Ook in Europa denken ze na over de beveiliging van onze digitale infrastructuur. Zo buigt het Europees Parlement zich op dit moment over de “Cybersecurity Act”. Het wetsvoorstel van de Europese Commissie is een aardig begin, maar kan veel scherper.

De Tweede Kamer praat vandaag met experts over de beveiliging van onze digitale infrastructuur. In Europa doen ze dat dus ook. En daar geven we ze het volgende mee...

Security by default

In de eerste plaats vragen we parlementariërs in te zetten op slimme standaarden: we moeten de drempel voor het veilig houden van onze computersystemen zo laag mogelijk maken. Fabrikanten zouden alleen nog apparaten op de markt moeten mogen brengen als ze kwetsbaarheden ook snel verhelpen. De installatie van beveiligingsupdates moet, zeker bij consumentenproducten, standaard automatisch gebeuren. Ook in meer professionele omgevingen moet hier aandacht voor zijn. Zo komt het voor dat bedrijven na installatie van een beveiligingsupdate eerst het hele systeem weer moeten laten certificeren voor het in gebruik mag worden genomen. Ook dat is een drempel naar optimale veiligheid.

Verplichte certificering van producten

Omdat we de veiligheid van onze kinderen belangrijk vinden, hebben we in Europa veel regels rondom productveiligheid. Speelgoed mag niet gemaakt zijn van giftige materialen of heeft minimumafmetingen zodat een kind er niet kan stikken. Gek genoeg bestaan er niet zulke regels om de veiligheid van onze digitale infrastructuur te waarborgen. Het gevolg is dat onze markt wordt overspoeld met producten die, in digitale zin, bijzonder onveilig zijn en waaraan grote risico’s kleven. Daarom pleiten we voor de introductie van een verplichte certificering, waarmee minimumeisen gesteld kunnen worden aan de beveiliging van digitale producten die je kunt kopen.

Aansprakelijk zijn voor kwetsbaarheden

Vrijwel altijd is de fabrikant van een fysiek product aansprakelijk voor de schade die is ontstaan door het gebruik van het product. Zulke schade kan zijn ontstaan als het product niet de veiligheid biedt die men eigenlijk mag verwachten. Maar die logica passen we alleen toe op fysieke producten en, zeg maar, fysieke schade. Niet bij software. Dat moet anders. Een connected device dat onvoldoende beveiligd is, moet gezien worden als een gebrekkig product en hier het regime van productaansprakelijkheid moeten gelden. Het risico van het op de markt brengen van een connected device dat onvoldoende beveiligd is moet bij de fabrikant ervan liggen, niet bij de eindgebruiker.

Geen achterdeurtjes in encryptie

Het laatste punt dat we de Europese parlementariërs meegeven: encryptie is belangrijk voor de beveiliging van onze digitale infrastructuur. De toepassing van encryptie is daarmee essentieel voor de bescherming van onze democratische vrijheden en economische groei. Beleidsmakers moeten de ontwikkeling en het gebruik van encryptie dan ook zoveel mogelijk stimuleren. Ze moeten ver wegblijven van het verzwakken van encryptie en zich niet bezig houden met de introductie van achterdeurtjes.

Naschrift (15 februari 2018): de paragraaf over productaansprakelijkheid is herschreven omdat de oorspronkelijke tekst enkele onhandige formuleringen kende. Zo sprak de tekst over "nalatigheid" van fabrikanten in de zin dat fabrikanten soms slordig zijn met de beveiliging van hun producten. Die term "nalatigheid" heeft in een juridische context een bijzondere betekenis als het gaat om productaansprakelijkheid.