34 388 Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)

Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 26 augustus 2015 en het nader rapport d.d. 13 januari 2016, aangeboden aan de Koning door de Staatssecretaris van Veiligheid en Justitie. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Bij Kabinetsmissive van 1 juli 2015, no. 2015001159, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Veiligheid en Justitie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity), met memorie van toelichting.

Ingevolge het voorstel wordt de Minister van Veiligheid en Justitie belast met een aantal taken die dienen ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, en ter verdere versterking van de digitale weerbaarheid van de samenleving. Het voorstel vestigt daarmee een wettelijke grondslag voor het verwerken van gegevens, waaronder persoonsgegevens, door de Minister. Tevens introduceert het voorstel een meldplicht voor zogenoemde vitale aanbieders indien er sprake is van een inbreuk op de veiligheid van hun informatiesysteem. De taken en bevoegdheden die het voorstel aan de Minister van Veiligheid en Justitie toedeelt, worden verricht door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie.

De Afdeling advisering van de Raad van State adviseert het voorstel aan de Tweede Kamer te zenden, maar acht op onderdelen een dragende motivering of aanpassing van het voorstel aangewezen. De toegevoegde waarde van de voorgestelde meldplicht wordt onvoldoende gemotiveerd. Indien deze wel toereikend kan worden gemotiveerd, zou een regeling betreffende de handhaving van de meldplicht moeten worden overwogen. Daarnaast is niet overtuigend gemotiveerd waarom het voorstel artikel 9, eerste lid, van de Wet bescherming persoonsgegevens (Wbp) buiten toepassing laat bij verstrekking van gegevens ingevolge een verzoek van het NCSC.

Blijkens de mededeling van de Directeur van Uw kabinet van 1 juli 2015, nr. 2015001159, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 26 augustus 2015, nr. W03.15.0205/II, bied ik U hierbij aan.

1. Toegevoegde waarde meldplicht

Ingevolge het voorstel geeft een vitale aanbieder de Minister van Veiligheid en Justitie onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken.2 De toelichting bij het voorstel motiveert onvoldoende de toegevoegde waarde van deze meldplicht. Volgens de toelichting sluit het voorstel aan bij een bestaande publiek-private samenwerking. Het nut en de noodzaak van het delen van vertrouwelijke gegevens met betrekking tot de ICT-inbreuken worden bovendien binnen de doelgroep breed gedragen.3 Nu alle betrokkenen al bereid zijn tot samenwerking, lijkt een wettelijke meldingsplicht overbodig. Voor zover in de bestaande praktijk onduidelijkheid bestaat over de wijze waarop een melding kan worden gedaan en welke gegevens daarbij van belang zijn, kan het NCSC hierover informatie verschaffen of afspraken maken met de betrokken branches.

Indien niettemin de toegevoegde waarde van de voorgestelde wettelijke meldplicht toereikend kan worden gemotiveerd, rijst vervolgens de vraag waarom het voorstel niet voorziet in handhaving van de meldplicht. Ook zijn betrokken partijen niet verplicht de adviezen van het NCSC op te volgen. Als de voorgestelde meldplicht daadwerkelijk noodzakelijk is om de eigen verantwoordelijkheid van de Minister van Veiligheid en Justitie voor de digitale weerbaarheid van de Nederlandse samenleving te versterken en maatschappelijke ontwrichting door het uitvallen van vitale systemen te voorkomen, mag worden verwacht dat toezicht wordt gehouden op de naleving van de meldplicht en een sanctie wordt gesteld op het niet nakomen van de verplichting.4

Voorts wijst de Afdeling op het voorstel voor een EU-richtlijn over netwerk- en informatiebeveiliging (NIB-richtlijn).5 Als de betreffende richtlijn wordt vastgesteld, is het waarschijnlijk dat het stelsel van Nederlandse meldplichten weer zal moeten worden aangepast of aangevuld. Nu de meldplicht kennelijk al spontaan wordt nageleefd, lijkt het zinvol de Europese besluitvorming af te wachten.

De Afdeling adviseert de toegevoegde waarde van de voorgestelde meldplicht dragend te motiveren of anders hiervan af te zien. Indien de meldplicht dragend wordt gemotiveerd, geeft de Afdeling in overweging te voorzien in een regeling betreffende de handhaving van de meldplicht.

1. Nut en noodzaak van het met het NCSC delen van vertrouwelijke gegevens over ICT-inbreuken worden binnen de doelgroep weliswaar breed gedragen, maar dat wil niet zeggen dat alle ICT-inbreuken waarop de voorgestelde meldplicht ziet, nu reeds aan het NCSC worden gemeld. Een wettelijke verplichting zoals vervat in dit wetsvoorstel, benadrukt het maatschappelijke belang van deze meldingen, wat naar mijn verwachting zal leiden tot een verdere vergroting van de meldingsbereidheid van vitale aanbieders, ook zonder dat de wet voorziet in toezicht en sancties. Toezicht en sancties worden voorgeschreven in de concept-NIB-richtlijn, maar zien daar niet alleen op de meldplichten bij verschillende overheidsinstanties, maar ook op de plicht voor aanbieders om hun informatiesystemen voldoende te beveiligen. De richtlijn laat het aan de lidstaten over om te bepalen bij welke overheidsinstanties belangrijke incidenten gemeld moeten worden en welke instantie of instanties wordt of worden belast met het toezicht op de naleving van de diverse verplichtingen uit de richtlijn en met de handhaving daarvan. Implementatie van deze onderdelen van de richtlijn vergt keuzes die veel overleg vragen en tijd kosten, onder meer vanwege het grote aantal betrokken sectoren en de diversiteit ervan. Om dit proces efficiënt vorm te geven, geef ik er de voorkeur aan de wettelijke regeling van toezicht op en handhaving van de verschillende genoemde plichten, waaronder de meldplicht bij het NCSC, zodra de richtlijn is vastgesteld in onderlinge samenhang ter hand te nemen. Met een wettelijke meldplicht zónder toezicht en handhaving kan op korte termijn echter een concrete eerste stap worden gezet.

Naar aanleiding van dit advies heb ik paragraaf 2.9 van de toelichting verduidelijkt.

2. Verzoek om gegevensverstrekking

De Minister van Veiligheid en Justitie kan een rechtspersoon of een orgaan daarvan verzoeken om gegevens te verstrekken die redelijkerwijs noodzakelijk zijn voor de vervulling van de in het voorstel genoemde taken. Op de verstrekking van persoonsgegevens ingevolge een zodanig verzoek is volgens het voorstel artikel 9, eerste lid, van de Wbp niet van toepassing.6 Artikel 9, eerste lid, Wbp bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbindingvereiste).

Het College bescherming persoonsgegevens heeft in zijn advies bezwaar gemaakt tegen dit onderdeel van het wetsvoorstel; het heeft erop gewezen dat artikel 43 Wbp reeds voorziet in een mogelijkheid om het doelbindingvereiste buiten toepassing te laten voor zover een zwaarwegend algemeen belang dit noodzakelijk maakt. Dit hoeft volgens het College niet in de wet te worden geregeld. Volgens de toelichting echter vereist de toepassing van artikel 43 Wbp een beoordeling per geval; dit brengt voor de verstrekkende organisatie onzekerheid mee of zij wel handelt in overeenstemming met de Wbp.7 Omdat verstrekking van persoonsgegevens noodzakelijk kan zijn om maatschappelijke ontwrichting te voorkomen of te beperken, wil de regering de betreffende onzekerheid wegnemen en houdt zij vast aan het algeheel buiten toepassing laten van het doelbindingvereiste.8

De Afdeling acht deze motivering niet overtuigend. Het doelbindingsvereiste is een elementaire waarborg met betrekking tot de bescherming van persoonsgegevens, waar niet lichtvaardig van kan worden afgeweken. Het feit dat in het kader van individuele verzoeken bij betrokken rechtspersonen onzekerheid kan bestaan over de vraag of ingevolge artikel 43 Wbp het doelbindingsvereiste buiten toepassing kan worden gelaten, is als zodanig onvoldoende grond om het doelbindingsvereiste dan maar bij alle verzoeken buiten toepassing te laten. Indien niettemin een wettelijke uitzondering zou worden overwogen dan zou in het voorstel moeten worden gepreciseerd in welke categorieën van gevallen van het doelbindingsvereiste kan worden afgeweken.9

De Afdeling adviseert het voorstel aan te passen.

2. De Afdeling wijst er terecht op dat onzekerheid bij de «bevraagde» organisaties over de reikwijdte van artikel 43 Wbp als zodanig onvoldoende grond is om bij wet af te wijken van artikel 9, eerste lid, Wbp. De toelichting bij artikel 4 is dienovereenkomstig aangepast. Anders dan de Afdeling in navolging van het College bescherming persoonsgegevens echter stelt, biedt artikel 43 Wbp onvoldoende ruimte om artikel 9, eerste lid, Wbp buiten toepassing te laten in gevallen waarin het NCSC een verzoek doet op grond van artikel 4, eerste lid, met name als de verdere verwerking noodzakelijk is ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van elektronische informatiesystemen van vitale aanbieders die niet behoren tot de rijksoverheid (zie de aanhef van artikel 2, eerste lid, van het wetsvoorstel). Een dergelijke verdere verwerking zal lang niet altijd gerechtvaardigd worden door het belang van de «veiligheid van de staat» of «gewichtige economische en financiële belangen van de staat en andere openbare lichamen» (onderdelen a en c van artikel 43 Wbp). Gezien de NCSC-taken zullen de belangen «de voorkoming, opsporing en vervolging van strafbare feiten», «het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c» en «de bescherming van de betrokkene» (onderdelen b, d en e (eerste gedeelte) van artikel 43) geen rechtvaardiging bieden voor verstrekking van persoonsgegevens aan het NCSC. Op het eerste gezicht zou een verdere verwerking als hier bedoeld wellicht verdedigd kunnen worden op de grond dat zij noodzakelijk is ter bescherming van «de rechten en vrijheden van anderen» (onderdeel e (tweede gedeelte) van artikel 43), maar dat zou een ruime uitleg van deze restgrond vergen, terwijl artikel 43 bedoeld is voor uitzonderlijke omstandigheden en restrictief geïnterpreteerd moet worden (Kamerstukken II 1997/98, 25 892, nr. 3, p. 92). Naar mijn oordeel rechtvaardigt het zwaarwegende algemene belang dat het NCSC zijn wettelijke taken kan vervullen, de voorgestelde afwijking van de Wbp. Overigens mag het NCSC slechts verzoeken om verstrekking van gegevens die noodzakelijk zijn voor de vervulling van de in artikel 2, eerste lid (zie hierna onder punt 5 voor deze beperking tot het eerste lid), omschreven taken. Hiermee voorziet het wetsvoorstel in het door de Afdeling geschetste alternatief om wettelijk te preciseren in welke categorieën van gevallen van het doelbindingsvereiste kan worden afgeweken.

3. Gegevensverstrekking aan het OM

Het voorstel bevat een strikte regeling over de verstrekking van vertrouwelijke gegevens met betrekking tot een aanbieder door het NCSC aan derden. Ingevolge het voorstel worden alleen vertrouwelijke gegevens met betrekking tot een aanbieder verstrekt ter uitvoering van de in het voorstel genoemde taken van het NCSC. Gegevens die herleid kunnen worden tot een aanbieder, kunnen slechts worden verstrekt aan de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en aan bij ministeriële regeling aangewezen computercrisisteams (CERT’s) voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer.10 Het is niet duidelijk waarom gegevens die herleid kunnen worden tot een aanbieder11 niet door het NCSC uit eigen beweging kunnen worden doorgeleid aan het Openbaar Ministerie ten behoeve van de opsporing van strafbare feiten. Het lijkt niet waarschijnlijk dat deze mogelijkheid ten koste gaat van de bereidheid van de betrokken vitale aanbieders om een veiligheidsinbreuk te melden. De opsporing zal immers mede ten dienste staan aan de voorkoming van dergelijke inbreuken in de toekomst.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en zo nodig het voorstel aan te passen.

3. Het tweede lid van artikel 9 staat alleen als de betrokken aanbieder ermee instemt, toe dat het NCSC uit eigen beweging vertrouwelijke herleidbare gegevens verstrekt aan het openbaar ministerie. De reden voor deze beperking is toegelicht in paragraaf 4 van de toelichting. Als aanbieders terughoudend worden met het delen van vertrouwelijke informatie met het NCSC, bijvoorbeeld uit angst voor reputatieschade, benadeling van hun concurrentiepositie of toenemende kwetsbaarheid voor gerichte aanvallen, benadeelt dat het NCSC in ernstige mate in het goed kunnen uitvoeren van zijn taken. Voor in het bijzonder vertrouwelijke herleidbare gegevens geldt daarom dat de vertrouwelijkheid voldoende moet zijn gewaarborgd en de kring van andere organisaties waarmee die gegevens kunnen worden gedeeld beperkt wordt gehouden. Als aanbieders, zoals de Afdeling veronderstelt, vooral de voordelen zien van verstrekking door het NCSC van vertrouwelijke herleidbare gegevens aan het openbaar ministerie, dan zullen zij logischerwijs instemmen met die verstrekking. Zoals in de toelichting op artikel 9 is uiteengezet staat de regeling in dat artikel er daarnaast niet aan in de weg dat het NCSC vertrouwelijke gegevens die niet herleidbaar zijn, uit eigen beweging aan bijvoorbeeld het openbaar ministerie verstrekt.

Overigens zien het eerste en tweede lid van artikel 9 alleen op verstrekking van de daarin bedoelde vertrouwelijke gegevens «ter uitvoering van de in artikel 2 genoemde taken». Deze leden zien dus niet op verplichtingen tot verstrekking door het NCSC van vertrouwelijke gegevens uit hoofde van andere wetten, zoals artikel 126nc e.v. Wetboek van Strafvordering (vorderen van gegevens door de officier van justitie) en artikel 160 van dat wetboek (verplichte aangifte van bepaalde ernstige misdrijven).

4. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

4. De eerste redactionele opmerking is overgenomen, de tweede en derde niet:

  • Het doel van de verstrekking van vertrouwelijke herleidbare gegevens aan de AIVD en de MIVD en aan door de Minister aangewezen computercrisisteams is het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Voor dat doel is het criterium noodzakelijk een te hoge drempel. Verstrekking moet ook mogelijk zijn als dat voor dat doel van belang kán zijn. Vaak zal dat pas na verstrekking blijken, bijvoorbeeld in combinatie met gegevens die al bekend waren bij de ontvangende organisatie. Het criterium dienstig wordt bijvoorbeeld ook gebruikt in de artikelen 1:90, vierde lid, 1:91, eerste lid, en 1:93, eerste lid, Wet op het financieel toezicht.

  • Ik heb gekozen voor de eerste persoon enkelvoud omdat ik de memorie als enige bewindspersoon onderteken.

5. Van de gelegenheid is gebruikgemaakt om de verwijzing naar artikel 2 in artikel 4, eerste lid («de in artikel 2 genoemde taken»), te beperken tot de taken, genoemd in het eerste lid van artikel 2. De taak, genoemd in het tweede lid van artikel 2, ziet namelijk alleen op verstrekking door het NCSC aan derden van gegevens die het NCSC heeft verkregen ingevolge artikel 2, eerste lid, onder c, en kan naar zijn aard geen grondslag bieden voor verzoeken als bedoeld in artikel 4 tot verstrekking van gegevens door derden aan het NCSC.

Verder zijn de in artikel 8 bedoelde nadere regels over de meldplicht facultatief gemaakt. De noodzaak van dergelijke nadere regels staat op dit moment nog onvoldoende vast.

Ten slotte is de memorie van toelichting geactualiseerd (paragrafen 1, 2.3, 2.6, 2.7, 2.9 en 8).

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.

De vice-president van de Raad van State,

J.P.H. Donner

Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no. W03.15.0205/II

  • In artikel 4, eerste lid en artikel 7 «redelijkerwijs noodzakelijk» vervangen door: noodzakelijk.

  • In artikel 9, tweede lid, de zinsnede «uitsluitend verstrekken voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer», vervangen door: uitsluitend verstrekken voor zover dit noodzakelijk is ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer.

  • De memorie van toelichting niet in de eerste persoon enkelvoud, maar in de eerste persoon meervoud formuleren, dan wel de woorden «de regering» gebruiken.

X Noot
1

De oorspronkelijke tekst van het voorstel van wet en van de memorie van toelichting zoals voorgelegd aan de Afdeling advisering van de Raad van State is ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer

X Noot
2

Artikel 6, eerste lid.

X Noot
3

Memorie van toelichting, paragraaf 2.9.

X Noot
4

Zie ook aanwijzing 11 van de Aanwijzingen voor de regelgeving.

X Noot
5

Voorstel voor een Richtlijn van het Europees parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013 (zie ook Kamerstukken I 2013/14, 33 602, C).

X Noot
6

Artikel 4.

X Noot
7

Artikel 43 Wbp bepaalt: De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van: a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

X Noot
8

Artikelsgewijze toelichting bij artikel 4.

X Noot
9

Bij die precisering kunnen een of meer van de in artikel 9, tweede lid, Wbp genoemde factoren een rol spelen.

X Noot
10

Artikel 9, tweede lid.

X Noot
11

Vertrouwelijke gegevens die niet herleidbaar zijn tot betrokken aanbieders kunnen, aldus de toelichting, wel uit eigen beweging worden verstrekt aan de politie of het Openbaar Ministerie. Artikelsgewijze toelichting bij artikel 9.

Naar boven