Uiteenlopende wet- en regelgeving schrijft in Nederland beveiligingsmaatregelen voor de elektronische omgeving voor. Bovendien zijn organisaties ook gebonden aan hun contractuele afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van de opgeslagen of verzonden bedrijfsinformatie. Dit laat echter onverlet dat “netwerk- en informatiebeveiliging bovenal een maatschappelijke verplichting is, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw,” aldus de Amsterdamse bedrijfsjurist en industrieanalist Victor de Pous in zijn executive analyse Netwerk- en informatiebeveiligingsrecht.
Op grond van diverse Europese en nationale wet- en regelgeving is netwerk- en informatiebeveiliging tenminste een geconsolideerde wettelijke verplichting. Deze conclusie herbergt het gevaar dat we de dwingendrechtelijke voorschriften als een ongelukkig fait d’ accompli – een last – beschouwen; daarbij het beveiligingsbeleid marginaliserend tot louter een kostenpost. “Wie verder kijkt, zal zien dat ook in deze context juridische normering en naleving aantrekkelijke voordelen bieden. Het recht creëert economische waarde, optimaliseert bedrijfsmiddelen en beheert bedrijfsrisico´s,” aldus De Pous.
Nader beschouwd betreft netwerk- en informatiebeveiliging volgens De Pous echter bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de moderne samenleving. De Pous: “Denk aan de bescherming van de kritieke maatschappelijke infrastructuren, de bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.”
Bedrijfsinformatie bevat als regel persoonsgegevens, die vooral bestaan uit klantgegevens en personeelsinformatie. Op grond van deze analyse is de communautaire privacywetgeving van toepassing, welke in Nederland primair is omgezet in de Wet bescherming persoonsgegevens. De wetgeving schrijft ‘passende technische en organisatorische maatregelen’ voor om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Geen one-size-fits-all oplossing
Algemeen gesproken moeten de beveiligingsmaatregelen dus een passend beschermingsniveau garanderen. Maar daarvoor dient zich opvallend genoeg geen one-size-fits-all oplossing aan. Speciaal voor persoonsgegevens wegen bij de vaststelling van de maatregelen drie factoren mee: de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, de stand der techniek en de kosten om de beschermingsmaatregelen uit te voeren. Naarmate persoonsgegevens een gevoeliger karakter hebben, worden er zwaardere eisen aan de beveiliging gesteld.
De huidige wettelijke voorschriften voor netwerk- en informatiebeveiligingsmaatregelen zijn echter tot stand gekomen in een tijd waarin informatieverwerking vooral een statisch karaker had. Software als dienst (SaaS) en andere vormen van cloud computing maken ICT meer dynamisch en zelfs ‘vloeibaar’. Deze ontwikkeling zorgt er voor – samen met het grensoverschrijdende karakter van de huidige verwerkingsprocessen – dat naleving van wettelijke beveiligingsmaatregelen voor de elektronische omgeving complexer wordt. “Contractuele afspraken moeten meer dan eens taken en verantwoordelijkheden helder maken en risico’s beperken,” aldus De Pous.
Hierbij gaat het onder meer om geheimhoudingsverklaringen in arbeidsovereenkomsten met het eigen personeel, samenwerkingscontracten met ketenpartners en overeenkomsten van opdracht in de relatie met externe medewerkers en natuurlijk de (ICT-)dienstverleners.