U bent hier: Home > IT Recht > Europese Commissie houdt consultatie over mogelijke introductie beveiligingsverplichting netwerken en computers
Europese Commissie houdt consultatie over mogelijke introductie beveiligingsverplichting netwerken en computers

Europese Commissie houdt consultatie over mogelijke introductie beveiligingsverplichting netwerken en computers

Geplaatst door: Mark Jansen op 2012-07-30 thema(s): IT Recht, Privacyrecht

De Europese Commissie overweegt het introduceren van een algemene beveiligingsverplichting voor netwerken en computersystemen, aldus een persbericht. De Commissie houdt in dat kader nu een consultatie onder het algemene publiek.

Bestaande verplichting verwerkers persoonsgegevens

Op dit moment bestaat op grond van de privacyrichtlijn in alle landen van de Europese Unie de verplichting om passende maatregelen te nemen om persoonsgegevens te beveiligen tegen onder meer verlies en onrechtmatige verwerking. Die verplichting is in Nederland terechtgekomen in artikel 13 Wet bescherming persoonsgegevens.

Bestaande beveiligingsverplichting telecomaanbieders

Verder geldt op grond van de Telecomrichtijnlijn 2002/21 voor aanbieders van een openbaar elektronisch communicatienetwerk en aanbieders van een openbare elektronische communicatiedienst (kort samengevat) de verplichting om de persoonsgegevens en de persoonlijke levenssfeer van de gebruiker te beschermen, om in dat kader maatregelen te nemen en om de eindgebruikers te informeren en voor te lichten over veiligheid. Deze verplichtingen zijn in Nederland geimplementeerd in artikel 11.2 e.v. Telecommunicatiewet.

Consultatie over introductie aanvullende beveiligingsverplichting

De Europese Commissie houdt nu een consultatie omdat zij overweegt om twee nieuwe algemene verplichtingen te introduceren voor beheerders van netwerken en computersystemen die cruciaal zijn voor het economisch en maatschappelijk functioneren:

  1. een verplichting om risicobeheersmaatregelen te treffen (to adopt risk management practices); en
  2. om schendingen van de beveiliging te melden (to report security breaches)

Een ieder kan via de online consultatie laten weten wat hij/zij van dit idee vindt. Iedereen die een belang heeft bij dergelijke regelgeving zou deze kans moeten aangrijpen. De kans om met succes een wetsvoorstel/idee in de consultatiefase bij te sturen c.q. aan te passen zal veelal groter zijn dan de kans om met succes aanpassingen door te voeren zodra er eenmaal een concreet voorstel ligt.

Commentaar

De bestaande beveiligingsverplichtingen hebben steeds het verwerken van persoonsgegevens als aangrijpingspunt. Het lijkt er op – uit het persbericht valt dit niet goed op te maken – dat de Commissie met dit nieuwste voorstel doelt op een algemene beveiligingsverplichting, dus ongeacht of er persoonsgegevens worden verwerkt of niet. Anders zou namelijk niet goed verklaard kunnen worden hoe dit nieuwste voorstel zich verhoudt tot het voorstel voor de herziening van de privacyregels, dat ook een verplichting tot het nemen van organisatorische beveiligingsmaatregelen (artikel 30) en de verplichting tot het melden van incidenten bevat (artikel 31).

Mocht dit voorstel en de geplande herziening van het privacyrecht doorgaan, dan zijn er in de toekomst dus verschillende regimes van toepassing met betrekking tot beveiliging:

  • voor iedereen die persoonsgegevens verwerkt: het regime uit de (toekomstige) privacyverordening;
  • voor iedereen die cruciale netwerken en computersystemen beheert: het regime uit de regels waarover nu een consultatie wordt gehouden;
  • voor telecomaanbieders: het regime uit de telecomrichtlijnen.

Het eerste regime zal, mede gelet op de ruime interpretatie van het begrip “persoonsgegevens”, welhaast op alle bedrijven en instellingen van toepassing zijn.

Het is de vraag op wie het tweede regime allemaal van toepassing zal zijn. Gezien het feit dat steeds meer netwerken en computers onderling verbonden en wederzijds afhankelijk zijn, ligt het voor de hand dat de drempel hiervoor laag zal komen te liggen. In dat geval is echter wel de vraag wat een nieuwe verplichting ten opzichte van het voorstel voor de privacyverordening zou toevoegen en of het niet overzichtlijker zou zijn eenvoudigweg een beveiligingsverplichting te introduceren voor iedereen die data verwerkt (ongeacht of die data persoonsgegevens zijn of niet).

Telecomaanbieders zouden zelfs met drie regimes tegelijk te maken kunnen krijgen. Het is voor hen, maar niet alleen voor hen, te hopen dat wanneer dit voorstel van de Commissie het haalt tot richtlijn of verordening, dat dan in ieder geval de verschillende verplichtingen onderling op elkaar afgestemd worden.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Gerelateerde artikelen:
  1. Hacks ‘Lektober’, beveiligingsverplichting en nut meldplicht datalekken
  2. Spoedvragen EC over toegang USA tot Europese cloud
  3. Privacyeisen die aan sociale netwerken worden gesteld

Gelabeld met:

Disclaimer & privacy statement © Dirkzwager advocaten & notarissen N.V. Alle rechten voorbehouden.
Naar boven scrollen