Achter Het Nieuws - De sociaal-maatschappelijke orde en informatiebeveiliging

Door Artikel IB3-2022 - Chris de Vries, Fook Hwa Tan, Lilian Knippenberg 26 sep 2022

In deze rubriek geven enkele iB-redacteuren in een kort stukje hun reactie op recente nieuwsitems over informatiebeveiliging. Dit zijn persoonlijke reacties van de auteurs en deze geven niet noodzakelijkerwijs het officiële standpunt weer van hun werkgever of van PvIB. Vragen en/of opmerkingen kun je sturen naar ibmagazine@pvib.nl.

De Europese Unie en de Verenigde Staten staan regelmatig tegenover elkaar, ook al zijn zij in wezen gelijkgezinde economische en technische partners. Gelijkgezind, omdat beide entiteiten uitgaan van democratische principes en derhalve van economische vrijheid, gekoppeld aan vertrouwen in technologische vooruitgang. En toch… op één belangrijk punt verschillen zij als dag en nacht.



In de Verenigde Staten gelooft men in het bedrijfsleven en de absolute vrijheid voor de ondernemer. De staat is slechts het noodzakelijk kwaad om oorlog buiten de deur te houden en een ambassadeur uit te zenden om de eigen belangen te verdedigen en uit te bouwen. Europese landen hebben veelal een transparante en integrale samenleving, waarbij de sociaal-maatschappelijke orde bewaakt wordt door een voldoende krachtige overheid met gelijktijdige, begrensde vrijheid voor ondernemers.

Naast de basis van de samenleving die door overheden zijn gebouwd, bestaat er ook marktwerking. De macht van het bedrijfsleven in onze huidige tijd is groot, wat betekent dat de directies en leiding van deze bedrijven invloed hebben op onze samenleving. Digitale autonomie is een steeds belangrijker begrip aan het worden. Zo schreef de EU al [1] dat strategische autonomie voor individuele landen en de EU als geheel heroverwogen dient te worden in ons huidige digitale tijdperk. Wat betekent dit voor de informatiebeveiliging en ons vak?

Wie dient wie? – Chris de Vries
Er zijn EU/nationale wetten, (op)gevolgd door ‘alle’ betrokkenen in Europa: de overheden zelf, ideële tot aan bedrijfsorganisaties toe alsook de burger, het individu; u en ik dus. Er zijn wetshandhavers, die de belangen bewaken, bij veronachtzaming leidt dat theoretisch tot boetes/straffen.
Eén praktijkvoorbeeld: de NAM verloor in 2021 data aan criminelen m.b.t. 19.000 Groningers, zoals eind 2020 onnodig gegevens van duizenden Groningers geleverd zijn aan het Ministerie van Economische Zaken (dit niet meldende aan de AP, noch wetende welke gegevens in dat bestand hebben gestaan!) [2]. De Nederlandse Aardolie Maatschappij [3] dus de overheid? Nee, want het betreft Exxon Mobil en Shell (net vertrokken uit Nederland), die zich onttrekken aan de Groningse compensatievergoedingen, maar wellicht ook aan ‘reclaim’ investeringen na beëindiging van hun olie- en gaswinningsactiviteiten, zie voor ‘reclaim’ de ‘Corporate Finance’ handboeken aan het eind van de 20e eeuw [4]. Wordt er dus gehandhaafd? Het lijkt er eerder op dat de nationale overheden de multinational(s) dienen.
Een ander initiatief; de ‘European Data Protection Supervisor (EDPS)’ start een sociale-netwerken-pilot: ‘EU Voice & EU Video’ [5]. Uitgangspunt: ‘Volgens de privacytoezichthouder wordt data van de platforms niet gedeeld buiten de EU en de Europese Economische Ruimte, zijn er geen advertenties op het platform en worden gebruikers niet geprofileerd.’ En dat leidt op termijn tot: ‘alternatieve sociale-media-platforms … die prioriteit geven aan individuen en hun recht op privacy en gegevensbescherming’. Dit is andere koek vanuit de supranationale entiteit, de Europese Unie, die haar burgers dient. Dit doet dus Europa voor u en mij en in toenemende mate gericht op een ICT-autonomie in de wereld.

Vrijheid en controle moeten samen! – Fook Hwa Tan 
Met alle maatschappelijke issues in de afgelopen jaren zien we dat overheden en burgers niet helemaal meer weten wat de normale gang van zaken is. Na een pandemie die alles en iedereen heeft beïnvloed en mogelijk heeft veranderd, een economie met hoge inflatie die probeert te herstellen en een oorlog in Oekraïne waar sancties en verlies van productiecapaciteit nog vele na-effecten zullen hebben. Wat betekent dit voor informatiebeveiliging?
Vrijheid is een groot goed in het Westen. Het recht om zelf te mogen kiezen en te kiezen hoe je je leven in wil richten wordt met de paplepel in gegoten. Tijdens deze grote gebeurtenissen wordt echter gevraagd aan een grotere macht als de overheid om in te grijpen en de controle van het leven tijdelijk over te nemen omdat het individu te weinig macht heeft om verandering teweeg te brengen. Het is dan wel de bedoeling dat, nadat de overheid adequaat heeft ingegrepen, de vrijheid wordt hersteld.
Wanneer echter de overheid controle van het leven voor een grote menigte overneemt, is het dan ook belangrijk dat ze transparant opereert. Dit betekent, dat burgers kunnen controleren waarom de overheid bepaalde beslissingen heeft genomen en als zij dat niet goed heeft gedaan, dat aan de kaak te stellen.
Als dit daadwerkelijk zo geregeld is, dan zou ons vakgebied ervoor moeten zorgen dat de flow van informatie tussen overheid en burger op een adequaat veilige wijze plaatsvindt. Dit betekent dan ook, dat indien informatie niet vrij en veilig kan bewegen tussen overheid en maatschappij we vrijheid en controle niet samen kunnen laten bestaan. 

Pleit voor weerbaarheid – Lilian Knippenberg 
Het woord ‘techreus’ is wat mij betreft een mooie suggestie voor het ‘woord van het jaar’ verkiezing die de Van Dale ieder jaar houdt. Waar tot voor kort nog niemand van het woord gehoord had, begint dat in rap tempo te veranderen. Zeker aangezien in maart bekend werd dat de EU een akkoord heeft bereikt over strengere regels voor aanbieders van online diensten in de Digital Markets Act [6]. Sancties tegen techreuzen als Google en Facebook moeten hiermee mogelijk worden, maar wellicht kan dit ook deuren openen voor nieuwe aanbieders. Uit onderzoek van datacenter Bit [7] bleek in februari van dit jaar dat 62% van de IT beslissers bang is voor de groeiende macht van techreuzen. Nog saillanter is dat een ruim aandeel vertrouwen zou hebben in een Europese cloudoplossing ten opzichte van een aanbieder uit een ander deel van de wereld. Ook interessant in dat kader is het advies dat de Cyber Security Raad (CSR) in mei 2021 uitbracht over digitale autonomie en cybersecurity [8]. Hierin werd zelfs het woord ‘techkolonisatie’ gebruikt. Waar we vroeger vooral de voordelen zagen van de innovatie van Silicon Valley, zien we nu ook steeds meer de schaduwzijde daarvan. Het wordt de uitdaging van de komende tijd om zowel de voordelen van innovatie te behouden, maar ook om onze privacy daarin leidend te laten zijn. Ik geloof dat daarvoor mensen zoals wij nodig zijn: professionals die kunnen duiden welke risico’s onze organisatie loopt als gekozen wordt voor applicatie A of B, die adequate screeningen en awarenesscampagnes organiseren voor collega’s en op nog veel meer manieren meebouwen aan een informatieveiliger Nederland. Veiligheid is daarbij een lastig begrip (je bent nooit 100% veilig), daarom pleit ik graag voor weerbaarheid. Zorg voor een goede respons op incidenten, oefen je plannen en neem mensen mee in het belang van informatieveiligheid en de maatregelen die je neemt. Samen komen we er wel!

Referenties
[1] Rethinking strategic autonomy in the digital age - Publications Office of the EU (europa.eu)
[2] https://tweakers.net/nieuws/196098/nam-stuurde-eind-2020-gegevens-van-meer-nederlanders-dan-nodig-naar-ministerie.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=twk_nieuwsbrief
[3] Zie voor een juridische kijk op de NAM en haar aandeelhouders een artikel in de serie ‘Aardbevingen in Groningen en het vermogensrecht’ van mr.dr. E.C.A. Nass, bron: Maandblad voor Vermogensrecht, aflevering 4, 2020 – URL: http://openaccessadvocate.tijdschriften.budh.nl/tijdschrift/maandbladvermogensrecht/2020/4/MvV_1574-5767_2020_030_004_002 
[4] Principles of corporate finance, fourth edition – Brealey & Myers, 1991
[5] Zie URL: https://tweakers.net/nieuws/196124/europese-privacytoezichthouder-start-pilot-met-eigen-sociale-netwerken.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=twk_nieuwsbrief 
[6] https://nos.nl/artikel/2422563-akkoord-over-europese-wetgeving-om-macht-techreuzen-te-beteugelen
[7] https://www.bit.nl/news/3124/88/Zes-op-de-tien-IT-beslissers-bang-voor-groeiende-macht-techreuzen
[8] https://www.cybersecurityraad.nl/documenten/adviezen/2021/05/14/csr-advies-nederlandse-digitale-autonomie-en-cybersecurity---csr-advies-2021-nr.-3
 

Dit artikel verscheen in IB3-2022.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.