| Ingediend | 7 april 2017 |
|---|---|
| Beantwoord | 23 mei 2017 (na 46 dagen) |
| Indiener | Maarten Hijink |
| Beantwoord door | Henk Kamp (minister economische zaken) (VVD), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD) |
| Onderwerpen | economie ict organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z04689.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-1927.html |
Ja.
Op 5 april jl. heeft de Cyber Security Raad de handreiking Ieder bedrijf heeft digitale zorgplichten gepubliceerd. Deze handreiking bevat een overzicht van generieke zorgplichten die bedrijven hebben op het gebied van cybersecurity. Deze handreiking geeft mij aanleiding om, in aanvulling op eerdere voorlichting over veilig internetten, bedrijven nog eens via diverse kanalen expliciet op de hoogte te stellen van deze zorgplichten. Hierover zal actief worden gecommuniceerd, onder andere via brancheorganisaties, het ondernemersplein en veiliginternetten.nl.
De Cyber Security Raad maakt in haar handreiking een onderscheid tussen zorgplichten op het gebied van de veilige verwerking van persoonsgegevens, zorgplichten betreffende het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing. Indien een bedrijf persoonsgegevens verwerkt, heeft het zorgplichten op grond van de Wet bescherming persoonsgegevens. Op de naleving van deze plichten wordt krachtens dezelfde wet toezicht gehouden door de Autoriteit Persoonsgegevens.
De krachtens het Burgerlijk Wetboek (BW) bestaande zorgplichten op het gebied van het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing kunnen door (private) partijen via de rechter worden afgedwongen. De Autoriteit Consument en Markt ziet toe op de naleving van de wetten en regels op het gebied van consumentenrecht.
Overigens bestaan er ook sectorspecifieke zorgplichten. Bijvoorbeeld wordt nu gewerkt aan de totstandbrenging van de implementatiewetgeving van de Netwerk- en informatiebeveiligingsrichtlijn. Daarin worden voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan geregeld. Hierover wordt de Kamer op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd.
Hiervoor wordt verwezen naar het antwoord op vraag 2.
Tijdens de behandeling van de begroting van het Ministerie van Veiligheid en Justitie is toegezegd opvolging te gegeven aan het advies van Verhagen.3 Middels het organiseren van een aantal ronde tafels wordt het gesprek aangegaan met vertegenwoordigers van het bedrijfsleven en andere relevante maatschappelijke actoren, zoals aanbevolen door Verhagen. Deze gesprekken dienen om publiek-private samenwerking op het gebied van cybersecurity te bevorderen, waarbij sturing vanuit de overheid een aandachtspunt is. De uitkomsten van de gesprekken worden betrokken bij de doorontwikkeling van de cybersecurity strategie.
Er bestaat geen inzicht in het aantal bedrijven dat hun verantwoordelijkheid voor wat betreft cybersecurity bewust negeert of ontsnappingsclausules hanteert. In het antwoord op vraag 3 is ingegaan op de handhaving van zorgplichten.
Een leverancier die een product levert dat niet voldoet aan de overeenkomst, is hiervoor jegens de koper aansprakelijk. Consumenten en ondernemers kunnen in dit geval op grond van het Burgerlijk Wetboek aanspraak maken op herstel, vervanging of schadevergoeding. Komen partijen hier onderling niet uit, dan kunnen ze zich zo nodig tot de rechter wenden. Er bestaat geen inzicht in welke mate hiervan gebruik wordt gemaakt en tot welke schadevergoedingen dit leidt.
Uit onderzoek komt naar voren dat het stimuleren van zorgplichten effectiever is dan strikte handhaving.4 Met het actief onder de aandacht brengen van de door de Cyber Security Raad gepubliceerde handreiking Ieder bedrijf heeft digitale zorgplichten wordt afnemers en leveranciers inzicht gegeven in de bestaande generieke zorgplichten en hoe zij hier in de dagelijkse praktijk invulling aan kunnen geven. Transparantie hierover is een belangrijke eerste stap om zelfregulering te stimuleren. Zoals in het antwoord op vraag 3 aangegeven, gaat het niet alleen om zelfregulering maar bestaan er ook wettelijke zorgplichten.
De meldplicht datalekken is per 1 januari 2016 in werking getreden. Deze meldplicht houdt in dat organisaties en bedrijven binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra er sprake is van een inbreuk op de beveiliging met ernstige nadelige gevolgen (of de aanzienlijke kans daarop) voor de bescherming van persoonsgegevens. De AP heeft daar een meldloket voor ingericht. Ook moet de betrokkene van een inbreuk in kennis worden gesteld, indien deze inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer.
Om de meldplicht datalekken breed onder bedrijven bekend te stellen, is over de meldplicht geregeld gecommuniceerd via diverse kanalen, waaronder veiliginternetten.nl en het ondernemersplein. Tevens heeft de AP beleidsregels uitgebracht. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij bij de AP, en eventueel aan betrokkenen, moeten melden.
Vanaf de inwerkingtreding monitort de AP de effecten van de invoering van de meldplicht datalekken. Daarbij wordt bezien in hoeverre de meldplicht extra capaciteitsinzet van de AP zal vergen. De uitkomsten van de monitoring tot nu toe laten zien dat de met de meldplicht datalekken gemoeide werklast binnen het huidige budget van de AP kan worden opgevangen. Overigens voorziet de Algemene verordening gegevensbescherming (AVG), die in mei 2018 werking zal krijgen en in de plaats van de Wet bescherming persoonsgegevens zal treden, ook in een meldplicht bij datalekken. De AP heeft adviesbureau AEF de opdracht gegeven de gevolgen van de implementatie van de AVG, waaronder de daarin opgenomen meldplicht datalekken, in kaart te brengen.
Op 7 april jl. heeft het lid Hijink (SP) vragen gesteld over het bericht dat bedrijven nog te weinig doen aan digitale veiligheid (kenmerk 2017Z04689). Vanwege voor de beantwoording benodigde afstemming met externe partijen kunnen deze vragen niet binnen de gebruikelijke termijn van drie weken worden beantwoord. Ik streef ernaar de vragen uiterlijk in de tweede helft van mei te beantwoorden.