Vandaag presenteerde Eurocommissaris Kroes haar cybersecuritystrategie. Onderdeel daarvan zijn regels voor een netwerk tussen Lidstaten om incidentinformatie uit te wisselen. Een goed initiatief, behalve dat de veiligheid van dit plan ver te zoeken is als het om privacy gaat.
Lees je de nieuwe richtlijn vlug, dan zou je denken dat de Commissie naar ons advies heeft geluisterd: in de inleidende paragrafen worden namelijk diverse verwijzingen gemaakt naar fundamentele rechten en dus ook naar privacy. Ook de doelen van de richtlijn zijn prijzenswaardig.
Het probleem van de richtlijn zit hem dus niet in haar ambitie. Het probleem zit hem in de concrete uitwerking daarvan; de manier waarop dat netwerk voor informatie-uitwisseling is vormgegeven. En daar schiet de richtlijn te kort: in het waarborgen van privacy. De Commissie vindt namelijk dat de nationale cybersecurity-autoriteiten (“competent authorities”) voor de uitoefening van hun taken zowel publieke partijen als marktspelers (“market actors”) informatie mogen vragen die zij nodig hebben om de veiligheid van hun netwerken en informatiesystemen te beoordelen.
Het begrip ''marktspelers'' omvat namelijk bedrijven uit de energie, transport en gezondheidssector, banken en alle soorten internetbedrijven. Bovendien kan héél veel informatie worden opgevraagd: dus ook privacygevoelige informatie (lees: emails, logs, etc.). De richtlijn stelt daaraan geen wezenlijke beperkingen. Maar minstens zo problematisch: die privacygevoelige informatie kan vervolgens ongebreideld worden uitgewisseld tussen deze autoriteiten, want de regels die zien op de bescherming van dit soort informatie worden door de richtlijn buiten toepassing verklaard.
Alles bij de bron; BoF