Het Internet der Dingen: maak apparaten veilig!

Gelukkig dringt ook tot het parlement door dat er regels nodig zijn ter bestrijding van onveilige IT.
In november 2016 heeft kamerlid Verhoeven een initiatiefnota bij het parlement ingediend onder de titel «Het Internet der Dingen: maak apparaten veilig!». De indiener vat zijn ideeën als volgt samen:

1. Richt een Nederlands bedreigingsanalyseteam op
2. Creëer standaarden voor cyberveiligheid van apparaten.
3. Onderzoek mogelijkheden voor software aansprakelijkheid.
4. Investeer in de zelfredzaamheid van consumenten voor veilig gebruik van Internet der Dingen-apparaten.
5. Een onafhankelijk, sterk en actief Nationaal CyberSecurity Centrum (NCSC)

Vragen en opmerkingen vaste commissie

Onlangs zijn de vragen en opmerkingen die de vaste commissie voor Veiligheid en Justitie heeft voorgelegd bekend geworden (inbreng schriftelijk overleg). Het is interessant die vragen en opmerkingen te lezen. Iedereen signaleert dat er problemen zijn of komen.

1. Inleiding

(…)

De leden van de SP-fractie hebben met belangstelling kennisgenomen van de initiatiefnota over de beveiliging van Internet der Dingen-apparaten. De initiatiefnemer doet hiertoe een aantal aanbevelingen, waarover de aan het woord zijnde leden nog enkele vragen hebben. Allereerst zijn zij benieuwd naar de ervaring in de Verenigde Staten met het daar ingestelde bedreigingsanalyseteam. Kan de initiatiefnemer daar meer over vertellen? Aan welk team van experts denkt hij als een dergelijk analyseteam in Nederland wordt opgericht? Wat wordt de rol van het Nationaal Cyber Security Centrum (NCSC) in het geheel?

(…)

2. Het internet der dingen
De leden van de PvdA-fractie lezen dat de initiatiefnemer een aantal voorstellen doet om interactieve informatie-uitwisseling tussen apparaten die verbonden zijn met internet veilig te laten verlopen. Deze leden hebben al aandacht gevraagd voor het beschermen van de privacy van burgers middels een voorstel voor een nieuwe datawet. In hoeverre gaan de voorstellen in de initiatiefnota verder dan de voorgestelde datawet? Zijn er nieuwe elementen? Is er overlap? Zo ja, waar?

3. Risico’s
De leden van de CDA-fractie missen een reflectie op de primaire verantwoordelijkheid van de gebruiker zelf om de geschetste risico’s te voorkomen. Los van de toepassing van apparatuur in bijvoorbeeld ziekenhuizen gaat het deze leden hierbij voornamelijk om apparatuur in en rondom het huis en voor persoonlijk gebruik. Deelt de initiatiefnemer de mening dat ondanks het gegeven dat internet niet meer is weg te denken uit onze samenleving, de verantwoordelijkheid voor een verantwoord gebruik wel primair bij de gebruiker ligt? Zo merkt de initiatiefnemer op dat toestemming om bepaalde informatie te delen soms diep in de gebruikersvoorwaarden zit verstopt. Dat is zo, maar deelt de initiatiefnemer de mening dat de gebruiker desalniettemin de keuze kan maken zich hierin te verdiepen en anders te beslissen over het gebruik van apparaten?
Daarnaast vragen deze leden of de initiatiefnemer de mening deelt dat in de tweede plaats de verantwoordelijkheid ligt bij de industrie en bedrijven om de betreffende apparaten veilig op de markt te brengen. Zij komen daar verder nog op terug bij de bespreking van de voorgestelde oplossingen, die vooral zien op de rol van de overheid.
Voornoemde leden vragen of de initiatiefnemer zijn stellingname kan onderbouwen dat winkels en gemeenten, bijvoorbeeld via het wifi-netwerk, proberen gegevens te verzamelen van consumenten. Op welke schaal komt dit voor? Kan de initiatiefnemer hier voorbeelden van noemen? Vindt hij dat deze handelswijze te ver gaat, ondanks de aantoonbare voordelen die het voor de betreffende ondernemer kan hebben? Zou hiervoor toestemming verleend moeten worden door de consument/burger bij het binnengaan van kantoren en gemeenten? Zo ja, op welke wijze? Hoe ziet de initiatiefnemer dat voor zich in de praktijk? Hoe denkt de initiatiefnemer over de mogelijk eenvoudige oplossing consumenten erop te attenderen hun wifi uit te zetten als zij niet het risico willen lopen dat informatie over hen wordt verzameld? Zou dit volstaan volgens de initiatiefnemer om het geschetste probleem op te lossen?

4. Oplossingen

4.1 Nederlands bedreigingsanalyseteam
De leden van de VVD-fractie vragen waar het bedreigingsanalyseteam onder moet vallen en wie dit team zal aansturen. Aan wie zou dit team moeten rapporteren?

De leden van de CDA-fractie steunen de initiatiefnemer in zijn voorstel dat de overheid over een adequate informatiepositie moet beschikken om potentiële gevaren en uitdagingen te signaleren en kritieke infrastructuren in Nederland te beschermen. Maar in hoeverre is daarvoor een aparte extra overheidsinstantie nodig zoals wordt voorgesteld? Waarom volstaat hier niet het huidige of (zoals voorgesteld) eventueel uit te breiden NCSC?
Voornoemde leden vragen ook wie de kosten zouden moeten dragen voor het instellen van een dergelijk team en ook of hierin ambtenaren aan het werk moeten worden gezet die deze werkzaamheden gaan verrichten. Zou het niet beter zijn als (toonaangevende) ICT-instellingen en bedrijven in Nederland de krachten bundelen om technici bij elkaar te brengen om in de wens van de initiatiefnemer te voorzien? Wat zouden de voordelen hiervan zijn, gelet op de noodzaak van betrokkenheid van bedrijven zelf bij de bewustwording van cybercrime? Zou de overheid hier geen voortrekkersrol maar louter een faciliterende taak in moeten hebben? Graag vernemen deze leden hierop de reactie van de initiatiefnemer. Ook vragen deze leden in hoeverre dit punt overlap vertoont en verbinding kan worden gezocht met het voorstel onder hoofdstuk 6.3 (Innovatievraag veilige Internet der Dingen-apparaten), om via een research programma startups te vragen mee te denken over cybersecurityvraagstukken.

4.2 Keurmerk en standaarden voor cyberveiligheid van apparaten
De leden van de VVD-fractie vragen of de initiatiefnemer meer kan zeggen over het voorstel om een Nederlands keurmerk te ontwikkelen. Wie of welke instantie gaat dit doen? Wie gaat de waakhond van dit keurmerk zijn? Aan welke standaarden zou dit keurmerk moeten voldoen en hoe kijken bedrijven die dit soort apparaten produceren hier tegenaan?
Hoe en door wie zou het voorstel tot een EU-register moeten worden genomen? Hoe groot wordt de kans ingeschat dat het tot zo’n register gaat komen?

De leden van de SP-fractie vragen de initiatiefnemer waarom Nederland zou moeten wachten op in Europees verband vastgestelde standaarden voor cyberveiligheid van apparaten, voordat zij overgaat tot het oprichten van een keurmerk. Welke instantie zal dan het toezicht houden op naleving van het keurmerk en eventuele overtredingen van de standaarden handhaven?

De leden van de CDA-fractie vragen de initiatiefnemer naar de bestaande wet- en regelgeving, zowel nationaal, Europeesrechtelijk als internationaal ten aanzien van de veiligheid van apparaten. De initiatiefnemer doet het nu voorkomen alsof in het geheel geen geldende wet- en regelgeving omtrent de productie en het gebruik van (tal van apparaten) bestaat waarin veiligheid genormeerd is. Kan de initiatiefnemer hier wat uitgebreider op ingaan en ook aangeven ten aanzien van welke apparaten specifiek wet- en regelgeving zou
ontbreken?

4.3 Innovatievraag veilige Internet der Dingen-apparaten
De leden van de VVD-fractie vragen hoe de innovatievraag zou kunnen luiden.

4.4 Software aansprakelijkheid
De leden van de VVD-fractie zijn benieuwd welke vorm van aansprakelijkheid de initiatiefnemer zelf voor ogen heeft op het gebied van software-aansprakelijkheid. Deze leden vragen of de initiatiefnemer kan aangeven wanneer (in welke situatie) een software ontwikkelaar aansprakelijk zou moeten zijn. Wat is de verhouding tot het voorgestelde keurmerk voor cyberveiligheid?

De leden van de CDA-fractie hebben eenzelfde vraag als bij hoofdstuk 4.2 ten aanzien van de aansprakelijkheid van software. Kan ook hier een overzicht worden gegeven van de bestaande wet- en regelgeving, zowel nationaal, Europeesrechtelijk als internationaal?

4.5 Zelfredzaamheid gebruikers
De leden van de VVD-fractie zijn benieuwd hoe de initiatiefnemer de verantwoordelijkheid van de zelfredzaamheid nu precies ziet. Is de uitvoering van de vier voorstellen de volledige verantwoordelijkheid van de overheid? Waar begint en houdt deze op en welke verantwoordelijkheid heeft de gebruiker zelf? Hoe ziet de initiatiefnemer dit?

De leden van de PvdA-fractie zijn van mening dat met name de gebruikers een cruciale rol spelen in het slagen van een veiliger Internet der Dingen. Is de initiatiefnemer het met deze leden eens? Is keuzevrijheid van consumenten nog houdbaar als het gaat om het delen van data met derden? Wanneer en waar moet de overheid wat de initiatiefnemer betreft een grens trekken als het gaat om data-uitwisseling? Voornoemde leden willen de initiatiefnemer erop wijzen dat niet elke internetgebruiker voldoende zelfredzaam te maken is op internet als het gaat om het veilig maken van hun data. Hoe gaat de initiatiefnemer deze groep minder vaardige gebruikers ondersteunen? Inloggen met Facebook moet volgens de aan het woord zijnde leden aan banden worden gelegd, gezien ook de omgang van Facebook met privacy en het niet transparante gebruik van privégegevens. Hoe gaat de initiatiefnemer hier in zijn voorstellen mee om?
Ook het Internet of Toys moet in het vizier komen als het gaat om (regels voor) het Internet der Dingen, zo menen de aan het woord zijnde leden. Zij hebben aandacht gevraagd voor het beter informeren van ouders over de veiligheid van speelgoed. Kan de initiatiefnemer hierop reageren?
De aan het woord zijnde zijn voorts van mening dat kwetsbare internetgebruikers, en daarmee gebruikers van Internet der Dingen-apparaten, bijzondere aandacht nodig hebben. Iedereen moet privacy-voorwaarden kunnen begrijpen en niet automatisch op akkoord klikken. Kan de initiatiefnemer dit beamen? Welke (extra) consequentie heeft dit vervolgens voor de aanbieder/producent van apparaten die via internet gegevens uitwisselen? Is de initiatiefnemer het ermee eens dat het niet de vraag is of de aanbieders van aan internet gekoppelde apparaten verantwoordelijk moeten worden gemaakt voor de maatschappelijke consequenties van hun product of dienst, maar hoe? En dat, bij aantoonbare schade voor de gebruiker, de producent altijd een zorgplicht heeft? Kan de initiatiefnemer in dit verband reageren op de uitzending van Zembla van 30 november 2016, getiteld ‘Hacken voor Dummies’ waarin de aansprakelijkheid van leveranciers (van software) aan de orde komt? Onderzoek doen mag wat deze leden betreft geen vertragende factor zijn. Denkt de initiatiefnemer dat (het regelen van) softwareaansprakelijkheid hoogste prioriteit moet hebben?

4.6 Een onafhankelijk, sterk en actief NCSC
De leden van de VVD-fractie vragen of de initiatiefnemer specifieker kan aangeven waarom het NCSC onafhankelijker moet worden.

De leden van de CDA-fractie vragen de initiatiefnemer aan te geven in hoeverre het NCSC momenteel te kort schiet als het gaat om de werkzaamheden die zouden moeten verricht in het kader van cybersecurity en welk bedrag de initiatiefnemer in gedachten heeft om het NCSC concreet te versterken.

5. Financiële paragraaf
De leden van de VVD-fractie vragen of de initiatiefnemer kan aangeven wat het doorvoeren van deze zes voorstellen zou kosten. Wie deze kosten zou moeten dragen?

De leden van de SP-fractie zijn benieuwd in hoeverre de initiatiefnemer wel een schatting kan maken van de financiële gevolgen van zijn afzonderlijke voorstellen. Wat heeft de oprichting van het bedreigingsanalyseteam in de Verenigde Staten bijvoorbeeld gekost?

Alibi van de gebruikersverantwoordelijkheid

Het CDA lijkt nog in de digitale oertijd te leven: zij zeggen een reflectie op de primaire verantwoordelijkheid van de gebruiker zelf te missen.
Dat is gemakkelijk gezegd als er apparaten worden geleverd waar de wifi niet van kan worden uitgezet, die geleverd worden met riskante instellingen (op dit moment gebruikelijk) en waarbij het veilig instellen moeilijk is. Het is toch echt de verantwoordelijkheid van de aanbieders om te zorgen voor veilige hardware en software en voor een passend updateprogramma om de hardware en software veilig te houden.

Betere hardware en software

Ik ben benieuwd wat hier uit komt en of er nog meer initiatieven komen op dit gebied. Er is op dit moment geen stimulans voor de aanbieders om hun hardware en software veilig te maken. Die stimulans zal er wel moeten komen!

Meer informatie:

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s