Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.3
7.3.5.3 Beveiliging van digitale diensten
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660866:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie in dit kader ook Markopoulou, Papakonstantinou & De Hert 2019, §4.
Preambule NIB-richtlijn, o. 48.
Preambule NIB-richtlijn, o. 49.
Preambule NIB-richtlijn, o. 49.
Art. 16 lid 10 NIB-richtlijn. Preambule NIB-richtlijn, o. 57 en 60. Verder mogen zij geen beveiligingsverplichting opleggen aan micro-ondernemingen en kleine ondernemingen (oftewel, op ondernemingen met 50 medewerkers of minder in dienst en een omzet van minder € 10 miljoen per jaar). Zie art. 16 lid 11 NIB-richtlijn. Zie ook preambule NIB-richtlijn, o. 53.
Art. 2 Uitvoeringsverordening Digitaledienstverleners.
Digitaledienstverleners zijn rechtspersonen die een dienst aanbieden die gewoonlijk wordt verricht tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten. Onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten zijn digitale diensten.1 Hun diensten kunnen relevant zijn voor de continuïteit van andere diensten (waaronder essentiële diensten, maar ook in meer algemene zin voor de informatiemaatschappij). 2 Hierdoor kan een verstoring ervan gevolgen hebben voor belangrijke economische en maatschappelijke activiteiten in de EU.3
Lidstaten moeten digitaledienstverleners verplichten de risico’s voor de beveiliging van de netwerk- en informatiesystemen waarmee zij diensten aanbieden, te identificeren en passende en evenredige technische en organisatorische maatregelen te treffen om deze risico’s te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een op de risico’s afgestemd beveiligingsniveau. Digitaledienstverleners zullen verder maatregelen moeten nemen om de gevolgen van beveiligingsincidenten te voorkomen en te minimaliseren, zodat de continuïteit van hun diensten wordt gewaarborgd.4 Het niveau van beveiliging dat zij waarborgen dient in verhouding te staan tot het belang van de diensten voor andere ondernemingen in de EU.5
Omdat de risico’s van het wegvallen van de systemen van een digitaledienstverlener in de praktijk doorgaans minder zijn dan die van het wegvallen van de systemen van essentiële dienstverleners, rusten er veelal minder strenge beveiligingseisen op digitaledienstverleners dan op essentiële dienstverleners.6 Wel is de harmonisatie van deze eisen belangrijker vanwege het grensoverschrijdende karakter van de diensten.7 Hoewel de NIB-richtlijn bepaalt dat sprake is van minimumharmonisatie, is wat betreft digitaledienstverleners bepaald dat lidstaten geen extra beveiligingsverplichtingen mogen opleggen.8
Lidstaten moeten digitaledienstverleners verplichten om bij de afstemming van hun maatregelen rekening te houden met de beveiliging van systemen en voorzieningen, de behandeling van incidenten, het beheer van bedrijfscontinuïteit, toezicht, controle en testen en de internationale normen.9 De elementen waarmee digitaledienstverleners in dit kader specifiek rekening moeten houden, is, mede vanwege het grote belang van de harmonisatie van deze eisen, gespecificeerd in art. 2 van de Uitvoeringsverordening Digitaledienstverleners. Deze verordening verduidelijkt dat digitaledienstverleners verschillende type maatregelen moeten treffen. Om te beginnen moeten ze maatregelen treffen die zijn gericht op de fysieke beveiliging van de netwerk- en informatiesystemen en de omgeving daarvan – en zo bijvoorbeeld vijandelijke acties, systeemstoringen en natuurverschijnselen ondervangen. Verder dienen ze te verzekeren dat de kritieke voorraden voor de verlening van de dienst toegankelijk en traceerbaar zijn en dat de toegang tot de netwerk- en informatiesystemen wordt gecontroleerd. De basis wordt gevormd door een systematische aanpak van het beheer van netwerk- en informatiesystemen. In dit kader moeten digitaledienstverleners een risicoanalyse uitvoeren en daarbij de personele middelen, beveiligingsarchitectuur, operationele beveiliging en gehele levenscyclus van de beveiligde data en systemen meenemen. Aangezien het ten aanzien van digitale diensten in het kader van de NIB-richtlijn voornamelijk van belang is dat de bedrijfscontinuïteit wordt gewaarborgd, moeten digitaledienstverleners ook een rampenplan vaststellen en beschikken over uitwijkcapaciteiten, die zij bovendien geregeld moeten beoordelen en testen. In dit kader zullen ze ook processen en beleidsmaatregelen moeten ontwerpen waarmee ze de zwakke plekken in hun informatiesystemen kunnen identificeren, incidenten kunnen vaststellen, en kunnen meten of hun netwerk- en informatiesystemen naar behoren werken. Bij dit alles dienen zowel technische processen als de betrokken personeelsleden in acht te worden genomen.10 Digitale dienstverleners zullen hun personeelsleden bijvoorbeeld moeten informeren over hoe zij met bepaalde systemen om moeten gaan om de beveiliging daarvan te waarborgen.