Print:

Nieuwe cyberwetgeving voor Cloud-providers

Peter van Schelven, Adviseur ICT & Recht

LinkedIn profiel

Het raakvlak van ICT en recht blijft volop in ontwikkeling. Een van de jongste initiatieven op dit gebied is het streven van de Nederlandse wetgever om binnen afzienbare tijd te komen met de zogeheten Cybersecuritywet. Onlangs heeft het Ministerie van Veiligheid en Justitie een voorontwerp van die voorgenomen wet gepubliceerd en de verwachting is dus dat het wetsontwerp binnenkort aan het parlement zal worden aangeboden. De voorgenomen Cybersecuritywet gaat uitdrukkelijk belangrijke nieuwe spelregels voor Cloud-providers brengen.

Afbeeldingsresultaat voor NIB-RichtlijnHet initiatief van de Nederlandse wetgever is het rechtstreekse gevolg van ontwikkelingen binnen de Europese Unie. De Europese wetgever heeft namelijk in juli 2016 de Richtlijn inzake de beveiliging van netwerk- en informatiesystemen aangenomen, de zogenoemde NIB-Richtlijn. Daarin zijn nieuwe voorschriften omtrent de beveiliging van netwerk- en informatiesystemen opgenomen. Die NIB-Richtlijn is deels geschreven met het oog op aanbieders van essentiële diensten in de samenleving, zoals ondernemingen uit bijvoorbeeld het bankwezen, de energiesector en de gezondheidszorg. Maar ook voor drie concreet benoemde categorieën van dienstverleners zijn nieuwe regels geïntroduceerd: onlinemarktplaatsen, onlinezoekmachines en Cloudproviders.

Opeenstapeling van wetgeving

Met de voorgenomen Cybersecuritywet wordt in ons land de NIB-Richtlijn omgezet in nationale wetgeving. De Nederlandse wetgever moet er haast mee maken, want die omzetting moet uiterlijk 9 mei 2018 zijn afgerond. Voor alle duidelijkheid: het gaat hier om andere wetgeving dan de inmiddels veelbesproken Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywetgeving waaraan bedrijven en organisaties op 25 mei 2018 moeten voldoen. Zo ontstaat er dus een opeenstapeling van cyberwetgeving. Voor menig bedrijf en organisatie levert dat complexe implementatie-vraagstukken op.

Wat gaat de komende Cybersecuritywet voor Cloud-providers betekenen?

Het wetsvoorstel moet nog door de Tweede en Eerste Kamer heen, dus een deel is nu nog onzeker. Wie echter naar de NIB-Richtlijn en het gepubliceerde voorontwerp kijkt, kan nu al zeggen dat er onder meer een nieuwe wettelijke beveiligingsverplichting voor Cloud-providers aankomt. Die dienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om de security-risico’s van hun netwerk- en informatiesystemen te beheersen. Nieuw in de komende wetgeving wordt een opsomming van onderwerpen waar Cloud-providers in het verband van de security rekening mee moeten houden, zoals o.a. de behandeling van incidenten, het beheer van de bedrijfscontinuïteit, het testen en internationale security-normen. Cloud-providers worden zo genoopt nogmaals stil te staan bij het security-aanpak.

Nieuwe meldplichten

We kennen in ons land reeds de wettelijke verplichting om ernstige datalekken waar persoonsgegevens bij zijn betrokken, te melden bij de Autoriteit Persoonsgegevens en de burgers op wie de gegevens betrekking hebben. Het is inmiddels gebruikelijk dat Cloud-providers hierover contractuele afspraken met hun opdrachtgevers maken. Met de komst van de Cybersecuritywet zullen nieuwe meldplichten worden geïntroduceerd. Men spreekt zelfs van een dubbele meldplicht. Zo zullen Cloud-providers security-incidenten die ernstige gevolgen hebben voor de continuïteit van hun dienstverlening, moeten gaan melden bij het Ministerie van Economische Zaken en bij het Nationaal Cybersecurity Center van het Ministerie van Veiligheid en Justitie. Die verplichting geldt breed, dus ongeacht of er persoonsgegevens bij het incident betrokken zijn.

Boete

Een Cloud-provider die deze nieuwe meldplicht niet nakomt, kan – zo zegt het voorontwerp – door de minister van Economische Zaken met maximaal 5 miljoen Euro beboet worden. De boete kan ook worden uitgedeeld als de security als zodanig benedenmaats is. Deze boeteregeling staat overigens los van de boete die de Autoriteit Persoonsgegevens mag opleggen als de meldplicht uit de privacywetgeving niet wordt nageleefd.

Geen sinecure dus! Daarom heeft de wetgever voor kleinere Cloud-providers sector een uitzondering gemaakt. Daarbij gelden specifieke uniforme Europese drempels op het vlak van omzet en aantallen in de onderneming werkzame personen.

Kortom, Cloud-providers die boven die drempels vallen, moeten hun volle aandacht geven aan de komende Cybersecuritywet. Het beveiligingsbeleid dient te worden herzien. De rijksoverheid moet in dat beleid als een zelfstandige stakeholder worden onderkend. Bovendien zullen Cloud-providers samen met hun opdrachtgevers moeten nadenken over de ‘vertaling’ van de komende nieuwe wet in bestaande en nieuwe contractuele afspraken. Het vakgebied van Cloud & Recht is al met al zeker geen rustig bezit meer….

Cloud & Recht IIR


Verdiepingscursus Cloud & Recht bundelt voor u al de actueel benodigde kennis rondom de Cloud. Zodat u deze direct kan toepassen in de praktijk!

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten