ook in deze context juridische normering en naleving aantrekkelijke voordelen bieden. Het recht creëert economische waarde, optimaliseert bedrijfsmiddelen en beheert bedrijfsrisico´s’.

Nader beschouwd betreft netwerk- en informatiebeveiliging bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de moderne samenleving. Denk aan de bescherming van de kritieke maatschappelijke infrastructuren, de bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.

Bedrijfsinformatie bevat als regel persoonsgegevens, die hoofdzakelijk bestaan uit klantgegevens en personeelsinformatie. Op grond van deze analyse is de communautaire privacywetgeving van toepassing, die in Nederland primair is omgezet in de Wet bescherming persoonsgegevens. De wetgeving schrijft ‘passende technische en organisatorische maatregelen’ voor om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Algemeen gesproken moeten de beveiligingsmaatregelen een passend beschermingsniveau garanderen. Er is geen sprake van een one-size-fits-all oplossing. Speciaal voor persoonsgegevens wegen drie factoren mee: de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, de stand der techniek en de kosten om de beschermingsmaatregelen uit te voeren. Naar mate persoonsgegevens een gevoeliger karakter hebben, worden er zwaardere eisen aan de beveiliging gesteld.

De huidige wettelijke voorschriften voor netwerk- en informatiebeveiligingsmaatregelen zijn echter tot stand gekomen in een tijd waarin informatieverwerking vooral een statisch karaker had. Software als dienst (SaaS) en andere vormen van cloud computing maken ICT meer dynamisch en zelfs ‘vloeibaar’. Deze ontwikkeling zorgt er — samen met het grensoverschrijdende karakter van de informatieverwerking — voor dat naleving van wettelijke beveiligingsmaatregelen voor de elektronische omgeving complexer wordt. Contractuele afspraken moeten meer dan eens taken en verantwoordelijkheden helder maken en risico’s beperken.

Hierbij gaat het vooral om geheimhoudingsverklaringen in arbeidsovereenkomsten voor het eigen personeel, samenwerkingscontracten met ketenpartners en overeenkomsten van opdracht in de relatie met externe medewerkers en natuurlijk de (ICT-)dienstverleners.

> Netwerk- en informatiebeveiligingsrecht, executive analyse, Amsterdam, 2010.

> Zie voor een overzicht van onderzoeken:

http://technologierecht.blogspot.com