| Ingediend | 7 maart 2013 |
|---|---|
| Beantwoord | 26 april 2013 (na 50 dagen) |
| Indieners | Klaas Dijkhoff (VVD), Bart de Liefde (VVD) |
| Beantwoord door | Henk Kamp (minister economische zaken) (VVD), Opstelten (minister justitie en veiligheid) (VVD) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2013Z04533.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20122013-2092.html |
Ja.
De schade die jaarlijks in landen wordt geleden als gevolg van cybersecurity incidenten is niet goed vast te stellen omdat de schade bij veel verschillende partijen wordt geleden, niet eenduidig en volledig wordt gemeld, en naast economische schade ook imagoschade behelst.
Op 12 februari 2013 stelde president Barack Obama een «executive order» vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Vitale organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. De uitwerking van de verschillende onderdelen van de «executive order» vindt in de komende maanden plaats.
Ja. Voor het standpunt van de regering over dit voorstel verwijs ik u naar het BNC-fiche dat op 15 maart 2013 naar uw Kamer is gezonden (Kamerstukken II 2012/2013, 22 112, nr. 1587).
De bereidheid onder organisaties tot het vrijwillig melden van cybersecurity incidenten neemt toe. In 2012 zijn er 364 incidenten gemeld bij het Nationaal Cyber Security Centrum. In 2011 waren dit er nog 236. Het aantal gemelde cybersecurity breaches is echter nog relatief beperkt. Het betreft hier inbreuken op de veiligheid en of integriteit van informatiesystemen die potentieel kunnen leiden tot maatschappelijke ontwrichting. Om deze reden wordt naar aanleiding van de motie Hennis-Plasschaert c.s. (Kamerstukken II 2011/2012, 26 643, nr. 202) door de minister van VenJ ontwerp-wetgeving voorbereid, die strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. In geval van datalekken gaat het om een inbreuk op beveiligingsmaatregelen voor persoonsgegevens, die leidt tot het verlies van persoonsgegevens. Ook voor datalekken geldt dat de bereidheid tot het vrijwillig melden ervan aan de toezichthouder of aan de betrokkene wiens persoonsgegevens het betreft, gering is. Bij het College bescherming persoonsgegevens zijn de afgelopen twee jaar drie datalekken door verantwoordelijken gemeld. De verwachting is dat een wettelijke verplichting het aantal meldingen zal doen toenemen.
Elke maatregel die er op is gericht de bereidheid van organisaties tot het melden van cybersecurity incidenten te vergroten zal in principe bij kunnen dragen aan het verbeteren van de internetveiligheid. Het valt echter niet op voorhand te zeggen wat de gevolgen van de door de Verenigde Staten gemaakte keuzes zullen zijn.
Ik deel uw mening dat het onwenselijk is als gevoelige informatie op straat komt te liggen. In de «executive order» wordt ook specifiek gesteld dat de grondrechten (privacy en civil liberties) geborgd moeten worden bij het uitwerken van de maatregelen.
De zowel in de VS als in de EU aangekondigde maatregelen met betrekking tot het melden van cybersecurity-incidenten hebben geen directe betrekking op het intercontinentale handelsverkeer. Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.
De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.
Net als de VS heeft ook Europa ambities om cloud computing te stimuleren. Cloud computing is een relatief nieuwe ontwikkeling die kansen biedt voor efficienter en flexibeler werken. De globalisering van de opslag en het beheer van data, de juridische kaders die gelden en de wijze waarop eigenaar en beheerder van persoonsgegevens hun verantwoordelijkheden kunnen nemen, vraagt ook om om een goede borging van de privacy.
In de op 27 september 2012 gepubliceerde EU Cloud Strategie benoemt de Commissie de economische kansen maar ook de acties die nodig zijn in het kader van dataprotectie en de standaardisatie van privacy-aspecten in internationaal verband. De internationale dialoog over deze aspecten is van belang om zo ook buiten de EU de privacy te beschermen.
Het standpunt van de regering over voorstel voor richtlijn COM(2013)48 van de Europese Commissie is in een BNC-fiche naar uw Kamer gezonden op 15 maart 2013 (Kamerstukken II 2012/2013, 22 112, nr. 1587). Tevens bereidt het Ministerie van VenJ ontwerp-wetgeving voor, die zoals eerder gemeld strekt tot de regeling van een meldplicht voor de overheid en private bedrijven in randvoorwaardelijke sectoren van cyberincidenten met een potentieel maatschappelijk ontwrichtende werking. Op grond van de definitieve tekst van de EU richtlijn zal moeten worden bezien of en in welke mate deze nationale (ontwerp) wetgeving hiermee in overeenstemming is.
Hiernaast zal de staatssecretaris van VenJ, samen met de ministers van BZK en EZ, binnenkort een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens indienen dat strekt tot invoering van een wettelijke meldplicht voor datalekken. Daarnaast streeft het kabinet nationaal en internationaal naar een adequate balans tussen veiligheid, vrijheid en (economische) groei. In de nieuwe nationale cybersecuritystrategie en in de internationale arena is er aandacht voor deze balans en de genoemde risico’s.
Hierbij bericht ik u, mede namens de Minister van Economische Zaken, dat de schriftelijke vragen van de leden Dijkhoff en De Liefde (beiden VVD) over het bericht dat de Verenigde Staten kiezen voor het vrijwillig melden van cybersecurity-incidenten (ingezonden 7 maart 2013) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.