Europese cybersecurity-richtlijn zet privacy op een laag pitje

gegevensbeschermingDonderdag presenteerde Eurocommissaris Neelie Kroes een nieuwe cybersecurity-richtlijn. Als de richtlijn door het Europees Parlement wordt aangenomen, zullen belangrijke internetbedrijven digitale beveiligingsproblemen verplicht moeten melden. Nu is het nog zo dat bedrijven beveiligingsproblemen enkel moeten rapporteren als er persoonsgegevens in het geding zijn, of als ze onderdeel uitmaken van kritieke infrastructuur, zoals energiecentrales. Straks zullen ze onder meer de schaal van het probleem, de datum en tijd waarop het gebeurde, de aard van het incident en de reactie van het bedrijf op het beveiligingsprobleem moeten doorgeven aan de overheid. Verder zal elke lidstaat ook verplicht een computer emergency response team moeten hebben (iets waar België al over beschikt) en zullen bedrijven maatregelen moeten nemen om het risico op beveiligingsproblemen zo klein mogelijk te maken.

Op zich een goed initiatief, vindt Bits of Freedom, dat er echter tegelijk op wijst dat de richtlijn op één cruciaal punt tekort schiet: in het waarborgen van de privacy. Overheden gaan immers onderling ook meer informatie uitwisselen. Er wordt een speciaal netwerk opgezet waarbinnen de Europese lidstaten vertrouwelijke gegevens over beveiligingsproblemen onderling kunnen uitwisselen. En bij de regels voor die uitwisseling van incidentinformatie wringt het schoentje. Bits of Freedom:

De Commissie vindt dat de nationale cybersecurity-autoriteiten voor de uitoefening van hun taken zowel publieke partijen als marktspelers informatie mogen vragen die zij nodig hebben om de veiligheid van hun netwerken en informatiesystemen te beoordelen (art. 15).
In de eerste plaats kunnen deze autoriteiten namelijk bij veel “marktspelers” informatie opvragen. Dit begrip omvat namelijk bedrijven uit de energie, transport en gezondheidssector, banken en alle soorten internetbedrijven. Bovendien kan héél veel informatie worden opgevraagd: alle informatie die op een of andere manier met cybersecurity in verband kan worden gebracht. Dus ook privacygevoelige informatie (lees: emails, logs, etc.). De richtlijn stelt daaraan geen wezenlijke beperkingen. Maar minstens zo problematisch: die privacygevoelige informatie kan vervolgens ongebreideld worden uitgewisseld tussen deze autoriteiten (art. 8), want de regels die zien op de bescherming van dit soort informatie worden door de richtlijn buiten toepassing verklaard (ov. 39).

De nieuwe richtlijn moet nog door het Europees Parlement worden aangenomen. Maar er is duidelijk nog werk aan de winkel om de balans tussen veiligheid en privacy terug in evenwicht te brengen.