- Door
- Edwin Feldmann
- geplaatst op
- 3 oktober 2011 08:05 uur
Een meldplicht voor beveiligingslekken bij de overheid zou heel goed zijn, zegt Doornbosch. De overheid is onlangs diverse keren in het nieuws gekomen als het gaat om slechte digitale beveiligng. Een voorbeeld daarvan is de geslaagde hack bij DigiNotar. Ook zijn diverse lekken in andere overheidssystemen aangetroffen waaronder het content managementsysteem van de gemeente Amsterdam, diverse databases van tientallen gemeenten, DigiD en het BSN-uitgiftesysteem.
Bij de overheid zou het ontbreken aan een centrale aanpak. “Elke gemeente en ministerie gaat de beveiliging voor zichzelf regelen. Dat is duur en vaak ontbreekt het aan de juiste kennis.” De overheid maakt in veel gevallen ook te weinig geld vrij om systemen goed dicht te timmeren, vindt Doornbosch. “In het geval van DigiNotar liet de overheid bijvoorbeeld wel alle audits uitvoeren, maar werd er alleen gecontroleerd of bepaalde zaken aanwezig waren, niet of ze ook ingeschakeld waren.” Om dergelijke incidenten te voorkomen, moet de overheid veel pragmatischer te werk gaan, vindt Doornbosch.
Onderschat
Digitale beveiliging wordt nogal eens onderschat bij de overheid, constateert hij. Bij bedrijven leveren beveiligingsincidenten vaak veel directe schade op. Maar ook speelt de angst voor imagoschade een grote rol bij het stilhouden van datalekken. Bij de overheid zouden elk jaar ook verscheidene datalekken worden verzwegen. Hoewel er bij de overheid vaak geen directe schade is die in geld is uit te drukken, is er zeker sprake van imagoschade, meent Doornbosch. “Bovendien leveren beveiligingsincidenten vaak gevaren op voor de privacy van burgers.”
Onduidelijkheden
Overigens is er met de huidige meldplicht ook nog het een en ander mis. Onlangs waarschuwde Frederik Zuiderveen Borgesius, promovendus bij het Instituut voor Informatierecht van de Universiteit van Amsterdam, ervoor dat de huidige meldplicht te onduidelijk is en weinig effect zal hebben. De wet verplicht telecomproviders om melding te maken van datalekken die zij constateren. De meldplicht vloeit voort uit een EU-richtlijn die de lidstaten sinds 25 mei van dit jaar nationaal ingevoerd moeten hebben.