Vrijheid van meningsuiting vs auteursrecht: 1-0?

Europese cyberregels gooien privacy te grabbel

Downloadverbod eindelijk begraven

Vandaag presenteerde Eurocommissaris Kroes haar cybersecuritystrategie. Onderdeel daarvan zijn regels voor een netwerk tussen Lidstaten om incidentinformatie uit te wisselen. Een goed initiatief, behalve dat de veiligheid van dit plan ver te zoeken is als het om privacy gaat.

De Commissie heeft aandacht voor cybersecurity en dat is belangrijk. Europa en haar lidstaten worden steeds afhankelijker van ICT, maar dus ook kwetsbaarder voor aanvallen op dat soort systemen. Daarom moet de Commissie goed cybersecuritybeleid introduceren. Wij hebben de Commissie daar eerder over geadviseerd in een consultatie over “network and information security” (in het Nederlands verscheen het bijna gelijkluidende “Het Cybersecuritybeleid van de Toekomst”). Twee van onze aanbevelingen: “cybersecurity is ook personal security” en “cybersecuritybeleid moet grondrechten respecteren”.

Lees je de nieuwe richtlijn vlug, dan zou je denken dat de Commissie naar ons advies heeft geluisterd: in de inleidende paragrafen worden namelijk diverse verwijzingen gemaakt naar fundamentele rechten en dus ook naar privacy:

“This Directive respects the fundamental rights, and observes the principles, recognised by the Charter of Fundamental Rights of the European Union notably, the right to respect for private life and communications, the protection for personal data, […]. This Directive must be implemented according to these rights and principles.”

Ook de doelen van de richtlijn zijn prijzenswaardig. In de eerste plaats wil de richtlijn een standaard stellen die garandeert dat alle Lidstaten over voldoende cybersecuritycapaciteiten beschikken. Kort gezegd: een cybersecurity-autoriteit, een computercalamiteitenteam (een zogenaamde “CERT”), een nationale cybersecuritystrategie en samenwerkingsplannen. Daarnaast beoogt de richtlijn een netwerk tussen nationale overheden voor veilige en effectieve coördinatie, waaronder informatie-uitwisseling, op te zetten. Een derde doel is het ontwikkelen van een cultuur van risicomanagement en het delen van informatie tussen private en publieke partijen.

Het probleem van de richtlijn zit hem dus niet in haar ambitie. Het probleem zit hem in de concrete uitwerking daarvan; de manier waarop dat netwerk voor informatie-uitwisseling is vormgegeven. Op zichzelf is die incidentinformatie-uitwisseling een goed plan (zie hierover ook ons  “Cybersecuritybeleid van de Toekomst“). Private en publieke partijen zijn voor hun eigen veiligheid en de veiligheid van anderen immers afhankelijk van informatie van anderen over bekende dreigingen en kwetsbaarheden. Die veiligheid vereist echter wel dat alleen noodzakelijke informatie wordt gedeeld en dat daarmee zorgvuldig wordt omgesprongen.

En daar schiet de richtlijn te kort: in het waarborgen van privacy. De Commissie vindt namelijk dat de nationale cybersecurity-autoriteiten (“competent authorities”) voor de uitoefening van hun taken zowel publieke partijen als marktspelers (“market actors”) informatie mogen vragen die zij nodig hebben om de veiligheid van hun netwerken en informatiesystemen te beoordelen (art. 15). Dat gaat ver.

In de eerste plaats kunnen deze autoriteiten namelijk bij veel “marktspelers” informatie opvragen. Dit begrip omvat namelijk bedrijven uit de energie, transport en gezondheidssector, banken en alle soorten internetbedrijven. Bovendien kan héél veel informatie worden opgevraagd: alle informatie die op een of andere manier met cybersecurity in verband kan worden gebracht. Dus ook privacygevoelige informatie (lees: emails, logs, etc.). De richtlijn stelt daaraan geen wezenlijke beperkingen. Maar minstens zo problematisch: die privacygevoelige informatie kan vervolgens ongebreideld worden uitgewisseld tussen deze autoriteiten (art. 8), want de regels die zien op de bescherming van dit soort informatie worden door de richtlijn buiten toepassing verklaard (ov. 39).

Het is onbegrijpelijk hoe dit zich verhoudt tot de mooie woorden van de Commissie (zie hierboven). De richtlijn moet worden aangepast zodat onze privé-gegevens niet onder het mom van cybersecurity tussen allerlei “autoriteiten” in verschillende landen worden uitgewisseld. We zullen het Kroes eens vragen.

  1. biggy28

    Tja,de dataritentie,daarmee bedoel ik de bewaarplicht telecomgegevens,deze schaad ook al heel veel privacy.
    Inderdaad ben ik het er mee eens dat we niet nog meer privacy moeten inleveren,want er is gebleken dat het nauwelijks effect heeft om de criminaliteit aan te pakken.

  2. jan-47

    Elke regel geproduceerd door de EU moet geanaliseerd worden
    Geeft niet wat, er zit altijd een regel in die het voorgaande teniet doet

  3. bart

    Het lijkt mij dat deze nationale cybersecurity entiteiten evengoed onderworpen gaan zijn aan de geldende privacy wetten en aan de nieuwe General Data Protection Regulation die eraan komt. Daarin staan duidelijke regels rond proportionaliteit en doel van opvragen van gegevens. Voor het waarborgen van de privacy heb je een regulation, voor het bestrijden van cybersecurity heb je een regulation.

    Het is ondertussen een sport om alles van EC komaf kapot te schieten, voorop gesteld dat de regulations rond privacy evenzogoed gaan gelden voor die cybersecurity entiteiten vind ik deze draft lang niet slecht. Het wordt interessant om te volgen wat er na de verschillende committees van over blijft natuurlijk.

  4. tim2

    Mozilla bekijkt of ze er als bedrijf ook een standpunt over willen innemen:
    http://blog.gerv.net/2013/02/eu-cybersecurity-nis-directive/

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.