Wet gegevensverwerking en meldplicht cybersecurity
Reactie
Naam
|
ir. H.S. Leisink
|
Plaats
|
Delft
|
Datum
|
26 januari 2015
|
Vraag1
Wat vindt u van dit wetsvoorstel?
Ik vind het wetsvoorstel irrelevant. Het is namelijk een wetsvoorstel dat niet de kern van het probleem aanpakt, maar slechts ingaat op de gevolgen van het probleem.
Het probleem is dat we in Nederland (net als in de rest van de wereld) onvoldoende grip hebben op informatiebeveiliging. Vele bedrijven die met gevoelige informatie werken hebben nog nooit een risicoanalyse uitgevoerd op de processen en/of systemen waarmee deze vertrouwelijke informatie verwerkt wordt. Laat staan dat ze hun informatiebeveiliging op orde hebben. Vandaag de dag worden nog steeds softwarefouten gemaakt die twintig jaar geleden ook gemaakt werden. Het internet staat vol met informatie over deze bekende kwetsbaarheden, maar daar wordt onvoldoende naar gekeken. Ook maak ik auditors vanuit accountsbureau's mee die puur naar de letter van een maatregel kijken zonder deze maatregel zelf inhoudelijk goed te begrijpen, waarmee ze in feite schijnveiligheid bij bedrijven afdwingen.
Onlangs is de NEN 7510 kostenloos beschikbaar gemaakt. Dit zijn initiatieven die ik toejuig. Ik denk ook dat we het in die richting zoeken moeten. Er is bij veel mensen en organisaties nog onvoldoende kennis over informatiebeveiliging. Pak dat aan. Geef informatie over hoe te beginnen met de verbetering en aanpak van informatiebeveiliging. Hoe stel ik een informatiebeveiligingsbeleid op? Hoe voer ik een risicoanalyse uit? Hoe ga ik met de resultaten van een risicoanalyse aan de slag? Hoe moet ik een beveiligingsstandaard als ISO 27002 en NEN 7510 hanteren? Het is voor veel organisaties nu tasten in het duister of vele tienduizenden euro's besteden aan dure consultants. Voor veel midden- en kleinbedrijven die met vertrouwelijke informatie werken is dat een te hoge drempel. Zeker als niet duidelijk is wat je ervoor terug krijgt of hoe je dat moet beoordelen.
Bedrijven verplicht datalekken laten melden geeft hen niet opeens het inzicht hoe het dan wel moet. De meldplicht haalt de onduidelijkheid over hoe informatiebeveiliging op een goede manier in te richten niet weg. Problemen pak je aan bij de oorzaak, niet bij de gevolgen. De meldplicht is dus dweilen met de kraan open en daardoor totaal irrelevant. Dit wetsvoorstel zal niets verbeteren.