Een nieuw Nederlands bedrijf voor cybersecurity …

Ten eerste: alle lof voor ieder (particulier) ondernemersinitiatief dat cybersecurity stimuleert en het risico op cybercrime beperkt. In de media staat echter een aantal zaken, die ik hieronder wil bespreken, omdat zij contraproductief werken dan wel niet te rijmen zijn met (de beginselen van) nationale en internationale regelgeving.

Maar eerst even kort wat deze zes bedrijven, die alle ook commerciële bedrijven blijven, gaan doen:

• IT-systemen met oog voor de nationale belangen beschermen;
• Zorgdragen voor de opslag van data op Nederlandse servers onder Nederlandse jurisdictie en regels;
• Technische achterdeurtjes in buitenlandse software dichten voor de overheid;
• Versleutelingssystemen van extra beveiliging voorzien;
• Projecten met grote overheidsinmenging;.
• Achtergrondchecks doen van personeel dat gevoelige data en vitale systemen beheert

Allemaal prima, op het eerste gezicht. Maar er zitten wel wat misvattingen in.

Misvatting nummer 1: de bedrijven (moeten) beloven puur Nederlands te blijven: “Zodra een lid naar de beurs gaat of door een buitenlandse partij wordt overgenomen, moet hij uit het consortium” (bron onder meer FD). Dit lijkt mij eerlijk gezegd een fundamentele weeffout. Het appelleert hooguit aan nationalistische gevoelens, maar dient geen redelijk doel. Voor computercriminaliteit zijn landsgrenzen van geen enkel belang. Opslag van gegevens in Nederland op Nederlandse servers met Nederlandse beveiliging leidt er alleen maar toe dat de internationale dimensie wordt genegeerd. Via het internet zijn servers in Nederland namelijk ook prima benaderbaar. Bij de bestrijding van grensoverschrijdende cybercriminaliteit zijn internationale samenwerking en – kennisuitwisseling juist van essentieel belang. Het ligt voor de hand dat potentiële concurrenten van het consortium minder snel bereid zullen zijn om inzichten, kennis en technologieën te delen. En die potentiële concurrenten zijn ook internationale ondernemingen, die in andere landen – die waarschijnlijk nog veel hoger scoren als doelwit voor cybercrime en cyberterrorisme – ervaring opdoen. Die internationaal actieve ondernemingen vergroten daarmee hun voorsprong op het consortium

Misvatting nummer 2: Vele vitale systemen zijn niet meer nationaal, maar internationaal georganiseerd, zowel verdragstechnisch als qua eigendomsverhoudingen. Denk bijvoorbeeld aan luchthavens, havens, de elektriciteits- en gasnetwerken, de olietoevoer en de waterloop van de grote rivieren (sluizen). Een nationale in plaats van een grensoverschrijdende aanpak werkt dan waarschijnlijk averechts, omdat dan slechts het Nederlandse stukje van de keten wordt beveiligd en niet de keten als geheel. Het conglomeraat zou juist internationale ambities moeten hebben om de toegevoegde waarde voor de Nederlandse maatschappij te maximaliseren.

Misvatting nummer 3: Het is juridisch en praktisch gezien onvoorstelbaar dat een Nederlandse partij technische achterdeurtjes in buitenlandse software kan dichten voor de (Nederlandse) overheid. Ten eerste beschikt die Nederlandse partij in de regel niet over de (auteursrechtelijke) bevoegdheid om de software te onderzoeken, decompileren en te wijzigen. Hooguit kan zij deze analyseren. Ten tweede zal de garantie op de buitenlandse software vervallen, indien de afnemer deze wijzigt of laat wijzigen. Dit zal vast niet stroken met de wensen van de gemiddelde aanbestedende dienst.

Misvatting 4: Het is niet waar dat de desbetreffende diensten beter kunnen worden gediend door een Nederlands consortium naar Nederlands recht. De toepasselijke regelgeving op het gebied van e-security en e-privacy is niet Nederlands, maar wordt nagenoeg volledig geïnitieerd vanuit de EU, met zeer weinig speelruimte voor de betrokken landen. Dit voorkomt een enorme duplicatie aan onderzoek en beleidsvormende en wetgevende activiteiten. Men mag ook aannemen dat het delen van de inzichten, ervaringen en opleidingen op dit gebied leidt tot een hogere mate van bescherming.

Misvatting 5: Het van overheidswege toejuichen van een gesloten bolwerk Nederland, waarin een ‘zuiver Nederlandsch’ consortium de nationale belangen beter zou bedienen, is in strijd met het beginsel van een gemeenschappelijke markt. Daarin zijn een vrij verkeer van goederen (eigendom  van de aandelen van de desbetreffende ondernemingen) en vrij verkeer van diensten (level playing field voor Europese dienstverleners, ongeacht de eigendom) goed geborgd. Uiteraard mag wel gescreend worden voor beveiliging van vitale infrastructuur. Dat gebeurt nu ook al. Maar het feit dat de nationaliteit van de aandeelhouders van de  desbetreffende onderneming niet Nederlands is, mag er niet toe leiden dat die dienstverlener wordt uitgesloten van deelname aan aanbestedingen. En dat veruit het merendeel van dit soort projecten aanbesteed zal (moeten) worden, lijdt geen twijfel. Verder zullen eisen aan de herkomst of nationaliteit van de betrokken experts van het consortium al snel leiden tot strijd met de (Europese) wet- en regelgeving op het gebied van discriminatie. En bedenk even goed dat Hollanders ook de reputatie hadden kanonnen te verkopen aan de Spanjaarden in de 80-jarige oorlog. Nationaliteit zegt minder dan integriteit.

Samenvattend: het initiatief om door middel van een conglomeraat van verschillende ondernemingen met hun eigen expertise op het gebied van (cyber-)security op te richten juich ik toe; die beveiliging kan ongetwijfeld stukken beter en het is goed om een extra speler op de markt voor middelgrote en grote beveiligingsprojecten te creëren. Maar het uitsluiten van partijen, waar een buitenlandse partij aandeelhouder is of wordt, dient geen redelijk doel. Integendeel, het zal eerder averechts werken. Pas als zo’n buitenlandse aandeelhouder aantoonbaar negatieve invloed zal hebben op de betrouwbaarheid van (een partij uit) het consortium, zou uitsluiting moeten volgen. Verder zijn er diverse goede argumenten te bedenken, waarom ook buitenlandse (cyber-) securitybedrijven zich wèl zouden moeten kunnen mengen in dit consortium.

Heeft u zicht op de risico’s en het juridische perspectief op de IT-diensten, die u verleent en afneemt? Weet u waar u mee bezig bent op het gebied van beveiliging en privacy? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Neem vrijblijvend contact met ons op om te bekijken hoe wij – of andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Heeft u vragen over cybersecurity, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht