34388 Adv RvSt inzake de Wet gegevensverwerking en meldplicht cybersecurity
Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)
Advies Afdeling advisering Raad van State
Nummer: 2016D02369, datum: 2016-01-19, bijgewerkt: 2024-02-19 10:56, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Onderdeel van zaak 2016Z00992:
- Indiener: K.H.D.M. Dijkhoff, staatssecretaris van Veiligheid en Justitie
- Voortouwcommissie: vaste commissie voor Veiligheid en Justitie (2010-2017)
- 2016-01-26 15:35: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2016-02-03 14:30: Procedures en brieven (Procedurevergadering), vaste commissie voor Veiligheid en Justitie (2010-2017)
- 2016-03-03 14:00: Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity) (34388) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Veiligheid en Justitie (2010-2017)
- 2016-07-06 15:15: Procedures en brieven (Procedurevergadering), vaste commissie voor Veiligheid en Justitie (2010-2017)
- 2016-07-07 13:55: Aansluitend aan de Stemmingen: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2016-10-27 10:14: Hamerstuk: Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity) (34 388) (Hamerstukken), TK
Preview document (🔗 origineel)
No.W03.15.0205/II 's-Gravenhage, 26 augustus 2015
...................................................................................
Bij Kabinetsmissive van 1 juli 2015, no.2015001159, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Veiligheid en Justitie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity), met memorie van toelichting.
Ingevolge het voorstel wordt de Minister van Veiligheid en Justitie belast met een aantal taken die dienen ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, en ter verdere versterking van de digitale weerbaarheid van de samenleving. Het voorstel vestigt daarmee een wettelijke grondslag voor het verwerken van gegevens, waaronder persoonsgegevens, door de minister. Tevens introduceert het voorstel een meldplicht voor zogenoemde vitale aanbieders indien er sprake is van een inbreuk op de veiligheid van hun informatiesysteem. De taken en bevoegdheden die het voorstel aan de Minister van Veiligheid en Justitie toedeelt, worden verricht door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie van Veiligheid en Justitie.
De Afdeling advisering van de Raad van State adviseert het voorstel aan de Tweede Kamer te zenden, maar acht op onderdelen een dragende motivering of aanpassing van het voorstel aangewezen. De toegevoegde waarde van de voorgestelde meldplicht wordt onvoldoende gemotiveerd. Indien deze wel toereikend kan worden gemotiveerd, zou een regeling betreffende de handhaving van de meldplicht moeten worden overwogen. Daarnaast is niet overtuigend gemotiveerd waarom het voorstel artikel 9, eerste lid, van de Wet bescherming persoonsgegevens (Wbp) buiten toepassing laat bij verstrekking van gegevens ingevolge een verzoek van het NCSC.
1. Toegevoegde waarde meldplicht
Ingevolge het voorstel geeft een vitale aanbieder de Minister van Veiligheid en Justitie onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken.1 De toelichting bij het voorstel motiveert onvoldoende de toegevoegde waarde van deze meldplicht. Volgens de toelichting sluit het voorstel aan bij een bestaande publiek-private samenwerking. Het nut en de noodzaak van het delen van vertrouwelijke gegevens met betrekking tot de ICT-inbreuken worden bovendien binnen de doelgroep breed gedragen.2 Nu alle betrokkenen al bereid zijn tot samenwerking, lijkt een wettelijke meldingsplicht overbodig. Voor zover in de bestaande praktijk onduidelijkheid bestaat over de wijze waarop een melding kan worden gedaan en welke gegevens daarbij van belang zijn, kan het NCSC hierover informatie verschaffen of afspraken maken met de betrokken branches.
Indien niettemin de toegevoegde waarde van de voorgestelde wettelijke meldplicht toereikend kan worden gemotiveerd, rijst vervolgens de vraag waarom het voorstel niet voorziet in handhaving van de meldplicht. Ook zijn betrokken partijen niet verplicht de adviezen van het NCSC op te volgen. Als de voorgestelde meldplicht daadwerkelijk noodzakelijk is om de eigen verantwoordelijkheid van de Minister van Veiligheid en Justitie voor de digitale weerbaarheid van de Nederlandse samenleving te versterken en maatschappelijke ontwrichting door het uitvallen van vitale systemen te voorkomen, mag worden verwacht dat toezicht wordt gehouden op de naleving van de meldplicht en een sanctie wordt gesteld op het niet nakomen van de verplichting.3
Voorts wijst de Afdeling op het voorstel voor een EU-richtlijn over netwerk- en informatiebeveiliging (NIB-richtlijn).4 Als de betreffende richtlijn wordt vastgesteld, is het waarschijnlijk dat het stelsel van Nederlandse meldplichten weer zal moeten worden aangepast of aangevuld. Nu de meldplicht kennelijk al spontaan wordt nageleefd, lijkt het zinvol de Europese besluitvorming af te wachten.
De Afdeling adviseert de toegevoegde waarde van de voorgestelde meldplicht dragend te motiveren of anders hiervan af te zien. Indien de meldplicht dragend wordt gemotiveerd, geeft de Afdeling in overweging te voorzien in een regeling betreffende de handhaving van de meldplicht.
2. Verzoek om gegevensverstrekking
De Minister van Veiligheid en Justitie kan een rechtspersoon of een orgaan daarvan verzoeken om gegevens te verstrekken die redelijkerwijs noodzakelijk zijn voor de vervulling van de in het voorstel genoemde taken. Op de verstrekking van persoonsgegevens ingevolge een zodanig verzoek is volgens het voorstel artikel 9, eerste lid, van de Wbp niet van toepassing.5 Artikel 9, eerste lid, Wbp bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbindingvereiste).
Het College bescherming persoonsgegevens heeft in zijn advies bezwaar gemaakt tegen dit onderdeel van het wetsvoorstel; het heeft erop gewezen dat artikel 43 Wbp reeds voorziet in een mogelijkheid om het doelbindingvereiste buiten toepassing te laten voor zover een zwaarwegend algemeen belang dit noodzakelijk maakt. Dit hoeft volgens het College niet in de wet te worden geregeld. Volgens de toelichting echter vereist de toepassing van artikel 43 Wbp een beoordeling per geval; dit brengt voor de verstrekkende organisatie onzekerheid mee of zij wel handelt in overeenstemming met de Wbp.6 Omdat verstrekking van persoonsgegevens noodzakelijk kan zijn om maatschappelijke ontwrichting te voorkomen of te beperken, wil de regering de betreffende onzekerheid wegnemen en houdt zij vast aan het algeheel buiten toepassing laten van het doelbindingvereiste.7
De Afdeling acht deze motivering niet overtuigend. Het doelbindingsvereiste is een elementaire waarborg met betrekking tot de bescherming van persoonsgegevens, waar niet lichtvaardig van kan worden afgeweken. Het feit dat in het kader van individuele verzoeken bij betrokken rechtspersonen onzekerheid kan bestaan over de vraag of ingevolge artikel 43 Wbp het doelbindingsvereiste buiten toepassing kan worden gelaten, is als zodanig onvoldoende grond om het doelbindingsvereiste dan maar bij alle verzoeken buiten toepassing te laten. Indien niettemin een wettelijke uitzondering zou worden overwogen dan zou in het voorstel moeten worden gepreciseerd in welke categorieën van gevallen van het doelbindingsvereiste kan worden afgeweken.8
De Afdeling adviseert het voorstel aan te passen.
3. Gegevensverstrekking aan het OM
Het voorstel bevat een strikte regeling over de verstrekking van vertrouwelijke gegevens met betrekking tot een aanbieder door het NCSC aan derden. Ingevolge het voorstel worden alleen vertrouwelijke gegevens met betrekking tot een aanbieder verstrekt ter uitvoering van de in het voorstel genoemde taken van het NCSC. Gegevens die herleid kunnen worden tot een aanbieder, kunnen slechts worden verstrekt aan de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en aan bij ministeriële regeling aangewezen computercrisisteams (CERT’s) voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer.9 Het is niet duidelijk waarom gegevens die herleid kunnen worden tot een aanbieder10 niet door het NCSC uit eigen beweging kunnen worden doorgeleid aan het Openbaar Ministerie ten behoeve van de opsporing van strafbare feiten. Het lijkt niet waarschijnlijk dat deze mogelijkheid ten koste gaat van de bereidheid van de betrokken vitale aanbieders om een veiligheidsinbreuk te melden. De opsporing zal immers mede ten dienste staan aan de voorkoming van dergelijke inbreuken in de toekomst.
De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en zo nodig het voorstel aan te passen.
4. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State geeft U in overweging
het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal,
nadat met het vorenstaande rekening zal zijn gehouden.
De vice-president van de Raad van State,
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W03.15.0205/II
In artikel 4, eerste lid en artikel 7 “redelijkerwijs noodzakelijk” vervangen door: noodzakelijk.
In artikel 9, tweede lid, de zinsnede “uitsluitend verstrekken voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer”, vervangen door: uitsluitend verstrekken voor zover dit noodzakelijk is ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer.
De memorie van toelichting niet in de eerste persoon enkelvoud, maar in de eerste persoon meervoud formuleren, dan wel de woorden “de regering” gebruiken.
Artikel 6, eerste lid.↩︎
Memorie van toelichting, paragraaf 2.9.↩︎
Zie ook aanwijzing 11 van de Aanwijzingen voor de regelgeving.↩︎
Voorstel voor een Richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013 (zie ook Kamerstukken I 2013/14, 33 602, C).↩︎
Artikel 4.↩︎
Artikel 43 Wbp bepaalt: De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van: a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.↩︎
Artikelsgewijze toelichting bij artikel 4.↩︎
Bij die precisering kunnen een of meer van de in artikel 9, tweede lid, Wbp genoemde factoren een rol spelen.↩︎
Artikel 9, tweede lid.↩︎
Vertrouwelijke gegevens die niet herleidbaar zijn tot betrokken aanbieders kunnen, aldus de toelichting, wel uit eigen beweging worden verstrekt aan de politie of het Openbaar Ministerie. Artikelsgewijze toelichting bij artikel 9.↩︎