De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.1.2:I.1.1.2 Keerzijde van digitalisering

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.1.2

I.1.1.2 Keerzijde van digitalisering

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278818:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Waar digitalisering grote kansen biedt voor de verdere vooruitgang van mens en maatschappij, is er ook een keerzijde. In de zomer van 2011 werd pijnlijk duidelijk hoe het gebruik van internet het functioneren van de samenleving kwetsbaar kan maken. Nadat het Nederlandse bedrijf DigiNotar, uitgever van digitale beveiligingscertificaten, was gehackt, werd een grootschalige black-out van overheidsdiensten, waaronder de Belastingdienst, het UWV en de rechtspraak, op het nippertje afgewend.1 In navolging van grote internetbrowsers zoals Google Chrome en Mozilla, die de certificaten van DigiNotar al niet langer accepteerden, zegde op 13 september 2011 ook de Nederlandse overheid het vertrouwen in DigiNotar op.2 Een week later werd DigiNotar failliet verklaard.3

De Tweede Kamer riep de toenmalige ministers van Binnenlandse Zaken en Veiligheid & Justitie, Donner en Opstelten, ter verantwoording. Zij toonden zich bewust van de lering die uit dit incident moest worden getrokken:

“Digitale informatie-uitwisseling is een essentieel onderdeel geworden voor het functioneren van de Nederlandse samenleving. Het gaat hierbij zowel om het economische verkeer als om het functioneren van de overheid. De inbraak bij DigiNotar heeft de kwetsbaarheid van betrouwbare digitale informatievoorziening duidelijk gemaakt: zowel bedrijfsleven als overheid heeft hiervan de nadelen van ondervonden.”4

De hack op DigiNotar maakte duidelijk hoe kwetsbaar digitalisering en het gebruik van het internet eigenlijk zijn. “100% veiligheid bestaat niet”, is dan ook het uitgangspunt.5 Al geruime tijd wordt in het jaarlijkse Cyber Security Beeld Nederland (CSBN), opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cybersecurity Centrum (NCSC), op steeds indringender toon gewaarschuwd voor risico’s van digitalisering.6 Ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) wees in zijn laatste rapport op cyberrisico’s en de vergaande impact die de verwezenlijking daarvan op onze maatschappij kan hebben.7 Analoge alternatieven en terugvalopties zijn vrijwel niet meer beschikbaar.8

Er hebben zich inmiddels talloze grootschalige, al dan niet wereldwijde cyberincidenten voorgedaan. Bekende voorbeelden zijn de virussen Wannacry en NotPetya in 2017,9 waardoor in het Verenigd Koninkrijk ziekenhuizen kwamen stil te liggen, een grote Spaanse telecomprovider niet meer functioneerde, transportbedrijven zoals FedEx en Maersk geen diensten meer konden verrichten en in Nederland de Rotterdamse haven stagneerde.10 Dit is slechts een kleine greep uit de lange lijst van getroffen bedrijven.

Meer recent, eind 2019, kwam de Universiteit Maastricht groot in het nieuws vanwege een ransomware-aanval (gijzelsoftware) die de systemen van de universiteit volledig blokkeerde. Uiteindelijk betaalde de universiteit bijna € 200.000,- aan losgeld om de systemen weer vrij te krijgen en het onderwijs te kunnen continueren.11 Daarnaast veroorzaakte een kwetsbaarheid in software van Citrix, dat bijvoorbeeld wordt gebruikt om van afstand in te loggen op bedrijfssystemen en dus te kunnen thuiswerken, begin 2020 ware ‘Citrix-files’ op de Nederlandse wegen nadat veel bedrijven de Citrixsoftware op advies van het NCSC hadden uitgeschakeld.12 Dat thuiswerken – en daarmee de cruciale rol van betrouwbare ICT – niet lang daarna vanwege de Covid-19-crisis belangrijker zou worden dan ooit, was toen nog niet bij iedereen opgekomen. Grote cyberincidenten hebben zich tijdens de voortdurende Covid-maatregelen overigens nog niet voorgedaan.13

Bedrijfsstagnatie en stilvallen van essentiële diensten is één kant van de risico’s van digitalisering. Een andere kant is het gevaar voor de bescherming van persoonsgegevens. Door digitalisering is de mate waarin persoonsgegevens worden verzameld en gedeeld exponentieel gestegen. Bedrijven en overheden maken bij de uitvoering van hun activiteiten meer dan ooit tevoren gebruik van die gegevens.14 Met digitale aanvallen kunnen daardoor niet alleen processen worden verstoord, er kan ook een schat aan informatie worden buitgemaakt. Ook van deze vorm van cyberrisico’s, meestal aangeduid met datalekken of data breaches, zijn talloze voorbeelden te noemen: Target, LinkedIn, Yahoo!, Sony, Marriott, Equifax, Allianz,15 en recent het datalek bij de coronasystemen van de GGD.16 Als gevolg van datalekken kunnen mensen in hun privacy of persoonlijke levenssfeer worden aangetast en materiële schade oplopen, bijvoorbeeld door misbruik van betalingsgegevens.

Toon alle voetnoten

Voetnoten

Voetnoten

‘”Black-out overheidscomputers na hack DigiNotar net afgewend”’, NRC Handelsblad 10 september 2011. Zie ook Kamerstukken II 2010/11, 26643, nr. 189.

Brief OPTA 13 september 2011 met kenmerk OPTA/ACNB/2011/202111, te raadplegen op https://www.acm.nl/sites/default/files/old_publication/bijlagen/10257_brief-bij-besluit-beeindiging-registratie-diginotar-13-09-2011.pdf.

‘Diginotar failliet verklaard’, De Volkskrant 20 september 2011.

Kamerstukken II 2010/11, 26643, nr. 189.

Zie bijv. P. van Boheemen, G. Munnichs, L. Kool e.a., Cyberweerbaar met nieuwe technologie – Kans en noodzaak van digitale innovatie, Rathenau Instituut: Den Haag 2020.

De rapporten vanaf 2011 zijn te vinden op de website van het NCTV.

Wetenschappelijke Raad voor het Regeringsbeleid, Voorbereiden op digitale ontwrichting, WRR-rapport 101, Den Haag: WRR 2019. Zie voor een kritische beschouwing op dit rapport de Van Slingelandt-lezing door M. van Eeten op 14 november 2019, ‘Blussen met nullen en enen. Cyber-rampen, cyber-exceptionalisme en de rol van de overheid’, Bestuurskunde 2020/1, p. 80-90. Zie ook de reactie van E. Schrijvers (WRR), ‘Zonder overheid gaat het niet’, Bestuurskunde 2020/1, p. 91-96.

Zie bijvoorbeeld Cybersecuritybeeld Nederland 2019, p. 7.

Informatietechnisch gezien is ‘virus’ hier niet de correcte term; ik gebruik dit begrip hier verzamelterm.

10.

W. Smart, Lessons learned review of the WannaCry Ransomware Cyber Attack, Independent report NHS, London 1 februari 2018, https://www.england.nhs.uk/wp-content/uploads/2018/02/lessons-learned-review-wannacry-ransomware-cyber-attack-cio-review.pdf; F. Palazuelos, ‘How the WannaCry ransomware attack affected businesses in Spain’, El Pais 19 mei 2017, https://elpais.com/elpais/2017/05/19/inenglish/1495181037_555348.html; R. Chirgwin, ‘IT ‘heroes’ saved Maersk from NotPetya with ten-day reinstallation bliz’, The Register 25 januari 2018, https://www.theregister.co.uk/2018/01/25/after_notpetya_maersk_replaced_everything/; J. Leyden, ‘FedEx: TNT NotPetya infection blew a $300m hole in our numbers’, The Register 20 september 2017, https://www.theregister.co.uk/2017/09/20/fedex_notpetya_damages/; ‘Nederlandse parkeergarages getroffen door cyberaanval’, De Volkskrant 14 mei 2017; E. van den Heuvel (red.), CSR Magazine 2018, p. 13 en 44-46.

11.

Reactie Universiteit Maastricht op rapport Fox-IT, 5 februari 2020, te raadplegen op https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastrichtpdf.

12.

‘Verkeer moet rekening houden met mist, gladheid en Citrix-files’, nu.nl 20 januari 2020, https://www.nu.nl/binnenland/6024912/verkeer-moet-rekening-houden-met-mist-gladheid-en-citrix-files.html.

13.

Moment van schrijven november 2020.

14.

Vgl. overweging 6 bij de AVG.

15.

Zie ook hoofdstuk II.

16.

‘Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD’, RTL Nieuws 25 januari 2021, https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone.