Europese cyberregels gooien privacy te grabbel
Vandaag presenteerde Eurocommissaris Kroes haar cybersecuritystrategie. Onderdeel daarvan zijn regels voor een netwerk tussen Lidstaten om incidentinformatie uit te wisselen. Een goed initiatief, behalve dat de veiligheid van dit plan ver te zoeken is als het om privacy gaat.
De Commissie heeft aandacht voor cybersecurity en dat is belangrijk. Europa en haar lidstaten worden steeds afhankelijker van ICT, maar dus ook kwetsbaarder voor aanvallen op dat soort systemen. Daarom moet de Commissie goed cybersecuritybeleid introduceren. Wij hebben de Commissie daar eerder over geadviseerd in een consultatie over “network and information security” (in het Nederlands verscheen het bijna gelijkluidende “Het Cybersecuritybeleid van de Toekomst”). Twee van onze aanbevelingen: “cybersecurity is ook personal security” en “cybersecuritybeleid moet grondrechten respecteren”.
Lees je de nieuwe richtlijn vlug, dan zou je denken dat de Commissie naar ons advies heeft geluisterd: in de inleidende paragrafen worden namelijk diverse verwijzingen gemaakt naar fundamentele rechten en dus ook naar privacy:
“This Directive respects the fundamental rights, and observes the principles, recognised by the Charter of Fundamental Rights of the European Union notably, the right to respect for private life and communications, the protection for personal data, […]. This Directive must be implemented according to these rights and principles.”
Ook de doelen van de richtlijn zijn prijzenswaardig. In de eerste plaats wil de richtlijn een standaard stellen die garandeert dat alle Lidstaten over voldoende cybersecuritycapaciteiten beschikken. Kort gezegd: een cybersecurity-autoriteit, een computercalamiteitenteam (een zogenaamde “CERT”), een nationale cybersecuritystrategie en samenwerkingsplannen. Daarnaast beoogt de richtlijn een netwerk tussen nationale overheden voor veilige en effectieve coördinatie, waaronder informatie-uitwisseling, op te zetten. Een derde doel is het ontwikkelen van een cultuur van risicomanagement en het delen van informatie tussen private en publieke partijen.
Het probleem van de richtlijn zit hem dus niet in haar ambitie. Het probleem zit hem in de concrete uitwerking daarvan; de manier waarop dat netwerk voor informatie-uitwisseling is vormgegeven. Op zichzelf is die incidentinformatie-uitwisseling een goed plan (zie hierover ook ons “Cybersecuritybeleid van de Toekomst“). Private en publieke partijen zijn voor hun eigen veiligheid en de veiligheid van anderen immers afhankelijk van informatie van anderen over bekende dreigingen en kwetsbaarheden. Die veiligheid vereist echter wel dat alleen noodzakelijke informatie wordt gedeeld en dat daarmee zorgvuldig wordt omgesprongen.
En daar schiet de richtlijn te kort: in het waarborgen van privacy. De Commissie vindt namelijk dat de nationale cybersecurity-autoriteiten (“competent authorities”) voor de uitoefening van hun taken zowel publieke partijen als marktspelers (“market actors”) informatie mogen vragen die zij nodig hebben om de veiligheid van hun netwerken en informatiesystemen te beoordelen (art. 15). Dat gaat ver.
In de eerste plaats kunnen deze autoriteiten namelijk bij veel “marktspelers” informatie opvragen. Dit begrip omvat namelijk bedrijven uit de energie, transport en gezondheidssector, banken en alle soorten internetbedrijven. Bovendien kan héél veel informatie worden opgevraagd: alle informatie die op een of andere manier met cybersecurity in verband kan worden gebracht. Dus ook privacygevoelige informatie (lees: emails, logs, etc.). De richtlijn stelt daaraan geen wezenlijke beperkingen. Maar minstens zo problematisch: die privacygevoelige informatie kan vervolgens ongebreideld worden uitgewisseld tussen deze autoriteiten (art. 8), want de regels die zien op de bescherming van dit soort informatie worden door de richtlijn buiten toepassing verklaard (ov. 39).
Het is onbegrijpelijk hoe dit zich verhoudt tot de mooie woorden van de Commissie (zie hierboven). De richtlijn moet worden aangepast zodat onze privé-gegevens niet onder het mom van cybersecurity tussen allerlei “autoriteiten” in verschillende landen worden uitgewisseld. We zullen het Kroes eens vragen.