Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken...
...De meldplicht geldt alleen voor zogenoemde vitale aanbieders: overheidsorganisaties en privaatrechtelijke rechtspersonen die producten of diensten aanbieden waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. De meldplicht geldt daarnaast alleen als de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van dergelijke producten of diensten in belangrijke mate wordt of kan worden onderbroken. De meldplicht geldt uitsluitend voor bij algemene maatregel van bestuur aan te wijzen (categorieën van) vitale aanbieders van daarbij aan te wijzen producten of diensten...
...5.2. Bespreking van de reacties op hoofdlijnen
In totaal hebben twee consultatierondes plaatsgevonden. Hieronder volgt een globale bespreking van de belangrijkste reacties.
5.2.1. Just culture
Er bestaan zorgen omtrent de in de toelichting gepropageerde just culture: een veiligheidscultuur waarin het leren van incidenten vooropstaat. Verscheidene partijen vinden dat een wettelijke meldplicht in de weg staat voor het bewerkstelligen van een just culture. Een wettelijke meldplicht zou het NCSC een meer toezichthoudende rol geven. Gasunie betoogt in dat verband dat een just culture gerealiseerd zou moeten worden op basis van vertrouwelijkheid. Bits of Freedom vindt een wettelijke meldplicht juist belangrijk voor het creëren van een just culture, en mist in dat kader waarborgen voor naleving van de meldplicht. Eurofiber en Microsoft pleiten voor een vrijwillige meldplicht: uitwisseling van informatie op grond van vertrouwen wordt gezien als het belangrijkste element voor het creeren van een just culture. De bestaande meldplicht voor ‘voorvallen’24 in de luchtvaart (artikel 7.1 Wet luchtvaart (Wlv)) laat zien dat een wettelijke meldplicht goed te verenigen is met het nastreven van een just culture, mits de vertrouwelijkheid van de melding wordt beschermd25 en de mogelijkheid van het opleggen van sancties naar aanleiding van een gedane melding wordt beperkt.26 Eerder in deze memorie heb ik uitgelegd waarom ik voorstel om het NCSC niet te belasten met de handhaving van de meldplicht (toezicht en sancties)....
...7. Privacy impact assessment
Gezien de aard van dit wetsvoorstel is in de fase van beleidsontwikkeling een Privacy Impact Assessment uitgevoerd.34 Met behulp hiervan is de noodzaak van de gegevensverwerking bekeken, en zijn op gestructureerde wijze de implicaties in kaart gebracht. Hierbij is in het bijzonder aandacht besteed aan de beginselen van gegevensminimalisering en doelbinding, het vereiste van een goede beveiliging en de rechten van de betrokkenen. De gezichtspunten die relevant zijn voor de eerste twee beginselen zijn voldoende aan de orde gekomen in paragraaf 6. Beveiliging Voor het NCSC staat het waarborgen van de kwaliteit en veiligheid van gegevens voorop. Zo neemt het NCSC uitvoerige maatregelen om de gegevens te beveiligen die zijn opgeslagen op zijn servers. Verder vindt strikte fysieke en digitale toegangscontrole plaats, waarmee toegang door onbevoegden of verlies van de gegevens zo veel mogelijk wordt beperkt. Rechten betrokkene Wanneer een betrokkene inzicht wil verkrijgen in de persoonsgegevens die het NCSC over hem of haar verwerkt, deze gegevens wil wijzigen of aanpassen, kan de betrokkene hiertoe een verzoek indienen bij het Ministerie van Veiligheid en Justitie. De gegevens worden vernietigd zodra deze niet langer noodzakelijk zijn voor het verwezenlijken van het doel van de verwerking. Voor de verwerking van persoonsgegevens door het NCSC is de Staatssecretaris van Veiligheid en Justitie verantwoordelijk. Het College bescherming persoonsgegevens en de functionaris voor de gegevensbescherming van het ministerie houden toezicht op de verwerking van persoonsgegevens door het NCSC.
Alles bij de bron; RijksOverheid