Digitale veiligheid
De overheidsobsessie met digitale veiligheid heeft verkeerde prioriteiten en begint benauwende vormen aan te nemen. Dat begon met fakenieuws, maar intussen komt het kabinet nu ook binnenkort met maatregelen om bedrijven te verplichten tot meer veiligheidsmaatregelen volgens minister Grapperhaus. Waar gaat dat eindigen?
Mij doet het teveel denken aan een verhaal dat ik ooit hoorde: dat iemand een proces verbaal kreeg nadat zijn fiets gestolen was. Hij had het ding niet op slot gezet, en was derhalve schuldig aan uitlokking. In hoeverre dit een broodje-aap verhaal was heb ik nooit kunnen achterhalen, maar dat minister Grapperhaus vanmorgen in het FD aankondigt dat bedrijven die hun IT-beveiliging niet op orde hebben zullen worden aangepakt gaat veel en veel te ver.
De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken. Met boetes, of desnoods door zelf in te grijpen.
Dit weekend had de Volkskrant al wat paniek gezaaid, en nu doet de minister dat nog eens dunnetjes over? De insteek klinkt zo op het eerste gezicht goed, maar deugt niet:
Het illustreert de onmacht van de overheid. Als bedrijven door een hack of storing plat komen te liggen, kan dat de samenleving ontwrichten en tot gevaarlijke situaties leiden. Maar de overheid heeft nog niet de mogelijkheid om bij bedrijven te controleren of ze hun beveiliging op orde hebben en eventueel in te grijpen, zo constateerde ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een recent onderzoek.
De minister zegt het probleem te snappen, maar als hij dat echt voldoende deed was dit voorstel nooit in een krant opgedoken:
Een overheid die op een belangrijk punt de regie van een privaat bedrijf overneemt: het is een zeer vergaande maatregel. Dat erkent Grapperhaus zelf ook: ‘Dit is niet zo makkelijk te regelen, het ligt allemaal heel gevoelig. We willen ook niet een minister of ministerie dat als een soort A-Team binnenkomt en zegt: “We gaan het even zo en zo doen”.‘ Over de precieze invulling wordt nog nagedacht.
Voorlopig is deze insteek veel te algemeen. Bedrijven zijn aansprakelijk voor de schade die door eigen onachtzaamheid wordt veroorzaakt, en dat eerst maar eens stevig implementeren lijkt de aangewezen weg. Dat vervolgens de verzekeraars zullen weigeren dit risico mee te verzekeren zal bedrijven beter wakker schudden dan de zoveelste oekaze vanuit Den Haag. Het is niet vreemd dat de overheid eisen stelt aan strategische industrieën, maar dat het besef hiervan ook op de ministeries minimaal is maakt een andere aanpak aangewezen: persoonlijke aansprakelijkheid werkt altijd beter. Voor niet-strategische industrieën behoort deze kwestie overigens in het geheel niet te spelen.
Wat Grapperhaus hier aankondigt is de inzet van een olifantsgeweer om muizen te bestrijden. Opnieuw zien we de staat verschijnen op een toneel waar zij niets te zoeken heeft. Een minister van Justitie zou beter moeten weten.
De overheid moet zich daar zoveel mogelijk buiten houden
Het is rijkelijk voorbarig en ondoordacht, zeker gezien het aanhoudende falen van de overheid bij haar eigen ICT-projecten. Het lijkt me vooral een politiek gemotiveerde afleiding voor overheidsfeilen, zoals het Wildersproces, de MocroMaffia, het tekort aan agenten etc.