Cyberbeveiligingsbesluit
Reactie
|
Naam
|
Op persoonlijke titel (Drs HLFM van Veghel)
|
|
Plaats
|
Eindhoven
|
|
Datum
|
25 maart 2025
|
Vraag1
Graag uw reactie op dit concept van het Cyberbeveiligingsbesluit.
Artikel 10, lid 2 en 3
Hier mist een risico gebaseerde benadering. Als in het beleid, zoals bij lid1 gesteld, vastgesteld wordt hoe omgegaan wordt met leveranciers, kan daar ook vastgesteld worden dat bij geringe afhankelijkheid geen aanvullende maatregelen getroffen worden. Daar bieden sub 2 en 3 geen ruimte voor.
Artikel 22, lid 1
De verplichting om een onafhankelijke trainer in te zetten leidt tot kostenverhoging, maar ook een verlaging van de in artikel 21 gesteld eisen. Daar wordt immers gesteld dat risico’s voor informatiesystemen en bijbehorende processen en methodiek onderdeel van de training moeten zijn. Voor de zorg zijn externe, onafhankelijke trainers daar waarschijnlijk niet toe in staat. Omdat dat expertise vereist, waarvoor een nauwe band met de zorg dient te bestaan. Daarnaast kan in een zorginstelling in het algemeen of de eigen instelling in het bijzonder, gewerkt wordt met specifieke methodieken, die niet in een standaard training van een onafhankelijke externe gebruikt worden. Bovenal rijst de vraag wat de toegevoegde waarde is van de onafhankelijkheid voor de kwaliteit van de training?
Artikel 25
De gegevens die aanvullend gevraagd worden in sub a, b en c dienen geen prioriteit te hebben in de eerste 24 uur. Bovendien vereist dit inzicht die breder gaat dan de initiële signalering en vergt een analyse én beoordeling door de organisatie met risico afwegingen.
Artikel 26
Hier miste elke beschrijving van de vorm en randvoorwaarden voor de melding. Dit biedt de ruimte om een niet-geauthentiseerd systeem in te richten, zoals nu ook bij de Autoriteit Persoonsgegevens het geval is voor het melden van datalekken. Gezien de belangen van de meldingen zou dit geadresseerd moeten worden om valse meldingen en dito beschuldigingen te voorkomen.
Ook zou het goed zijn als vast ligt welke actie ondernomen dient te worden als het systeem niet beschikbaar is of onvoldoende presteert.
Artikel 28, lid 3, sub b
Dit wordt een administratieve last en procedurele nachtmerrie als bij elke domeinnaamregistratie ook melding gedaan moet worden bij het register. Kan hier geen koppeling gemaakt worden aan registratie/registrar of SIDN?
Artikel 30, lid 1
Door vastlegging van persoonsgegevens te beperken tot uiterlijk 60 maanden, worden actieve functionarissen die langer dan 60 maanden werkzaam zijn verwijderd, terwijl zij toch nog noodzakelijk kunnen zijn.
